Management bezpečnosti informací dle ISO 27001:2006. Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

Management bezpečnosti informací dle ISO 27001:2006 Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o. ENVIRO 15.4.2010 Ing. Jaroslav Březina 1

O autorovi Ing. Jaroslav Březina Pracuje ve společnosti SYSCOM SOFTWARE Představitel vedení pro systém jakosti Manažer jakosti Manažer bezpečnosti informací Bezpečnostní ředitel pro řízení utajovaných informací Je certifikován jako manažer jakosti a auditor QMS společností CERT Kladno ENVIRO 15.4.2010 Ing. Jaroslav Březina 2

Představení společnosti Společnost SYSCOM Software s.r.o. vznikla v roce 1994. Sídlo firmy je v Praze, provozovnu má v Hradci Králové. Zaměřujeme se na dodávky komplexních řešení v oblasti informačních systémů a dalších IT služeb. Hlavní činností společnosti je vývoj software na zakázku, jak na významných zakázkách pro státní a veřejnou správu (např. AVIS ME, EDS/SMVS), tak i pro komerční organizace (např. v minulosti software pro CK Čedok a QUELLE). Společnost SYSCOM SOFTWARE s.r.o. disponuje vynikajícím know-how v oblasti legislativy a metodiky ve státní správě České republiky. ENVIRO 15.4.2010 Ing. Jaroslav Březina 3

Představení společnosti Hlavní produkty společnosti: Pro státní správu - AVIS ME Informační systémy vyvinuté společností SSW podle potřeb rozpočtových organizací. Při vývoji produktů firma respektuje nejen potřeby zákazníka, ale i platnou legislativu, jejíž změny neustále plynule promítá do systémů a jejich aplikací. ENVIRO 15.4.2010 Ing. Jaroslav Březina 4

Představení společnosti Pro státní správu - EDS/SMVS Evidenčně Dotační Systém / Správa Majetku ve Vlastnictví Státu Systém je určen pro vstup a zpracování dat části státního rozpočtu. Je využíván na jednotlivých ministerstvech s přímým napojením na Ministerstvo financí ČR, kde slouží k centrálnímu zpracování podkladů pro tvorbu plánu výdajů státního rozpočtu. Systém je zaměřen na zkvalitnění, zpřehlednění a usnadnění rozhodovacích, řídících a kontrolních procesů programového financování. ENVIRO 15.4.2010 Ing. Jaroslav Březina 5

Představení společnosti EDS/SMVS je více úrovňový systém, jehož činnost spočívá v propojení všech jednotlivých složek dané organizace a ve vzájemné výměně dat mezi rezortem a MF. Řešení v současné době předpokládá tři úrovně (Ministerstvo financí ČR kapitoly (rezorty) organizační složky státu, nebo právní subjekt), je však možné jej aplikovat na libovolnou organizační strukturu. Hlavní cíle systému EDS/SMVS Jednoznačně vymezit typy výdajů, které musí být vedeny v programovém financování. Sjednotit procesy řízení projektů (akcí) v programovém financování se zákonem o finanční kontrole. Úprava metodiky umožňující bezproblémové uvolňování finančních prostředků na projekty kofinancované z fondů EU. Úprava metodiky a systému týkající se rezervních fondů. Příprava modulů Integrovaného informačního systému Státní pokladny - IISSP. ENVIRO 15.4.2010 Ing. Jaroslav Březina 6

Představení společnosti Pro komerční organizace: QUELLE Schikedanz AG & Co. - systém LAWIS pro významný evropský zásilkový dům je určen pro řízení logistiky velkoskladu v dceřiných společnostech a představuje komplexní řešení problematiky zásilkového obchodu. V současné době je jednání se skupinou Halens & Cellbes, Consortio Fashion Group s.r.o. (Švédsko) ENVIRO 15.4.2010 Ing. Jaroslav Březina 7

Představení společnosti Další služby: Návrh systémového SW, HW, komunikací a dalších technologií Konzultační činnost a analýza Zaškolení obsluhy a technického personálu Zabezpečení zkušebního provozu v místě instalace Technická podpora Záruční servis na celý systém Pozáruční konzultační a servisní činnost Provozování aplikací v prostředí Internetu Fulltextové nadstavby pro WWW servery ENVIRO 15.4.2010 Ing. Jaroslav Březina 8

