AGENDA Vymezení procesu informační bezpečnosti Životní cyklus ISMS Požadavky na dokumentaci Požadavky na záznamy Požadavky a principy ISMS Gabriel Lukáč gabriel.lukac@nexa.cz
Vymezení procesu řízení informační bezpečnosti Je kontinuální proces, v průběhu kterého dochází k: vyhodnocování rizik, návrhu a realizaci opatření k jejich eliminaci kontrole aktuálnosti rizik a dodržování opatření k jejich eliminaci ve stále měnícím se prostředí!!! Lze jen velmi obtížně vyčíslit přimou návratnost investic Je téma, které se dostává do popředí díky stále větší informatizaci a rychlosti obchodních procesů
Vymezení procesu řízení informační bezpečnosti Východiska pro budování informační bezpečnosti Ochota managementu se infor. bezp. zabývat a to kontinuálně! Vyčlenění potřebných vnitřních lidských zdrojů Ochota managementu investovat Připravenost spolupracovat s externími subjekty Připravenost managementu na možné změny, např. v interních procesech, org. struktuře,...
Vymezení procesu řízení informační bezpečnosti Legislativní základ Zákony: Obchodní zákoník obchodní tajemství Zákon o ochraně utaj. skut. Zákon o ochraně osobních údajů Zákon o el. podpisu Zákon o některýchslužbáchinformační společnosti Normy (ČSN ISO/IEC) 17799 IT Code of Practice for information Security Management (resp. BS 7799) 13335 pojetí a modely, řízení a plánování, techniky řízení bezpečnosti IT 15408 - Evaluation criteria for IT security Standardy ISVS
Vymezení procesu řízení informační bezpečnosti Legislativní základ Systém řízení informační bezpečnosti INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) Aplikované standardy BS-7799, resp. ISO 17799, apod.
Postup budování ISMS
Životní cyklus ISMS
Životní cyklus ISMS fáze přípravy Definice rozsahu systému Definice politiky řízení informační bezpečnosti Definice zodpovědností (bezp. Manager, fórum,...) Zpracování analýzy rizik Definice přístupu k rizikům Identifikace aktiv Identifikace hrozeb a zranitelností Vytvoření plánu eliminace/snížení/akceptace/převedení rizik Návrh protiopatření Prohlášení o aplikovatelností propojení oblastí normy část B. (controls) a dokumentace ISMS
Ukázka controls řešené normou BS 7799
Životní cyklus ISMS fáze zavedení Formulace pravidel pro řízení rizik Implementace jednotlivých protiopatření Archivace, přihlašování, klasifikace,... Stanovení zodpovědností osob, třetích stran,... Výcvik uživatelů Zavedení procedur pro reakce na bezpečnostní incidenty
Životní cyklus ISMS fáze monitorování a revize Realizace procedur pro reakce na incidenty a monitoring Pravidelná revize stavu a aktuálnosti opatření a jejich východisek Realizace interních auditů Pravidelné přezkoumání ISMS vedením organizace (trendy, stav, východiska,...) Tvorba záznamů souvisejících s monitorováním stavu ISMS
Životní cyklus ISMS fáze údržby a zlepšování Implementace návrhu na zlepšování ISMS Realizace nápravných a preventivních opatření Komunikace těchto opatření na zainteresované strany
Požadavky na dokumentaci I. Bezpečnostní politika Popis rozsahu ISMS Analýza rizik Plán řízení rizik Dokumentované postupy (směrnice) Záznamy (důkazy v libovolné formě) SOA statement of applicability prohlášení o aplikovatelnosti
Požadavky na dokumentaci II. Dokumenty musí být: Schváleny Pravidelně revidovány Dostupné v aktuální verzi Identifikovány externí / interní Distribuce dokumentace musí být řízena Neaktuální verze značeny / likvidovány
Požadavky na záznamy Musí existovat důkazy, že ISMS je zavedeno a dodržováno Jejich správa musí být řízena Zálohování, archivace, skartace,... Musí být dostupné, zvlášť při řešení bezpečnostních incidentů Příklady záznamů: Návštěvní kniha, provozní deníky, logy autorizačního procesu, apod..
AGENDA Fáze budování a klíčová témata při zavádění Certifikace Proces zavádění ISMS Gabriel Lukáč gabriel.lukac@nexa.cz
Kroky budování informační bezpečnosti 0. (Úvodní audit) 1. Cíle a strategie řešení bezpečnosti IS 2. Analýza rizik 3. Bezpečnostní politika 4. Bezpečnostní standardy ( controls ) 5. Zavádění řízení informační bezpečnosti 6. Monitoring a audit - záznamy 7. (Certifikace systému)
Cíle úvodního auditu Zmapování stavu Infrastruktury Politiky zabezpečení informací Infrastruktury zabezpečení informací Zabezpečení přístupu třetích stran Používání externích služeb (outsourcing) Odpovědnosti za majetek Klasifikace informací Zajištění odpovědnosti za práce a služby Znalostí uživatelů Reakce na události v zabezpečení informací a na nesprávné činnosti Výstupem je formalizovaná zpráva
Cíle a strategie řešení bezpečnosti IS - 1 Obecný cíl: Eliminovat přímé i nepřímé ztráty způsobené zneužitím, poškozením, zničením, nedostupností informací vytvoření uceleného, nákladově akceptovatelného systému řízení bezpečnosti informací. Definice cílů by měla zahrnovat i: Investiční možnosti Omezení z pohledu dislokace atd. Řešení aktuálních problémů (priority praxe) atd.
Cíle a strategie řešení bezpečnosti IS - 2 Vymezení hranic řešení: Typy informací Která data, které informace, do jaké hloubky Části IS Které aplikace či jiné části IS, které části infrastruktury, Organizační složky organizace Které útvary, lokality, Části okolí společnosti Dodavatelé, partneři, dceřiné společnosti,
Cíle a strategie řešení bezpečnosti IS - 3 Definice standardního projektu řešení informační bezpečnosti Co je výstupem projektu? Jaký je rozsah projektu? Co určuje úspěch projektu? Jaká jsou rizika projektu a jak je eliminovat? Jaký je rozpočet projektu? Harmonogram? Jak bude projekt řízen?
Analýza rizik - úvod Fungující (dlouhodobě) organizace musí rizika řídit, tj. zjišťovat jaké jsou a rozhodovat se zda: Riziko akceptovat (je-li přijatelné) Riziko snížit (ochranná opatření) Převést na někoho jiného (pojištění, outsourcing) Riziku se vyhnout (danou aktivitu nerealizovat) Nejdříve je nutno rizika znát tj. provést analýzu rizik
Analýza rizik zahrnuje: identifikaci aktiv identifikacihrozeb ohodnocení aktiv určení pravděpodobnosti uplatnění hrozby určení zranitelnosti každého aktiva hrozbou výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby Riziko = Hodnota aktiva * Pravděpodobnost uplatnění hrozby * Zranitelnost
Analýza rizik ilustrativní příklady Nakažení počítačovým virem = nefunkčnost X% PC: Prostoje jejich vyčíslení Ztráta zakázek v souvislostí s neschopnosti reagovat na požadavky vyčíslení dopadů Sankce neplnění smluv (např. JIT provozy) Nedostupnost systému (výpadek proudu, porucha HW, živelná katastrofa, ) Chyba uživatele (smazání modifikace dat, snížení produktivity,...) Ztráta dat (HW porucha, absence zálohování, ) Porušení důvěrnosti komunikace (email )
Analýza rizik - výstup Dokument (rozbor), odpovídající na otázky: Co se stane, když nebudou informace chráněny? Jak může být porušena bezpečnost informací? S jakou pravděpodobností se to stane? Vhodná je forma tabulky s váženým ohodnocením dopadů a případně podrobnějším rozborem Slouží ke stanovení následujících kroků, jejich priorit, odhadu rozpočtu atd. Významným podkladem je např. ISO 13335 Základní přístup Neformální přístup Podrobná analýza Kombinovaný přístup
Analýza rizik základní přístup Základní přístup Rychlá metoda zavedení základní sady opatření Vychází se z obecných bezpečnostní opatření standardizovaná řešení (napájení, firewall, antivirová ochrana, hesla, ) Výhody: Levné, rychlé Nevýhody: přílišná obecnost Vhodnost:organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti
Analýza rizik neformální přístup Neformální přístup Pragmatický přístup k analýze Vychází se ze zkušeností konzultantů pro bezpečnost, interních pracovníků, znalosti prostředí Výhody: Levné, rychlé Nevýhody: složitější obhajitelnost nevychází z metodologie obecné analýzy rizik Vhodnost:organizace z menší závislosti na IT, úvodní řešení inf. bezpečnosti
Analýza rizik podrobná Podrobná analýza rizik Nejpřesnější, časově i finančně nejnáročnější Vychází se z identifikace a ohodnocení aktiv, posouzení hrozeb a odhadu zranitelnosti. Následně se navrhnou bezpečnostní opatření odpovídající co nejpřesněji míře rizika, resp. jeho pravděpodobnosti a dopadu Výhody: Přesné, úplné, umožňuje velmi přesně volit bezp. opatření Nevýhody: Nákladné (interní/externí náklady), pomalé Vhodnost:organizace z vysokou citlivostí na informační bezpečnost
Analýza rizik kombinovaný přístup Kombinovaný přístup Jedná se o použití jednotlivých přístupů v jednotlivých částech analýzy Výhody / nevýhody: Účelný kompromis (náklady, cena, úplnost), umožňuje v průběhu procesu jednotlivé části analýzy zdokonalovat a kontinuálně na nové skutečnosti reagovat.
Proces řízení rizik Řízení informačních rizik Vliv hrozeb Hrozby Vliv hrozeb Četnost hrozeb a úroveň zranitelnosti Úroveň bezpečnosti Indikace Rizika Úroveň rizik Aktualizace rizik Incidenty Návrhy na opatření Preventivní opatření Potenciální přímá a nepřímá cena rizik Reálné dopady Učení se Náprava Preventivní Opatření Nápravná
Analýza rizik - nástroje Nástroje pro provádění analýzy rizik: Existuje řada podpůrných aplikačních řešení, které díky zabudované metodologii automatizovaně zpracovávají analýzu od fundamentálních otázek až po detailní rozbory dílčích okruhů. Může se jednat o velmi nákladné (pořízení/provoz) aplikace Typičtí zástupci: CRAMM, Cobra, NetRecon, RiskPAC, )
Ukázka kalkulace rizik
Risk Treatement Plan Obsahuje pro jednotlivá rizika: Opatření pro jejich řízení Akceptace rizika (např. z finančních důvodů) Přenos rizika (smlouvy, pojištění, apod.) Redukovaní rizika na akceptovatelnou úrověň Identifikace controls dle normy Časový (finanční) rámec pro jejich řízení Identifikace akceptovatelných rizik Obsahuje časový, finanční rámec a zodpovědnosti
Analýza rizik problémy a chyby Nedokončená / neúplná analýza rizik Investuje se do vybraných částí systému, což z pohledu celku přináší malý či žádný efekt Absence pravidelné aktualizace analýzy Systém (proces infor. bezp.) pak nerespektuje změny v okolí a stává se postupně neúčinným Vynechaní analýzy subjektivní výběr protiopatření Vysoké náklady dle znalostí a doporučení správce IT, minimální dopad na celkovou bezpečnost Zavádění opatření proti VŠEMU
Bezpečnostní politika - úvod Základní dokument (resp. jeho aplikace) řešení informační bezpečnosti Závazná pro celou společnost Většinou součást dokumentace ISO900x či jiných systémů řízení kvality, součást požadavků NBÚ Rozdílný rozsah Předmětem dokumentu je: Definovat hlavní cíle při ochraně informací Stanovit způsob, jak bezpečnost řešit Určit pravomoci a zodpovědnosti Nezávislost na technologiích
Bezpečnostní politika stav v ČR PSIB 03 (E&Y, NBÚ, DSM) Má organizace ve formě dokumentu formálně definovanou a nejvyšším vedením přijatou bezpečnostní politiku? 46% 54% Ano Ne
Bezpečnostní politika obsah/rozsah Krátká Dlouhá Výhody Nevýhody Rychlá příprava Rychlejší proces schvalování Čitelnost a pochopitelnost pro jednotlivé zaměstnance Díky malému rozsahu není potřeba časté aktualizace Hlavní objem prací je přesunut do problematiky bezpečnostních standardů Obtížná čitelnost pro zaměstnance Komplexní kodex pro informační bezpečnost Definice pravidel a principů na jednom místě Vzhledem k možnosti rozpracovat jednotlivé body je menší riziko nepochopení Při malých změnách v systémů řízení bezpečnosti je nutno politiku aktualizovat Práce na zpracování mohou trvat neúměrně dlouho Dlouhý proces schvalování politiky Je nutno pro zaměstnance vytvořit profesně orientované extrakty = dodatečné náklady
Úvod Bezpečnostní politika - možný obsah Cíle a rozsah bezpečnostní politiky Charakteristika IS Východiska bezpečnosti (Zákonné normy, Strategie organizace, Interní dokumenty&předpisy, Smluvní vztahy, ) Pravidla a zásady bezpečnosti IS (fyzická a personální bezpečnost, Administrativní a procedurální bezpečnost, Komunikační bezpečnost, bezpečnost IS, ) Řízení bezpečnosti (bezp. infrastruktura, popis rolí a zodpovědnosti, řešení bezp. Incidentů, testování a monitoring) Závěr, přílohy, slovník pojmů
Bezpečnostní politika problémy a chyby Přebírání politiky jiné organizace Nereálná politika chtít nemusí znamenat možnost/schopnost realizovat Politika plná kompromisů Neúčinná propagace podcenění významu a způsobu evangelizace politiky v rámci organizace
Bezpečnostní standardy - úvod Detailní zpracování způsobů ochrany informací dle jednotlivých oblastí Vyšší frekvence úprav v závislosti na změnách okolí, technologií, potřeb Vycházejí z bezpečnostní politiky, resp. zajišťují její naplnění Cílem je eliminovat jednotlivá rizika technickým a procedurálními prostředky
Bezpečnostní standardy - vzory Typické standardy - možno rozdělit do tří základních oblastí: Administrativní a uživatelské směrnice Standardy administrace Standardy pro práci se systémem uživatelé Přihlašování se k systému (silná autentizace, konstrukce hesla, ) Přijímání a propouštění zaměstnanců Antivirová ochrana Pravidla pro přístup mobilních / externích uživatelů Pravidla pro vývoj software (zabezpečení, autorský zákon, ) Řízení rizik Monitorování Audit a monitorování (a vedení záznamů) Kontroly dodržování standardů a politiky Obnova procesů DR (disaster recovery) plány Politiky zálohování Reakce na bezpečnostní incidenty Atd.
Bezpečnostní standardy - poznámky Typické problémy: Neuplatňování celého rozsahu standardů ulehčení práce administrátorů, snaha uživatelů o jejich obcházení Standardy nejsou úplné tj. existují ale jsou nepřesné či velmi povrchní Kontrola jejich dodržování je v kompetenci těch, kteří je mají realizovat (IT ->IT)
Statement of Applicability Prohlášení o aplikovatelnosti Dokument v libovolné formě Obsahuje informace, zda a jak je reagováno na jednotlivé požadavky normy části A. (odkazy na jednotlivé směrnice, politiky, provozní a technická opatření) Klíčový dokument, vůči kterému se vymezuje úplnost a vhodnost jednotlivých opatření
Statement of Applicability - ukázka
Implementace bezpečnosti IS Zahrnuje implementaci bezpečnostní politiky a standardů do praxe Implementace vesměs formou projektu Výběr konkrétních způsobů zabezpečení Evangelizace bezpečnosti mezi uživateli Školení!!!!!!!!! Výběr integrovatelných a osvědčených řešení v kontextu používaných systému, aplikací a prvků infrastruktury
Implementace bezpečnosti IS Realizace probíhá formou: Organizačních / procedurálních opatření Změnou konfigurace a nastavením stávajících systémů, aplikací, Zakoupením nových nástrojů pro podporu bezpečnosti!! Nehledejte vítěze testů odborných časopisů, ale řešení vyhovující kontextu vaší bezpečnostní politiky. Sebelepší řešení, nasazené v nevhodném prostředí může znamenat jen vyšší náklady obchodní zástupci jednotlivých producentů jsou velmi dobře školeni k prodeji svého dílčího řešení
Implementace bezpečnosti IS vybrané okruhy technologických témat OS: Microsoft Windows / UNIX (monitorování, auditing, centrální databáze a správa uživatelů, zálohování dat, clustering, aktualizace klientských systémů ) Antivirové programy (centrální správa a distribuce, celosvětový aktualizační servis, ) Síťová ochrana: firewall, IDP, IDS (jednotný management u rozsáhlých systémů, vytváření ochranných zón, funkce proaktivní ochrany, VPN, antivirová ochrana, aktivní prvky sítí, wireless sítě, ) Autentizace (silná autentizace, integrace do aplikací, centrální správa uživatelů, PKI infrastruktura, ) Šifrování (elektronická pošta, pevné disky přenosných počítačů, práce v interních aplikacích z prostředí Internetu, ) Zálohování (vytvoření záložních/provozních kopií, verifikace obnovitelnosti, šifrování ztráta medií, ) Monitorování systému (kontrola nastavení systémů, verifikace systémových záplat oproti centrálním databázím, )
Monitoring a audit Poskytuje zpětnou vazbu pro výše popsané kroky Nejméně naplňovaná oblast procesu řízení informační bezpečnosti Nutno definovat, co je důležité rozsah informací poskytovaných systémy je zpravidla nekonečný Interní & Externí audit / monitoring / testování systémů a aplikací Jednorázový (audit) & kontinuální (monitoring)
Monitoring a audit - proces Definice rozsahu (vesměs je součástí standardů či politiky) Organizační zajištění & zodpovědnosti (vedení společnosti, bezpečnostní manager, vlastníci informací, interní auditor, ) Realizace monitoringu Nástroje / prostředky pro monitorování Součást OS, sofistikované nástroje, Revize výsledků Přijmutí opatření (provozních, sankčních, změnových, )
Monitoring a audit - testování Bezpečnostní audit Revize shody reality s plánovými dokumenty Ne-invazivnízpůsob kontroly stavu bezpečnosti, založený na sběru informací o konfiguraci systémů zakončený hodnotící zprávou Penetrační test Jedná o testování možnosti průniku, možnosti poškození systému či jeho znepřístupnění Vesměs bez přítomnosti zaměstnanců testované organizace!?! Možnost způsobení škody Výsledkem je zpráva o nalezených slabých místech a možnostech
Certifikace systémů Certifikační audit je prováděn jako dvoufázový proces Fáze certifikace Fáze 1 Documentation (desktop) review Revize rozsahu a obsahu dokumentace ISMS Fáze 2 Implementation Audit Revize způsobu, úplnosti a komplexnosti zavedených protiopatření
Certifikační audit 1 fáze Documentation review Cca. 1 měsíc před druhou fází Zahrnuje: Revize rozsah ISMS Kompletnost požadované dokumentace Revize Statement of Applicability Existence a úplnost bezpečnostní politiky a bezpečnostních standardů Existence záznamů ISMS
Certifikační audit 2 fáze Implementation audit Zahrnuje: Interview s managementem Interview s vlastníky a uživateli ISMS Revize shody dokumentace s implementovaným systémem Revize jednotlivých částí systému Report jednotlivých zjištění Vypracování zprávy včetně doporučení
Vydání certifikátu o shodě se standardy
Děkuji za pozornost. ADRESA NeXA, s.r.o. Beranových 65 199 00, Praha 18 SPOJENÍ Tel.: +420 234 312 962-4 Fax: +420 234 313 052 http://www.nexa.cz