Bezpečnostní incidenty IS/ICT a jejich řešení



Podobné dokumenty
Bezpečnost informačních systémů a mezinárodní standardy

REGISTRY VE VEŘEJNÉ SPRÁVĚ

POŽADADAVKY NA ORGANIZACI SYSTÉMU SPOLEČENSKÉ ODPOVĚDNOSTI (ZÁKLADNÍ INFORMACE)

Uživatelem řízená navigace v univerzitním informačním systému

SYSTÉM PRO AUTOMATICKÉ OVĚŘOVÁNÍ ZNALOSTÍ

Projektové řízení a rizika v projektech

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Informace pro uznávání předmětů ze zahraničních studijních pobytů (2016/17) Státnicové předměty navazujících magisterských studijních oborů

K výsledkům průzkumu zaměřeného na kvalitu podnikové informatiky

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Uplatnění akruálního principu v účetnictví subjektů soukromého a veřejného sektoru

PRÁVNÍ ZÁKLAD UŽÍVÁNÍ ELEKTRONICKÉHO PODPISU V OBLASTI VEŘEJNÉ SPRÁVY

ČESKÁ TECHNICKÁ NORMA

RiJ ŘÍZENÍ JAKOSTI L 1 1-2

VÝCHODISKA BEZPEČNOSTNÍHO VÝZKUMU ČR

VYBRANÉ AKTIVITY ŘÍZENÍ VZTAHŮ SE ZÁKAZNÍKY

IT Governance. Libor TůmaT. konzultant, AHASWARE. itsmf

OPTIMALIZATION OF TRAFFIC FLOWS IN MUNICIPAL WASTE TREATMENT OPTIMALIZACE DOPRAVNÍCH TOKŮ V NAKLÁDÁNÍ S KOMUNÁLNÍM ODPADEM

Bezpečnostní politika společnosti synlab czech s.r.o.

VÝZNAM A POZICE CRM V ŘÍZENÍ FIREM THE IMPORTANCE AND POSITION OF CRM IN FIRM MANAGEMENT. Jaroslav Novotný

Problematika archivace elektronických dokumentů v CR a EU normy, standardy. M.Širl

Teorie systémů TES 7. Výrobní informační systémy

Vzdělávání pro bezpečnostní systém státu

TVORBA BEZPEČNOSTNÍ POLITIKY ORGANIZACE A HAVARIJNÍHO PLÁNU

Bezpečnostní projekt podle BSI-Standardu 100

Hodnocení základního kursu Finanční účetnictví podle ECTS studenty

Návrh a implementace algoritmů pro adaptivní řízení průmyslových robotů

Management informační bezpečnosti

PRINCIPY PRO PŘÍPRAVU NÁRODNÍCH PRIORIT VÝZKUMU, EXPERIMENTÁLNÍHO VÝVOJE A INOVACÍ

Aplikace metodiky hodnocení kvality systému elektronické výměny dat mezi podnikem a státní správou

VÝHODY SYSTÉMU ŘÍZENÍ VZTAHŮ SE ZÁKAZNÍKY ADVANTAGES OF CRM SYSTEM. Dagmar Škodová Parmová

Karta předmětu prezenční studium

IFRS 15 VÝNOSY ZE SMLUV SE ZÁKAZNÍKY11

24. MANAGEMENT ORGANIZAČNÍHO ROZVOJE

Národní příručka Systém řízení bezpečnosti a ochrany zdraví při práci

Tento materiál byl vytvořen v rámci projektu Operačního programu Vzdělávání pro konkurenceschopnost.

MFF UK Praha, 29. duben 2008

PRAXE A PŘÍNOSY INDEXOVÉHO BENCHMARKINGU PRACTISE AND BENEFITS OF INDEX BENCHMARKING

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Standardy a definice pojmů bezpečnosti informací

