Bezpečnost informací Oborové normy V Brně dne 12. prosince 2013
Oborové normy Státní správa Zdravotnictví ISP Energetika Akademické a univerzitní prostředí Normy ISO/IEC 27xxx Systém managementu bezpečnosti informací 2
ISMS ve státní správě Pojmy: ISVS Informační č systémy veřejné ř správy MIČR Ministerstvo Informatiky ČR zrušeno v roce 2007 NSIB Národní strategie informační bezpečnosti ČR - Zajištění informační bezpečnosti veřejnou správou -Strategie předpokládá spolupráci orgánů veřejné správy s národní normalizační institucí (tj. Českým normalizačním institutem) při tvorbě norem z oblasti informační bezpečnosti. NCKB Národní centrum kybernetické bezpečnosti CERT Computer Emergency Response Team je vládní pracoviště zřízeno jako součást NCKB a značí tým pro řešení bezpečnostních počítačových incidentů Státní správa je z pohledu ISMS a jeho zavádění nejpotřebnější a nejkritičtější oblast z pohledu množství a členitosti zpracovávaných údajů. ISVS 3
ISMS ve státní správě Specifika zavádění ISMS ve státní správě - převážná část dokumentů existuje v papírové formě - komplikované hodnocení dopadů při analýze rizik - komplikovaná mezirezortní komunikace V dokumentu Bezpečnostní strategie ČR zroku 2011 zmiňuje v seznamu bezpečnostních hrozeb kybernetické útoky a ohrožení funkčnosti kritické infrastruktury. Ve vztahu k bezpečnostním požadavkům jsou v ČR nejvýznamnějšími: - zákon č. 365/2000 Sb., o informačních systémech veřejné správy - zákon č. 81/2012 Sb., je poslední novela předchozího - zákon č. 499/2004 Sb., o archivnictví a spisové službě - zákon č. 167/2012 Sb., je poslední novela předchozího - vyhláška č. 529/2006 Sb., o dlouhodobém řízení informačních systémů veřejné správy - vyhláška č. 378/2006 Sb., o postupech kvalifikovaných poskytovatelů certifikačních služeb ISVS 4
ISMS ve státní správě V České republice byl v prosinci roku 2002 vydán Standard ISVS 005/02.1 pro náležitosti životního cyklu informačního systému (vydal Úřad pro veřejné informační č systémy v Praze). Národní digitální archiv Prvního července roku 2012 nabyla účinnosti další novela zákona č. 499/2004 Sb., o archivnictví a spisové službě. Otevřela se tím legislativní cesta k vybudování Národního digitálního archivu, který bude specializovaným servisním pracovištěm a bude zajišťovat trvale udržitelné a bezpečné uchování digitálních dokumentů vybraných za digitální archiválie. Národní portál Součástí realizace Národního digitálního archivu bude tzv. Národní portál, který bude mít celou řadu zásadních funkcí, a to nejen pro vlastní původce, ale také pro badatele. Půjde o informační systém veřejné správy, který bude spravovat Národní archiv. V rámci EU je funkční model zvaný Úřední věstník Evropské unie, který formou prováděcích nařízení í komise EU stanovuje například technické specifikaci pro zabezpečení systémů ICT v rámci ISMS. ISVS 5
ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls): 1. inventář autorizovaných a neautorizovaných zařízení (HW audit) 2. inventář autorizovaného a neautorizovaného SW (SW audit) 3. bezpečné konfigurace HW a SW na pracovních stanicích a serverech 4. průběžná kontrola zranitelnosti a její j odstranění 5. ochrana před škodlivým SW 6. bezpečnost aplikačního SW 7. opatření pro bezdrátová zařízení 8. schopnost obnovy dat (manuální ověření) 9. posouzení bezpečnostních schopností a vhodné školení (manuální ověření) 10. bezpečná konfigurace síťových zařízení (fireally, routery a switche) ISVS 6
ISMS ve státní správě Seznam opatření s monitorováním proti k efektivnímu blokování současných známých útoků (20 Critical Security Controls) - pokračování: 11. omezení a opatření pro síťové porty, protokoly a služby 12. řízení administrativních privilégií 13. ochrana perimetru 14. údržba, sledování a analýza bezpečnostních log záznamů 15. kontrola přístupu založený na principu need to know 16. sledování a řízení uživatelských účtů 17. předcházení ztrátám dat (Data Loss Prevention) 18. schopnost reakce na incidenty (manuální ověření) 19. bezpečný síťový inženýring 20. penetrační č ítestyt ISVS 7
ISMS ve zdravotnictví Zdravotnická informatika (Health informatics) je vědecká disciplína, která se zabývá poznávacími, informačně-zpracovatelskými a komunikačními úkoly zdravotnické praxe, vzděláním a výzkumem včetně informační vědy a technologií na podporu těchto úkolů. (Definováno v ISO/TR 18307:2001, definice 3.73) Zdravotnický informační systém (Health informatik system) je úložiště (repositář) informací týkajících se zdravotního stavu subjektu péče v počítačově zpracovatelné formě, uložených a přeníášených bezpečně, a přístupných více autorizovaným uživatelům. (Definováno v ISO/TR 20514:2005, definice 2.25) Osobní zdravotní informace (Personal health information) jsou informace o identifikovatelné osobě, které se vztahují na fyzické nebo duševní zdraví jedince, nebo na poskytování zdravotních služeb jednotlivé osobě. Z pohledu provozního prostředí je třeba vnímat zdravotnictví jako specifikum, které je řešeno odlišnými požadavky na informační systémy. Oborové ISMS 8
ISMS ve zdravotnictví - prostředí Aktiva z pohledu bezpečnosti zdravotních informací zahrnují: - Lékařské informace - Služby IT -HW - SW - Komunikační zařízení - Média (nosiče dat) - IT zařízení - Lékařská zařízení, která zaznamenávají nebo poskytují data Specifické požadavky na bezpečnost zdravotnických elektronických přístrojů Specifická redundance v napájení zařízení ICT - napájení standardními okruhy s UPS - záložní motorgenerátor (týdenní test s přepojením okruhů, ) Organizace, které zpracovávají zdravotnické informace, včetně osobních údajů, musí mít politiku bezpečnosti informací, která je schválena vedením, publikována a sdělena všem zaměstnancům a příslušným vnějším stranám. Oborové ISMS 9
ISO/IEC 27799:2008 ISO/IEC 27799:2008 Zdravotnická informatika Systémy řízení bezpečnosti informací ve zdravotnictví využívající iso/iec 27002 Tato mezinárodní norma definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ISO/IEC 27002 a je doprovodem této normy. Tato norma specifikuje soubor podrobných kontrol pro řízení í bezpečnosti č zdravotnických informací a poskytujesměrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací. Tato norma se vztahuje na zdravotnické informace ve všech aspektech, bez ohledu na jejich formu (slovní a číselnou, zvukové nahrávky, kresby, video a lékařské snímky), na prostředky k jejich ukládání (tisk, zápis na papíře nebo elektronické uložení) a na prostředky využívané k jejich přenosu (ručně, faxem, přes počítačové sítě či poštou), protože tyto údaje musí být vždy náležitě chráněny. Normy ISO/IEC 27002 a ISO/IEC 27799 společně určují, jaké jsou požadavky na bezpečnost informací ve zdravotnictví. Tuto mezinárodní normu uzavírají tři informační č přílohy. -Příloha A popisuje obecné hrozby pro zdravotnické informace -Příloha B stručně popisuje úkoly a související dokumenty systému řízení bezpečnosti č zdravotnických informací - Příloha C popisuje výhody podpůrných nástrojů jako pomoc při implementaci Oborové ISMS 10
ISMS a ISP Pojmy: ISP (Internet Service Provider) je poskytovatel telekomunikačních a datových služeb. ISMS-T je označení pro problematiku ISMS v telekomunikačním prostředí. JTC1/SC27 je technická podkomise ISO/IEC zabývající se standardizací IT bezpečnosti. ITU (International Telecommunication Union) - Mezinárodní telekomunikační unie Problematika bezpečnosti je řešena dvojí cestou. První je IT, druhá ryze telekomunikační (ISMS-T). Ta je řešena normativně organizací ITU-T. ITU-T - ITU-T připravuje technické specifikace pro telekomunikační systémy, sítě a služby, včetně jejich provozu, fungování a údržbu. V rámci ITU-T jsou vytvářeny pracovní skupiny SG (Study Group) s určenými aktivitami. Telekomunikační bezpečnost je bezpečnost ICT technologií v telekomunikačních aplikacích (ISMS-T). Konvergence telekomunikačních sítí je technologické přibližování či přechod k jednotnému síťovému řešení. NGN Next Generation Network jsou konvergované telekomunikační č sítě poskytující í komplexní služby koncovým uživatelům. Oborové ISMS 11
ISMS a ISP Bezpečnost komunikačních služeb lze schématicky znázornit na příkladu blokového zapojení a vzájemných vazeb dle Q9/17 - Secure Communication Services: Oborové ISMS 12
ISO/IEC 27011:2008 ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 Norma ISO/IEC 27011 je přizpůsobena telekomunikačnímu prostředí a je postavena na bázi všeobecné normy ISO/IEC 27002. Norma řeší následující témata: - Obecné pokyny pro informační bezpečnost - Organizační struktury - Odpovědnost a klasifikaci i informačních č aktiv - Bezpečnostní opatření pro zaměstnance - Fyzickou ochranu a veřejné služby -Sítě a provozní bezpečnost - Řízení přístupu - Systém vývoje a údržby - Bezpečnostními incidenty - Plánování á havarijní připravenost - Dodržování vnitřních a regulačních požadavků ITU-T Recommendation X.1051 Information security management system Requirements for telecommunications (ISMS-T) Doporučení X.1051 platí pro ISMS v telekomunikačním prostředí (ISMS-T). Oborové ISMS 13
NGN Pro NGN (Next Generation Networks) platí norma ve formě ITU-T následující bezpečnostní doporučení: ITU-T Recommendation X.800 Security architecture for Open Systems Interconnection for CCITT applications ITU-T Recommendation X.805 Security Architecture for Systems Providing End-to-End Communications NGN (Next Generation Networks) sítě následující generace jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat, komunikací a multimediálních aplikací. Jsou postaveny na přenosu paketů a určeny k poskytování telekomunikačních služeb uživatelům. Doporučení ITU-T Y.2001 definuje NGN jako síť založenou na přepojování paketů. Dodatek k doporučení ITU-T Y.2011 doporučuje vhodný model OSI pro NGN. Doporučení ITU-T Y.120 definuje model konvergence sítě. Doporučení ITU-T Y.2701 Security requirements for NGN Doporučení ITU-T Y.2704 Security mechanisms and procedures for NGN Konvergenci z pohledu bezpečnosti bude řešit připravovaná norma ISO/IEC 27033-6 IP konvergence. Oborové ISMS 14
NGN Konvergenční model NGN je řešen ve třech aplikačních vrstvách (data, vysílání, telekomunikace). Rozfázování konvergence lze provést v následných krocích: Obsah > Služby > Infrastruktura > Koncový uživatel Oborové ISMS 15
IMS IMS (IP Multimedia Subsystem) jako součást NGN Oborové ISMS 16
Energetika ISO/IEC TR 27019:2013 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry Poskytuje hlavní zásady postavené na ISO/IEC 27002 aplikované na systémy řízení procesů používaných v energetickém průmyslu. Cílem ISO/IEC TR 27019:2013 je rozšířit ISO/IEC 27000 soubor norem na oblast procesních řídicích systémů a automatizační techniky, což umožňuje energetickému rozvodnému průmyslu implementovat standardizovaný systém řízení informační bezpečnosti (ISMS) v souladu s normou ISO/IEC 27001 se záběrem až na úroveň řízení procesů. Rozsah ISO/IEC TR 27019:2013 se vztahuje na systémy řízení procesů používaných v energetice pro řízení a monitorování výroby, přenosu, skladování a distribuci elektrické energie, plynu a tepla v kombinaci s kontrolou podpůrných procesů. Mimo záběr ISO/IEC TR 27019:2013 je konvenční nebo klasické ovládací zařízení, které není postaveno na digitálním principu, tedy je čistě elektromechanické nebo je postaveno na analogovém principu. Energetické systémy řízení technologických procesů v domácnostech a jiných srovnatelných obytných budovách nespadají do působnosti ISO/IEC TR 27019:2013. Oborové ISMS 17
Energetika Působnost normy se týká především následujících systémů, aplikací a komponentů: - obecně IT technologií podporující centrální a distribuované řízení procesů, monitorování a automatizační techniky, včetně IT systémů používané pro jejich provoz - číslicových ý h regulátorů ů a automatizačních ti č komponentů, jako je řízení í a periferie i nebo PLC, včetně digitálních prvků pro snímače a pohony - všech dalších podpůrných IT systémů používaných v oblasti řízení procesů, např. pro sběr doplňujících údajů, vizualizační úlohy a pro řízení, monitorování, archivaci dat a k dokumentačním účelům - komunikačních technologií používaných v oblasti řízení technologických procesů, např. sítí, telemetrii, dálkové aplikace a dálkové ovládání technologií - digitálního měření a měřících přístrojů (pro měření spotřeby energie nebo mezních hodnot emisí) - digitální ochrany a bezpečnostních systémů, např. ochranná relé nebo bezpečnostní PLC měření a měřicí zařízení (měření spotřeby energie nebo mezních hodnot emisí) - distribuovaných komponentů prostředí budoucích inteligentních sítí - veškerého softwaru, firmwaru a aplikací nainstalovaných ve výše zmíněných systémech Oborové ISMS 18
Akademické a univerzitní prostředí Akademickým prostředím je v této souvislosti myšleno prostředí vysokoškolských zařízení. Škola kromě ě toho, že poskytuje internet t svým zaměstnancům, ě ů tak se také stává á poskytovatelem internetu pro své studenty (zpravidla formou WiFi). Je tedy nutné zdůraznit následující: řádné oddělení sítí (síť pro zaměstnance, síť v počítačových učebnách, WiFi síť) a s tím související přístupová práva (nejen 802.1x) a QoS (přidělení priorit jednotlivým typům služeb) dodržování IT standardů (umožnění funkčního připojení zařízení od různých výrobců, zejména v případě wifi sítě a notebooků studentů) AAA (autentizace a autorizace jednotlivých uživatelů samostatně a nikoliv sdílená hesla) logování aktivit uživatelů (přihlášení, odhlášení, použité služby, IP adresy apod.) adekvátní bezpečnostní politika - např. (dočasné) omezení přístupu k WiFi (nebo jiný postih)v případě potenciálního ohrožení sítě (přítomnost viru nebo červa na notebooku apod.) či jiného porušení pravidel jejího používání, znemožnění instalování dalšího software studenty na PC v počítačových učebnách atd. zabezpečení WiFi sítě (WPA2, AES, 802.1x, filtrace portu 25 tj. používání pouze vlastního školního mail serveru, atd.) Oborové ISMS 19
Akademické a univerzitní prostředí - Campus Oborové ISMS 20
Akademické a univerzitní prostředí - požadavky Základní požadavky na řešení: - Centralizovaný AP management (postavený na tunelování) - Kontrola Zabezpečeného přístupu - Uživatelský roaming v rámci kampusu (L2/3) - Chytrý klient (IPhone, ipad, tablet ) s kompatibilním bezdrátovým FW, blokování P2P Poznámka: P2P je síť Peer-To-Peer (což je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server). Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem). Oborové ISMS 21
Akademické a univerzitní prostředí - směrnice Ilustrativní seznam platných směrnic pro univerzitní prostředí (vztahujících se k IS/IT) - Univerzitní (celoškolské) Směrnice rektora pro centrální IS Směrnice rektora - Pravidla provozu počítačové sítě Směrnice rektora - Pravidla správy počítačové sítě Organizační řád (pro výpočetní a informační služby) - Fakultní Strategie rozvoje ICT Strategie bezpečnosti ICT Strategie rozvoje Internet a Intranet alikací Směrnice správy IS - provoz elektronické pošty a diáře Směrnice správy IS - provoz Internetu Směrnice správy IS - provoz Intranetu Směrnice správy IS - zavádění a změny účtů zaměstnanců a studentů Směrnice správy IS - pravidla pro práci s elektronickou poštou zaměstnanců Směrnice správy IS - pravidla pro práci s elektronickou poštou studentů Oborové ISMS 22
Akademické a univerzitní prostředí - Fakultní (pokračování) Pravidla pro připojování a používání koncových zařízení Vnitřní předpis pro používání multimediálních učeben Vnitřní řád pro laboratoře výpočetní techniky Objektová bezpečnost zabezpečení a řízený přístup do poslucháren Zásady přidělování práv v přístupovém systému - Útvarové (například pro útvar IS) Organizační řád útvaru IS Popisy práce jednotlivých pracovníků útvaru IS Bezpečnostní školení dle vyhlášky 50 Oborové ISMS 23
Akademické a univerzitní prostředí zavádění ISO Fakultní zavádění ISO 27001 (Systém managementu bezpečnosti informací) - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 20000 na útvaru IS) -Výběr konzultanta či firmy pro zavádění ISO 27001 - Ustavení a zavedení ISMS (vyhotovení příručky ISMS, hodnocení rizik, dokumentace postupů provádění opatření ISMS, návrh záznamů k prokázání ISMS) - Ustavení a proškolení interního auditora ISMS a provedení interního auditu - Zpracování a přezkoumání ISMS vedením fakulty - Výběr akreditované certifikační autority pro ISO 27001 - Externí audit a certifikace ISO 27001 Útvarové zavádění ISO 20000 (Systém managementu služeb IT) na útvaru IS - Jmenování odpovědné osoby pro zavádění ISO standardů (vhodná osoba i z pohledu zavádění ISO 27001) -Výběr konzultanta či firmy pro zavádění ISO 20000 - Ustavení a zavedení ITSM (vyhotovení příručky ITSM a katalogu služeb útvaru IS) - Ustavení a proškolení interního auditora ITSM a provedení interního auditu - Zpracování a přezkoumání ITSM vedením útvaru - Výběr akreditované certifikační autority pro ISO 20000 - Externí audit a certifikace ISO 20000 útvaru IS Oborové ISMS 24