Systém řízení informační bezpečnosti (ISMS)

Transkript

1 Systém řízení informační bezpečností (ISMS) RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 4 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 4.přednáška Systém řízení informační bezpečnosti (ISMS) 1

2 Role manažerů v oblasti IS/IT a informační bezpečnosti Role manažerů Vyplývá z principů IT Governance: Řízení IT je součástí řízení organizace Důraz na aktivní zapojení IT do tvorby a naplnění firemní strategie Strategie organizace a její business cíle určují strategii IT Požadavky IT ovlivňují strategii organizace Jde o propojení řízení IT s řízení celé organizace Začlenění IT Governance do systému řízení IT Strategické řízení IT IT Governance COBIT (manažerský framework pro plánování, řízení a kontrolu IS/ICT) Taktické a operativní řízení IT ITIL (procesní nástroj a popis best-practices pro provoz a rozvoj IS/ICT infrastruktury a služeb Využití norem (např. ISO/IEC ISO/IEC 2700x apod.) 2

3 Role manažerů role ředitele (manažera) informatiky (IS/IT) - (Chief Information Officer - CIO): Orientace IS/ICT na základní cíle podniku (obchodní orientace) Spolupodílet se na formulaci těchto cílů (inicializace cílů využívající nové možnosti IS/ICT) Zajištění integrity IS/ICT podniku a koordinace všech projektů Pozice CIO v organizaci a jeho vliv na globální strategii organizace Závisí v zásadě na tom, jak je řízeno IS/ICT v organizaci A zda je či není členem vrcholového vedení organizace Role manažerů - CISO IT Security Manager Chief Information Security Officer (CISO): Ochrana informačních aktiv organizace Před ztrátou (důvěrnost aktiv, dostupnost aktiv) Před zneužitím (důvěrnost aktiv) Před pozměněním nebo poškozením (integrita a dostupnost aktiv) Informační aktiva = informace, které mají pro organizaci hodnotu. Informační bezpečnost= bezpečnost informací ve všech jejich formách během celého jejich životního cyklu Security Manager (SM) bezpečnostní ředitel Otázky bezpečnosti v rámci organizace Fyzická ochrana Požární ochrana Ochrana zdraví a života Kontinuita provozu 3

4 Role manažerů CIO, CISO, SM Pozice IT Security manažera: Modely řízení bezpečnosti, IT bezpečnosti a informatiky ISMS.Zpět k ISMS (i když jsme stále byli v oblasti řízení, kam spadá i ISMS) 4

5 Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení Součásti systému řízení MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review 5

6 Information Security Management System (ISMS) ISMS je systém managementu bezpečnosti informací o Součást globálního systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi 6

7 Informační bezpečnost - přínosy Přínosy systému informační bezpečnosti minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty - důsledky případných výpadků a havárií) vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezp. incidentů, zajišťuje nepopiratelnost) naplnění legislativních požadavků Formální přístup Pro zajištění bezpečnosti informací Implementace souboru opatření, např. Politiky Prováděcí postupy Organizační struktura Funkce software Opatření vybrána na základě posouzení rizik nutnost formálního přístupu 7

8 Bezpečnostní politika Koncepčnost soulad s potřebami (i očekávanými) organizace Komplexnost soubor technicko-org. opatření/postupů napříč org. Efektivita nesmí být brzdou řízení a rozvoje organizace Bezpečnostní politika (BP) Soubor opatření formální/normativní rámec InfoSec v org. Implementace - promítnutí technicko-organizačních opatření do každodenní praxe Bezpečnostní politika Bezpečnostní politika je základním kamenem informační bezpečnosti základní dokument pokrývající bezpečnostní aspekty veškerých činností prováděných v organizaci vyžaduje podporu vedení společnosti, aby byla zaručena její dostatečná účinnost obsahuje základní záměry, cíle, role, vymezení pravomocí, obecné zásady a konkrétní opatření má tři úrovně - strategickou, taktickou, operativní 8

9 Úrovně bezpečnostní politiky úroveň strategická strategické cíle, celková koncepce bezpečnosti úroveň taktická CO a PROČ má být chráněno úroveň operativní JAK bude požadované ochrany dosaženo Zdroj: DCIT a.s. Úrovně bezpečnostní politiky Bezpečnostní politika Koncepce ochrany informací Strategická úroveň Detailní bezpečnostní směrnice Taktická úroveň Navazující (technická) dokumentace Zdroj: DCIT a.s. 9