Euro měna v Mezinárodních účetních standardech a v českém účetnictví #

ITICA. SAP Školení přehled Seznam kurzů

Uznávání předmětů ze zahraničních studijních pobytů

JAKÉ UŽITKY A NÁKLADY SOUVISEJÍ SE VZNIKEM NOVÉ OBCE. VÝSLEDKY DOTAZNÍKOVÉHO ŠETŘENÍ

Regulace a normy v IT IT Governance Sociotechnický útok. michal.sláma@opava.cz

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

VÝSLECH V PŘESTUPKOVÉM ŘÍZENÍ

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

VÝBOR PRO AUDIT, POROVNÁNÍ JEHO ROLÍ V ČR, EU A USA. 1

Metodologie řízení projektů

Projektový management a fundraising

ODPOVĚDNOST STATUTÁRNÍHO ORGÁNU PODLE INSOLVENČNÍHO PRÁVA

Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49

Bezpečnost IT - od technologie k procesům

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Prof. Mgr. Iveta Hashesh, PhD., MBA prorektorka pro strategii, inovace a kvalitu vzdělávání hashesh@edukomplex.cz

Bezpečnostní normy a standardy KS - 6

VÝZVA K PŘEDKLÁDÁNÍ PROJEKTŮ V RÁMCI OPPI ICT v podnicích

v období Structural Funds and Their Impact on Rural Development in the Czech Republic in the Period

Finanční kontrola v systému řízení příspěvkové organizace

VYSOKÁ ŠKOLA HOTELOVÁ V PRAZE 8, SPOL. S R. O.

Možné cesty regulace. Právní předpisy

ELEKTRONIZACE VEŘEJNÉ SPRÁVY

HODNOCENÍ INOVAČNÍCH VÝSTUPŮ NA REGIONÁLNÍ ÚROVNI

Vzdálené řízení modelu připojeného k programovatelnému automatu

Co je to COBIT? metodika

E-EDUCATION NEBOLI VYUŽITÍ ICT VE ŠKOLÁCH

Katalog služeb 2013 C.Q.M. verze 5, aktualizace Vzdělávání, poradenství a SW podpora pro systémy integrovaného managementu

NOVÉ MOŽNOSTI VE VZDĚLÁVÁNÍ ZDRAVOTNICKÉ PROFESE ZDRAVOTNĚ SOCIÁLNÍ PRACOVNÍK

Katalog služeb Verze 5, aktualizace

ACTA UNIVERSITATIS AGRICULTURAE ET SILVICULTURAE MENDELIANAE BRUNENSIS SBORNÍK MENDELOVY ZEMĚDĚLSKÉ A LESNICKÉ UNIVERZITY V BRNĚ

Abstrakt. Klíčová slova. Abstract. Key words

B e z p e č n ý p o d n i k

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

ČESKÁ TECHNICKÁ NORMA

Digitální učební materiál

Právní formy podnikání v ČR

Samovysvětlující pozemní komunikace

Realizace nápravných opatření v resortu SVS a vzdělávání v oblasti procesního řízení

Digitální učební materiál

Název předmětu: Manažerské dovednosti Přednášející: Ing. Dagmar Charvátová, Ph.D. Počet kreditů: 2. Kód: Semestr: 1

ČESKÁ TECHNICKÁ NORMA

ZÁKLADNÍ INFORMACE O SLUŽBÁCH CERTIFIKAČNÍHO ORGÁNU PRO SYSTÉMY MANAGEMENTU

NEJMODERNĚJŠÍ TECHNOLOGIE V E-LEARNINGOVÝCH KURZECH THE NEWEST TECHNOLOGIES IN E-LEARNING COURSES

Příručka kvality společnosti CZECHOSLOVAK REAL (CZ), s.r.o.

Tři hlavní druhy finančního rozhodování podniku #

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

Inoutic Sales Academy cesta k lepším prodejním výsledkům

Normy a standardy ISMS, legislativa v ČR

NEW TRANSPORT TECHNOLOGY - BUSES ON CALL

ČESKÁ TECHNICKÁ NORMA

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

UPLATNĚNÍ ADITIVNÍHO INDEXOVÉHO ROZKLADU PŘI HODNOCENÍ FINANČNÍ VÝKONNOSTI ODVĚTVÍ ČESKÝCH STAVEBNÍCH SPOŘITELEN

DESKRIPCE A APLIKACE KOMUNIKAČNÍCH E-KANÁLŮ VYUŽITELNÝCH VE VZTAHU OBČANŮ A OBCÍ

Životní cyklus rizik - identifikace.

