Koncepce informační bezpečnosti Bezpečnost informačních systémů Luděk Mandok CISA, CRISC
Program Znáte povinnosti spojené s plněním zákonných požadavků? Víte, jak vyhovět zákonným požadavkům na ochranu informací? Víte, jak splnit zákonné požadavky na dlouhodobé řízení ISVS? Víte, jak dosáhnout atestace/certifikace? Znáte normy ISO řady 2700x? Víte, jakou dokumentaci vyžaduje ČSN ISO/IEC 27001? 2
Úvodem něco o informační bezpečnosti Tři základní požadavky na zajištění: důvěrnosti dostupnosti integrity rozšířeny o: autentizaci odpovědnost 3
Čtyři základní oblasti bezpečnosti Netechnická bezpečnost: Administrativní/organizační bezpečnost systém a hierarchie řízení, bezpečnostní struktura organizace, dokumentace... Personální bezpečnost nástup, průběh a ukončení PP, školení a vzdělávání, dohody o mlčenlivosti, odpovědnosti... Fyzická/objektová bezpečnost ochrana perimetru, fyzického vstupu... Technická/technologická bezpečnost počítačová a komunikační bezpečnost HW, SW, programové vybavení, aplikace, databáze, OS, komunikace, počítačová síť... 4
Zákony 5
Jaké jsou povinnosti ze zákona? Ochrana dat včetně osobních údajů Ochrana utajovaných informací Svobodný přístup k povinně zveřejňovaným informacím Funkčnost e-podatelny, resp. Spisové služby a komunikace prostřednictvím datových schránek Ochrana a dodržování autorských práv Dlouhodobé řízení informačních systémů veřejné správy (ISVS) Propojení agendových informačních systémů (se základními registry) 6
Ochrana osobních údajů Zákon č. 101/2000 Sb., o ochraně osobních údajů Oznamovací povinnost Povinnost ochrany OÚ a citlivých OÚ správcem /zpracovatelem Informování a poučení subjektů při shromažďování OÚ 7
Řešení pro ochranu osobních údajů: Implementace opatření k ochraně důvěrných (nejen osobních údajů) Audit výskytu osobních údajů/plnění povinností Analýza rizik Opatření pro zabezpečení dat: šifrování, elektronický podpis, bezpečný tisk, zálohování, bezpečná skartace Zpracování předpisové základny (politika, směrnice, havarijní plán) 8
Ochrana utajovaných informací Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti Nařízení vlády č. 522/2005 Sb., kterým se stanoví seznam utajovaných informací, ve znění nařízení vlády č. 240/2008 Sb. Povinnosti ochrany utajovaných dat dle klasifikace NBÚ: Vyhrazené, Důvěrné, Tajné a Přísně tajné 9
Seznamy certifikovaných technických prostředků: http://www.nbu.cz/cs/informacnicentrum/seznamy/seznam-certifikovanych-technickychprostredku/ Elektrická zámková zařízení a systémy pro kontrolu vstupů Mechanické zábranné prostředky Speciální televizní systémy Zařízení elektrické požární signalizace Zařízení elektrické zabezpečovací signalizace a tísňové systémy Zařízení fyzického ničení nosičů informací Zařízení proti pasivnímu a aktivnímu odposlechu utajované informace Zařízení sloužící k vyhledávání nebezpečných látek nebo předmětů 10
Řešení pro přípravu na prověrku systému: Analýza rizik IS Implementace opatření k ochraně utajovaných informací ze zákona bezpečnost informačních systémů bezpečnost komunikačních systémů objektová bezpečnost personální bezpečnost administrativní bezpečnost kryptografická ochrana Zpracování požadované dokumentace, vč. testů 11
Svobodný přístup k informacím Zákon č. 106/1999 Sb., o svobodném přístupu k informacím Vyhláška č. 442/2006 Sb., kterou se stanoví struktura informací zveřejňovaných o povinném subjektu způsobem umožňujícím dálkový přístup Povinně zveřejňované informace dle 5 zákona a dále: právní předpisy vydávané v rámci jejich působnosti seznamy hlavních dokumentů, zejména koncepční, strategické a programové povahy registry, evidence, seznamy nebo rejstříky obsahující informace, které jsou na základě zvláštního zákona každému přístupné, zveřejňovat v přehledné formě způsobem umožňujícím i dálkový přístup 12
5 zákona: důvod a způsob založení povinného subjektu, podmínky a principy činnosti organizační strukturu, místo a způsob, jak získat informace, kde lze podat žádost, stížnost, návrh, podnět či jiné dožádání místo, lhůtu a způsob, kde lze podat opravný prostředek proti rozhodnutím povinného subjektu o právech a povinnostech osob postup při vyřizování všech žádostí, návrhů i jiných dožádání, včetně příslušných lhůt přehled nejdůležitějších předpisů, podle nichž povinný subjekt zejména jedná a rozhoduje, včetně informace, kde a kdy jsou tyto předpisy poskytnuty k nahlédnutí sazebník úhrad za poskytování informací výroční zprávu za předcházející kalendářní rok o své činnosti v oblasti poskytování informací ( 18) výhradní licence poskytnuté podle 14a odst. 4 usnesení nadřízeného orgánu o výši úhrad vydaná podle 16a odst. 7 adresu elektronické podatelny 13
Řešení pro zveřejňování údajů: Audit povinně zveřejňovaných údajů (OVS) Návrh a implementace DMS a publikačních nástrojů (www portály, správa dokumentů) Návrh a implementace prostředků pro ochranu zveřejňovaných údajů před neoprávněným pozměněním, zničením, znepřístupněním... Penetrační testy 14
Elektronický podpis Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 127/2005 Sb., o elektronických komunikacích Vyhláška 496/2004 Sb., o elektronických podatelnách Povinnosti: ověření platnosti a náležitostí uznávaného elektronického podpisu kontrola výskytu škodlivého kódu v datové zprávě 15
Řešení pro elektronický podpis: Analýza rizik elektronické komunikace Návrh a implementace PKI Návrh a implementace antivirové/antispamové ochrany Zpracování dokumentace (CP, CPS, příručky pro uživatele) 16
Spisová služba, archivnictví Zákon č. 499/2004 Sb., o archivnictví a spisové službě Vyhláška č. 645/2004 Sb., kterou se provádějí některá ustanovení zákona o archivnictví a spisové službě Povinně spisová služba v elektronické podobě (dle Národního standardu) do 1. 7. 2012 17
Řešení pro spisovou službu: Realizace bezpečnostního auditu Návrh a implementace opatření: spisová služba v souladu s NS CA PKI (certifikáty k elektronickému podpisu, příp. autentizaci uživatelů) zpracování dokumentace 18
egovernment Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů požadavky a povinnosti při provádění elektronických úkonů OVM a při práci s DS a ISDS Povinnosti: využívat datovou schránku způsobem, který neohrožuje bezpečnost ISDS uvědomit neprodleně MV o tom, že hrozí nebezpečí zneužití datové schránky zacházet s přístupovými údaji tak, aby nemohlo dojít k jejich zneužití 19
Řešení pro egovernment: Bezpečnostní audit IS + ochrany dat Zpracování dokumentace (vč. havarijních plánů) Konektor do datové schránky 20
Autorská práva Zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským Usnesení vlády č. 58 z 13. 1. 2003 o kontrole a evidenci počítačových programů Usnesení vlády č. 624 z 20. 6. 2001 o pravidlech, zásadách a způsobu zabezpečování kontroly užívání počítačových programů Povinnost: používat pouze legální SW v souladu s licenčním ujednáním Odpovědnost: za nelegální SW nainstalovaný na počítačích firmy nese fyzická osoba statutární orgán organizace 21
Řešení pro dodržování autorských práv: Kontrola legálnosti používaného SW: Realizace SW auditu Implementace nástrojů pro SW/HW audit Opatření na ochranu výkonu autorských práv v pracovních smlouvách a dokumentaci 22
Informační systémy veřejné správy (ISVS) Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (novelizován Zákonem č. 81/2006 Sb.): např.: AIS, systém datových schránek, e-podatelna, spisová služba atd. Vyhláška č. 529/2006 Sb., o dlouhodobém řízení ISVS o požadavcích na strukturu a obsah informační koncepce (IK) a provozní dokumentace, a na řízení bezpečnosti a kvality ISVS Povinnosti OVS správce ISVS: zajistit atestaci dlouhodobého řízení ISVS do 1. 1. 2010 mít zpracovánu informační koncepci a provozní dokumentaci do 1. 1. 2009 23
Řešení pro dlouhodobé řízení ISVS: 24
Základní registry Zákon č. 111/2009 Sb., Zákon o základních registrech: registr obyvatel (MV) registr osob (ČSÚ) registr územní identifikace, adres a nemovitostí (ČÚZK) registr práv a povinností (MV) + ORG (ÚOOÚ) Povinnosti: konkrétní lhůty týkající se poskytování potřebných údajů oznamování výkonu své působnosti v agendě uvedení AIS do souladu s požadavky zákona 25
Normy 26
Jak na certifikace/atestace? Atest dlouhodobého řízení ISVS povinně předkládaná dokumentace k atestaci informační koncepce provozní dokumentace Certifikace dle normy (ISO) certifikační orgán na základě splnění požadavků normy ISMS (informační bezpečnost) = řada norem ISO 2700x 27
Normy ISO k informační bezpečnosti 28
Normy řady 2700x ISO 27001 - ISMS Požadavky (2006) požadavky, podle kterých jsou systémy certifikovány: systém řízení (managementu) bezpečnosti informací odpovědnost vedení interní audity ISMS zlepšování ISMS přílohy cíle opatření a jednotlivá bezp. opatření, vztah mezi ISO 9001, 14001 a 27002) 29
Normy řady 2700x ISO 27002 - ISMS Soubor postupů (2006) soubor postupů pro řízení informační bezpečnosti: hodnocení a zvládání rizik bezpečnostní politika organizace bezpečnosti informací řízení aktiv bezpečnost lidských zdrojů fyzická bezpečnost a bezpečnost prostředí řízení komunikací a řízení provozu řízení přístupu akvizice, vývoj a údržba informačních systémů zvládání bezpečnostních incidentů řízení kontinuity činností organizace soulad s požadavky 30
Co s tím vším? 31
ISMS Systém řízení informační bezpečnosti Příprava na certifikaci: I. Procesní shoda II. III. IV. audit zaměřený na prověření shody interních procesů s požadavky ISMS Technická shoda technicky zaměřený audit s bezpečnostními požadavky, realizace penetračních testů (externí - zvenčí, interní), Řízení rizik IS metodika analýzy rizik, identifikace aktiv, katalog hrozeb, identifikace a ohodnocení rizik, akceptace zbytkového rizika Plán bezpečnosti zpracování harmonogramu realizace přijatých bezpečnostních opatření - implementace bezpečnosti do praxe) 32
... ISMS pokračování... V. Bezpečnostní dokumentace VI. bezpečnostní politika ICT bezpečnostní směrnice (bezp. manažer, správce IS) směrnice příručky, postupy a manuály (pro správu IT a uživatele) havarijní plán, plán obnovy a plán zajištění kontinuity Příprava na ISMS prohlášení o aplikovatelnosti plány přezkoumání shody záznamy o přezkoumání (vč. zprávy z analýzy rizik, penetračních testů atd.) VII. Bezpečnostní školení zajištění úvodního bezpečnostního školení a průběžného vzdělávání zaměstnanců v informační bezpečnosti 33
34 I. Procesní shoda Splnění zákonných požadavků? vypracujeme pro vás detailní přehled zákonných povinností zpracujeme informační koncepci a provozní dokumentaci k ISVS dle požadavků zákona, resp. vyhlášky (vč. bezpečnostní politiky, směrnic a příruček) poskytneme vám metodické vedení, podporu a zkušenosti při řízení rizik, tvorbě plánů a metrik pro měření bezpečnosti, havarijních plánů (vč. kontinuity a obnovy) Splnění požadavků na ICT a ochranu dat? zpracujeme dlouhodobou informační strategii, včetně aktualizace/tvorby veškeré potřebné dokumentace vytvoříme bezpečnostní plán, navrhneme řešení a zajistíme implementaci opatření ve všech oblastech informační bezpečnosti zajistíme školení a vzdělávání v ochraně ICT a dat
II. Technická shoda Technická (počítačová a komunikační) oblast bezpečnosti: řízení komunikací a řízení provozu řízení přístupu HW, SW, OS, technika a technologie: Důvěrnost: šifrování přístupová práva Integrita: šifrování, elektronický podpis přístupová práva Dostupnost: High Availability/Load Balancing Business Continuity Management (BCM), Disaster Recovery Planning (DRP) Zálohování 35
II. Technická shoda (...pokračování) optimalizace bezpečnostní infrastruktury návrh a doporučení vhodných a účinných opatření ochrana informací v elektronické podobě vhodný způsob šifrování citlivých informací bezpečný tisk citlivých informací antispamová ochrana elektronické pošty ochrana poštovních zpráv (e-mailů s citlivým obsahem) možnost využití PKI (Public Key Infrastructure) ochrana sítě před nežádoucím přístupem zvenčí i zevnitř (IDS, IPS) ochrana před škodlivými kódy a programy kontrola fyzického přístupu k systémům a zařízením bezpečnost mobilních zařízení (vč. nosičů dat) bezpečná likvidace dat v elektronické podobě 36
III. Řízení rizik IS Analýza rizik, audit shody s požadavky analýza rizik IS za použití vhodné metodiky identifikace hrozeb, zranitelností a rizik odhad pravděpodobnosti a dopadů na systém a data stanovení míry jednotlivých rizik otestování možnosti průniku do počítačové sítě zvenčí nebo zevnitř skenování systémů návrhy a doporučení opatření eliminujících bezpečnostní rizika Realizace certifikovanými odborníky (CISA, etický hacker ) 37
IV. Plán bezpečnosti Návrh komplexního projektu řízení bezpečnosti informací nebo vybraných částí Vytvoření harmonogramu implementace jednotlivých opatření plán bezpečnosti 38
V. Bezpečnostní dokumentace Strategie/koncepce řízení bezpečnosti informací a IS Metodika, plány a metriky pro měření bezpečnosti Bezpečnostní politika Bezpečnostní směrnice Příručky a postupy Havarijní plán, plán zajištění kontinuity a plán obnovy 39
VI. Příprava na ISMS Schválení plánu bezpečnosti vč. přidělení kapacit, lhůt, odpovědností, financí... Implementace opatření Vybudování systému řízení bezpečnosti informací (prohlášení vedení, ustavení ISMS, rolí a odpovědností) Příprava na předcertifikační audit ISMS dle normy ISO 27001 (metodika, realizace) Prohlášení o aplikovatelnosti Plány ověřování shody (přezkoumání) 40
VII. Bezpečnostní školení Rozsah požadovaného školení: jednorázové školení opakované kurzy průběžné vzdělávání Specifikace dle požadavků: trénink pro management školení pro uživatele speciální kurzy pro správce 41
Resumé: 100% bezpečnost neexistuje, lze ji však mít pod kontrolou. 42
Luděk Mandok CISA, CRISC IT Security konzultant 724 289 323 Ludek.mandok@autocont.cz Děkuji Vám za pozornost.
Zapomenutý server 44
Historie malware 1949 Cellular automata 1959 Core Wars války o jádro 1960 Králičí (Rabbit) programy 1971 První červ - Creeper 1978 červ Wampire 1982 virus pro Apple s efekty Elk Cloner 1985 Trojský kůň - EGABTR 1986 Brain první virus pro PC 1987 červ Christmas tree (Vánoční stromeček) 1988 Morrisův červ (někdy označován za první internetový červ) 45
Historie malware 2. 1989 AIDS - trojský kůň vyděrač 1991 Tequila první polymorfní virus 1992 Michelangelo panika 1994 Good Times první emailem šířený hoax 1995 Concept první makro virus 1999 virusy v emailech Mellisa, Bubbleboy 1999/2000 Y2K panika 2000 DoS útoky a I love You 2001 virusy a červi se šíří prostřednictvím webových stránek a síťových sdílených adresářů Nimda a Sircam 46
Historie malware 3. 2003 první zombie (červ Sobig) a rybaření/phishing (červ Mimail) 2004 IRC boty 2005 nastupují rootkity 2006 vyděračský software se začíná šířit a dostává jméno Ransomware Zippo a Archiveus 2008 falešný antivirový program - AntiVirus 2008. 2009 Conficker jako mediální hvězda, nová vlna polymorfů 2010 červ Stuxnet 47