Bezpečnostní dokumentace informačních a komunikačních systémů (IKS)

Transkript

1 FVL FB Bezpečnostní dokumentace informačních a komunikačních systémů (IKS) Ing. Oldřich Luňáček, Ph.D. oldrich.lunacek@unob.cz

2 Osnova Cíle a strategie bezpečnosti systémů Hrozby na aktiva systémů Bezpečnostní a provozní správa Organizace bezpečnosti IS a KS Dokumentace KIS Dokumentace druhů zajištění OUI

3 Cíle a strategie bezpečnosti systémů Hlavním cílem bezpečnosti systémů je: ochrana aktiv systémů, zajištění odpovědnosti uživatele za jeho činnost v systému, a minimalizace rizika selhání v oblasti důvěrnosti, integrity a dostupnosti informací. UI a citlivé informace se chrání ve všech formách, ve kterých se mohou v rámci systému vyskytnout. Chrání se i všechny nosiče, na kterých se tyto informace ukládají. Míra ochrany poskytovaná informacím a vlastnímu systému je úměrná stupni utajení nebo citlivosti informací a předpokládaným hrozbám, kterým jsou vystaveny.

4 Cíle a strategie bezpečnosti systémů Bezpečnostní opatření trvale pokrývají všechny významné hrozby vůči zranitelnostem systému. Jednotlivá bezpečnostní opatření v rámci systému se realizují takovým způsobem a v takových oblastech, aby bylo dosaženo dostatečné bezpečnosti s optimálními náklady a minimálním omezením požadovaných funkčních vlastností systému. Veškerá aktiva systému využívají pouze oprávnění uživatelé a pouze k účelům, které souvisejí s plněním jejich pracovních úkolů. Bezpečnost systému vyžadují všichni vedoucí zaměstnanci na všech řídících stupních, musí se stanovit odpovědnosti a povinnosti jednotlivých osob.

5 Požadavky na přístup k UI v IS Splnění požadavků z hlediska bezpečnosti je nutné pro osoby, jež budou zastávat role: uživatele, bezpečnostního správce správce IS Osoby musí být držitelem OFO stupně utajení, který se stanovuje v souladu s bezpečnostním provozním módem a v závislosti na nejvyšším stupni utajení UI, se kterými může IS nakládat. Na základě autorizace se přidělují těmto osobám v rámci IS jedinečný identifikátor. Uděluje se oprávnění pouze v rozsahu nezbytném pro provádění jemu určených aktivit v IS.

6 Organizace bezpečnosti v rezortu Ministerstva obrany (MO) Bezpečnostní ředitel je výkonným orgánem ministra obrany jako odpovědné osoby v oblasti ochrany UI. Odborným orgánem bezpečnostního ředitele pro řešení koncepce bezpečnosti systémů je Odbor bezpečnosti, který metodicky řídí bezpečnost v IKS v rezortu MO. Sekce komunikačních a informačních systémů MO je odborným orgánem pro: koordinaci výstavby, provozu a efektivního využívání systémů včetně aplikace koncepce bezpečnosti systémů a řešení bezpečnostní architektury provozovaných a budovaných systémů.

7 Bezpečnostní správu organizačního celku zajišťují tyto prvky a role: 1. bezpečnostní manažer organizačního celku; 2. provozní a bezpečnostní správa KIS a EZ; 3. bezpečnostní správa kryptografické ochrany: bezpečnostní správce kryptografické ochrany, správce kryptografického materiálu, zástupce správce kryptografického materiálu, bezpečnostní správce kryptografické ochrany utajovaného systému (důstojník pro komunikační bezpečnost utajovaného systému), místní bezpečnostní správce kryptografické ochrany utajovaného systému, pracovník určený k vedení písemností KRYPTO, speciální obsluha kryptografického prostředku, kurýr určený k přepravě kryptografického materiálu; 4. registr nebo pomocný registr; 5. pracoviště ochrany informací; 6. bezpečnostní pracovník pro personální bezpečnost; 7. správce technických prostředků.

8 Provozní správa systému Provozní správa systému je tvořena rolemi: gestor systému; manažer systému; provozovatel systému; správce systému; místní správce systému.

9 Bezpečnostní správa systému Bezpečnostní správa systému a uplatňuje se prostřednictvím: projektové bezpečnostní správy systému se uplatňuje zejména ve fázích plánování, vývoje, testování, implementace a rozvoje systému a realizují ji tyto role: bezpečnostní manažer systému; bezpečnostní architekt systému.