Tabulka 1 Stav členské základny SK Praga Vysočany k roku 2015 Tabulka 2 Výše členských příspěvků v SK Praga Vysočany Tabulka 3 Přehled finanční

ROZŠÍŘENÍ INSTITUTU ODDLUŽENÍ NA PODNIKATELE MARTIN LEBEDA

Převod prostorových dat katastru nemovitostí do formátu shapefile

MODUL MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI V PODMÍNKÁCH UNIVERZITY OBRANY

VLIV METEOROLOGICKÝCH PODMÍNEK NA ZNEČIŠTĚNÍ OVZDUŠÍ SUSPENDOVANÝMI ČÁSTICEMI

Transkript:

Abstrakt: Petr Doucek Fakulta informatiky a statistiky, Vysoká škola ekonomická v Praze doucek@vse.cz, http://fis.vse.cz Problematika bezpečnosti informačních systémů a informačních a komunikačních technologií (IS/ICT) se vzhledem k neustále probíhající integraci do všech procesů běžného života stává velmi aktuální. Zcela jistě každý z nás cítí neustále rostoucí závislost naší společnosti na IS/ICT a již sami si jen těžko dokážeme představit, že by informační technologie byly dlouhodobě mimo provoz. To by znamenalo výrazný zásah do chodu celé lidské společnosti. Podobně, jak IS/ICT prostupují současným světem, tak se množí možnost ohrožení jejich bezpečnosti. Bezpečnostní incidenty ohrožení bezpečnostni IS/ICT se stávají nebo se v blízké době stanou každodenní součástí našeho života.proto se musíme smířit s tím, že manažeři IS/ICT ve společnostech a ve veřejné a státní správě budou muset řešit stale vice a vice narušení bezpečnosti bezpečnostních incidentů. K jejich řešení nebude možné přistupovat jako k nějaké nestandardní situaci, ale odpovědní pracovníci za řízení informatiky si budou muset připravit formalizovné procesy pro jejich zvládnutí. Návrh na takový formalizovaný postup řešení je uveden v následujícím článku. Vychází z nejlepších zkušeností, které jsou obsahem mezinárodní normy ISO/IEC TR 18044 [ISO_1]. I štěstí přeje jen připraveným. Klíčová slova: Bezpečnost IS/ICT, mezinárodní normy, bezpečnostní incidenty IS/ICT Abstract: A boom of contemporary society was started a lot of years ago in the dark period of human s history. The same character has also a globalization process of the whole society that accelerated in the period of last sixty years. Growing complexity of information systems and their permanently increasing role in support of decisionmaking process also started the new informatics boom - especially in network connection - several years ago. Information Systems and Information and Communication Technologies (IS/ICT) security is nowadays often-discussed topic, because IS/ICT became leading heralds of globalization in all activities in contemporary society where computer networks connect all network participants without borders. Security and security assurance related problems became one of the most important parts of informatics in the past ten years and its significance is permanently increasing thanks to the eternally accelerating European and world integration process, too. One of the most important components of IS/ICT security assurance is security incident management. Results and regularly evaluation of IS/ICT security incidents are significant sources for time to time changing the face of security policies and other strategic security documents of many organizations and firms in the business environment. Answers to questions why and how to evaluate IS/ICT security incidents are topic of this contribution. Several aspects of the theoretical concept formulated in [ISO_1] SYSTÉMOVÁ INTEGRACE 3/2005 77

Petr Doucek and potential difficulties of its improvement into the business practice are secondary topics presented in this article. Key words: Security IS/ICT, international standards, IS/ICT security incidents Úvod Jedním z významných zdrojů údajů a informací, sloužících jako zpětná vazba k vybudovanému systému řízení bezpečnosti IS/ICT v organizaci, je zpracovávání podnětů, které s sebou přinášejí bezpečnostní incidenty a zkušenosti získané jejich řešením. Pro bezpečnostní incidenty a jejich řešení platí všechny obecné managerské zásady stejně jako pro každé jiné neočekávané situace, pouze s tím rozdílem, že s jejich řešením nemají manageři všech hierarchických úrovní a odborné kvalifikace velké zkušenosti. Vplížily se do běžné praxe manažerů jaksi pokoutně a zadními vrátky. Přinesly je s sebou informační technologie a boom nasazování informačních systémů do celé společnosti. Spolu s tím, jak roste naše závislost na informačních technologiích, roste i význam bezpečnosti informačních systémů a důležitost efektivního řešení všech bezpečnostních incidentů v organizacích. První manažerskou zásadou pro řešení incidentů je nebrat bezpečnostní incidenty jako něco exotického, ale již při nasazování informačních systémů se systematicky připravovat na rutinní provoz. Jeho součástí je i vznik různých nestandardních situací, mezi něž bezpečnostní incidenty nesporně patří. Tedy nebát se incidentů, ale být na ně připraven, vědět a znát, jak je řešit. K základnímu vybavení manažerů a to nejen managerů z oblasti informačních technologií - by měly patřit základní informace o tom, jak bezpečnostní incidenty řešit tedy procesní stránka jejich řešení, a základní informace o klasifikaci bezpečnostních incidentů, o jejich závažnosti pro managerem řízenou organizační jednotku a o jejich významu pro organizaci celou. Od těchto znalostí manažerů se odvíjí rychlá identifikace bezpečnostního incidentu, jeho správná klasifikace a tím i možnost přijmout efektivní rozhodnutí pro jeho řešení při minimalizaci dopadů na chod organizace a její investice do IS/ICT. Významným základem pro řešení incidentů je široké bezpečnostní povědomí všech pracovníků organizace. V různých organizacích je obvykle velmi různé bezpečnostní povědomí. V zásadě se můžeme setkat se třemi úrovněmi. Vysoká úroveň je obvykle representována velmi dobrými informacemi pracovníků organizací o základních aspektech bezpečnosti informačního systému. Bývají to organizace typu nadnárodních společností, bankovních a finančních institucí a speciálních státních úřadů, jako je například Ministerstvo obrany, Ministerstvo vnitra, Národní bezpečnostní úřad apod. Střední úroveň je representována převážně privátními firmami některé z nich se zahraniční účastí. V nich jsou znalosti některých pracovníků o bezpečnosti informačních technologií velmi dobré, znalosti jiných jsou naopak menší a někteří z nich nejsou tímto problémem poznamenáni vůbec. Nejnižší úroveň představují malé a střední firmy a některé organizace centrální a regionální státní a veřejné správy. Celkové bezpečnostní povědomí u většiny pracovníků je nízké. Bezpečnostní povědomí je nutné budovat postupně a nejlepší formou jsou preventivní školení a informovanost pracovníků o bezpečnosti informačních 78 SYSTÉMOVÁ INTEGRACE 3/2005

technologií. Součástí bezpečnostního povědomí musí být i schopnost identifikovat bezpečnostní incident. 1. Bezpečnostní incident Prvním pojmem, s nímž se musíme seznámit, je bezpečnostní událost kterou lze označit za identifikovaný stav informačního systému, služby nebo počítačové sítě, jež může narušit pravidla bezpečnostní politiky nebo selhání některého protiopatření nebo dříve neznámá nebo nepředpokládaná situace, jež může ovlivnit bezpečnost. Samotný vznik bezpečnostní události není ještě incidentem. Teprve vyhodnocená bezpečnostní událost může být kvalifikována jako bezpečnostní incident. Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných indikovaných bezpečnostních událostí, jimiž může být s vysokou pravděpodobností narušena podpora hlavních nebo podpůrných procesů organizace nebo díky nimž může dojít k narušení bezpečnosti informačního systému. S bezpečnostní událostí přichází obvykle do prvního kontaktu běžný uživatel. Do jaké míry právě on rozpozná, jedná-li se o skutečný bezpečnostní incident, na tom závisí rychlost reakce řešení zjištěné události. 1.1 Organizační struktury a odpovědnosti spojené s řešením bezpečnostních incidentů Pro řešení bezpečnostních incidentů se sestavuje z pracovníků organizace specializovaný tým řešení bezpečnostních incidentů tzv. ISIRT - Information Security Incidents Response Team dále Tým řešení bezpečnostních incidentů. Jedná se o organizační strukturu, která se používá výhradně pro potřeby řešení incidentů. Jeho členy se stávají zkušení a důvěryhodní pracovníci organizace, kteří mají zkušenosti s řešením takových situací. Ti se věnují řešení incidnetů po celý jejich životní cyklus až do závěrečné etapy vyhodnocení a zobecnění jeho závěrů a výsledků do celkové koncepce bezpečnosti informačního systému organizace. V některých případech je tento tým posilován o externí specialisty. Pokud dojde v organizaci vinou bezpečnostnímu incidentu ke krizové situaci, bývá Tým řešení bezpečnostních incidentů posílen experty podle povahy zjištěného incidentu. Pro praktické řešení je možné doporučit za vedoucího týmu osobu z vrcholového managementu organizace. Kromě něj by se měl na práci týmu podílet bezpečnostní manager IS/ICT, bezpečnostní manager IS/ICT příslušné organizační jednotky a podle charakteru incidentu odborníci na problém a případně i liniový manager pracoviště, kde incident vznikl. Tedy Tým řešení bezpečnostních incidentů má svoje trvalé členy a členy, kteří jsou do něj jmenováni pro řešení určitých konkrétních incidentů. 1.2 Životní cyklus řešení incidentů Pro řešení bezpečnostních incidentů se využívá aplikace modifikovaného Demmingova procesního modelu PDCA [DOU_04], které je uvedeno na obrázku 1. Celý životní cyklus řešení bezpečnostních incidentů se skládá ze čtyř etap: formulace a plánování systému řízení bezpečnostních incidentů, nasazení a provoz systému řízení bezpečnostních incidentů, vyhodnocování incidentu, rozvoj systému řízení bezpečnosti a jeho zlepšování. SYSTÉMOVÁ INTEGRACE 3/2005 79

Petr Doucek Formulace a plánování systému řízení bezpečnostních incidentů Nasazení a provoz systému řízení bezpečnostních incidentů Rozvoj systému řízení bezpečnostních incidentů a jeho zlepšování Vyhodnocování incidentu Obrázek 1: Schéma PDCA pro řešení bezpečnostního incidentu Formulace a plánování systému řízení bezpečnostních incidentů vede k návrhu systému řízení incidentů. Vychází z bezpečnostní politiky IS/ICT (informačního systému a informačních a komunikačních technologií) organizace, respektuje i ostatní dokumenty, tak jak jsou uvedeny v [DOU_05b], [DOU_05c]. Hlavními činnostmi jsou v této etapě životního cyklu zejména: sestavení a vyhlášení politiky řízení bezpečnostních incidentů, včetně přidělení příslušných pravomocí a odpovědností, sestavení, formalizace a popis procesu řešení bezpečnostních incidentů jedno z možných je uvedeno na obrázku 2, definice dokumentů a dokumentačních povinností pro pracovníky, kteří se podílejí na řešení bezpečnostního incidentu, ověření platnosti aktuálních bezpečnostních dokumentů a dokumentace vzhledem k procesu řízení bezpečnostních incidentů, sestavení týmu pro řešení bezpečnostních incidentů ISIRT (Information Security Incident Response Team) včetně určení práv a povinností v rámci týmu, určení kontaktních spojení, postupy pro sestavování krizových scénářů a procesů v případě krizového stavu organizace vinou bezpečnostního incidentu, plán proškolování pracovníků organizace v problematice bezpečnostních incidentů a jejich řešení, plány, postupy a způsoby testování procesu řešení bezpečnostních incidentů. 80 SYSTÉMOVÁ INTEGRACE 3/2005

Nasazení a provoz systému řízení bezpečnostních incidentů. Představuje vlastní nasazení celého procesu do praktického používání v organizaci. V této etapě životního cyklu se provádějí zejména následující skupiny činností fáze etapy životního cyklu: detekce události, identifikace, rozhodnutí, příprava řešení, řešení bezpečnostního incidentu. Jejich návaznosti a rámcový obsah jsou uvedeny na obrázku 2. Událost Uživatel Detekce incidentu Podpora provozu, Help Desk Nasazení interního Týmu řešení bezpečnostních incidentů organizace Řízení krizového stavu v organizaci, nasazení externích expertů Detekce události Zpráva o incidentu Sběr informací První identifikace Identifikace, rozhodnutí, příprava řešení NE Správně? ANO Druhá identifikace NE Správně? ANO Čas Podrobná analýza Komunikace Okamžité řešení Je incident pod ANO kontrolou? Řešení NE Vyhlásit krizi? NE Krizové scénáře a procesy ANO Řešení bezpečnostního incidentu Vyhodnocení incidentu Rozvoj systému řízení bezpečnosti a jeho zlepšování Obrázek 2 Provoz - schéma průběh řešení bezpečnostního incidentu [ISO_1] Detekce události Jedná se o klíčový okamžik pro úspěšné vyřešení bezpečnostního incidentu. Zde se totiž uživatel setkává poprvé s bezpečnostní událostí, kterou musí umět rozpoznat a musí zvládnout její prvotní zařazení. Je událost bezpečnostním incidentem nebo není? To je základní otázka, kterou musí umět velice často zodpovědět neodborník - uživatel. Proto je nezbytné, aby pracovníci organizace, uživatelé informačního systému měli dobré bezpečnostní povědomí. Jenom tak bude systém řízení bezpečnosti efektivní. Pokud pracovníci nebudou schopni detekovat incident a budou opomíjet významná narušení bezpečnosti nebo pokud budou naopak hlásit jakoukoli situaci jako bezpečnostní incident, nebude nasazení Týmu řešení bezpečnostních incidentů smysluplné a efektivní. Buď tým nebude mít vůbec žádnou práci a aktiva organizace budou ohrožena, nebo bude řešit každou maličkost jako bezpečnostní incident a následně bude zahlcen prací. To může mít SYSTÉMOVÁ INTEGRACE 3/2005 81

Petr Doucek za důsledek, že jim může významné narušení bezpečnosti informačního systému uniknout. Oba dva případy, jak přehlcení, tak neřešení, jsou pro organizaci velmi nebezpečné, neboť systém detekce bezpečnostních událostí neplní funkci, pro níž byl sestaven. Další významný bod pro budoucí úspěšné řešení bezpečnostní události resp. bezpečnostního incidentu je množství primárních informací, které se o incidentu podaří zjistit. Proto musí být uživatel takové informace schopen zjistit a zajistit zdokumentovat. Součástí procesu řešení bezpečnostních incidentů musí být i administrativa vyplňování formulářů, sestavování zpráv o postupu řešení apod. a hlavně se celý postup řešení bezpečnostního incidentu dokumentuje, aby bylo možné incident dostatečně kvalitně vyhodnotit. Základními dokumenty jsou formuláře pro hlášení bezpečnostní události a bezpečnostního incidentu. Oba musí splňovat nelehkou podmínku. Tou je fakt, žemusí shromáždit co nejvíce informací o události nebo incidentu a zároveň je musí být schopen správně vyplnit bežný uživatel informačního systému. Identifikace, rozhodnutí, příprava řešení Další navazující fází řešení bezpečnostní události je rozhodnutí, jedná-li se o bezpečnostní incident, který musí být řešen nasazením Týmu pro řešení bezpečnostních incidentů. Tuto část procesu obvykle zajišťují v prvním okamžiku pracovníci Help Desku, resp. služby pro podporu provozu informačního systému. Pracovníci služby přebírají od uživatelů hlášení o bezpečnostním incidentu a provádějí jeho první identifikaci. Hlavním úkolem pracovníků podpory provozu je: zjistit od uživatelů co nejvíce informací o incidentu, provést primární identifikaci incidentu, přesně zdokumentovat zjištěná data, uvědomit Tým řešení bezpečnostních incidentů, zjištěná data předat profesionálním pracovníkům z Týmu řešení bezpečnostních incidentů. Významná je především činnost primární identifikace incidentu. Během ní se zejména určuje a zjišťuje: příčina vzniku incidentu, místo jeho vzniku, případně způsob jakým vznikl, rozsah aktiv organizace, jež jsou incidentem ohrožena. Při primární identifikaci incidentu používají pracovníci Help Desku obvykle, na základě analýzy bezpečnostních rizik, speciálně připravený seznam potenciálních bezpečnostních incidentů spolu s pravděpodobnými důsledky jejich dopadu pro jednotlivé části organizace nebo pro organizaci jako celek. Řešení bezpečnostního incidentu Základní zjištěné informace o bezpečnostním incidentu spolu s jeho primární identifikací jsou předány Týmu řešení bezpečnostních incidentů tedy profesionálům, kteří jej mají za úkol dostat incident nejprve pod kontrolu a ve finále vyřešit. Oni provedou konečnou klasifikaci incidentu. De facto ověří platnost původní identifikace incidentu nebo jí překvalifikují. Další náplní práce Týmu řešení bezpečnostních incidentů je získat všechny informace potřebné k vyřešení vzniklého incidentu. To znamená zjistit další data od uživatelů, vyhodnotit data z počítačové sítě (auditní záznamy, kontrolní záznamy přístupů do sítí nebo k zařízením a další relevantní parametry a informace, které jsou v souladu 82 SYSTÉMOVÁ INTEGRACE 3/2005

s nastavením úrovně bezpečnosti IS/ICT v organizaci) a všechny zjištěné podklady důkladně, ale hlavně rychle, analyzovat. Při analýze je možné, že bude tým potřebovat pomoc externích expertů. Na základě zjištěných faktů navrhuje tým vlastní řešení bezpečnostního incidentu. Řešení potom zavádějí do života v organizaci. Jiná situace nastane v okamžiku, kdy Tým řešení bezpečnostních incidentů není schopen situaci vyřešit. Tehdy je nutné vyhlásit krizový stav v organizaci. To může znamenat např. omezení podpory některých činností organizace informačním systémem nebo přerušení dodávek všech služeb, které informační systém poskytuje. Pro takové případy je nutné mít v organizaci připravené nouzové scénáře v rámci tzv. řízení obnovy procesů organizace (Business Continuity Planning) a návazně i procesy zajištění obnovy zpracování dat (Disaster Recovery Planning). [DOU_05c] Významným úkolem této fáze životního cyklu řešení bezpečnostního incidentu je všechna zjištěná fakta spolehlivě a přesně zdokumentovat. Po vyřešení incidentu se k nim budou ještě pracovníci odpovědní za bezpečnost informaního systému organizace vracet a to jak v rámci předkládaných a projednávaných zpráv o bezpečnosti informačního systému, tak ve formě jeho konečného vyhodnocení v další etapě životního cyklu. Vyhodnocování incidentu Vyhodnocováním bezpečnostního incidentu přechází management bezpečnosti informačního systému od pasivní úlohy k úloze aktivní, resp. proaktivní. Vyřešením incidentu jsou zažehnány aktuální potíže organizace. Následná analýza a rozbor incidentu by měly přinést organizaci užitek z překonaných potíží. To znamená poučení z příčin vzniku incidentu a pak následná aktualizace analýzy bezpečnostních rizik. Na jejím základě jsou pak rizika přehodnocena. Obsahem etapy vyhodnocování incidentu jsou zejména: hlubší analýza bezpečnostního incidentu a její závěry, aktualizace dat o vyřešených bezpečnostních incidentech, poučení z incidentu pro potřeby zvyšování bezpečnostního povědomí v organizaci, dopady incidentu na proces i obsah řízení bezpečnostních incidentů. Při pravidelném vyhodnocování bezpečnosti IS/ICT v organizaci [DOU_05c] jsou pak závěry získané z bezpečnostních incidentů využívány pro rozvoj a zdokonalování systému řízení bezpečnosti IS/ICT v organizaci. Rozvoj systému řízení bezpečnostních incidentů a jeho zlepšování V této etapě jsou zkušenosti získané při řešení bezpečnostního incidentu zahrnuty do celého systému řízení bezpečnosti organizace tedy nejen do systému řízení bezpečnosti IS/ICT. Cílem etapy je zejména zobecnit z bezpečnostního incidentu získané poznatky. Hlavními činnostmi jsou: zobecnit závěry z bezpečnostního incidentu směrem k analýze rizik, jejímu provedení a řízení, zobecnit dopady incidentu na řízení bezpečnosti IS/ICT organizace - aktualizace obsahu bezpečnostní dokumentace apod., identifikovat a zavést případné změny do systému řízení bezpečnosti v organizaci, SYSTÉMOVÁ INTEGRACE 3/2005 83

Petr Doucek identifikovat a zavést případné změny do systému řízení bezpečnosti IS/ICT v organizaci. Etapa představuje finální zpětnou vazbu, kdy jsou zkušenosti, dovednosti a znalosti získané při řešení bezpečnostního incidentu v oblasti IS/ICT promítnuty do strategické úrovně řízení bezpečnosti informačního systému resp. bezpečnosti celé organizace. 2. Podpora mezinárodními standardy Při přípravě a sestavování systému řízení bezpečnostních incidentů, zejména pro střední a menší organizace, nemusí manager IS/ICT organizace spoléhat pouze na svoje zkušenosti. Problematika celého procesu řízení bezpečnostních incidentů je rozpracována v mezinárodní normě ISO/IEC TR 18044 [ISO_1] Information technology - Security techniques - Information security incident management. Tato norma dotváří celkový pohled na řešení otázek bezpečnosti IS/ICT jejím cílem je zejména: stanovit typové postupy jejich řešení, vymezit role v procesu řešení incidentů a s nimi stanovit jejich pravomoci a odpovědnosti, vymezit nejdůležitější kategorie bezpečnostních incidentů, poskytnout návrhy formulářů pro evidenci bezpečnostních událostí a bezpečnostního incidentu. Součástí normy je i základní vzorová dokumentace pro vedení evidence bezpečnostních událostí a incidentů. Návrh normy lze hodnotit jako významný krok, který dotváří celkový pohled na řízení bezpečnosti informačních systémů. Je sice primárně určena pro velké organizace, ale i malé a střední firmy z něj mohou čerpat inspiraci pro návrh procesů pro řešení bezpečnostních incidentů. 3. Závěr Nedílnou součástí života managera bezpečnosti IS/ICT i běžného uživatele jsou i bezpečnostní incidenty a jejich řešení. Zavedením libovolné bezpečnostní politiky není garantována absolutní bezpečnost provozovaného informačního systému. Přestože součástí zajištění bezpečnosti je implementace různých bezpečnostních funkcí a protiopatření, zůstávají v informačním systému zranitelná místa a ta představují rizika [DOU_05a]. Právě existence takových slabých, zranitelných míst představuje potenciální možnost vzniku bezpečnostního incidentu s přímými nebo nepřímými dopady na vlastní chod organizace. Proto je nezbytné, aby každá organizace věnovala pozornost nejen ustavení a zavedení systému řízení bezpečnosti, jeho kontrole a auditu, ale aby se také zabývala efektivním a profesionálním řízením bezpečnostních incidentů. Incidenty mohou být řízeny intuitivně nebo strukturovaně profesionálně. Pouze profesionální přístup umožní organizaci, aby z bezpečnostních incidentů, které organizaci postihnou a znamenají pro ni někdy i citelné ztráty, získala i nějaký užitek zkušenosti, dovednosti a znalosti vykrystalizované z řešení bezpečnostních incidentů, zlepšování vlastního systému řízení bezpečnosti a dlouhodobé sledování příčin vzniku incidentů a jejich dopadů. Ukázka možného formalizovaného přístupu k jeho řešení je uvedena na obrázku 2. Spolu s ním je uveden stručný přehled činností, na něž by žádný pracovník odpovědný za řešení bezpečnostních událostí a incidentů 84 SYSTÉMOVÁ INTEGRACE 3/2005

neměl zapomenout. Nepodceňujte nebezpečí řešení bezpečnostních incidentů, říká se sice, že co nezabije, to posílí ale nemáte jistotu, že to bude platit i pro vaši organizaci můžete jí to totiž významně oslabit - třeba až k úplnému kolapsu. Literatura [DOU_04] [DOU_05a] [DOU_05b] [DOU_05c] Doucek, P., Nedomová, L.: Nasazení integrovaného systému řízení pro získání konkurenční výhody, In: AT&P Journal, 12/2004, ISSN 1335-2237 Doucek, P.: Bezpečnost IS/ICT a proces globální integrace Proč bezpečnost?, In: AT&P Journal, 01/2005, ISSN 1335-2237 Doucek, P.: Budování systému řízení bezpečnosti IS/ICT Jak bezpečnost realizovat?, In: AT&P Journal, 02/2005, ISSN 1335-2237 Doucek, P.: Dokumentace, kontrola a audit bezpečnosti IS/ICT Jak bezpečnost kontrolovat?, In: AT&P Journal, 03/2005, ISSN 1335-2237 [ISO_1] ISO/IEC TR 18044 - Information technology - Security techniques - Information security incident management SYSTÉMOVÁ INTEGRACE 3/2005 85

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář