Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Úrovně přiměřené bezpečnostní odolnosti IKS kritické informační infrastruktury ČR Konference ISSS, 29. – 30. Březen 2003, KC Aldis Hradec Králové Ing.

Podobné prezentace


Prezentace na téma: "Úrovně přiměřené bezpečnostní odolnosti IKS kritické informační infrastruktury ČR Konference ISSS, 29. – 30. Březen 2003, KC Aldis Hradec Králové Ing."— Transkript prezentace:

1 Úrovně přiměřené bezpečnostní odolnosti IKS kritické informační infrastruktury ČR Konference ISSS, 29. – 30. Březen 2003, KC Aldis Hradec Králové Ing. Václav Novák Ministerstvo Informatiky Oddělení bezpečnosti ISVS a nadresortních služeb KI ISVS

2 2 2 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

3 3 3 Úvod – infrastruktura státu Informační a komunikační infrastruktura státu Infrastruktura státu představuje vzájemně provázanou soustavu specializovaných infrastruktur podporujících všechny funkce státu a oprávněné zájmy společenských struktur. Finance Strojírenství Energetika Zemědělství Bezpečnost Veř. správa Pokrytí IKS

4 4 4 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

5 5 5 Subjekty kritické infrastruktury - 1 Pokrytí IKS Kritickou infrastrukturou státu nazýváme podmnožinu specializovaných infrastruktur státu obsahující všechny systémy a aktiva jejichž poškození, zničení nebo zneužití by vedlo k ohrožení zdraví, majetku nebo života obyvatel a základních funkcí státu.. Funkční analýzou byly stanoveny kritické funkce a aktiva určující kritickou infrastrukturu ČR, která zahrnuje následující sektory : Informační a komunikační služby Elektroenergetika Dodávky plynu, ropy a pohonných hmot Dopravní služby Vodovodní systémy a potravinářství Bankovnictví a finance Záchranné, zdravotnické a distribuční služby Základní funkce státu Kritická informační a komunikační infrastruktura státu

6 6 6 Subjekty kritické infrastruktury - 2 Subjektem kritické infrastruktury může být každý právní subjekt výše uvedených sektorů jehož činnost má v předem určeném rozsahu (oblasti) významný vliv na základní funkce státu, nebo zájmy společnosti. Kritická infrastruktura zahrnuje jak vrcholové orgány státu, tak určené místní orgány samospráv, jak výrobní nebo dodavatelské podniky s celostátní působností, tak relativně malé podniky s místním významem, ale s produkcí obtížně nahraditelnou z jiných zdrojů, soukromý i státní sektor. Integrální součástí kritické infrastruktury jsou zdravotnická, distribuční a obslužná pracoviště trvalého nebo dočasného charakteru a vlastní systém krizového řízení státu.

7 7 7 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

8 8 8 Komplexní a zúžené chápání informační bezpečnosti v IKS - 1 Výstavba homogenního systému řízení informační bezpečnosti nad soustavou systémů kritické informační a komunikační infrastruktury republiky vyžaduje vzhledem k svému rozsahu a variabilitě prostředí minimalizaci nákladů spojenou s optimalizací účinnosti bezpečnostních funkcí a prostředků. Výchozím předpokladem pro splnění těchto požadavků je vytvoření jednotného definičního a standardizovaného prostředí pro předmět ochrany (IKS) i pro procesy projekce a aplikační realizace informační bezpečnosti. To znamená zavést bezpečnostní kategorizaci informací a hrozeb v závislosti na jejich charakteristikách a dopady jejich vzájemné interakce zohlednit požadovanou úrovní bezpečnostní odolnosti v souhlase s ČSN ISO/IEC (tj. CC).

9 9 9 Komplexní a zúžené chápání informační bezpečnosti v IKS - 2 Jakýkoli systém ve kterém jsou zpracovávány a distribuovány informace. Archiv, Rejstřík, Registr, atd, atd. Účelovost systému se promítá i do definic užívaných v obecně závazných předpisech a normách. Nejzávažnějším nedostatkem stávajících definic resp. jejich výkladu je „šíře jejich záběru“. Zúžené chápání definice Definice resp. její výklad zahrnují pouze „počítačové prostředí“ subjektu. Komplexní výklad definice Definice resp. její výklad zahrnují všechny entity struktur subjektu ve kterých se vyskytují relevantní informace bez ohledu na jejich formu. ? Informační systém ?

10 10 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

11 11 Kategorizace informací vyskytujících se v IKS Aby byl systém informační bezpečnosti účinný a přitom byly přiměřené náklady na jeho pořízení a provoz, je třeba aktivům IKS přiřadit ochranu takové úrovně, jakou mají mít zpracovávané informace. Bezpečnostní kategorie informací Kateg.Název kategorieOdkaz USUtajované skutečnostiZákon č. 148/1998 Sb. ZSZvláštní skutečnostiZákon č. 240/2000 Sb. VIVázané informaceZákony č. 89/1995, č. 101/2000, č. 337/1992, č. 106/1999 Sb., atd PIProvozní informaceZákony č. 106/2000, č. 365/2000 Sb., ObchZák. VPIVeřejně přístupné informace Zákon č. 106/1999 Sb.

12 12 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

13 13 Ohodnocení a klasifikace hrozeb - 1 Posouzením charakteru a intenzity vzájemné interakce mezi aktivem ve formě chráněné informace a hrozbou, která na něj působí je možné určit charakter a vhodnost realizovaného protiopatření. Ohodnocení hrozeb AtributOhodnoceníPopis Realizace hrozby (r) malá1Pravděpodobnost incidentu je nízká vysoká2Pravděpodob. incidentu je vysoká Nebezpečnost hrozby (n) malá1Hrozba by způsobila malou škodu střední2Hrozba by způsobila střední škodu velká3Hrozba by způsobila velkou škodu Motivace hrozby (m) náhodná1Náhodná chyba obsluhy, porucha úmyslná2Vlastní úmysl útočníka organizovaná3Špionáž, teroristický útok

14 14 Ohodnocení a klasifikace hrozeb - 2 Hodnocení úrovně hrozeb je relativistické, ale současně systematické a vytváří základ pro systémovou klasifikaci a aplikační využití při analýze rizik v rámci subjektu. Klasifikace hrozeb H(r,n,m) KategorieHrozby I H(1,1,1); H(1,1,2); H(1,1,3) II H(1,2,1); H(1,2,2); H(1,2,3) III H(2,1,1); H(2,1,2); H(2,1,3) IV H(1,3,1); H(1,3,2); H(1,3,3) V H(2,2,1); H(2,2,2); H(2,2,3) VI H(2,3,1); H(2,3,2); H(2,3,3) Klasifikace hrozeb do kategorií respektuje princip konstantního prostředí hrozby tj. atributů realizace r a nebezpečnosti n. Variantní složkou je atribut motivace m.

15 15 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

16 16 Analýza rizik a bezpečnostní protiopatření - 1 Úroveň rizika je určena hodnotou aktiva, jeho zranitelností, efektivitou protiopatření a úrovní hrozby v místě bezpečnostního incidentu. Kategorizace informací a úrovně hrozeb se uplatňují při analýze rizik v procesu identifikace struktur zabezpečujících specializované zpracování informací určité kategorie. Hrozba Proti- opatření Aktiva (informace) Legislativa Hodnota Ovlivňují: Náklady->Efektivitu (Škoda)

17 17 Analýza rizik a bezpečnostní protiopatření - 2 Na identifikovaných strukturách (subsystémech) se pak v rámci procesu výstavby, případně inovace systému informační bezpečnosti aplikují standardní bezpečnostní opatření v oblastech  personální bezpečnosti  administrativní bezpečnosti  objektové bezpečnosti a  technické bezpečnosti. K ochraně aktiv ICT prostředí identifikovaných struktur aplikujeme prostředky informační bezpečnosti se zaručenou a definovanou funkciona- litou ve smyslu normy ČSN ISO/IEC (CC). Jedná se o oblasti  bezpečnosti informačních a komunikačních technologií (ICT)  kryptografické bezpečnosti

18 18 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

19 19 Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti - 1 V ČSN ISO/IEC ustavená struktura funkčních požadavků na bezpečnost ICT zavádí duálnost jejich projevu. 1.požadavek na bezpečnostní funkcionalitu – určuje, která bezpečnostní funkce (protiopatření) má být realizována k eliminaci určitého rizika 2.požadavek zaručitelnosti bezpečnosti (EAL) - stanoví charakteristiky podmiňující požadovanou odolnost implementované bezpečnostní funkce (protiopatření).

20 20 Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti - 2 Odolnost IKS je schopnost bezpečnostních funkcí chránit aktiva IKS. Požadovaná odolnost je funkcí hodnoty aktiv, úrovně hrozeb a efektivity realizovaných bezpečnostních protiopatření a je limitovaná stanovenou referenční úrovní míry rizika. Skutečná odolnost IKS subjektu kritické infrastruktury je sjednocením ochran poskytovaných informacím (aktivům) IKS v rámci  personální bezpečnosti, administrativní bezpečnosti, objektové bezpeč- nosti a technické bezpečnosti a ochran poskytovaných bezpečnostními funkcemi v prostředí ICT s určenou mírou zaručené bezpečnosti v rámci  bezpečnosti informačních a komunikačních technologií (ICT) a krypto- grafické bezpečnosti.

21 21 Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti - 3 Klasifikace požadované odolnosti ICT jako funkce bezpečnostní kategorie informací vyskytujících se v IKS (subsystémech) a kategorie bezpečnostních hrozeb umožňuje určit třídu odolnosti ICT s odpovídající úrovní zaručitelnosti informační bezpečnosti (EAL) podle ČSN ISO/IEC Všeobecná kriteria pro hodnocení bezpečnosti informačních systémů. Tabulka tříd bezpečnostní odolnosti provozních systémů ICT v IKS stanoví 30 disposičních tříd odolnosti systémů ICT, které systematicky pokrývají vznikající požadavky na ochranu informací, které se v IKS KII vyskytují.

22 22 Obsah prezentace  Úvod  Subjekty kritické infrastruktury  Informační bezpečnost v IKS – komplexní a zúžené chápání  Kategorizace informací vyskytujících se v IKS  Ohodnocení a klasifikace hrozeb  Analýza rizik a bezpečnostní protiopatření  Stanovení tříd odolnosti prostředí ICT a přiřazení úrovní zaručitelnosti bezpečnosti  Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII

23 23 Zásady aplikace tříd bezpečnostní odolnosti provozních systémů ICT v IKS KII Pro potřeby projekce budovaných nebo inovovaných systémů řízení informační bezpečnosti nad IKS kritické informační infrastruktury postupuje projektant při řešení ochrany aktiv v prostředí ICT podle stanovených podmínek uplatňování požadavků na bezpečnostní odolnost ICT v IKS. Stanovené podmínky podporují  princip úměrnosti navrhovaných bezpečnostních funkcí (opatření),  princip přizpůsobivosti změnám,  delimitaci struktur ICT v rámci IKS patří -li do různých tříd bezpečnostní odolnosti.

24 24 Závěr Děkuji přítomným za pozornost. Kontaktní spojení : Tel. : Mail:


Stáhnout ppt "Úrovně přiměřené bezpečnostní odolnosti IKS kritické informační infrastruktury ČR Konference ISSS, 29. – 30. Březen 2003, KC Aldis Hradec Králové Ing."

Podobné prezentace


Reklamy Google