Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS michal.slama@opava.cz

Obsah Úvod bezpe nost IS Analýza rizik P ípadová studie

Bezpe nost Informa ních systém Ochrana informa ních aktiv v organizaci D v rnost Integrita Dostupnost Bezpe nost jako integrální sou ást innosti organizace Bezpe nost jako stále probíhající proces Princip PDCA

Ochrana informací Informace musí být chrán ny tak: aby k nim nem ly p ístup neoprávn né osoby aby se zpracovávaly nezfalšované informace aby se dalo zjistit kdo je vytvo il, zm nil, smazal aby nebyly nekontrolovatelným zp sobem vyzrazeny aby byly dostupné tehdy, kdy jsou pot ebné

Hrozby a zranitelnosti Zranitelná místa = slabiny fyzické p írodní v hardwaru nebo softwaru fyzikální v lidském faktoru -------------- v návrhu ve specifikaci požadavk v ešení (projektu) v konstrukci v provozu

Hrozby a zranitelnosti Hrozba je možnost využít zranitelné místo k útoku na IS Objektivní: P írodní Fyzikální Technické nebo logické Subjektivní plynoucí z lidského faktoru Neúmyslné Úmyslné Úto ník slabé síly Úto ník st ední síly Úto ník velké síly

Útok = bezpe nostní incident úmyslný x neúmyslný (náhodný) s malou škodou x s velkou škodou ------------------------------------------------ na hardware na software na data na osoby ----------------------- P erušením Odposlechem Zm nou P idáním hodnoty

Aktiva a jejich hodnota Vše co má pro organizaci n jakou hodnotu Ale jakou?? Jak ur it hodnotu aktiva?? Vyjád ení hodnoty v pen zích V pom rné soustav Po adím

Aktiva Služba koncovému uživateli Datová aktiva Softwarová aktiva Hardwarová aktiva Servery Sí ové prvky WAN Pam ová za ízení Periférie PC, NTB,PDA Média Osoby Lokality

Dopad Pro ur ení dopadu (závažnosti incidentu) se používá analytická metoda. Tato vyjad uje závažnost poškození z hlediska: finan ního komer ního organiza ního bezpe nostního právního regulatorního

Škála finan ního dopadu Kód Obchodní dopad Finan ní dopad BIA A Hrozba nep ežití více než 60 % ro ního provozního zisku 9,10 B Vážná škoda 10 až 60 % ro ního provozního zisku 7,8 C D ležitá škoda 1 až 10 % ro ního provozního zisku 5,6 D Malý dopad 0,01 až 1 % ro ního provozního zisku 3,4 E Zanedbatelný dopad mén než 0,01 % ro ního provozního zisku 1,2

BIA 9 6 3 IS8 0 IS5 Unaccessability 1 hour Unaccessability 4 weeks Information leakage into the organization IS3 IS1

Kategorie dostupnosti AB - Business kritické aplikace vyžadují ešení dostupnosti, musí existovat záložní prost edíb žící paraleln nebo p ipravené k okamžitému spušt nívp ípad výpadku primární instance, data musí být replikována a okamžit dostupná záložní instancí. Akceptovatelný výpadek je v ádu minut. C - Kritické systémy vyžadují ešení dostupnosti, musí existovat záložní prost edí, které ovšem m že být za normálního b hu využíváno k jiným ú el m (nap. kú elu testování a školení). Dostupnost bude obnovena zprovozn ním záložní aplikace a p ípadn obnovou dat ze zálohy. Akceptovatelný výpadek je v ádu jednotek hodin. D - Standardní systémy nevyžadují ešení dostupnosti, jejich funk nost bude obnovena re-instalací, obnovou konfigura ních dat a aplika ních dat ze zálohy. Akceptovatelný výpadek je v ádu desítek hodin. E - Nekritické systémy nevyžadují ešení dostupnosti, jejich funk nost bude obnovena re-instalací a obnovou konfigura ních dat. Akceptovatelný výpadek je v ádu dn.

Riziko Pravd podobnost využití slabiny systému (zranitelnosti) s p ihlédnutím k dopadu do spole nosti. RPN = (A h + Ai), Z u, F p, R u / C p kde: RPN je relativní míra rizika A h je hodnota aktiva Ai je dopad zp sobený hrozbou Z u je úrove hrozby (možný škodlivý dopad) F p je etnost (frekvence) výskytu hrozby R u je úrove zranitelnosti (do jaké míry m že hrozba poškodit aktivum) C p je ú innost protiopat ení (do jaké míry protiopat ení snižuje zranitelnost aktiva)

Analýza rizik Nástroj pro poznání spole nosti Metodika hodnocení aktiv Expertní systém pro návrh bezpe nostních protiopat ení Papírový ert!!!

Typy Analýzy rizik Orienta ní Elementární Neformální Detailní Kombinovaná

Analýza rizik Definice stupnic a kritérií pro hodnocení Analýza rizik v relativních hodnotách ve finan ním vyjád ení Zjišt ní hodnoty aktiva BIA Sestavení modelu aktiv Aktiva hmotná a nehmotná Identifikace a hodnocení hrozeb Hodnocení míry zranitelností Modelování míry rizika Návrh adekvátních protiopat ení

Výstupy Analýzy rizik Znalost dopad na fungování organizace Sestavený funk ní model aktiv Znalost rizik Identifikace hrozeb p sobících na jednotlivá aktiva Návrh protiopat ení eliminujících jednotivé hrozby snižujících rizika

Technická Programová Komunika ní Procedurální Fyzická Personální Protiopat ení

Vztah úrovn bezpe nosti a náklad

ízení bezpe nosti IS - ISMS ISMS Information Security Management System Spln ní požadavk národní a EU legislativy Zmapování aktiv a proces Optimalizace náklad na bezpe nost Sjednocení ízení a úrovn bezpe nosti Vyškolení vlastních zam stnanc Zvýšení d v ryhodnosti organizace Rychlejší zotavení z mimo ádné situace Výhoda p i jednání se zahrani ními partnery

Nástroje prosazování bezpe nosti Pravidla Sm rnice, politiky Vynucování Technické prost edky Prost edky IS Osv ta Školení Kontrola Sankce

Struktura ISMS Bezpe nostní strategie Politika informa ní bezpe nosti Organiza ní aspekty informa ní bezpe nosti Management rizik Analýza rizik Doporu ení pro zvýšení IB Bezpe nostní politika IT/IS Implementace Plán zvyšování informa ní bezpe nosti Pov domí o bezpe nosti Aktivity sledování Audit

Typy bezpe nostních politik Promiskuitní povoluje d lat vše Liberální povoluje d lat vše, až na v ci explicitn zakázané Opatrná zakazuje d lat vše, co není explicitn povoleno Paranoidní zakazuje d lat vše potenciáln nebezpe né

Pro ešit bezpe nost v IT? Pro eliminaci vysokého rizika zp sobeného: Vysokou hrozbou nebo Vysokým dopadem do organizace

D kuji za pozornost