Normy a standardy ISMS, legislativa v ČR RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 5 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 5.přednáška Normy a standardy ISMS, legislativa v ČR 1
Možná cesta: Zavádění ISMS metodologie COBIT v oblasti řízení IT a definování zodpovědností, Procesní charakter řešení bezpečnosti, Naplnění legislativních požadavků (ochrana osobních dat, oborová legislativa) Bezpečnost nelze posuzovat pouze v kontextu návratnosti investic, ale zejména v kontextu zvládání rizik. Zavádění ISMS Proces správy a řízení rizik je základem ISMS Bezpečnost informací nelze ztotožnit s bojem proti hackerům a spamu Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,.) Využití standardů při zavádění ISMS norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti ISMS není třeba nasazovat plošně. 2
Předpoklady zavedení ISMS podpora a odpovědnost vedení společnosti kvalifikovaný tým pro zavedení ISMS konzultační podpora zavedené funkční řídící procesy ve společnosti (ISMS je součástí systému řízení společnosti): ISO 9000 (kvalita) ISO 14000 (životní prostředí) ISO 20000 (procesy řízení IT služeb) funkční řídící dokumentace definovaný rozsah ISMS Role manažera úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti, ); pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,..) poskytnutí této podpory je jejich hlavním úkolem; Rozpočet na oblast bezpečnosti Organizační struktura bezpečnostní fórum (rada, výbor) Metriky pro měření bezpečnosti Bezpečnostní audity 3
Bezpečnostní standardy (normy) Významná podpora pro zavádění informační bezpečnosti (metodický nástroj) Důležitý prvek informační bezpečnosti sjednocující formy bezpečnostních opatření a přístupy k informační bezpečnosti Využití best practices ( nejlepších zkušeností ) pomáhá při řešení bezpečnostních otázek Konfrontace s realitou v organizaci - přizpůsobení Bezpečnostní standardy (normy) Proč postupovat dle norem? Systém řízení byl měl vyváženě přistupovat k řešení fyzické, technické, procedurální a personální bezpečnosti Bez formálního přístupu (např. dle ISO 27001) vždy u komplexního systému hrozí nebezpečí opomenutí vedoucí k narušení bezpečnosti Bezpečnost informací je zejména o systému řízení, nikoli o technologiích ISMS není (pouze) o IT! 4
Historický vývoj norem Historie vývoje norem InfoSec BS 7799:1995 BS 7799-1:1999 ISO/IEC 17799:2000 ČSN ISO/IEC 17799:2001 ČSN ISO/IEC 17799:2005 ISO/IEC 17799:2005 ČSN BS 7799-2:2004 ISO/IEC 27002:? BS 7799-2:1999 BS 7799-2:2002 ISO/IEC 27001:2005 c:cure:1998 EA7/03:1999 ISO 10011:1991 EA7/03:1999 ISO 10011:1991 ČSN EN ISO 19011:2003 Zdroj DCIT a.s. Základní standardy ISO/IEC 17799:2005 (ČSN ISO/IEC 17799:2006) JE Soubor postupů pro řízení informační bezpečnosti Norma popisuje nejlepší vžitou praxi Best practices - vyvinuta průmyslem pro průmysl Tvoří ucelenou a vyváženou soustavu opatření pro ochranu informačních aktiv Je mezinárodně respektovanou strukturovanou soustavou doporučení určenou pro InfoSec ISO/IEC 27002:2007 5
Základní standardy ISO/IEC 17799:2005 NENÍ Technický standard Neurčuje postupy řízení provozu a údržby (není Guideline, jako např. ISO TR 13335) Nevztahuje se na konkrétní produkty či technologie Neslouží k hodnocení vlastností produktů či technologií (na rozdíl např. CommonCriteria/ISO15408) Struktura normy ISO/IEC 17799 11 oblastí (clauses), 39 kategorií (objectives), 133 opatření (controls) včetně popisu způsobu implementace Bezpečnostní politika (1) Organizace bezpečnosti (2) Klasifikace a řízení aktiv (2) Bezpečnost lidských zdrojů (3) Fyzická bezpečnost a bezpečnost prostředí (2) Řízení komunikací a řízení provozu (10) Řízení přístupu (7) Nákup, vývoj a údržba informačního systému (6) Zvládání bezpečnostních incidentů (2) Řízení kontinuity činností organizace (1) Soulad s požadavky (3) 6
Základní standardy ISO/IEC 27001:2005 = ISMS ČSN ISO/IEC 27001:2006 Systém managementu bezpečnosti informací = Specifikace s návodem k použití Obsahuje požadavky na procesy ISMS (PDCA) Všechny požadavky závazné (žádný nelze vyloučit) Obsahuje soubor kontrol ne všechny mohou být použitelné, některé naopak mohou chybět v praxi Kontroly jsou vybrány podle nejlepší vžité praxe nebo souvisí se základními legislativními požadavky Základní standardy Norma ISO/IEC 27001:2005: Podporuje procesní způsob řízení bezpečnosti Definuje metodický rámec řízení bezpečnosti jako procesu, ve kterém se na základě analýzy rizik vybírají opatření odvozená z normy ISO/IEC 17799:2005 Dle ISO/IEC 27001:2005 probíhá certifikace systému ISMS akreditovanou certifikační organizací 7
Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27000:2009 slovník a terminologie ISMS 27003:20010 návod k implementaci norem ISMS 27004:2009 měření účinnosti ISMS 27005:2011 metoda řízení rizik (27005:2005 již zrušeno) 27006:2007 doporučení a požadavky na certifikaci ISMS pro akreditované certifikační autority (organizace); 27007:? doporučení k provádění auditů podle ISMS (v přípravě 2011?) 27008:2011 doporučení pro auditory pro auditování nastavených opatření informační bezpečnosti 27009:? - přečíslováno 8
Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27010:? doporučení pro komunikaci uvnitř organizace a napříč organizacemi 27011:2008 - doporučení a požadavky na řízení bezpečnosti informací v prostředí telekomunikačních firem; 27012:? doporučení a požadavky na řízení bezpečnosti informací v prostředí e-government - zrušeno 27013:? doporučení pro integrovanou implemetaci ISO/IEC 27001 a ISO/IEC 20000 27014:? návrh Governance v oblasti information security 27015:? návrh doporučení a požadavky v oblasti finančních a pojišťovacích služeb Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x 27016:? - Security techniques -- Information security management -- Organizational economics 27017:? - doporučení a požadavky na řízení bezpečnosti informací v prostředí cloudu (Cloud computing security and privacy management system -- Security controls -- Part 2: Guidelines on information security controls for the use of cloud computing services based on ISO/IEC 27002) 9
Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x ISO/IEC 27031:2011 ICT readiness for business continuity ISO/IEC 27032:? Guidelines for Cybersecurity ISO/IEC 27033-1:2009 Network Security (Part 1: Overview and concepts) ISO/IEC 27033-2:? Network Security Part 2: Guidelines for the design and implementation of network security ISO/IEC 27033-3:2010 Network Security Part 3: Part 3: Reference networking scenarios -- Threats, design techniques and control issues ISO/IEC 27033-4,5,6,7:? Network Security Part 4,5,6,7, Securing communications between networks using security gateways, Securing communications across networks using Virtual Private Network (VPNs), Securing IP network access using wireless, Wireless; současně ISO/IEC 18028-2,3,4,5:2005,2006 IT Network Security Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x ISO/IEC 27034:? Guidelines for application security; Part 1: Overview and concepts; Part 2: Organization normative framework; Part 3: Application security management process; Part 4: Application security validation; Part 5: Protocols and application security controls data structure ISO/IEC 27035:2011 Information security incident management ISO/IEC 27036:? Information technology - Security techniques Information security for supplier relationships ISO/IEC 27037:? Guidelines for identification, collection and/or acquisition and preservation of digital evidence 10
Nové standardy v oblasti informační bezpečnosti ISO/IEC 2700x ISO/IEC 27038:? Information technology - Security techniques -- Specification for Digital Redaction ISO/IEC 27039:? Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems ISO/IEC 27040:? Information technology -- Security techniques -- Storage security ISO/IEC 27041:? Guidance on assuring suitability and adequacy of investigation methods ISO/IEC 27042:? Guidelines for the analysis and interpretation of digital evidence 11
Související normy ISMS: ISO TR 13569:2005 Směrnice řízení bezpečnosti informací pro finanční služby ISO 27799:2008 Řízení bezpečnosti ve zdravotnictví s použitím ISO/IEC 17799 ISO/IEC 18043:2006 Výběr, nasazení a provoz IDS ISO/IEC TR 18044 Information security Incident Management 17.8.2011 zrušen ISO/IEC 18045:2008 Methodology for IT security evaluation ISO/IEC 15408-1:2009 Evaluation criteria for IT security -- Part 1: Introduction and general model; Part 2 Part 2: Security functional components; Part 3 Part 3: Security assurance components a mnoho dalších.. Legislativa v ČR: Zákon 101/2000 Sb. Zákon o ochraně osobních údajů Zákon 412/2005 Sb. Zákon o ochraně utajovaných informací Zákon 40/2009 Sb. Trestní zákoník Zákon 40/1964 Sb. Občanský zákoník Zákon 121/2000 Sb. Zákon o ochraně autorských práv Zákon 262/2006 Sb. Zákoník práce Zákon 513/1991 Sb. Obchodní zákoník Zákon 127/2005 Sb. Telekomunikační zákon Zákon 227/2000 Sb. o elektronickém podpisu A mnoho dalších legislativních norem řešících z dílčího pohledu oblast bezpečnosti informací 12
Legislativa v ČR: Zákon 499/2004 Sb. o archivnictví a spisové službě ve znění zákona 190/2009 Sb.; Uchovávání dokumentu v digitální podobě provádí určený původce postupem zaručujícím věrohodnost původu dokumentu, neporušitelnost jeho obsahu a čitelnost dokumentu, a to včetně údajů prokazujících existenci dokumentu v digitální podobě v čase. Tyto vlastnosti musí být zachovány po dobu skartační lhůty dokumentu. vyhláška č.191/2009 Sb. o podrobnostech výkonu spisové služby; věstník MV částka 76/2009 část II, Národní standard pro elektronické systémy spisové služby; zákon č.300/2008 Sb. o elektronických úkonech a autorizované konverzi dokumentů ve znění zákona č.190/2009 Sb.; zákon č. 227/2000 Sb. o elektronickém podpisu v platném znění (zejména novela z roku 2004) Legislativa v ČR: Pohled ze světa informační bezpečnosti (InfoSec) důvěrnost, dostupnost, integrita, Nepopiratelnost, autentičnost (původ) = pravost (viz také tzv. fikce pravosti 69 odst. 8 ArchZ) Procesy, směrnice, opatření, kontroly, audity, řízení rizik,.. Regulatorní požadavky (SOX, Basel,..) Ochrana osobních údajů Ochrana dat firmy 13
Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 14