Představení společnosti Společnost SYSCOM Software s.r.o. vlastní následující certifikáty: certifikát ISO 9001:2009 do 14.10.2014 certifikát ISO/IEC 27001:2006 do 23.07.2015 Osvědčení NBÚ na stupeň utajení Důvěrné do 18.4.2015 profesní certifikáty Microsoft a Oracle ENVIRO 15.4.2010 Ing. Jaroslav Březina 9

ČSN ISO/IEC 27001:2006 Systémy bezp. informací - Požadavky Tato norma nahrazuje ČSN BS 7799-2 (2004) Vazba na ČSN ISO/IEC 13335-3:2000 Techniky řízení bezpečnosti IT Vazba na ČSN ISO/IEC 17799:2006 Oprava 1, změna na ČSN ISO/IEC 27002:2008 Soubor postupů pro management bezp. informací Vazba na ČSN ISO 90003:2005 Směrnice pro použití ISO 9001 na počítačový SW ENVIRO 15.4.2010 Ing. Jaroslav Březina 10

Vazba na ISO 9001:2008 Většina požadavků se kryje s ISO 9001:2008 Rozdíl je položen na Ustavení ISMS Rozsah ISMS Zavádění, řízení a provozování ISMS Zde je základní deklarace (přihlášení se) k principům ISMS detaily k zavedení jsou uvedeny v Příloze A: Cíle, opatření a jednotlivá bezpečnostní opatření. ENVIRO 15.4.2010 Ing. Jaroslav Březina 11

Vazba na ISO 9001:2008 Stejně jako v ISO 9001:2008 je nutné stanovit: Bezpečnostní politiku ISMS Vyloučené oblasti z ISMS Hlavní cíle k zajištění bezpečnostní politiky ISMS a zvlášť uvedené specifické požadavky Právní zajištění ISMS (legislativa ČR i EU) ENVIRO 15.4.2010 Ing. Jaroslav Březina 12

Aktiva a rizika Norma požaduje klasifikaci informačních aktiv tzn. rozdělení aktiv na jednotlivé kategorie např.: Kategorie U: Pokrývá účetní a platební informace Kategorie O: Pokrývá osobní údaje Kategorie I: Pokrývá interní informace Kategorie P: Pokrývá informace o výzvách a projektech atd. Seznam informačních aktiv jsem uvedl pro přehlednost a další návaznosti v samostatné příloze ke směrnici Směrnice pro řízení bezpečnosti informací ENVIRO 15.4.2010 Ing. Jaroslav Březina 13

Aktiva a rizika Řízení informačních rizik jsem rozdělil do následujících podkapitol, a to: Identifikace a hodnocení rizik Zvládání rizik Kontroly zvládání rizik Zbytková rizika V samostatné příloze se seznamem informačních aktiv jsem doplnil rizika a jejich klasifikaci k jednotlivým aktivům. Nástin tabulky viz dále. ENVIRO 15.4.2010 Ing. Jaroslav Březina 14

Seznam klasifikovaných informačních aktiv a jejich rizik Zkratka Věcný obsah Specifikace. Kategorie aktiva Odpovědnost Riziko Zvládání rizika Projekty Informace o vyhlášených a předložených projektech Internetové stránky, Intranet, Vnitřní informační systém P VP TVP Střední: a) ztráta dokumentu b) nesoulad elektronického a papírového záznamu Stanovení úložného místa a důsledná kontrola spisu a jeho elektronické verze Atd. ENVIRO 15.4.2010 Ing. Jaroslav Březina 15

Analýza rizik na základě rozlišení typů hrozeb a obecných zranitelností Kategorie hrozby: A náhodná E přírodního charakteru D úmyslná Ke kategorizaci jsem využil ČSN ISO/IEC TR 13335-3:2000 Informační technologie Směrnice pro řízení bezpečnosti IT Část 3: Techniky pro řízení bezpečnosti IT, příloha C Seznam možných typů hrozeb a přílohu E Typy metod analýzy rizik. ENVIRO 15.4.2010 Ing. Jaroslav Březina 16

Analýza rizik Stupeň rizika určuje příslušný expert (viz ČSN ISO/IEC 13335-3, příloha E, příklad 3 Odhad hodnoty četnosti a možné změny rizik). Zranitelnost Příčina Hrozba/Incident Kat. Riziko Zvládání rizika Software Nejasné nebo neúplné specifikace pro vývojáře; nedostatek efektivního řízení změn Selhání software D, A střední Proškolený personál, specifikace SW pro jednotlivé PC viz M 07-07 ENVIRO 15.4.2010 Ing. Jaroslav Březina 17

Postup zavedení v SSW - 1 Rozhodnutí vedení Jmenování MBI (manažera bezpečnosti informací) Stanovení etap zavádění ISMS Zpracování hmg zavádění ISMS Zpracovávání dokumentace dle hmg Doplnění stávající dokumentace QMS Zpracování zastřěšující směrnice pro ISMS Zapracování do integrované PK Provedení interního auditu ENVIRO 15.4.2010 Ing. Jaroslav Březina 18

Postup zavedení v SSW - 2 Projednání závěrů interního auditu Zpracování nápravných opatření a sledování jejich plnění a zapracování závěrů do dokumentace. Ověření zavedených opatření a zpracování zprávy o zavádění ISMS Rozhodnutí vedení k provedení certifikace dle ISO 27001:2006 ENVIRO 15.4.2010 Ing. Jaroslav Březina 19

Problematické oblasti při zavádění Přístup na řešení problematických oblastí je nejlépe předvést na jednotlivých cílech, které jsou rozpracovány v normě v příloze A Cíle, opatření a jednotlivá bezpečnostní opatření. Příloha A je rozdělena na 11 doporučení a návodů pro zavedení nejlepších praktik pro podporu těchto opatření (A5 A 15). ENVIRO 15.4.2010 Ing. Jaroslav Březina 20

Opatření A 5 Bezpečnostní politika informací Je nutné stanovit: Bezpečnostní politiku ISMS Přezkoumání vedením organizace ENVIRO 15.4.2010 Ing. Jaroslav Březina 21

Opatření A 6 Organizace bezpečnosti informací Interní organizace Závazek vedení Přidělení odpovědnosti v oblasti ISMS Dohody o ochraně důvěrných informací Externí subjekty Identifikace rizik plynoucích z přístupu ext. subjektů Bezpečnostní požadavky pro přístup klientů Bezpečnostní požadavky v dohodách s třetí stranou ENVIRO 15.4.2010 Ing. Jaroslav Březina 22

Opatření A 7 Řízení aktiv Odpovědnost za aktiva Evidence aktiv Vlastnictví aktiv Klasifikace informací Doporučení pro klasifikaci Označování a nakládání s informacemi ENVIRO 15.4.2010 Ing. Jaroslav Březina 23

Opatření A 8 Bezpečnost lidských zdrojů Před vznikem pracovního poměru Role a odpovědnosti, Prověřování Podmínky výkonu pracovní činnosti Během pracovního poměru Odpovědnost vedoucích zaměstnanců Informovanost, vzdělávání a školení v oblasti ISMS Ukončení nebo změna pracovního poměru Odpovědnosti při ukončení pracovního poměru Odebrání přístupových práv ENVIRO 15.4.2010 Ing. Jaroslav Březina 24

Opatření A 9 Fyzická bezpečnost a bezpečnost prostředí Zabezpečené oblasti Fyzický bezpečnostní perimetr Kontroly vstupu osob Ochrana před hrozbami zvnějšku a prostředí Bezpečnost zařízení Umístění zařízení a jeho ochrana Bezpečnost kabeláže Bezpečnost zařízení mimo objekt Bezpečná likvidace nebo opakované použití zařízení ENVIRO 15.4.2010 Ing. Jaroslav Březina 25

Opatření A 10 Řízení komunikací a provozu Provozní postupy a odpovědnosti Dokumentace provozních postupů Řízení změn Řízení dodávek služeb třetích stran Dodávky služeb Monitorování a přezkoumání služeb třetích stran Plánování a přejímání systému Řízení kapacit Přejímání systémů ENVIRO 15.4.2010 Ing. Jaroslav Březina 26

Opatření A 10 - pokračování Ochrana proti škodlivým programům a mobilním kódům Opatření na ochranu proti škodlivým programům Zálohování Správa bezpečnosti sítě Síťová opatření Bezpečnost síťových služeb ENVIRO 15.4.2010 Ing. Jaroslav Březina 27

Opatření A 10 - pokračování - Bezpečnost při zacházení s médii Správa výměnných počítačových médií Postupy pro manipulaci s informacemi Bezpečnost systémové dokumentace - Výměna informací - Postupy a politiky při výměně informací - Elektronické zasílání zpráv - Informační systémy organizace ENVIRO 15.4.2010 Ing. Jaroslav Březina 28

Opatření A 10 - pokračování - Služby elektronického obchodu On-line transakce Veřejně přístupné systémy - Monitorování Pořizování auditních záznamů Administrátorský a operátorský deník Synchronizace hodin ENVIRO 15.4.2010 Ing. Jaroslav Březina 29

Opatření A 11 Řízení přístupu Požadavky na řízení přístupu Politika řízení přístupu Řízení přístupu uživatelů Registrace uživatele Řízení privilegovaného přístupu Odpovědnosti uživatelů Používání hesel Zásada prázdného stolu a prázdné obrazovky monitoru ENVIRO 15.4.2010 Ing. Jaroslav Březina 30

Opatření A 11 - pokračování - Řízení přístupu k síti Politika užívání síťových služeb Ochrana portů pro vzdálenou diagnostiku a konfiguraci - Řízení přístupu k operačnímu systému Bezpečné postupy přihlášení - Řízení přístupu k aplikacím a informacím Oddělení citlivých systémů - Mobilní výpočetní zařízení a práce na dálku Mobilní výpočetní prostředky ENVIRO 15.4.2010 Ing. Jaroslav Březina 31

Opatření A 12 Akvizice, vývoj a údržba systémů Bezpečnostní požadavky informačních systémů Analýza a specifikace bezpečnostních požadavků Správné zpracování v aplikacích Validace vstupních dat Kontrola vnitřního zpracování Kryptografická opatření Politika pro použití kryptografických opatření Správa klíčů ENVIRO 15.4.2010 Ing. Jaroslav Březina 32

Opatření A 12 - pokračování Bezpečnost systémových souborů Správa provozního programového vybavení Řízení přístupu ke knihovně zdrojových kódů Bezpečnost procesů vývoje a podpory Postupy řízení změn Programové vybavení vyvíjené ext. dodavatelem Řízení technických zranitelností Řízení, správa a kontrola technických zranitelností ENVIRO 15.4.2010 Ing. Jaroslav Březina 33

Opatření A 13 Zvládání bezpečnostních incidentů Hlášení bezpečnostních událostí a slabin Hlášení bezpečnostních událostí a slabin Zvládání bezpečnostních incidentů a kroky k nápravě Odpovědnosti a postupy Ponaučení z bezpečnostních incidentů Shromažďování důkazů ENVIRO 15.4.2010 Ing. Jaroslav Březina 34

Opatření A 14 Řízení kontinuity činnosti společnosti Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací Zahrnutí bezpečnosti informací do procesu řízení kontinuity činnosti organizace Vytváření a implementace plánů kontinuity Testování, udržování a přezkoumání plánů kontinuity ENVIRO 15.4.2010 Ing. Jaroslav Březina 35

Opatření A 15 Soulad s požadavky Soulad s právními požadavky Identifikace odp. předpisů Ochrana duševního vlastnictví, záznamů organizace Soulad s bezpečnostními politikami, normami a technická shoda Shoda s bezpečnostními politikami a normami Kontrola technické shody Hlediska auditu informačních systémů Opatření k auditu informačních systémů ENVIRO 10.9.2012 Ing. Jaroslav Březina 36

Závěr Děkuji za pozornost. Jaroslav Březina - Manažer jakosti SYSCOM Software spol. s r. o. Kytlická 818/21a, 190 00, Praha 9 e-mail: Jaroslav.Brezina@ssw.cz tel: 286 000 628; fax: 286 892 961 http://www.ssw.cz ENVIRO 15.4.2010 Ing. Jaroslav Březina 37