Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnostní politika © Ing. Zdeněk Žaba, 2003 Ochrana dat.

Podobné prezentace


Prezentace na téma: "Bezpečnostní politika © Ing. Zdeněk Žaba, 2003 Ochrana dat."— Transkript prezentace:

1 Bezpečnostní politika © Ing. Zdeněk Žaba, 2003 Ochrana dat

2 2 Dělení bezpečnostní politiky Bezpečnostní politika  definuje bezpečnostní cíle a zásady  rozebírá všechny principy, omezení, požadavky a postupy použitelné k dosažení bezpečnostní ochrany  nejvyšší netechnická úroveň definice ochranných mechanismů  kompromis mezi omezováním uživatelů a ochranou organizace Čtyři stupně bezpečnostní politiky  a) paranoidní  téměř vše je uživatelům zakázáno, neexistuje žádné propojení s vnějším světem (např. Internet, …)  b) přísná  vše, co není výslovně povoleno je zakázáno  c) povolná  vše, co není výslovně zakázáno je povoleno  d) promiskuitní  je povoleno i to, co by mělo být z důvodu alespoň minimální bezpečnosti zakázáno (uživatelé bez hesel, volná instalace vlastního SW, …)

3 3 Dělení bezpečnostní politiky 1) Bezpečnostní politika státu  jsou ji podřízeny všechny ostatní bezpečnostní politiky  zákony, nařízení vlády, směrnice, normy, …  zákon č. 102/1971 Sb. o ochraně státního tajemství  zákon č. 140/1961 Sb. trestní zákon  zákon č. 256/1992 Sb. o ochraně osobních údajů v IS  nařízení vlády ČSSR č. 148/1971 o ochraně hospodářského a služebního tajemství  nařízení vlády ČSFR č. 419/1990 o základních skutečnostech tvořících předmět státního tajemství  další právní normy jakkoliv upravující utajované skutečnosti, osobní údaje a zacházení s nimi (např. zákon 227/2000 Sb. zákon o elektronickém podpisu)  ČSN ISO/IEC Soubor postupů pro řízení informační bezpečnosti  ČSN ISO/IEC TR Řízení bezpečnosti IT - výběr ochranných opatření

4 4 Dělení bezpečnostní politiky 2) Podniková nebo resortní bezpečnostní politika  jsou konkretizací bezpečnostní politiky státu pro konkrétní resort či podnik  resort ministerstva obrany  resort ministerstva vnitra  bankovní sektor 3) Systémová bezpečnostní politika  detailně rozpracovává principy ochrany podle konkrétních potřeb daného IS  nesmí být v rozporu s nadřazenými bezpečnostními politikami  u rozsáhlých systému definována ve dvou krocích  globální systémová bezpečnostní politika  detailní systémová bezpečnostní politika

5 5 Obsah bezpečnostní politiky Bezpečnostní politika je zpracována zásadně písemnou formou Obsahuje podmínky a metody reál. řešení informační bezpečnosti Návrh je nutno dělat s přihlédnutím k delšímu časovému období (ne pouze aktuální stav) Všechny postupy je nutno ověřit a popsat jejich implementaci Způsoby zabezpečení neustále sledovat a zdokonalovat Z chyb a bezpečnostních incidentů vyvozovat závěry a protiopatření Základní okruhy bezpečnostní politiky  1) popis informačního systému  je nutno stanovit hranice IS (co tam patří a co už ne – hranice odpovědnosti)  popis organizační struktury organizace (management, vedoucí úseků, …)  popis úloh, které IS plní a datové toky mezi ním a dalšími částmi organizace  2) cíle bezpečnostní politiky  vyplívají z bezpečnostních cílů organizace – požadavky a priority bezpečnosti

6 6 Obsah bezpečnostní politiky  3) legislativní východiska  vymezuje právní předpisy a normy, které musí IS splňovat  definuje postupy hodnocení a certifikace bezpečnostních vlastností  bezpečnostní politika musí být v souladu s nadřazenou bezpečnostní politikou a bezpečnostními politikami spolupracujících IS  4) definice citlivosti informací  klasifikace informací dle jejich významu pro majitele  vytvoření stupňů citlivosti (např. důvěrné, tajné, přísně tajné)  5) definice hrozeb působících na IS  výčet hrozeb, které mohou na IS působit a kterým musí být schopen čelit  6) definice bezpečnostní služeb, které musí IS splňovat  postupy na fyzické, organizační i logické úrovni vedoucí k zajištění bezpečnosti  požadavky na spolehlivost, dostupnost, detekci chyb, únik informací, …  postupy pro zpracování neelektronických a vnějších podkladů (diskety, …)

7 7 Obsah bezpečnostní politiky  7) zásady personální politiky  řeší problematiku přístupu osob k chráněným informacím  řeší prověřování zaměstnanců a jejich odborné a kvalifikační kvality  definují závaznost bezpečnostní politiky pro všechny  8) zásady organizační politiky  definuje orgány organizace zodpovědné za prosazování bezpečnostní pol.  určuje způsoby řešení bezpečnostních incidentů  stanovuje konkrétní osoby zodpovědné za provozování konkrétních bezpečnostních mechanismů – stanovit povinnosti  stanovuje pravidla pro vydávání a prokazování oprávněnosti přístupu  definuje zásady evidence a likvidace nosičů informací (diskety, dokumenty)  definice metod pro odhalování slabin systému (penetration testing, …)  definuje styk s okolním prostředím (pravidla, tiskový mluvčí, …)

8 8 Obsah bezpečnostní politiky  9) technicko-provozní zabezpečení  technické prostředky řešení zabezpečení včetně finančních analýz  požadavky na servisní zajištění  časové plány řešení bezpečnosti IS  10) politika zálohování  definuje přesné postupy vytváření záloh systému  konkrétní specifikace závisí na celé řadě dalších faktorů (uživatelé, změny)  velmi zásadní pro minimalizaci škod a zotavení systému po havárii  11) plán obnovy po havárii  může to být velmi rozsáhlý projekt – často to řeší havarijní tým  cílem je obnovit předhavarijní stav systému s minimalizací škod  stanovení nejdůležitějších funkcí organizace, které je nutno řešit přednostně  odhad ztrát (fyzické ztráty + odliv klientů,…)  definice priorit obnovy jak technických tak i organizačních  určení max. povolené doby výpadku (pak již to má vážné důsledky)  požadavky na dostupnost havarijního týmu + rozdělení pravomocí  řešení záložních komunikačních tras po dobu havárie

9 9 Obsah bezpečnostní politiky  vybudování záložních pracovišť pro případ havárie funkční pracoviště – kompletní minimální technická záloha organizace – stačí provést obnovu dat a může to fungovat funkční prostory – prostory s vybudovanou infrastrukturou do kterých je třeba instalovat a zprovoznit výpočetní techniku funkční podpora – pomoc cizí, smluvně vázané organizace pro zajištění opětovné funkce  12) metodika řešení krizových stavů  řešení bezpečnostních incidentů  definuje opatření k nápravě a jak postihnout viníky

10 10 Bezpečnostní politika a životní cyklus IS

11 11 Bezpečnostní politika a životní cyklus IS 1) Bezpečnostní záměr IS  požadavky na bezpečnost od zadavatele projektu  vychází z aktuálního stavu a definuje klíčové problémové oblasti, které je nutno řešit  cíle organizace, odpovědnost za dílčí části bezpečnosti, stupně citlivosti dat, úrovně oprávnění uživatelů IS, časový plán  nemá obsahovat konkrétní technické návrhy – od toho je řešitel 2) Globální systémová bezpečnostní politika  v obecné rovině definuje zásady řešení bezpečnostních požadavků (dány bezpečnostním záměrem)  součást celkové analýzy systému  např. definice několika bezpečnostních skupin, kompetence správce systému a bezpečnostního správce, … 3) Detailní systémová bezpečnostní politika  konkretizuje obecné postupy globální politiky  konkretizuje hrozby (na základě analýzy) a způsob jejich eliminace  základ pro výběr vhodných bezpečnostních produktů

12 12 Bezpečnostní politika a životní cyklus IS 4) Bezpečnostní projekt  uzavírá analytickou část řešení bezpečnosti IS  sumarizuje výsledky analýz a popisuje praktickou implementaci jednotlivých bezpečnostních mechanismů  zda existují ještě nějaká nezahrnutá rizika, …  má stejný stupeň důvěrnosti jako nejcitlivější data v systému  stanovit okruh osob, které se s nim resp. s jeho částmi mohou seznámit  musí obsahovat dobu platnosti a termín další revize závěrů  obsahuje jednoznačné definice pravomocí a odpovědnosti včetně požadavků na personál  jeho součástí je i havarijní plán  zpravidla se vypracovává ve 3 variantách (minimální, střední a maximální) a pak se oponentním řízením vybere ta varianta, která nejlépe vyhovuje a je finančně únosná

13 13 Bezpečnostní politika a životní cyklus IS 5) Hodnocení bezpečnosti  jedná se o rozhodnutí, zda systém vyhovuje požadovaným kriteriím  skládá se ze dvou částí  certifikace – porovnání bezpečnostního projektu a bezpečnostní politikou (potvrzení o shodě) – nutno pro akreditaci  akreditace – potvrzení, že daný systém lze použít v daných podmínkách pro zpracování daných dat akreditaci provádí „orgán dozoru“ odpovědný za provoz systému 6) Bezpečnostní směrnice  určeny pro všechny uživatele IS – souhrn pravidel pro bezpečné využívání IS v praxi  jednoznačně musí stanovit kdo zodpovídá za konkrétné druhy bezpečnosti na pracovišti  musí obsahovat „přístupovou matrici“ – tabulka přístupových práv uživatelů a skupin k objektům IS (soubory, tiskárny, databáze, …)  obsahují postupy pro vytváření a rušení uživatelských účtů  často obsahují i další směrnice (zálohování, skartace, havárie, …)

14 14 Bezpečnostní analýza Zabývá se riziky plynoucímu z neoprávněného přístupu, útoku virů, technické poruchy, výpadku napájení, přírodní katastrofy, … Základem je analýza rizik a návrh vhodných protiopatření  zvládnutí rizik vedoucí k jejich eliminaci případně minimalizaci Bezpečnostní analýzu je nutno periodicky opakovat Bezpečnostní analýza musí odpovědět na následující otázky:  co je nutno chránit  které informace jsou důležité a zda jsou důležité i pro někoho jiného  před čím je nutno chránit  jaké škody mohou vzniknout a jak jsou pravděpodobné  jak a čím se bude ochrana realizovat  pokud nákladky na eliminaci rizika převyšují možnou ztrátu je lépe toto riziko akceptovat

15 15 Bezpečnostní analýza – analýza rizik

16 16 Bezpečnostní analýza – analýza rizik 1) Definování problému  přesné vymezení hranic sytému (co tam ještě patří a co už je něco jiného)  co a v jakém rozsahu budeme analyzovat  jakého cílového stavu chceme dosáhnout 2) Identifikace a ocenění aktiv  vytvoření seznamu všech části systému  ocenění zjištěných částí na základě ceny, priority ochrany, …  technické prostředky – není problém s jejich hodnotou  programové vybavení – není problém s jejich hodnotou  informace (ostré i záložní) – hodnota je různá (vlastník, útočník)  personál – mají vysokou hodnotu, ale cílem útoku moc nejsou  dokumentace – může být zneužita k lepšímu plánování útoku 3) Identifikace současných opatření  pokud se provádí opakovaná analýza

17 17 Bezpečnostní analýza – analýza rizik 4) Identifikace možných hrozeb  jaké reálné hrozby a s jakým rizikem mohou působit na systém  jaká je pravděpodobnost těchto hrozeb  bývá to velmi obtížné  na základě obecných informací (např. informace pojišťoven a výrobců)  na základě vlastních zkušeností (jak často k čemu v minulosti docházelo) 5) Identifikace a ocenění slabin  nalezení slabin aplikovaných bezpečnostních mechanismů a zvážení, zda je nadále řešit (další finance) nebo riziko akceptovat 6) Návrh protiopatření - jak se vypořádat s nalezeným rizikem?  akceptovat  pouze snížit  maximálně eliminovat  přesunout jinam (do jiné oblasti)  pro celkový přehled je výhodné vytvářet matici hrozby/protiopatření  jedno protiopatření často pokrývá několik rizik


Stáhnout ppt "Bezpečnostní politika © Ing. Zdeněk Žaba, 2003 Ochrana dat."

Podobné prezentace


Reklamy Google