10 Bezpečnostní správa systému Bezpečnostní správa systému a uplatňuje se prostřednictvím: provozní bezpečnostní správy systému v rámci bezpečnostní správy organizačního celku realizují role vystupující současně v rolích bezpečnostní správy organizačního celku: bezpečnostní správce systému; bezpečnostní správce kryptografické ochrany systému; místní bezpečnostní správce systému; místní bezpečnostní správce kryptografické ochrany systému; bezpečnostní správce terminálové oblasti systému.

11 IS se mohou provozovat pouze v některém z uvedených bezpečnostních provozních módů bezpečnostní provozní mód vyhrazený, bezpečnostní provozní mód s nejvyšší úrovní, nebo bezpečnostní provozní mód víceúrovňový.

12 Organizace bezpečnosti IS a KS Min. provozní a bezpečnostní správa IS a KS (dle V NBÚ 523/2005) Informační systém (nebo KS) Správce IS (KS) Bezpečnostní správce IS (KS) Uživatel IS (KS) 1 17, odst.1 dodržují předepsané postupy stanovené v BD IS (KS) Poznámka: Pro zabezpečení provozní a bezpečnostní správy IS (nebo KS) se (vždy) určuje jeden správce IS (KS) a jeden bezpečnostní správce IS (KS). Vedoucí organizačního ceku MO povoluje (1 až n) uživatelům využívat IS (KS) pro informační podporu jejich činnosti v souladu se schválenou Bezpečnostní dokumentací IS (KS). n

13 Organizace bezpečnosti IS a KS Rozšířená provozní a bezpečnostní správa IS a KS dle V NBÚ 523/2005) 18, odst. 1 Správa IS (KS) 18, odst. 5 Správce IS (KS) Systém bezpečnostní správy IS (KS) Bezpečnostní správce IS (KS) Místní správce IS (KS) Lokální (místní) systém bezpečnostní správy IS (KS) Místní bezpečnostní správce IS (KS) volitelné 18, odst. 2 Bezpečnostní správce pro oblast komunikační bezpečnosti Bezpečnostní správce bezpečnostního rozhraní IS Uživatel IS (KS) 1 n

14 Vedoucí organizačního celku MO Bezpečnostní manažer organizačního celku Bezpečnostní správa IS, KS a EZ Osoba odpovědná za elektronické zařízení 1 2 Bezpečnostní správce kryptografické ochrany Provozní a bezpečnostní správa vlastního IS (KS) Bezpečnostní správce IS (KS) Správce IS (KS) Bezpečnostní správce kryptografické ochrany IS (KS) 1 Bezpečnostní správce terminálové oblasti IS Uživatel IS (KS) 1-n Provozní obsluha kryptografického prostředku Místní provozní a bezpečnostní správy části rozsáhlých IS (KS) Místní bezpečnostní správce IS (KS) Místní správce IS (KS) Místní bezpečnostní správce kryptogr. ochrany IS (KS) Bezpečnostní správce terminálové oblasti IS Uživatel IS (KS) 1-n Provozní obsluha kryptografického prostředku Místní systém bezpečnostní správy IS (KS) 1 2 3

15 Globální bezpečnostní dokumentace Je dokumentace, která upravuje podmínky pro nakládání s informacemi v systémech na úrovni zákonů České republiky, s nimi souvisejících vyhlášek a interních normativních aktů. Mezi globální bezpečnostní dokumentaci patří: Zákon 412/2005 Sb; Prováděcí vyhlášky NBÚ ; Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů; Zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů (zákon o elektronickém podpisu), ve znění pozdějších předpisů; Rozkazy ministra obrany Normativní výnosy MO a bezpečnostní směrnice (standardy bezpečnosti) systémů ministerstva.

16 Dokumentace KIS Projekt bezpečnosti komunikačního systému obsahuje bezpečnostní politiku komunikačního systému, organizační a provozní postupy provozování komunikačního systému, provozní směrnice pro bezpečnostní správu komunikačního systému, provozní směrnice uživatele komunikačního systému.

17 Dokumentace KIS Bezpečnostní dokumentaci informačního systému tvoří projektová bezpečnostní dokumentace informačního systému a provozní bezpečnostní dokumentace informačního systému.

