Management informační bezpečnosti Úvod a základní pojmy V Brně dne 26. září 2013
Základní pojmy Informatika - proces spojený s automatizovaným zpracováním dat Manažerská informatika - propojení dvou oborů - informatiky a managementu, kde se využívá moderních informačních a komunikačních prostředků v manažerské činnosti Informační management pojmový a koncepční výraz IT - informační technologie ****** ICT - informační a komunikační technologie IS - informační systémy ****** ISMS Information Security Management System systém řízení bezpečnosti informací ČSN IEC/ISO 27001 ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO 20000 Management informační bezpečnosti 2
IT vs. ICT IT Information Technology (informační technologie) ICT Information and Communication Technology (informační a komunikační technologie) Prostředek přechodu od IT k ICT je konvergence 1. generace konvergence (přenos dat společně s hlasem) dala vzniknout společnému prostředí pro přenos obou signálů po jediném přenosovém médiu (analog a digital po jednom kabelu), poté přichází digitalizace Následuje logicky boj o přenosové protokoly s cílem sjednocení (vítězem je IP protokol pro téměř všechny druhy signálů) Následují další generace konvergence včetně konvergence sítí, služeb a médií (2. generace video, 3. generace bezdrát, 4. generace multimediální sítě) Výsledkem vývoje je bezpečnost IT platná i pro komunikace a nelze ji oddělit! Management informační bezpečnosti 3
Konvergence v ICT Základní dělení konvergence: - pasivní konvergence (využívá pasivně stávající kabelážní systémy) šíření analogových signálů po datové kabeláži - aktivní konvergence (využívá aktivně stávající kabelážní systémy) šíření konvergovaného signálu po datové kabeláži Cílem jsou sítě NGN (Next Generation Network), což jsou konvergované sítě poskytující komplexní síťové služby na úrovni dat, komunikací a multimediálních aplikací. Management informační bezpečnosti 4
Základní pojmy ICT ČSN ISO/IEC 2382-1:1998 je standardem definujícím základní pojmy v ICT v podobě české normy. Informace - v informatice tvoří informaci kódovaná data (pozor, kódováním není myšleno kryptování!). Data - jsou plněním informace, kterou vytváří. Přenos dat - neboli digitální komunikace je přenos digitálních zpráv nebo digitalizovaného analogového signálu pomocí fyzického dvoubodového nebo vícebodového přenosového média, kterým může být metalický kabel, optický kabel nebo bezdrátový přenos. Signál - je fyzikální vyjádření informace ve formě změn fyzikální veličiny v čase. ------------- Informační systém (IS) - lze chápat jako systém vzájemně propojených informací a procesů, které s těmito informacemi pracují. Management informační bezpečnosti 5
Základní pojmy ICT Síťová infrastruktura - je pojem zahrnující všechny síťové prvky a zařízení použité při realizaci ICT prostředí. Může také značit aktiva v oblasti informačních a komunikačních technologií sloužící k vytváření a podpoře informačního systému. Počítačová síť - je součástí síťové infrastruktury sloužící k realizaci komunikačního prostředí mezi uživateli sítě. ------ ISO/OSI model je sedmivrstvý referenční komunikační model podle něhož dochází k propojování p systémů. Management informační bezpečnosti 6
Základní pojmy bezpečnosti Bezpečnost organizace -zajišťuje j bezpečnost objektu a tím také majetku organizace. Informační bezpečnost - neboli bezpečnost informací řeší ochranu informací a dostupnost informací. Bezpečnost IS/ICT - chrání pouze aktiva informačního systému podporovaná informačními a komunikačními technologiemi. Management informační bezpečnosti 7
IMS IMS (Integrated Management System) - Integrovaný systém řízení je filozofie komplexního řízení organizací. QMS (Quality Management System) ISO 9001 EMS (Enviromental Management System) ISO 14001 OHSMS (Occupational Health and Safety Management System) OHSAS 18001 + ISMS Information Security Management System systém řízení bezpečnosti informací (někdy také management bezpečnosti IS) ČSN IEC/ISO 27001 + ITSM - IT Service Management - řízení služeb informačních technologií ČSN IEC/ISO 20000 Management informační bezpečnosti 8
PDCA Jde o metodu postupného zlepšování například kvality výrobků, služeb, procesů, aplikací či dat probíhající formou opakovaného provádění čtyř základních činností: plan (plánuj) naplánování zamýšleného zlepšení (záměr), do (dělej) realizace plánu, check (kontroluj) ověření výsledku realizace oproti původnímu záměru, act (jednej) úpravy záměru i vlastního provedení na základě ověření a plošná implementace zlepšení do praxe. Součástí modelu PDCA ja také dokumentace každé jeho etapy jako jedna zklíčových částí celého modelu. PDCA cyklus (model) = Demingův cyklus (model) W. Edwards Deming (1900 1993) byl americký statistik, který definoval 7 smrtelných chorob firem a je spolutvůrcem TQM (Total Quality Management) Původním autorem metody PDCA je však Demingův duchovní otec Walter A. Shewhart Management informační bezpečnosti 9
Demingův cyklus Demingův model pro ISMS ve čtyřfázové formě: identifikovat procesy popsat a zdokumentovat procesy na základě dokumentace řídit procesy následně optimalizovat procesy ustanovení ISMS, zavádění a provoz ISMS, monitorování a přezkoumání ISMS, údržba a zlepšování ISMS. Management informační bezpečnosti 10
Historie ochrany informací V historické době se ochrana informací soustřeďovala hlavně na zajištění důvěrnosti tedy ochranu před vyzrazením informací. Spříchodem výpočetní techniky a následným rozvojem informačních systémů se však potřeby ochrany informací mění, protože elektronická data jsou snadno modifikovatelná a uložená v podstatě kdekoliv. V 80. létech minulého století byly vypracovány zásady ochrany informačních systémů známá oranžová kniha (standard TCSEC), která byla následována dalšími standardy (ITSEC, CC, atd.). V 90. letech k tomuto trendu, který řeší tuto problematiku především po technické stránce, přistupují standardy zabývající se bezpečnosti IS v konkrétním prostředí a umožňující dosažení určitého stupně bezpečnosti bez složitých technických procedur jedná se o standardy jako například ISO/IEC TR 13335, řada d BS 7799 a podobně. ě Vzniká samostatný obor zajímající se o ochranu dat a nabývající postupně na důležitosti. Management informační bezpečnosti 11
Základy bezpečnosti informací Důvěrnost (Confidentionality) - zajištění přístupu k informacím a poskytnutí pouze oprávněným osobám Integrita (Integrity)- zajištění správnosti a úplnosti informací Dostupnost (Availability) - zajištění dostupnosti informací pro oprávněné uživatele v okamžiku potřeby Bezpečnostní mechanizmus (Security Mechanism) - technika pro implementaci bezpečnostní funkce nebo její části Bezpečnostní funkce (Security Function) funkce systému přispívající k jeho bezpečnosti (řízení přístupů, autentizace, prokazatelnost operací, odpovědnost za ně, audit). Management informační bezpečnosti 12
Pojmy k bezpečnostní problematice Aktivum (Asset) - cokoli v organizaci, i co má nějakou cenu (hmotná a nehmotná) - veškerý hmotný a nehmotný majetek Hrozba (Treat) - akce nebo událost, která může ohrozit bezpečnost (zneužití zranitelnosti) Zranitelnost (Vulnerability) - jakékoliv slabé místo aktiva Opatření (Countremeasure) - jakákoliv aktivita, zařízení, technika či postup snižující sílu hrozby nebo zabránění účinku Riziko (Risk) - kombinace hrozby a zranitelnosti Dopad (Impact) - vznik škody v důsledku hrozby Hrozby Zranitelnosti Aktiva: služby a data informačního systému Dopady Management informační bezpečnosti 13
Normy, standardy Standard - je dokumentovaná úmluva obsahující technické specifikace nebo jiná podobná přesně stanovená kritéria důsledně používaná jako pravidla, směrnice, resp. jako definice charakteristických vlastností zabezpečující, že materiály, výrobky, procesy, služby apod. jsou takové, jaké se zamýšlelo (např. formát kreditní, čipové či telefonní karty, protokol komunikace, politika poskytování služby). Norma je doporučení pro daný standard nebo řešení (konkrétně v ICT se jedná o předpis či směrnici vydávanou různými konsorcii uživatelů a výrobců IT tedy jedná se o doporučení použitelných standardů k realizaci požadovaného kompatibilního řešení). Norma je tedy doporučení!!! Poznámka: Zatímco normy jsou velmi často výsledkem těžce dosaženého kompromisu, standardy velmi často bývají strojem k dynamickému prosazení technické politiky a následného pokroku. Management informační bezpečnosti 14
Normy bezpečnostní CC - Common Criteria - všeobecná kriteria pro hodnocení bezpečnosti IS (ISO 15408) ISMS (Information security managemet system) - systém řízení bezpečnosti informací ISO/IEC 27001, což je specifikace ISMS ISO/IEC 27002 (ISO/IEC 17799) soubor postupů ISO/IEC 27003 směrnice pro implementaci ISMS ISO/IEC 27004 metriky ISMS ISO/IEC 27005 metody řízení rizik ISO/IEC 27006 pravidla certifikace ISMS ISO/IEC 27007 směrnice auditora ISMS atd. Management informační bezpečnosti 15
Stupně auditu Audit - nezávislý a dokumentovaný proces s hodnocením kritérií ií Audit první stranou - interní audit (sebe ověření) Audit druhou stranou - externí audit (dle smluvních vztahů - dodavatel/odběratel) Audit třetí stranou - certifikační audit Management informační bezpečnosti 16
Certifikační problematika Certifikace - je potvrzení shody systému řízení í na základě norem (zvýšení důvěryhodnosti subjektu) Akreditace - postup pro potvrzení nezávislosti, objektivity a způsobilosti pro činnost Certifikační orgán - třetí strana hodnotící a certifikující systém řízení organizace v souladu s normami Příklad akreditačního znaku certifikační společnosti Management informační bezpečnosti 17
Hodnocení kvality IS/IT Hodnocení bezpečnosti IS/IT Druhy a standardy hodnocení kvality v oblasti IS/IT Management informační bezpečnosti 18