Případová studie. Zavedení ISMS dle standardu Mastercard

Podobné dokumenty
Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

V Brně dne 10. a

Řízení informační bezpečnosti a veřejná správa

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

ČESKÁ TECHNICKÁ NORMA

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

V Brně dne a

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

1. Politika integrovaného systému řízení

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ISO 9001 : Certifikační praxe po velké revizi

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

EMS - Systém environmentálního managementu. Jiří Vavřínek CENIA

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

Implementace systému ISMS

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Řízení rizik. RNDr. Igor Čermák, CSc.

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Management informační bezpečnosti

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Státní pokladna. Centrum sdílených služeb

Sjednocení dohledových systémů a CMDB

ISO/IEC certifikace v ČR. Miroslav Sedláček

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Metodika certifikace zařízení OIS

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

Hodnocení rizik v resortu Ministerstva obrany

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Příklad I.vrstvy integrované dokumentace

ISO 9001 a ISO aplikace na pracovištích sterilizace stručný přehled. Ing. Lenka Žďárská

Jan Hřídel Regional Sales Manager - Public Administration

Zkušenosti z naplňování ZKB: Audit shody se ZKB. Ing. Martin Konečný,

Cesta k zavedení managementu společenské odpovědnosti, aneb jak na to praxe Krajského úřadu Jihomoravského kraje

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Přístupy k řešení a zavádění spisové služby

Cena za inovaci v interním auditu. Dynamické řízení rizik skrze integrovaný systém kontrolního prostředí 1

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

Kybernetická bezpečnost

Semestrální práce z předmětu 4IT421 Téma: CMMI-DEV v.1.3 PA Project Monitoring and Control

Zkušenosti z nasazení a provozu systémů SIEM

Zkouška ITIL Foundation

INFORMACE O ZAVEDENÉM SYSTÉMU KVALITY dle normy ČSN EN ISO 9001:2009 ve společnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

OCTAVE ÚVOD DO METODIKY OCTAVE

Bezpečnostní politika společnosti synlab czech s.r.o.

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Gradua-CEGOS, s.r.o. člen skupiny Cegos MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI

Výukový materiál zpracovaný v rámci projektu Výuka moderně

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Bezpečnostní politika společnosti synlab czech s.r.o.

O2 a jeho komplexní řešení pro nařízení GDPR

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

Praktické zkušenosti s certifikací na ISO/IEC 20000

10. setkání interních auditorů v oblasti průmyslu

Zákon o kybernetické bezpečnosti

Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Systém managementu jakosti ISO 9001

1. ÚČEL ROZSAH PLATNOSTI POJMY A ZKRATKY POPIS... 3

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Posuzování na základě rizika

Z K B V P R O S T Ř E D Í

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Systém managementu bezpečnosti informací podle ISO/IEC jako prevence Zákona o kybernetické bezpečnosti

BEZPEČNOSTI INFORMACÍ

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Strategie VŠTE

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Ing. Miroslav Tůma, Ph.D. Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Bezpečnostní opatření a audit shody se ZKB. Ing. Martin Konečný,

Aplikace modelu CAF 2006 za podpory procesního řízení. Ing. Vlastimil Pecka Ing. Zdeněk Havelka, PhD.

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Příloha Vyhlášky č.9/2011

Risk management a Interní audit

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

MANAŽER EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.8/2007

Hodnocení kvality IA. Národní konference ČIIA Jak na kvalitu v IA říjen Josef Medek, CIA, CISA

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Metody řízení kvality: ISO 9001

Využití EPM 2013 pro podporu řízení projektů - Případová studie

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

MFF UK Praha, 29. duben 2008

Zdravotnické laboratoře. MUDr. Marcela Šimečková

WS PŘÍKLADY DOBRÉ PRAXE

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Transkript:

Případová studie Případová studie Zavedení ISMS dle standardu Mastercard

Případová studie Verze 1.0 Obsah Zavedení ISMS dle standardu Mastercard Výchozí stav Zavedení ISMS dle standardu Mastercard Výchozí stav 1 Obchodní cíle 2 Řešení 3 Přínosy řešení 4 Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice. Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a souvisejících produktů jako je bezpečná komunikace a autentizace splňující nejvyšší bezpečnostní standardy. Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v soukromých firmách či ve státní správě. Základem dodávaných řešení je vlastní vývoj aplikačního SW vybavení a personalizace karet. Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný. Tento stav generoval následující problematické oblasti: 1. Pracné a nejednotné řízení informační bezpečnosti s různými nároky v jednotlivých útvarech Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice. 2. Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na problematiku informační bezpečnosti 3. Malá informovanost o bezpečnostních incidentech v jednotlivých útvarech 4. Komplikované získávání podkladů o stavu informační bezpečnosti 5. Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti, neexistence role manažera pro informační bezpečnost 1

Obchodní cíle Vzhledem k tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních karet, stal se tento požadavek iniciátorem naplnění strategického cíle společnosti, a to implementacee systému řízení informační bezpečnosti (ISMS) v souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost. Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementací ISMS dle ISO/IEC 27001. Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení: 1. Proniknutí na nové trhy a rozšíření portfolia sofistikovaných řešení 2. Integrace a sjednocení současných bezpečnostních postupů a politik do jednoho systému řízení 3. Definování centrální politiky ISMS 4. Nastavení pravidel a postupů dle požadavků Mastercard 5. Zavedení systémového přístupu k managementu rizik založenému na dokumentovaném postupu 6. Zlepšení logické a fyzické bezpečnosti personalizace Řešení Řešení implementace ISMS vycházelo z požadavku klienta na dosažení shody s požadavky normy ISO/IEC 27001 a standardů Mastercard pro logickou bezpečnost a dosažení certifikace Mastercard tak, aby bylo možno v 10/2012 zahájit výrobu bankovních karet. Implementace a následná certifikace ISMS dle požadavků Mastercard je, v mnoha ohledech, mnohem náročnější, než běžná implementace ISMS dle ISO/IEC 27001. Z pohledu implementace procesního a systémovéhoo řízení je postup obou implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem závaznější v oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v příloze A normy ISO/IEC 27001. Vzhledem k tomu, že v mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou stranu nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen z pohledu implementace většinou technologických opatření, ale i z pohledu větších požadavků na potřebu lidských zdrojů a definování různých bezpečnostních rolí a jejich zastupitelnosti. Práce řešitelského týmu, který byl složen z konzultantů na procesní řízení ISMS, specialisty na management rizik a expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRINCE2 a s pomocí podpůrné aplikace MS Project. Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS. 2

Implementace byla rozdělena do devíti fází: 1. Fáze č. 1 Provedení úvodní analýzy ISMS, tj. hledání silných a slabých stránek (SWOT) ve stávajícím systému informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje. 2. Fáze č. 2 Stanovení rozsahu a struktury ISMS. Hned na začátku implementace je nutné stanovit rozsah a strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem pro stanovení rozsahu a struktury ISMS byla úvodní analýza (situační audit) ISMS. Dalším zdrojem pro stanovení rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z hlediska informační bezpečnosti. V této fázi konzultanti Versa Systems společně s pracovníky Organizace vymezili předmět (rozsah) a hranice systému informační bezpečnosti. 3. Fáze č. 3 Stanovení bezpečnostní politiky (Politika ISMS). V této fázi byla stanovena politika ISMS tak, aby pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z výsledků úvodní analýzy, která je prakticky nezbytným podkladem pro definování základních principů v bezpečnostní politice. 4. Fáze č. 4 Zavedení systematického řízení rizik (management rizik), tj. zpracování metodiky pro analýzu, hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v rozsahu ISMS. Součástí metodiky bylo také stanovení postupuu pro definování akceptovatelné/neakceptovatelné úrovně rizika. V této fázi bylo nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k daným aktivům se identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých hrozeb. Nakonec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a zkušeného moderátora, přičemž se použila metoda WHAT IF. Výsledky analýzy rizik byly klíčové pro další postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich eliminaci. 5. Fáze č. 5 Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních opatření pro eliminaci neakceptovatelných rizik. Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z této a předchozí fáze byla podrobná zpráva s popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla prezentována vedení organizace. Zástupci vedení spolu s pracovníky bezpečnostního výboru vybrali pro jednotlivá neakceptovatelná rizika nejvhodnější řešení. Při výběru bezpečnostních opatření vycházeli především z následujících priorit: vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika) vyhnutí se rizikům přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny) splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů plánovaný rozvoj aktivit organizace a jejího ISMS uplatnění best practices 6. Fáze č. 6 - Implementace a provoz ISMS. Implementace bezpečnostních opatření a jejich testování. Jednalo se o nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k vybraným opatřením pro snižování rizik vytvořit plány implementace těchto opatření, tzv. Programy pro zvládání rizik (RTP = Risk Treatment Plans). Takto sestavené plány bylo nutno realizovat v praxi a postupně jednotlivá opatření uvést do provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády, bezpečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a záznamy, které pokrývaly celý životní cyklus systému logické a fyzické bezpečnosti dle požadavků Mastercard. 3