18 Dokumentace KIS Projektová bezpečnostní dokumentace informačního systému obsahuje: bezpečnostní politiku informačního systému a výsledky analýzy rizik, návrh bezpečnosti informačního systému zajišťující splnění bezpečnostní politiky informačního systému, přičemž podrobnost jeho popisu musí umožnit přímou realizaci navrhovaných opatření, a dokumentaci k testům bezpečnosti informačního systému.

19 Dokumentace KIS Provozní bezpečnostní dokumentace informačního systému obsahuje bezpečnostní směrnice informačního systému, které předepisují činnost bezpečnostních správců informačního systému v jednotlivých rolích zavedených v informačním systému pro zajištění bezpečnostní správy informačního systému, bezpečnostní směrnice informačního systému, které předepisují činnost správců informačního systému v jednotlivých rolích zavedených v informačním systému pro správu informačního systému, pokud se týká zajištění bezpečnosti informačního systému, bezpečnostní směrnice informačního systému, které předepisují činnost uživatelů informačního systému, pokud se týká zajištění bezpečnosti informačního systému.

20 Dokumentace KIS Bezpečnostní provozní směrnice kopírovacího zařízení, zobrazovacího zařízení nebo psacího stroje s pamětí. elektrické psací stroje s pamětí, dataprojektory apod.

21 Projektová bezpečnostní dokumentace Bezpečnostní politika utajovaného IS se zpracovává v souladu s globální bezpečnostní dokumentací systémů. Bezpečnostní politiku utajovaného IS tvoří soubor norem, pravidel a postupů, kterým se zajišťuje požadovaná úroveň důvěrnosti, integrity a dostupnosti utajované a citlivé informace a odpovědnost uživatele za jeho činnost v utajovaném informačním systému. Vyhodnocení analýzy rizik obsahuje výsledky analýzy rizik aktiva a jejich hodnoty, úrovně hrozeb, zranitelností a rizik a identifikovaná bezpečnostní opatření. Návrh bezpečnostních opatření pro utajovaný IS obsahuje popis způsobu realizace jednotlivých bezpečnostních požadavků ve formě bezpečnostních opatření, bezpečnostních funkcí a bezpečnostních mechanismů. Bezpečnost utajovaného IS se testuje individuálně a v reálných podmínkách, ve kterých se bude tento utajovaný IS provozovat. Testovat je vhodné v rámci celého vývoje utajovaného IS, ale závěrečné testy, které mají prokázat účinnost jednotlivých bezpečnostních opatření, se musejí uskutečnit po ukončení vývoje utajovaného IS v rámci zkušebního provozu. Zpracovává se zejména ve fázích plánování, vývoje nebo pořízení a implementace utajovaného IS a dále při rozvoji utajovaného IS.

22 Provozní bezpečnostní dokumentace Provozní bezpečnostní dokumentace utajovaného IS obsahuje tyto dokumenty: Bezpečnostní směrnice (místního) bezpečnostního správce utajovaného IS; Bezpečnostní směrnice správce utajovaného IS (vymezují povinnosti, které se týkají zajištění bezpečnosti utajovaného IS); Bezpečnostní směrnice uživatelů utajovaného IS ( určená pro řízení bezpečnosti provozu utajovaného IS, Zpracovává se zejména ve fázích provozu, rozvoje a ukončení provozu utajovaného IS.

23 Rozsah dokumentace KIS Pro utajované IS se zpracovává provozní bezpečnostní dokumentace v plném rozsahu. Pro neutajované IS se vyžaduje zpracování provozní dokumentace neutajovaného systému, která zahrnuje základní opatření pro zajištění bezpečnosti neutajovaného IS.

24 Bezpečnostní dokumentace utajovaných IS NATO Utajované IS NATO mají odlišnou strukturu bezpečnostní dokumentace. Struktura bezpečnostní dokumentace je stanovena těchto dokumentech: AC/35 - D/1015 Guidelines for the Development of Security Requirement Statements; AC/35 - D/1014 Guidelines for the Structure and Content of Security Operating Procedures (SecOPs) for Communication and Information Systems (CIS).

25 Bezpečnostní dokumentace utajovaných IS NATO Bezpečnostní dokumentace utajovaných informačních systémů NATO se dělí na dvě skupiny dokumentů: bezpečnostní požadavky - Security Requirement Statements (SRS); provozní bezpečnostní směrnice - Security Operating Procedures (SecOPs). Bezpečnostní požadavky zpracovává a podepisuje bezpečnostní manažer IS a mohou mít tyto formy: systémově-specifické bezpečnostní požadavky - System-specific Security Requirement Statement; systémově-specifické požadavky elektronické informační bezpečnosti - System-specific Electronic Information Security Requirement Statement; systémové bezpečnostní požadavky pro propojování - System Interconnection Security Requirement Statement; společné bezpečnostní požadavky - Community Security Requirement Statement. Provozní bezpečnostní směrnice se dělí na: generické provozní bezpečnostní směrnice - Security Operating Procedures ; místní provozní bezpečnostní směrnice - Site Security Operating Procedures.

26 Dokumentace PB Oznámení Prohlášení fyzické osoby o způsobilosti k právním úkonům Výpis z evidence Rejstříku trestů Osvědčení fyzické osoby Prohlášení k osobnostní způsobilosti Žádost o vydání osvědčení fyzické osoby Dotazník fyzické osoby v listinné i elektronické podobě Poučení Doklad (bezpečnostní způsobilost) Osvědčení fyzické osoby pro cizí moc Bezpečnostní oprávnění vydané úřadem cizí moci

27 Dokumentace PB Personální projekt organizace obsahuje zhodnocení stavu v personální bezpečnosti za uplynulý rok, předpokládaný počet fyzických osob, u kterých bude nutné v následujícím roce provést řízení a to s rozlišením podle stupňů utajení. Personální projekt zasílají ministerstva a další ústřední správní úřady na NBÚ vždy do příslušného kalendářního roku.

28 Platnost osvědčení fyzické osoby a osvědčení podnikatele je pro stupeň utajení Přísně tajné 5 let, Tajné 7 let a Důvěrné 9 let. PB Oznámení kontrola každých 5 let

29 Druhy zajištění OUI - PrB Žádost podnikatele Osvědčení podnikatele Přísně tajné Tajné Důvěrné Vyhrazené 5 let, 7 let 9 let 12 let. Osvědčení podnikatele pro cizí moc

30 PrB Bezpečnostní dokumentace podnikatele stanoví systém ochrany utajovaných informací u podnikatele, musí být průběžně aktualizována a obsahuje: výčet UI uložených u podnikatele analýzu možného ohrožení UI, vhodná a účinná ochranná opatření ke snížení rizik, způsoby realizace jednotlivých druhů zajištění OUI, časový harmonogram realizace bezpečnostní dokumentace, seznam funkcí a osob, u kterých se předpokládá přístup k UI,

31 AB Administrativní pomůcky jednací protokol, kterým je kniha nebo sešit pro evidování utajovaného dokumentu. pomocný jednací protokol, kterým je kniha nebo sešit pro zaznamenávání pohybu utajovaného dokumentu v rámci orgánu státu, právnické osoby nebo podnikající fyzické osoby. manipulační kniha, kterou je kniha nebo sešit pro zaznamenávání utajovaného dokumentu při jeho vytváření, převzetí a předávání.

32 AB Administrativní pomůcky doručovací kniha, kterou je kniha nebo sešit pro zaznamenávání předání utajovaného dokumentu. zápůjční kniha, kterou je kniha nebo sešit pro zaznamenávání zápůjček uloženého utajovaného dokumentu. sběrný arch pro rozšíření evidenčního záznamu v jednacím protokolu v případě evidování většího počtu utajovaných dokumentů k jedné věci. kontrolní list utajovaného dokumentu stupně utajení Důvěrné, Tajné, nebo Přísně tajné

33 Druhy zajištění OUI - FB Projekt fyzické bezpečnosti určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí, vyhodnocení rizik, způsob použití opatření fyzické bezpečnosti, provozní řád objektu a plán zabezpečení objektu a zabezpečených oblastí v krizových situacích.

34 Druhy zajištění OUI - FB Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází zabezpečená oblast pouze kategorie Vyhrazené, obsahuje určení objektu a zabezpečených oblastí, včetně jejich hranic a určení kategorií a tříd zabezpečených oblastí a způsob použití opatření fyzické bezpečnosti.

35 Druhy zajištění OUI - FB Projekt fyzické bezpečnosti v případech, kdy se v objektu nachází jednací oblast, obsahuje určení objektu a jednací oblasti, včetně jejich hranic, vyhodnocení rizik, způsob použití opatření fyzické bezpečnosti, provozní řád objektu a plán zabezpečení objektu a jednací oblasti v krizových situacích.

36 Kryptografická ochrana Kryptografickou písemností je listina nebo nosné médium obsahující UI kryptografické ochrany. Administrativní pomůcky kryptografické ochrany : evidování, předávání, přebírání a jiné zaznamenávání pohybu kryptografického materiálu, pomůcky pro evidování pracovníků kryptografické ochrany, provozní obsluhy kryptografického prostředku a kurýrů kryptografického materiálu.

37 Kryptografická ochrana Za administrativní pomůcky v oblasti kryptografické ochrany se považují: evidenční karta, rejstřík evidenčních karet, provozní deník, evidenční kniha materiálu MU 2.4 KRYPTO, jednací protokol a pomocný jednací protokol, manipulační kniha, doručovací kniha, zápůjční kniha, kniha zápůjček a oprav techniky, kniha odeslaných zpráv, kniha přijatých zpráv.

38 Kryptografická ochrana Osvědčení o zvláštní odborné způsobilosti Evidenční karta pracovníka kryptografické ochrany Evidenční karta pracovníka kryptografické ochrany Potvrzení o odborném zaškolení pracovníka provozní obsluhy Potvrzení o odborném zaškolení kurýra kryptografického materiálu

39 Režimová směrnice Druhy zajištění OUI Kryptografická ochrana Zpracovává se a průběžně aktualizuje pro každé kryptografické pracoviště. Musí stanovit všechna nezbytná opatření k zajištění ochrany utajovaných informací na pracovišti. Dodržování směrnice musí zabezpečit, aby se kryptografický materiál a ostatní utajované informace nedostaly do nepovolaných rukou. Směrnici se stupněm utajení VYHRAZENÉ KRYPTO zpracovává pracovník odpovědný za provoz pracoviště a schvaluje vedoucí zaměstnanec organizačního celku, u kterého je pracoviště zřízeno.

40 Realizace OUI OC na základě rozkazu velitele Ustanovení bezpečnostní správy UO v souladu s RMO ustanovuje rektor bezpečnostní správu UO, bezpečnostní správa je zveřejněna v rozkazu velitele organizační rozkaz na rok

41 Literatura Zákon 412/2005 Sb. o ochraně utajovaných informací a o bezpečnostní způsobilosti POŽÁR, J.: Informační bezpečnost. Vydavatelství a nakladatelství Aleš Čeněk,s.r.o.. Plzeň Dokument NATO C-M(2002)49 Security within NATO RODRYČOVÁ, J., STAŠA, P.: Bezpečnost informací jako podmínka prosperity firmy. Grada, Praha Dobda, L.: Ochrana dat v informačních systémech Hansman, S., Hunt, R. A taxonomy of network and computer attacks. Computers and Security, Gerber, M., von SOLMS,R. Management of risk in the information age. Computers and Security, January Fábera, M. Jaká má být bezpečnost. Magazín SECURITY, září/říjen FAMily media spol. s.r.o. Praha Hrubý, J. O kvantifikaci a matematizaci bezpečnosti, Sborník konf. Informační společnost, prosinec 2001, ISBN

42 Literatura RMO 16/2013 Ochrana určených neutajovaných informací v rezortu MO RMO 14/2013 Ochrana utajovaných informací v resortu MO RMO 33/2012 o personální bezpečnosti v rezortu MO RMO 6/2010 ve znění RMO 14/2011 Zřízení rady pro kybernetickou bezpečnost RMO 11/2010 ve znění RMO 42/2010 a RMO 17/2013 Spisový řád RMO 18/2006 ve znění RMO 44/2010 a RMO 16/2012 Seznam zvlášť určených pracovišť RMO 25/2007 Stanovení stupňů utajení

43 Literatura NV 85/2013 BIKS a EZ nakládajících s UI NV 77/2013 Fyzická bezpečnost v rezortu MO NV 20/2013 BIKS a EZ, které nakládají s určenými neutajovanými informacemi (UNI) v rezortu MO NV 19/2013 Technické standardy pro přenosy dat prostřednictvím data linků NV 18/2013 OUI poskytovaných podnikatelům NV 60/2012 Administrativní bezpečnost NV 33/2010 OUI před KEV NV 12/2010 Spisová služba ve znění NV 61/2012 NV 111/2013 Kryptografická ochrana