10 Bezpečnostní dokumentace Bezpečnostní dokumentace (Dokumentace bezpečnostní politiky) Bezpečnostní politika závazná pro všechny zaměstnance definuje účel, cíle a principy řešení problematiky informační bezpečnosti v rámci organizace Strategická část Pravidla nakládání s informacemi závazná pro všechny zaměstnance definuje kategorizaci informací obsahuje pravidla pro nakládání s informacemi pokrývá informace v elektronické i papírové podobě Pravidla pro práci s výpočetní technikou závazná pro všechny zaměstnance povinnosti uživatelů výpočetní techniky laikům srozumitelná Pravidla pro bezpečnostního manažera dokument definuje procesy a procedury související s rolí bezpečnostního manažera Detailní bezpečnostní pravidla IT závazná pro všechny pracovníky IT příp. externí subjekty obsahuje podrobná pravidla (komunikace, logování, monitorování, správa systémů, vývoj a nasazování systémů apod.) Taktická část Přílohy seznam informačních aktiv - přiřazení kategorií a vlastníků seznam aplikací, IS a osob schvalujících přidělení přístupu dokumenty (případně jejich části) zpracované DCIT Technická dokumentace IT dokumenty jsou součástí provozní dokumentace IT Postupy pro instalaci, zálohování Bezpečnostní nastavení Administrační postupy... Windows 2003 LAN / WAN Elektronická pošta Zálohování Aplikace... Zdroj: DCIT a.s. Reakce na změny hrozeb Nové hrozby žádají nová protiopatření neustále, efektivně a hlavně včas Proměna stávajících hrozeb vývoj způsobu práce Vznik nových hrozeb nové technologie Mechanismus přizpůsobování Reakce/modifikace přijatých opatření novým potřebám Formálně definovaný/realizovaný postup průběžné analýzy, implementace, kontroly, údržby, zlepšování systému InfoSec Efektivita řízení, přiměřené (= rozumné ) nároky na zdroje 10

11 Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (Management System) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení Součásti systému řízení Management System pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review 11

12 ISMS ISMS je systém managementu bezpečnosti informací Součást globálního systému řízení organizace Založen na přístupu vyhodnocování rizik Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi 12

13 Zavádění ISMS Velmi náročný úkol, řada překážek důležitější projekty, vysoké náklady, prodloužení doby trvání projektů,. Klíčový moment: zapojení a podpora vrcholového vedení (top managementu) do bezpečnostní problematiky Zavádění ISMS Možná cesta: metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik 13

14 Informační bezpečnost - přínosy Řešení problematiky informační bezpečnosti v organizaci je příkladem nekončícího procesu. Výstupem není nikdy bezpečnost, ale SYSTÉM ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI, zaručující při správné implementaci dosažení adekvátní úrovně bezpečnosti v daném období. Informační bezpečnost - přínosy Informační bezpečnost zajišťuje hlavní procesy organizace (např. business procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje dopady bezpečnostních incidentů, havárií a výpadků. 14

15 Důvody pro zavedení ISMS zvýšení bezpečnosti informací ve společnosti preventivní (posílení vnitřních kontrolních mechanismů, obavy IT nebo jiných útvarů, výstup provedených auditů) reakce na vlastní incident reakce na medializovaný cizí incident marketingová (obchodní) výhoda (certifikát ISMS) zákony a regulatorní požadavky (např. z mateřské společnosti) sebevědomí společnosti, taktika CIO, CISO,. Předpoklady zavedení ISMS podpora a odpovědnost vedení společnosti kvalifikovaný tým pro zavedení ISMS konzultační podpora zavedené funkční řídící procesy ve společnosti (ISMS je součástí systému řízení společnosti): ISO 9000 (kvalita) ISO (životní prostředí) ISO (procesy řízení IT služeb) funkční řídící dokumentace definovaný rozsah ISMS 15

16 Možná cesta: Zavádění ISMS metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. Zavádění ISMS Proces správy a řízení rizik je základem ISMS Bezpečnost informací nelze ztotožnit s bojem proti hackerům a spamu Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,.) Využití standardů při zavádění ISMS norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti ISMS není třeba nasazovat plošně. 16

17 Role manažera úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti, ); pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,..) poskytnutí této podpory je jejich hlavním úkolem; Rozpočet na oblast bezpečnosti Organizační struktura bezpečnostní fórum (rada, výbor) Metriky pro měření bezpečnosti Bezpečnostní audity Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 17