Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P R O S T Ř E D Í
ZoKB a cloudové služby Je možné zajistit soulad se Zákonem o kybernetické bezpečnosti v cloudovém prostředí? 2
Co v prezentaci nebude Části Zákona a návazné Vyhlášky a související zákony Vysvětlení pojmů a požadavků Zákona a Vyhlášky Rozbor jednotlivých opatření Způsob realizace opatření u provozovatelů VIS a KII Proč nestačí koupit SIEM 3
O čem tedy bude řeč Studie Ochrana dat v cloudových službách Proč studie vznikla a jaké jsou její cíle Jaký byl zvolen přístup k řešení a jeho vysvětlení ZoKB a cloud Výsledky a poučení z nich Návod Jak postupovat když chci využívat cloudové služby Shrnutí 4
Proč studie vznikla a jaké jsou její cíle Cíl: Cílem studie je poskytnou ucelený pohled na působnosti Zákona č. 181/2014 Sb., v prostředích ICT, která zahrnují služby poskytované prostřednictvím cloudových služeb Microsoft Online Services. Předmět: Ochrana dat v cloudových službách Microsoft Online Services Office 365 Microsoft Azure 5
Pozadí vzniku studie Zadavatel: Microsoft Přístup k interním informacím a dokumentaci pod NDA Provozní informace o Microsoft cloud services Organizační opatření, Trust portál Technická opatření Partnerství S.ICZ - Microsoft 6
Části studie a Scénáře Zadání: Studie se skládá ze dvou částí Identifikace a analýzy požadavků ZoKB při využití cloudových služeb Návrh ochrany dat pro definované scénáře Scénáře: Databázové systémy při použití Microsoft Azure jako IaaS nebo PaaS cloudu Poštovní systém, systém pro skupinovou spolupráci, repositář dokumentů, hlasové a video konference při použití Microsoft Office 365 jako SaaS cloudu Záložní datové centrum - využití Microsoft Azure jako záložního datového centra pro řešení výpadku/havárie on-premise datového centra, nebo jeho části, provozujícího dotčený informační systém 7
Zvolený přístup Pro identifikaci a analýzu požadavků Zákona a Vyhlášky vytvořen obecný model informačního systému Microsoft Online Services Internet Uživatelé připojeni do Internetu Azure Office 365 Síťové spojení Intranet 8 Firemní datová centra Uživatelé připojeni do interní sítě
Zvolený přístup Dělení operací s daty: Uložení dat umístění dat na trvalém paměťovém úložišti Zpracování dat přenos dat, jejich zpracování procesorem a zobrazení na displeji Rozsah systému řízení: Co je či není (která aktiva) součástí IS a tedy spadá/nespadá pod systém řízení Obsahuje informace Poskytuje služby jiným zařízením nebo více uživatelům Přistupuje ke službám 9
Struktura studie co tam najdete Analýza bezpečnostních opatření organizační i technická Identifikace požadavků Zákona a Vyhlášky Shrnutí požadavků pro VIS a KII Analýza identifikovaných požadavků Způsoby implementace opatření pro zajištění pokrytí identifikovaných požadavků Popis implementace opatření v prostředí Microsoft Online Services Ochrana dat dle kategorií přílohy č. 1 Vyhlášky Popis technologií Pokrytí požadavků (důvěrnost, integrita, dostupnost) na opatření technologiemi Úroveň střední Úroveň vysoká Úroveň kritická Návrh ochrana dat pro jednotlivé scénáře 10
ZoKB a cloud kdy ho mohu použít? Zohlednění potřeby řízení bezpečnosti informací u dodavatelů Vyhláška 7 Analýza rizik Smlouva Způsob realizace opatření Odpovědnosti Pravidelné hodnocení rizik a kontrola Jak provést analýzu rizik poskytovatele cloudových služeb? Bezpečnostní dokumentace Microsoft Online Services Certifikace dle různých norem (včetně ISO/IEC 27001) Implementovaná opatření a Audity http://www.microsoft.com/en-us/trustcenter https://trustportal.office.com 11
Bezpečnostní požadavky pro dodavatele Stanovisko NBÚ ve věci výkladu vyhlášky č. 316/2014 Sb. Musí být doložena sada skutečností Správná smlouva zahrnující bezpečnost informací a zavedená opatření Metodika hodnocení rizik Výčet zohledněných hrozeb a zranitelností Odpovědnosti za zavedení a kontrolu bezpečnostních opatření Metody zvládání rizik Možnost doložení skutečností vyjádřením nezávislého auditora Požadavky lze ve smlouvě doložit certifikací ISO/IEC 27001 Bezpečnostní politika dodavatele Prohlášení o aplikovatelnosti (výčet organizačních a technických opatření uplatněných dodavatelem cloudových služeb) Auditní zpráva z certifikace cloudové služby dle ISO/IEC 27001 12
Technická opatření a stupeň důvěrnosti Na úrovni obecného modelu IS byla nalezena opatření, která umožňují pokrýt požadavky Zákona a Vyhlášky Zkoumáno více než 25 technologií, které lze použít pro vypořádání požadavků přílohy č. 1 Vyhlášky K pokrytí požadavků využito technických i organizačních opatření Včetně důvěrnosti úrovně kritická Opatření realizuje správce IS i provozovatel cloudu Poznámka Při posuzování požadavků systému řízení bezpečnosti je třeba zohlednit skutečnost, že v cloudových službách obecně není možné garantovat výhradní přístup k šifrovacím klíčům umístěným v operační paměti počítačů, protože není možné zajistit výhradní fyzický přístup k počítačům pro vlastníky nebo autorizované uživatele klíčů. BYOK použití vlastních klíčů 13
Technická opatření pro jednotlivé scénáře Pro jednotlivé scénáře byla nalezena opatření, která umožňují pokrýt požadavky Zákona a Vyhlášky o oblastech Důvěrnost dat Integrita dat Dostupnost dat 14
Závěry Úroveň a způsob realizace bezpečnostních opatření v cloudových službách Microsoft Online Services umožňuje za předpokladu implementace opatření z oblasti organizační a technické bezpečnosti pokrýt požadavky Zákona a Vyhlášky v oblasti sdílených služeb 15
Poučení Výsledky není možné aplikovat plošně Vždy je třeba provést analýzu rizik a vyhodnotit zda je úroveň bezpečnosti navrhované architektury informačního systému dostatečná Zjištění Vlastní bezpečnostní opatření realizovaná společností Microsoft v cloudových službách Microsoft Online Services jsou vyspělá a jsou na vysoké úrovni. Vzhledem k úsilí, rozsahu investic a úrovni standardizace těchto opatření bude pro lokální organizace v České republice velmi obtížné realizovat stejná opatření ve srovnatelném rozsahu a kvalitě. 16
Jak postupovat když chci využívat cloudové služby Definovat co bude v cloudu Navrhnou správnou architekturu Provést analýzu rizik, navrhnout opatření Ověřit, zda je možné opatření realizovat v cloudu, případně definovat kompenzační opatření Vyvinout a implementovat IS včetně bezpečnostních opatření Včetně smluvních ujednání Součástí provozu IS je i proces řízení bezpečnosti audit, prověřování a testování opatření 17
Shrnutí Požadavky ZoKB je možné úspěšně vyřešit i v cloudovém prostředí Každý specifický informační systém je třeba řešit samostatně 18
Pomůžeme Vám bezpečnost učesat Společnost S.ICZ je schopna kvalifikovaně řešit problematiku shody s požadavky ZoKB a Vyhlášky i v prostředí externích dodavatelů služeb ICT 19 S.ICZ a.s. Na Hřebenech II 1718/10, Praha 4
Děkuji za Vaši pozornost Prostor pro Vaše dotazy 20
Petr Hron Tel.: 724 429 910 E-mail: petr.hron@i.cz 21