7. Stěžejní dokumentace Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro transakční systém, pro systém personalizace a pro systém KSM (systém generování šifrovacích klíčů) a další dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené dokumentace byly i postupy pro havarijní plánování a obnovy funkčnosti a popis procesu managementu incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní testování, včetně postupů pro testování zranitelností a penetračních testů. V této fázi bylo nutné zejména: alokovat zdroje lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS připravit programy vzdělávání a zvyšování bezpečnostního povědomí zaměstnanců implementovat zvolená opatření prostřednictvím programů řízení rizik implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační bezpečnosti implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti ISMS implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans) 8. Fáze č. 7 Monitorování a přezkoumávání ISMS. Pro správnou funkci ISMS dle Mastercard bylo nutné zahájit co nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a informací z provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k prezentaci při auditu Mastercard. Základní činnostii monitorování a měření, které bylo nutné v této fázi provádět, byly následující: pravidelné ověřování ISMS z hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a s ohledem na výsledky bezpečnostních auditů, incidentů, příp. podnětů zákazníků a jiných stran pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s ohledem na změny v organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí atd. realizovat interní systémový audit ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a úrovně zavedení ISMS provést přezkoumávání ISMS vedením zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a penetračních testů vést, zaznamenávat a vyhodnocovat auditní logy, záznamy o činnostech administrátorů atd. Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv. Plán bezpečnostních kontrol a údržby. Ve finální verzi tento plán obsahoval celkem 84 aktivit, které je nutné provádět v různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně) V rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí schváleného testovacího nástroje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se musí provádět kvartálně. 9. Fáze č. 8 Certifikační proces Mastercard. K této fázi se přistoupilo po cca 12 měsících trvání projektu. Certifikace dle požadavků Mastercard je podobný proces jako u certifikace dle ISO/IEC 27001 s tím rozdílem, že trvá nepoměrně déle a je také mnohem důkladnější. Vzhledem k tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na technologie a systém ISMS také značné požadavky na kvalifikovaný a jazykově vybavený personál organizace. 4

Konzultanti Versa Systems byli v této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu pracovníků organizace, samozřejmě v mezích přípustných pravidel. Certifikační audit proběhl úspěšně a v současné době má organizace vydaný certifikát dokladující shodu s kritérii Mastercard a její jméno je zaneseno do schválených dodavatelů Mastercard. 10. Fáze č. 9 Údržba a zlepšování ISMS. Je to fáze udržování a dalšího rozvoje implementované a certifikovaného systému. V současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému ISMS v Organizaci. Přínosy řešení Zákazník má implementovaný a certifikovaný ISMS dle požadavků Mastercard. Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor. Zavedením ISMS se nastavil systémový a procesní přístup k řízení informační bezpečnosti s jasně definovanými odpovědnostmi za jednotlivé oblasti ISMS, s jasně popsanými postupy a pravidly v ISMS. Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení důvěrnosti, integrity a dostupnosti informačních aktiv v Organizaci. Zavedeným a certifikovaným ISMS se Organizace stává kvalifikovaným dodavatelem v oblasti platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v bankovnictví. Organizace je díky certifikaci Mastercard lépe vnímána v bankovním sektoru. Zavedení ISMS je i ekonomicky výhodné, neboť náklady se postupně vrátí zejména cestou minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v dodávkách produktů, které podléhají certifikaci Mastercard. 5

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář