Bezpečnost informací Oborové normy

Podobné dokumenty
Bezpečnost informací Oborové normy

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Úvod do validace počítačových systémů Ing. Miroslav Mík. Obsah

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Úvod - Podniková informační bezpečnost PS1-2

Bezpečnostní aspekty informačních a komunikačních systémů KS2

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

ANECT, SOCA a bezpečnost aplikací

Obsah. Základní pojmy, zkratky Předpisy a literatura přehled Přístup k validacím počítačových systémů URS Validace Předpisy a literatura

Bezpečnost na internetu. přednáška

Kybernetická bezpečnost

Management informační bezpečnosti. V Brně dne 26. září 2013

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Michal Andrejčák, Seminář Energetika v průmyslu, Hotel Vista Dolní Morava, Možnosti monitorování a ovládání Zpracování dat z rozvoden

Technické aspekty zákona o kybernetické bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

MFF UK Praha, 29. duben 2008

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Bezpečnostní normy a standardy KS - 6

ČESKÁ TECHNICKÁ NORMA

Technologický seminář Simac Technik ČR, a.s. Praha,

Normy ISO/IEC 27xxx Přehled norem

Bezpečnostní politika společnosti synlab czech s.r.o.

Nástroje IT manažera

Normy ISO/IEC 27xxx Přehled norem

ADMINISTRACE POČÍTAČOVÝCH SÍTÍ. OPC Server

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Sdílení výukových materiálů. Inovativní podpora výuky a provozu. Ochrana dat. Moderní interaktivní výuka. Příprava vyučujících

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

POČÍTAČOVÉ ŘÍZENÍ TECHNOLOGICKÝCH PROCESŮ

WIDE AREA MONITORING SYSTEM (WAMS) METEL

Kybernetická bezpečnost

Klíčové aspekty životního cyklu essl

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Návrh zákona připravil a předložil Národní bezpečnostní úřad. Předložen k dalšímu legislativnímu projednávání v Parlamentu České republiky

Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů

Kybernetická bezpečnost resortu MV

Kybernetická bezpečnost MV

Novela zákona o kybernetické bezpečnosti Směrnice NIS. Jan Zahradníček

Představení služeb DC SPCSS Státní pokladna Centrum sdílených služeb

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

POČÍTAČOVÉ ŘÍZENÍ TECHNOLOGICKÝCH PROCESŮ

EXTRAKT z mezinárodní normy

ČESKÁ TECHNICKÁ NORMA

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Postupy pro zavedení a řízení bezpečnosti informací

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Dlouhodobé ukládání elektronických záznamů pacienta. Markéta Bušková ECM konzultant, SEFIRA

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

EU a kritická infrastruktura, rozvoj a podpora projektů v rámci ČR. Ing. Jiří Jirkovský, MBA

EXTRAKT z mezinárodní normy

Technická a organizační opatření pro ochranu údajů

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Nástroje IT manažera

AUDITOR EMS PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.9/2007

POČÍTAČOVÉ ŘÍZENÍ TECHNOLOGICKÝCH PROCESŮ

EXTRAKT z technické normy CEN ISO

EXTRAKT z české technické normy

Zákon o kybernetické bezpečnosti

POZNÁMKA Zvláštní schválení požadavků nebo dokumentů souvisejících s bezpečností smí být vyžadováno zákazníkem nebo interními procesy organizace.

Standardizace kartových systémů ve veřejné dopravě, legislativní podpora

Chytré měření a jeho specifikace

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Normy ISO/IEC Aplikační bezpečnost

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Aktivní bezpečnost sítě

SMĚRNICE DĚKANA Č. 4/2013

Komunikace mezi doménami s různou bezpečnostní klasifikací

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

ČESKÁ TECHNICKÁ NORMA

Normy a standardy ISMS, legislativa v ČR

Dopady GDPR a jejich vazby

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Management informační bezpečnosti

Demilitarizovaná zóna (DMZ)

Zavádění a realizace systému EMAS na MŽP. Tisková konference EMAS MŽP, Praha,

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Kulatý stůl l expertů. Jihlava 20.června 2007

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

10. setkání interních auditorů v oblasti průmyslu

EXTRAKT z technické normy ISO

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

Bezpečnostní projekt podle BSI-Standardu 100

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Management bezpečnosti fyzické vrstvy

Transkript:

Bezpečnost informací Oborové normy V Brně dne 24. června 2014

Oborové normy Státní správa Zdravotnictví ISP Energetika Akademické a univerzitní prostředí Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 2

Státní správa Státní správa 3

ISMS ve státní správě Pojmy: ISVS Informační č systémy veřejné ř správy MIČR Ministerstvo Informatiky ČR zrušeno v roce 2007 NSIB Národní strategie informační bezpečnosti ČR - Zajištění informační bezpečnosti veřejnou správou - Strategie předpokládá spolupráci orgánů veřejné správy s národní normalizační institucí (tj. Českým normalizačním institutem) při tvorbě norem z oblasti informační bezpečnosti. NCKB Národní centrum kybernetické bezpečnosti CERT Computer Emergency Response Team je vládní pracoviště zřízeno jako součást NCKB a značí tým pro řešení bezpečnostních počítačových incidentů Státní správa je z pohledu ISMS a jeho zavádění nejpotřebnější a nejkritičtější oblast z pohledu množství a členitosti zpracovávaných údajů. ISVS 4

ISMS ve státní správě Specifika zavádění ISMS ve státní správě - převážná část dokumentů existuje v papírové formě - komplikované hodnocení dopadů při analýze rizik - komplikovaná mezirezortní komunikace V dokumentu Bezpečnostní strategie ČR zroku 2011 zmiňuje v seznamu bezpečnostních hrozeb kybernetické útoky a ohrožení funkčnosti kritické infrastruktury. Ve vztahu k bezpečnostním požadavkům jsou v ČR nejvýznamnějšími: - zákon č. 365/2000 Sb., o informačních systémech veřejné správy - zákon č. 81/2012 Sb., je poslední novela předchozího - zákon č. 499/2004 Sb., o archivnictví a spisové službě - zákon č. 167/2012 Sb., je poslední novela předchozího - vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy - vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb ISVS 5

ISMS ve státní správě V České republice byl v prosinci roku 2002 vydán Standard ISVS 005/02.1 pro náležitosti životního cyklu informačního systému (vydal Úřad pro veřejné informační č systémy v Praze). Národní digitální archiv Prvního července roku 2012 nabyla účinnosti další novela zákona č. 499/2004 Sb., o archivnictví a spisové službě. Otevřela se tím legislativní cesta k vybudování Národního digitálního archivu, který bude specializovaným servisním pracovištěm a bude zajišťovat trvale udržitelné a bezpečné uchování digitálních dokumentů vybraných za digitální archiválie. Národní portál Součástí realizace Národního digitálního archivu bude tzv. Národní portál, který bude mít celou řadu zásadních funkcí, a to nejen pro vlastní původce, ale také pro badatele. Půjde o informační systém veřejné správy, který bude spravovat Národní archiv. V rámci EU je funkční model zvaný Úřední věstník Evropské unie, který formou prováděcích nařízení í komise EU stanovuje například technické specifikaci pro zabezpečení systémů ICT v rámci ISMS. ISVS 6

ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls): 1. inventář autorizovaných a neautorizovaných zařízení (HW audit) 2. inventář autorizovaného a neautorizovaného SW (SW audit) 3. bezpečné konfigurace HW a SW na pracovních stanicích a serverech 4. průběžná kontrola zranitelnosti a její j odstranění 5. ochrana před škodlivým SW 6. bezpečnost aplikačního SW 7. opatření pro bezdrátová zařízení 8. schopnost obnovy dat (manuální ověření) 9. posouzení bezpečnostních schopností a vhodné školení (manuální ověření) 10. bezpečná č ákonfigurace síťových ýhzařízení í (fireally, routery a switche) ISVS 7

ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls) - pokračování: 11. omezení a opatření pro síťové porty, protokoly a služby 12. řízení administrativních privilégií 13. ochrana perimetru 14. údržba, sledování a analýza bezpečnostních log záznamů 15. kontrola přístupu založený na principu need to know 16. sledování a řízení uživatelských účtů 17. předcházení ztrátám dat (Data Loss Prevention) 18. schopnost reakce na incidenty (manuální ověření) 19. bezpečný síťový inženýring 20. penetrační č ítestyt ISVS 8

4 fáze penetračních testů Planning Discovery Attack Reporting pouze příprava na testování (2 části start testování a analýza hrozeb Vulnerabilities) základní a individuální fáze dle analýzy hrozeb se zpětnou vazbou průběžné dokumentování testů Mngr ISMS 9

Zdravotnické prostředí Zdravotnictví 10

ISMS ve zdravotnictví Zdravotnická informatika (Health informatics) je vědecká disciplína, která se zabývá poznávacími, informačně-zpracovatelskými a komunikačními úkoly zdravotnické praxe, vzděláním a výzkumem včetně informační vědy a technologií na podporu těchto úkolů. (Definováno v ISO/TR 18307:2001, definice 3.73) Zdravotnický informační systém (Health informatik system) je úložiště (repositář) informací týkajících se zdravotního stavu subjektu péče v počítačově zpracovatelné formě, uložených a přeníášených bezpečně, a přístupných více autorizovaným uživatelům. (Definováno v ISO/TR 20514:2005, definice 2.25) Osobní zdravotní informace (Personal health information) jsou informace o identifikovatelné osobě, které se vztahují na fyzické nebo duševní zdraví jedince, nebo na poskytování zdravotních služeb jednotlivé osobě. Z pohledu provozního prostředí je třeba vnímat zdravotnictví jako specifikum, které je řešeno odlišnými požadavky na informační systémy. Oborové ISMS 11

ISMS ve zdravotnictví - prostředí Aktiva z pohledu bezpečnosti zdravotních informací zahrnují: - Lékařské informace - Služby IT -HW - SW - Komunikační zařízení - Média (nosiče dat) - IT zařízení - Lékařská zařízení, která zaznamenávají nebo poskytují data Organizace, které zpracovávají zdravotnické informace, včetně osobních údajů, musí mít politiku bezpečnosti informací, která je schválena vedením, publikována a sdělena všem zaměstnancům a příslušným vnějším stranám. Oborové ISMS 12

ISMS ve zdravotnictví - zařízení Specifické požadavky na bezpečnost zdravotnických elektronických přístrojů - Elektrická zdravotnická zařízení (MED) - dva prostředky ochrany MED: - Prostředek ochrany obsluhy - MOOP (MEANS OF OPERATOR PROTECTION) Prostředek ochrany pro snížení rizika úrazu elektrickým proudem osob jiných, než pacienta. - Prostředek ochrany pacienta MOPP (MEANS OF PATIENT PROTECTION) - Zdravotnický elektrický systém (definice a popis v ČSN EN 60601-1 edice 2 kapitola 16) - ČSN EN 60601 (ed. 2) Zdravotnické elektrické přístroje Část 1: Všeobecné požadavky na základní bezpečnost a nezbytnou funkčnost (36 4801). Specifické požadavky na redundanci v napájení zařízení ICT - napájení standardními okruhy s UPS - záložní motorgenerátor (týdenní test s přepojením okruhů, ) - Specifické okruhy pro MED s bezpečným napětím Oborové ISMS 13

Medicínská zařízení EU direktiva 93/42/EEC z roku 1993 - definuje medicínská zařízení a jejich řazení do tříd EU direktiva 93/68/EEC - Definuje podmínky pro udělení certifikátu CE - Označení CE potvrzuje tzv. shodu produktu s požadavky předpisů EU. - v ČR tzv. prohlášení o shodě dle zákona č. 22/1997 Sb. (Zákon o technických požadavcích na výrobky) Oborové ISMS 14

ISO/IEC 27799:2008 ISO/IEC 27799:2008 Zdravotnická informatika Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC 27002 Tato mezinárodní norma definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ISO/IEC 27002 a je doprovodem této normy. Tato norma specifikuje soubor podrobných kontrol pro řízení í bezpečnosti č zdravotnických informací a poskytuje směrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací. Tato norma se vztahuje na zdravotnické informace ve všech aspektech, bez ohledu na jejich formu (slovní a číselnou, zvukové nahrávky, kresby, video a lékařské snímky), na prostředky k jejich ukládání (tisk, zápis na papíře nebo elektronické uložení) a na prostředky využívané k jejich přenosu (ručně, faxem, přes počítačové sítě či poštou), protože tyto údaje musí být vždy náležitě chráněny. Normy ISO/IEC 27002 a ISO/IEC 27799 společně určují, jaké jsou požadavky na bezpečnost informací ve zdravotnictví. Tuto mezinárodní normu uzavírají tři informační č přílohy. -Příloha A popisuje obecné hrozby pro zdravotnické informace -Příloha B stručně popisuje úkoly a související dokumenty systému řízení bezpečnosti č zdravotnických informací - Příloha C popisuje výhody podpůrných nástrojů jako pomoc při implementaci Oborové ISMS 15

KI a zdravotnictví Pojem Krizová infrastruktura ve zdravotnictví - je vyčleněná část zdravotnického segmentu zajišťující základní a existenčně nezbytné funkce systému poskytování zdravotnických služeb a zdravotní péče v podmínkách nouzových až kritických situací Výběrovým kritériem prvků krizové infrastruktury resortu je legitimní ukazatel druh, rozsah a místo poskytování služeb. Pojem Kiti Kritická káinfrastruktura ve zdravotnictví t - je vybraná soustava klíčových prvků krizové infrastruktury, které jsou určující pro zabezpečení základní, existenčně nezbytné funkce systému Kritériem je odborně posouzená role prvku z hlediska rozsahu, závažnosti a času. Rozsah místní, regionální, vnitrostátní, mezinárodní. Závažnost dle dopadu na obyvatele, hospodářství, životní prostředí, veřejné zdraví, psychiku a politiku. Čas určuje závažnost dopadu okamžitě, do 24, 48, 72 hodin, 7 dnů, atd. KI 16

ISP ISP 17

ISMS a ISP Pojmy: ISP (Internet Service Provider) - je poskytovatel telekomunikačních a datových služeb. ISMS-T - je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 je technická podkomise ISO/IEC zabývající se standardizací IT bezpečnosti. ITU - (International Telecommunication Union) - Mezinárodní telekomunikační unie Problematika bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T). Ta je řešena normativně organizací ITU-T. ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, včetně jejich provozu, fungování a údržbu. V rámci ITU-T jsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Telekomunikační bezpečnost je bezpečnost ICT technologií v telekomunikačních aplikacích (ISMS-T). Konvergence telekomunikačních sítí je technologické přibližování či přechod k jednotnému síťovému řešení. NGN Next Generation Network jsou konvergované telekomunikační č sítě poskytující í komplexní služby koncovým uživatelům. Oborové ISMS 18

ISMS a ISP Bezpečnost komunikačních služeb lze schématicky znázornit na příkladu blokového zapojení a vzájemných vazeb dle Q9/17 - Secure Communication Services: Oborové ISMS 19

ISP odpovědnost a kybernetická kriminalita Management informační bezpečnosti 20

ISP Odpovědnost ISP dle platné legislativy - pojem ISP (vymezení dle zákona č. 480/2004 Sb., dělení dle typu poskytovaných služeb hosting, caching, přenos dat) - pojem odpovědnosti z pohledu práva - odpovědnost ISP za obsah přenášených a ukládaných informací, koncepce safe harbor -předpoklady, podmínky a limitace vzniku odpovědnosti ISP - filehostingové služby boj autorských svazů proti těmto modelům podnikání, - žaloby na zákaz poskytování služeb, které mohou vést k porušování autorských práv - blokace webových stránek ze strany poskytovatelů připojení Praktické zkušenosti očima poskytovatelů služeb - odpovědnost za obsah poskytnutý uživateli a za obsah nelegálně získaný a umístěný na server poskytovatele - odpovědnost za uveřejněné ř ě éinformace Management informační bezpečnosti 21

Internetové služby Rozhodovací praxe soudů v oblasti internetových služeb - služby poskytující autorsky chráněný obsah v judikatuře - žaloby na blokaci webových stránek ze strany poskytovatelů připojení - rozhodné právo a jurisdikce v prostředí internetu (řízení vztahů na internetu) Kybernetické útoky a kybernetická trestná činnost - současné č aspekty kybernetické ké kriminality i - pojem kybernetických útoků - postup orgánů činných v trestním řízení při odhalování kybernetické trestné činnosti Management informační bezpečnosti 22

ISO/IEC 27011:2008 ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Norma ISO/IEC 27011 je přizpůsobena telekomunikačnímu prostředí a je postavena na bázi všeobecné normy ISO/IEC 27002. Norma řeší následující témata: - Obecné pokyny pro informační bezpečnost - Organizační struktury - Odpovědnost a klasifikaci i informačních č aktiv - Bezpečnostní opatření pro zaměstnance - Fyzickou ochranu a veřejné služby -Sítě a provozní bezpečnost - Řízení přístupu - Systém vývoje a údržby - Bezpečnostními incidenty - Plánování á havarijní připravenost - Dodržování vnitřních a regulačních požadavků ITU-T Recommendation X.1051 Information security management system Requirements for telecommunications (ISMS-T) Doporučení X.1051 platí pro ISMS v telekomunikačním prostředí (ISMS-T). Oborové ISMS 23

NGN Pro NGN (Next Generation Networks) platí norma ve formě ITU-T následující bezpečnostní doporučení: ITU-T Recommendation X.800 Security architecture for Open Systems Interconnection for CCITT applications ITU-T Recommendation X.805 Security Architecture for Systems Providing End-to-End Communications NGN (Next Generation Networks) sítě následující generace jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat, komunikací a multimediálních aplikací. Jsou postaveny na přenosu paketů a určeny k poskytování telekomunikačních služeb uživatelům. Doporučení ITU-T T Y.2001 definuje NGN jako síť založenou na přepojování paketů. Dodatek k doporučení ITU-T Y.2011 doporučuje vhodný model OSI pro NGN. Doporučení ITU-T Y.120 definuje model konvergence sítě. Doporučení ITU-T T Y.2701 Security requirements for NGN Doporučení ITU-T Y.2704 Security mechanisms and procedures for NGN Konvergenci zpohledu bezpečnosti č bude řešit připravovaná norma ISO/IEC 27033-6 IP konvergence. Oborové ISMS 24

NGN Konvergenční model NGN je řešen ve třech aplikačních vrstvách (data, vysílání, telekomunikace). Rozfázování konvergence lze provést v následných krocích: Obsah > Služby > Infrastruktura > Koncový uživatel Oborové ISMS 25

IMS IMS (IP Multimedia Subsystem) jako součást NGN Oborové ISMS 26

Energetika Energetika 27

Distribuce elektřiny Kolem připravované novely energetického zákona (č. 458/2000 Sb.) je rušno. Za dobu platnosti zákona je již jednadvacátá! Příklad: Současná platba za elektřinu se skládá z několika složek. U elektřiny jsou prakticky významné tři složky ceny: - Platba za distribuci elektřiny distributorovi - Platba za odebrané množství elektřiny -Příspěvek na obnovitelné zdroje Přičemž platba za odebranou elektřinu je jedinou složkou ceny, kterou stanovuje trh. Je závislá na množství odebraných kilowatthodin (kwh). Platba za distribuci je regulovaná a její výše je každoročně stanovována vyhláškou Energetického regulačního úřadu. Tato platba tvoří téměř polovinu celkové ceny a má dvě složky: - pevnou platbu za přípojné poj místo (jejíž výše je závislá á na velikosti hlavního jističe) - platbu za odebrané kwh. Energetika 28

Energetika ISO/IEC TR 27019:2013 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry Poskytuje hlavní zásady postavené na ISO/IEC 27002 aplikované na systémy řízení procesů používaných v energetickém průmyslu. Cílem ISO/IEC TR 27019:2013 je rozšířit ISO/IEC 27000 soubor norem na oblast procesních řídicích systémů a automatizační techniky, což umožňuje energetickému rozvodnému průmyslu implementovat standardizovaný systém řízení informační bezpečnosti (ISMS) v souladu s normou ISO/IEC 27001 se záběrem až na úroveň řízení procesů. Rozsah ISO/IEC TR 27019:2013 se vztahuje na systémy řízení procesů používaných v energetice pro řízení a monitorování výroby, přenosu, skladování a distribuci elektrické energie, plynu a tepla v kombinaci s kontrolou podpůrných procesů. Mimo záběr ISO/IEC TR 27019:2013 je konvenční nebo klasické ovládací zařízení, které není postaveno na digitálním principu, tedy je čistě elektromechanické nebo je postaveno na analogovém principu. Energetické systémy řízení technologických procesů v domácnostech a jiných srovnatelných obytných budovách nespadají do působnosti ISO/IEC TR 27019:2013. Oborové ISMS 29

Energetika Působnost normy se týká především následujících systémů, aplikací a komponentů: - obecně IT technologií podporující centrální a distribuované řízení procesů, monitorování a automatizační techniky, včetně IT systémů používané pro jejich provoz - číslicových ý h regulátorů ů a automatizačních ti č komponentů, jako je řízení í a periferie i nebo PLC, včetně digitálních prvků pro snímače a pohony - všech dalších podpůrných IT systémů používaných v oblasti řízení procesů, např. pro sběr doplňujících údajů, vizualizační úlohy a pro řízení, monitorování, archivaci dat a k dokumentačním účelům - komunikačních technologií používaných v oblasti řízení technologických procesů, např. sítí, telemetrii, dálkové aplikace a dálkové ovládání technologií - digitálního měření a měřících přístrojů (pro měření spotřeby energie nebo mezních hodnot emisí) - digitální ochrany a bezpečnostních systémů, např. ochranná relé nebo bezpečnostní PLC měření a měřicí zařízení (měření spotřeby energie nebo mezních hodnot emisí) - distribuovaných komponentů prostředí budoucích inteligentních sítí - veškerého softwaru, firmwaru a aplikací nainstalovaných ve výše zmíněných systémech Oborové ISMS 30

SCADA dohledové systémy SCADA (Supervisory Control and Data Acquisition) ICS (Industrial Control System) Dohled nad KI 31

SCADA/HMI Profesionální SCADA/HMI systém určený pro monitorování a ovládání průmyslových procesů a automatizaci budov. Základní atributy SW SCADA: - intuitivní, přehledné a moderní vývojové prostředí - rychlý vývoj aplikací (RAD) - vizualizace pro PC, web, tablety a chytré telefony - rozsáhlá knihovna grafických objektů - rychlá a kvalitní technická podpora SCADA není plnohodnotným řídicím systémem, ale zaměřuje se spíše na úroveň supervizora (např. dispečera). Zpravidla je to software fungující nad skutečným řídicím systémem založeným např. na PLC (programovatelný logický automat) nebo jiných HW zařízeních. HMI je zkratka pro Human Machine Interface, tzn. rozhraní mezi člověkem a strojem. Atributy 32

Akademické prostředí Akademické prostředí 33

Campus optická páteř Oborové ISMS 34

Akademické a univerzitní prostředí Akademickým prostředím je v této souvislosti myšleno prostředí vysokoškolských zařízení. Škola kromě ě toho, že poskytuje internet t svým zaměstnancům, ě ů tak se také stává á poskytovatelem internetu pro své studenty (zpravidla formou WiFi). Je tedy nutné zdůraznit následující: řádné oddělení sítí (síť pro zaměstnance, síť v počítačových učebnách, WiFi síť) a s tím související přístupová práva (nejen 802.1x) a QoS (přidělení priorit jednotlivým typům služeb) dodržování IT standardů (umožnění funkčního připojení zařízení od různých výrobců, zejména v případě wifi sítě a notebooků studentů) AAA (autentizace a autorizace jednotlivých uživatelů samostatně a nikoliv sdílená hesla) logování aktivit uživatelů (přihlášení, odhlášení, použité služby, IP adresy apod.) adekvátní bezpečnostní politika - např. (dočasné) omezení přístupu k WiFi (nebo jiný postih)v případě potenciálního ohrožení sítě (přítomnost viru nebo červa na notebooku apod.) či jiného porušení pravidel jejího používání, znemožnění instalování dalšího software studenty na PC v počítačových učebnách atd. zabezpečení WiFi sítě (WPA2, AES, 802.1x, filtrace portu 25 tj. používání pouze vlastního školního mail serveru, atd.) Oborové ISMS 35

Akademické a univerzitní prostředí - Campus Oborové ISMS 36

Univerzitní prostředíaisms Management informační bezpečnosti 37

Univerzity a bezpečnostní politika -1 1. Správa osobních dat studentů materiály související s přijímacím řízením zdravotní stav studentů hodnocení jednotlivých studijních výsledků ročníkové a diplomové práce zaměstnávání studentů na technických místech 2. Správa osobních dat zaměstnanců univerzity interní dokumenty správa software (licence, vlastní SW) autorská práva a ochranné známky ekonomická data To jsou dostatečné důvody pro vytvoření bezpečnostní politiky univerzity! Management informační bezpečnosti 38

Univerzity a bezpečnostní politika - 2 Objektová a přístupová bezpečnost studijní oddělení oddělení pro vědeckou činnost útvar ICT sekretariáty ústavů Zahraniční oddělení Cíle bezpečnostníč politiky definování zásad managementu bezpečnosti způsob řízení definováním rolí s pravomocemi a zodpovědností pojmenování východisek pro hlavní zásady a řešení informační bezpečnosti působení na zvyšování bezpečnostního povědomí zaměstnanců a studentů Management informační bezpečnosti 39

Finanční požadavky na zavedení ISMS pro univerzitu 520.000,- Kč 1 410.000,- Převzato z příspěvku ě BEZPEČNOSTNÍ POLITIKA UNIVERSITY (SECURITY POLICY OF UNIVERSITY) autorů ů Dagmar Brechlerové a Michala Moravce z České zemědělské univerzity, uveřejněno ve sborníku mezinárodní konference UNINFOS 2006 - Univerzitné informačné systémy. http://uninfos.ukf.sk/documents/zbornik_uninfos2006.pdf Management informační bezpečnosti 40

Akademické a univerzitní prostředí - požadavky Základní požadavky na řešení: - Centralizovaný AP management (postavený na tunelování) - Kontrola Zabezpečeného přístupu - Uživatelský roaming v rámci kampusu (L2/3) -Chytrý klient (IPhone, ipad, tablet ) skompatibilním bezdrátovým FW, blokování P2P Poznámka: P2P je síť Peer-To-Peer (což je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server). Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem). 3 stupně ochrany: - ochrana studentů - ochrana objektů (školy) - ochrana zaměstnanců Oborové ISMS 41

Ukázka řešení informační bezpečnosti v akademickém prostředí Data Security Program for Higher Education a jeho výhody: Locate and Protect Sensitive Data Správa a ochrana citlivých dat Meet ISO & Compliance Standards Soulad se standardy ISO 27002 a PCI DSS (PA-DSS) Enable BYOD Správa zařízení BYOD Poznámka: PCI DSS PA DSS Achieve Simplicity (Payment Card Industry) (Data Security Standard) (Payment Application Data Security Standard) Centrální řízení, automatizace a správa informační bezpečnosti Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 42

Ukázka řešení informační bezpečnosti v akademickém prostředí Risk Assessment Services Helps you find, identify and prioritize threats to your organization so you can correct any deficiencies, and obtain and maintain compliance. Secure Web Gateway Enables safe and productive access to Web 2.0, while ensuring compliance, minimizing data loss and eliminating malware risks. SIEM Helps you gain broad visibility of threats to your network and improve your compliance process through logging, monitoring, and analysis of events. Security Awareness Education Instructs your employees and contractors to understand the threat of social engineering and follow best practices for security, including password management and the safe use of web and social media tools. SSL Certificates Encrypts sensitive data that you collect through your website and assures visitors, including students, faculty, alumni and benefactors, that they are accessing a trustworthy site. Secure Web communication, protect e-commerce transactions and reinforce customer trust with 256-bit SSL certificates. Data Loss Prevention Allows you to discover and classify electronic sensitive information and prevent it from leaving the network. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 43

pokračování Network Access Control Ensures managed and unmanaged devices connecting to the network comply with policies and do not introduce malware. Web Application Firewall Protects against external attackers using web vulnerabilities, such as SQL injection, to steal sensitive information. Two Factor Authentication Controls access to applications that contain sensitive or private student information, or intellectual property that exists on individual department networks. Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 44

Akademické a univerzitní prostředí - směrnice Ilustrativní seznam platných směrnic pro univerzitní prostředí (vztahujících se k IS/IT) - Univerzitní (celoškolské) Směrnice rektora pro centrální IS Směrnice rektora - Pravidla provozu počítačové sítě Směrnice rektora - Pravidla správy počítačové sítě Organizační řád (pro výpočetní a informační služby) - Fakultní Strategie rozvoje ICT Strategie bezpečnosti ICT Strategie rozvoje Internet a Intranet alikací Směrnice správy IS - provoz elektronické pošty a diáře Směrnice správy IS - provoz Internetu Směrnice správy IS - provoz Intranetu Směrnice správy IS - zavádění a změny účtů zaměstnanců a studentů Směrnice správy IS - pravidla pro práci s elektronickou poštou zaměstnanců Směrnice správy IS - pravidla pro práci s elektronickou poštou studentů Oborové ISMS 45

Akademické a univerzitní prostředí - Fakultní (pokračování) Pravidla pro připojování a používání koncových zařízení Vnitřní předpis pro používání multimediálních učeben Vnitřní řád pro laboratoře výpočetní techniky Objektová bezpečnost zabezpečení a řízený přístup do poslucháren Zásady přidělování práv v přístupovém systému - Útvarové (například pro útvar IS) Organizační řád útvaru IS Popisy práce jednotlivých pracovníků útvaru IS Bezpečnostní školení dle vyhlášky 50 Oborové ISMS 46

Akademické a univerzitní prostředí zavádění ISO Fakultní zavádění ISO 27001 (Systém managementu bezpečnosti informací) - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 20000 na útvaru IS) -Výběr konzultanta či firmy pro zavádění ISO 27001 - Ustavení a zavedení ISMS (vyhotovení příručky ISMS, hodnocení rizik, dokumentace postupů provádění opatření ISMS, návrh záznamů k prokázání ISMS) - Ustavení a proškolení interního auditora ISMS a provedení interního auditu - Zpracování a přezkoumání ISMS vedením fakulty - Výběr akreditované certifikační autority pro ISO 27001 - Externí audit a certifikace ISO 27001 Útvarové zavádění ISO 20000 (Systém managementu služeb IT) na útvaru IS - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 27001) -Výběr konzultanta či firmy pro zavádění ISO 20000 - Ustavení a zavedení ITSM (vyhotovení příručky ITSM a katalogu služeb útvaru IS) - Ustavení a proškolení interního auditora ITSM a provedení interního auditu - Zpracování a přezkoumání ITSM vedením útvaru - Výběr akreditované certifikační autority pro ISO 20000 - Externí audit a certifikace ISO 20000 útvaru IS Oborové ISMS 47

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář