1 Aplikovaná informatika Případová studie bezpečnosti IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/15.0070)
2 Případová studie k bezpečnosti IS A i zadání 1. Bezpečností informační politika organizace 2. ISMS - Bezpečností informační politika organizace 3. Doporučení pro řízení informační bezpečnosti Úkoly do samostudia
3 Cíle přednášky 1. Charakterizovat bezpečnostní incidenty, jejich význam a řešení 2. Objasnit bezpečností informační politiku organizace 3. Uvést doporučení pro řízení informační bezpečnosti
4 Pojetí bezpečnosti informací Důvody pro bezpečnost informací: Minimalizace nebezpečí úniku a zneužití dat Úspora vynaložených nákladů souvisejících s odstraněním následků bezpečnostních incidentů Dodržení legislativních předpisů Snížení rizika nedostupnosti informací Silná image společnosti a důvěra zákazníků Možnost průběžného sledování a hodnocení dosažené úrovně zabezpečení
Klastrové pojetí bezpečnosti BCM - Řízení kontinuity činností ustanovuje strategický a provozní rámec přiměřený potřebám a cílům organizace. Klastrové pojetí informační bezpečnosti organizace je do jisté míry v rozporu uplatňovaným systémovým přístupem Efektivita řízení Nákladové a bezpečnostní synergie
6 Bezpečností informační politika organizace = je soubor zásad a pravidel, s jejichž pomocí organizace chrání svá aktiva, především počítačové sítě a informační systémy, které jsou nejzranitelnější, hned po lidském faktoru... Obecně lze bezpečnostní incident definovat jako narušení bezpečnosti IS/IT a pravidel ustanovených k jeho ochraně (bezpečnostní politika). Zjištěné bezpečnostní incidenty a nedostatky musí být nahlášeny zodpovědným osobám, zaarchivovány, zdokumentovány, prozkoumány a odstraněny s ohledem na příčiny, které je vyvolaly tak, aby mohlo být dosaženo nápravy.
Reakce na nové bezpečnostní potřeby
Jak reagovat? Otázky, které si v této souvislosti musíme klást: 1. Jak reagovat na změny charakteru bezpečnostních hrozeb? 2. Jak se změny promítnou do praxe bezpečnosti informací? 3. Jaký je poměr potenciálu starých osvědčených a nových nástrojů?
Nové priority ve výstavbě bezpečnostního systému organizace Bezpečnostní systém ochrany informací organizace Lidé Bezpečnost technologie Organizační a režimová opatření Management Výkonní zaměstnanci Ochrana prostředí Ochrana samotných IT Bezpečnostní vzdělávání Kontrolní mechanismy Bezpečnostní management HW SW
10 Bezpečností informační politika organizace Porušení bezpečnosti stroje způsobí uživatel buď úmyslně, nebo svou nevědomostí, nedbalostí či neznalostí. Důsledky narušení bezpečnosti stroje mohou být různé s různým stupněm závažnosti - využití napadeného počítače k dalším útokům jako přestupní stanice, získání důvěrných dat a jejich zneužití, úmyslné poškození získaných dat, zneužití identity.
11 Bezpečností informační politika organizace Z hlediska bezpečnosti informací se v typické organizaci mezi nejrizikovější faktory řadí personál organizace, obzvláště její management. Statistiky uvádějí, že padesát až osmdesát procent ztrát informací je způsobeno managementem vlastní organizace. Důvody jsou prosté: management musí mít zajištěn nejširší přístup ke zpracovávaným informacím.
12 Bezpečností informační politika organizace To platí zejména pro rizika porušení důvěrnosti informací, což je ale jen jedno z hledisek informační bezpečnosti. Personál může být také zranitelný kvůli hrozbám tzv. sociálního inženýrství, kdy útočník prostřednictvím promyšlené manipulace zneužívá přirozené důvěřivosti člověka. V některých typech organizací mohou být také vysoká rizika v oblasti hardwarových prostředků (zastaralé UPS, absence firewallu ).
Bezpečností informační politika organizace Bezpečnostní politika musí být kontinuálně aktualizována v souladu se změnami prostředí a zahrnuje: politiku přípustného užívání aktiv, objasnění způsobu uskutečňování a vynucování bezpečnostních opatření, specifikaci školení svých zaměstnanců v oblasti ochrany aktiv, proceduru vyhodnocení účinnosti politiky vedoucí k provedení její inovace.
14 Bezpečností informační politika organizace Rozsah a struktura řízení informační bezpečnosti jsou závislé na řadě objektivních skutečností: - velikosti organizace, - geografickém umístění, - rozsahu a významu provozovaných IC Systémů, - použité informační a komunikační technologii - apod.
15 Bezpečností informační politika organizace Toto je hlavní důvod, proč se aplikuje nejlepší praxe (normy, standardy a doporučení) pro zavedení informační bezpečnosti a nedá se použít univerzální šablona. Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik.
16 Bezpečností informační politika organizace Z důvodu zajištění dostatečné efektivity informační bezpečnosti se musí jednat o řízený proces vyvážený ve všech oblastech, který má podporu vedení a respektuje kulturu organizace. Každý uživatel informačního a komunikačního systému musí být seznámen s organizací a pravidly informační bezpečnosti (se směrnicemi), a aby pochopil účel bezpečnostních opatření, je nutná prevence - soustavná osvěta a vzdělávání v oblasti informační bezpečnosti.
Obecné typy bezpečnostní politiky promiskuitní bezpečnostní politika, není ani vlastně bezpečnostní politikou, ve svých pravidlech nikoho neomezuje a povoluje subjektům realizovat vše, i co by neměli dělat, liberální - ve svých pravidlech umožňuje realizovat vše, až na výjimky, které jsou explicitně vyjmenované, opatrná - ve svých pravidlech zakazuje vše s výjimkou toho, co je explicitně povoleno (viz OKIS UO), paranoidní - zakazuje dělat vše, co je potenciálně nebezpečné, tedy i to co by nemuselo být explicitně zakázáno.
18 ISMS - Bezpečností informační politika organizace V poslední době se stále častěji hovoří o systému managementu informační bezpečnosti (tzv. ISMS) podle norem ISO/IEC 27001 a 27002. Tak lze doložit správný postup při vypracování plánů, které navazují a analýzu rizik provedenou dle standardů, které tyto normy upravují. ISMS (anglicky: information security management system) je tedy část celkového systému managementu organizace, která se orientuje na řízení rizik v oblasti bezpečnosti informací.
19 ISMS - Bezpečností informační politika organizace Účelem ISMS je efektivní a účinná bezpečná správa duševního majetku, a to jak vlastního, tak i majetku, který organizaci svěřuje občan (tj. informací). Informace též představují aktiva - určitou hodnotu, se kterou stojí a padá důvěra občana, a proto je nutno ji chránit. Aby ochrana ohodnocených informací byla přiměřená, je třeba dále pojmenovat a ohodnotit hrozby, které na aktiva působí, zranitelnosti (slabiny našich aktiv) a stanovit výslednou míru rizik.
20 ISMS - Bezpečností informační politika organizace + Chování uživatele IS - operátora
21 Doporučení pro řízení informační bezpečnosti Bezpečnostní politika pokrývá tyto oblasti informační bezpečnosti: a) Organizaci a řízení bezpečnosti; b) Řízení aktiv; c) Personální bezpečnost; d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j) Soulad s požadavky. k) Chování uživatele IS - operátora
Rozdělení a provázanost rolí 22
Rozdělení a provázanost rolí Podle předchozího schéma jsou realizační týmy s rolemi: Manažer Administrátor Projektant Operátor - z nich sestavíte realizační tým a budete řešit projekt s názvem: Případová studie bezpečnosti informačních systémů
Rozdělení a provázanost rolí Manažer ISMS jeho úloha Postup vytvoření a zavedení ISMS Stanovení rozsahu systému, zpracování analýzy rizik, formulace bezpečnostní politiky, formulace bezpečnostních standardů, monitorování a hodnocení ISMS, monitorování systému, přezkoumání řízení, řešení nápravných a preventivních opatření
Rozdělení a provázanost rolí Administrátor ISMS jeho úloha Popis Informačního systému a jeho struktura (řízení) technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Práva a povinnosti uživatelů informačních systémů uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti správců informačních systémů oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Zabezpečení a ochrana informačních systémů organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření.
Rozdělení a provázanost rolí Projektant ISMS jeho úloha Realizovat hlavní požadavky na ISMS Zpřístupnit aplikaci přes jednotné - intuitivně ovládané - uživatelské prostředí: Přístupné přes webový prohlížeč, bez zvláštních nároků na klientské stanice Podporující vizualizaci prostorových dat Vytvořit flexibilní procesně orientovaný systém s automatizovanou podporou postupů (workflow) Pracovní postupy jednoznačně budou určeny typem a způsobem nakládání s daty Možnost snadné modifikace a rozšiřování workflow Systém integrovat s dalšími spolupracujícími systémy poskytujícími služby v oblasti: Správy dokumentů Spolupracujících registrů Navrhnout a realizovat systém: Centralizovaný, vysoce dostupný, bezpečný Podporující minimálně 50 uživatelů z ústředí a územních a odloučených pracovišť lokalizovaných po celé ČR Zjemnění a finalizace návrhu pomocí prototypů Aktivní účast klíčových uživatelů při návrhu systému a jeho ověřování Rozsáhlé systémově integrační a zátěžové testování Příprava uživatelské dokumentace - Standardní uživatelské manuály, vzorové příklady, metodické postupy a FAQ Rozsáhlé školení Několik kol plné migrace a ověření její správnosti Příprava na produktivní provoz a jeho zahájení Detailní plán těsné zapojení expertních uživatelů a zástupců vedení do jeho tvorby a implementace v organizaci
Rozdělení a provázanost rolí Uživatel ISMS jeho úloha Realizovat hlavní požadavky na ISMS Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů operátorů. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové )
Faktory úspěchu a rizika projektu Závěr - Rizika projektu Vysoká komplexita řešení ISMS se dotýká většiny klíčových procesů a tyto procesy jsou relativně složité Vysoké nároky na analýzu a testování Úzká provázanost s dalšími projekty IS Úspěch ISMS je podmíněn úspěchem a provázaností dalších IS a naopak Závislost na náročných úpravách rozhraní na straně navazujících IS Většinou vysoké nároky na řízení změny při přechodu ze stávajícího zpracování na nový systém Široká skupina uživatelů s různým stupněm schopnosti se s novým systémem seznámit před uvedením do provozu a přizpůsobit mu své pracovní postupy
29 Úkoly do samostudia Charakterizovat bezpečnostní incidenty, jejich význam a řešení Objasnit bezpečností informační politiku organizace Uvést doporučení pro řízení informační bezpečnosti z pohledu role