ADVISORY Je možné dosáhnout zaručené bezpečnosti v informačních systémech veřejné správy? Jiří Vondrášek, senior manager 25. – 27. září 2006.

Slides:



Advertisements
Podobné prezentace
Obecné požadavky na výstavbu
Advertisements

Informační systém krizového řízení kraje
Harmonogram implementace IS v běžné praxi - informatika ZMVS.
Výběr vozidla do firmy – máme k dispozici všechny informace? Michal Krátký, Přemysl Žižka – DEN S FLEETEM DEN S FLEETEM – JARO 2010.
Tento produkt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky Ekolabeling.
KONTROLA zpracovala: Ing. Jaroslava Teuberová Náchod, dne
Elektronický podpis.
Bezpečnost strojních zařízení Bezpečnost částí ovládacích systémů Část 1: Všeobecné zásady pro konstrukci ČSN EN ISO
Kodex řízení evropské akvakultury FEAP. EIFAC – evropská komise pro sladkovodní rybářství (FAO) FEAP – federace evropských chovatelů ryb –( Federation.
© 2010 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with.
IS V EKONOMICKÝCH SUBJEKTECH Ing. Jiří Šilhán. IS IS – data+lidi+HW, prvky + relace mezi uživateli, které splňují nějaké cílové chování – tak aby byly.
Vaše jistota na trhu IT Důvěryhodná výpočetní základna Ladislav Šolc Microsoft, s.r.o. Solution.
Daňové dopady vymáhání pohledávek
Travel Leisure & Tourism ADVISORY Památky a jejich význam pro ekonomický rozvoj Tomáš Kulman 18. září 2008.
TAX Nemovitosti a přímé daně 2006 – přehled změn Eugen Oehm 23. února 2006.
TEORETICKÉ OTÁZKY BEZPEČNOSTI
Audit IT procesů ve FNOL
1 Přechod na účetnictví státu od 1. ledna 2010 Accounting Advisory Services Pavel Kliment, Eva Fryjaufová 23. listopadu 2009.
EIA – význam procesu s ohledem na navazující řízení Dana Kučová EIA – význam procesu při realizaci záměrů s ohledem na navazující řízení Zpracovala.
ÚČEL AUTOMATIZACE (c) Tralvex Yeap. All Rights Reserved.
Winter REM 2006 TAX Modely financování a jejich daňové dopady Marie Konečná, Tax Partner 23. února 2006.
1 E - S V Ě T S E T O Č Í S T Á L E R Y C H L E J I. S T A Č Í T E M U ? Praktická realizace bezpečnostních požadavků standardů ISVS při tvorbě.
7. zasedání pracovní skupiny interních auditorů kraje Vysočina
Management kontinuity činností organizace
Projekt zavádění jednotné bezpečnostní politiky v prostředí VZP ČR
Akreditační systém v ČR – kvalita produktů IT
12. OPERATIVNÍ MANAGEMENT
E-Praha a interoperabilita. © 2006 KPMG Česká republika, s.r.o., the Czech member firm of KPMG International, a Swiss cooperative. All rights reserved.
Bezpečné používání Datových schránek Jan Krob Security World 2009, 6. října 2009 IT ADVISORY ADVISORY.
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
Podpora a rozvoj komunikační infrastruktury ISVS Ing. Lubomír Moravčík
Informačnípodpora řízení kvality ve firmě Informační podpora řízení kvality ve firmě CRM Ekonomický systém Personalistika Datová pumpa Akord Software Datový.
Projekt realizace referenčního rozhraní Ing. Jan Pokorný Ministerstvo informatiky ČR ISSS, 5. dubna 2005.
Reinženýring cesta ke zvyšování výkonnosti státní správy s využitím procesního řízení Ing. Martin Čulík Notes CS a.s. Konference ISSS 2003 Hradec Králové.
Úpravy zisků sdružených podniků mimo arbitrážní konvenci – praktická zkušenost 11. října 2011.
TAX Novinky v oblasti daně z přidané hodnoty Petr Toman, Manager 23. února 2006.
METODIKA PROJEKTU Postavení a význam cestovního ruchu v České republice Přínosy cestovního ruchu pro Českou republiku sledované období červen.
NÁRODNÍ DIGITÁLNÍ ARCHIV
Management jakosti jako úhelný kámen provozu klinické laboratoře
Business Performance Services ADVISORY / Travel Leisure and Tourism Cestovní ruch a volnočasové projekty Tomáš Kulman
Vaše jistota na trhu IT Vybudování a provozování e-spisovny Josef Sedláček ICZ a.s.
Zkušenosti ze zavedení systému řízení bezpečnosti informací ve shodě s ISO a ISO na Ministerstvu zdravotnictví ČR Ing. Fares Shima Ing. Fares.
Přístup k řešení bezpečnosti IT Nemochovský František ISSS Hradec Králové, dubna 2005.
Výzkumné projekty MŽP v oblasti odpadového hospodářství
Proces řízení kvality projektu Jaromír Štůsek
Prof. Molnár1 Podnikové informační systémy Outsourcing IS/IT a ASP Prof. Ing. Zdeněk Molnár, CSc Ústav řízení a ekonomiky podniku
STÁTNÍ INFORMAČNÍ POLITIKA E-Government a elektronický podpis Ing. Karel Březina ministr a předseda Rady vlády pro státní informační politiku.
Řetězové obchody – znázornění a ZDPH
Technické řešení PostSignum QCA
Profesní čipové karty Mgr. Lada Hrůzová Vedoucí projektu Konference ISSS, 24. – 25. březen 2003, KC Aldis Hradec Králové.
IAF MD 18:2015 Aplikace ISO/IEC 17021:2011 v oblasti řízení služeb (ISO/IEC )
Finanční instituce a DPH Vybrané praktické dopady
Hodnocení kvality a bezpečí zdravotních služeb
Metodika řízení projektů
Vysoká škola technická a ekonomická v Českých Budějovicích
Trendy v řešení bezpečnosti informací (aspekty personalistiky) F.S.C. BEZPEČNOSTNÍ PORADENSTVÍ a.s. Tomáš Kubínek
Proces akreditace a certifikace systémů managementu a produktů.
Vypracováno kolektivem autorů České společnosti pro technickou normalizaci Úřad pro technickou normalizaci, metrologii a státní zkušebnictví
Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Sjednocení technologické platformy Policie ČR CZ.1.06/1.1.00/ Projekt je.
Veřejné sbírky: co jimi je a není 7. dubna © 2014 KPMG Legal, s.r.o., advokátní kancelář, a Czech limited liability company and a member firm.
Autorita Schopnost získat si respekt podřízených. Rozlišujeme formální, neformální a odbornou autoritu Autoritativní styl řízení Styl řízení založený.
SIKP – Státní informační a komunikační politika Prezentace – aplikace vybraných zákonů ve společnosti NeXA, s.r.o. Eva Štíbrová Zdeňka Strousková Radka.
GLOBAL SERVICE/ INDUSTRY Fill in global service or industry! Doplňte podslužbu nebo oborové zaměření! AUDIT / TAX / ADVISORY / LINE OF BUSINESS Delete.
Návrh Strategie/koncepce rozvoje agendových IS provozovaných v HMP Vytvořeno v rámci VZ ICT strategie HMP na období Prezentováno
Česká inspekce životního prostředí
Jištění kvality technologických procesů
ŘEMESLO - TRADICE A BUDOUCNOST
Koncepce bezpečnosti v infrastruktuře systémů veřejné správy
Ukazatele kvality Program školení.
Obecné nařízení o ochraně osobních údajů
Transkript prezentace:

ADVISORY Je možné dosáhnout zaručené bezpečnosti v informačních systémech veřejné správy? Jiří Vondrášek, senior manager 25. – 27. září 2006

2 Obsah Úvod – účel prezentace Co je zaručená bezpečnost Předpoklady, za jakých se může aplikovat koncept zaručené bezpečnosti do ISVS Proč by ISVS měly mít zaručenou bezpečnost Podmínky, které musí být splněny, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS Shrnutí a závěry – Je možné dosáhnout zaručené bezpečnosti v ISVS

3 Úvod

4 Úvod - účel prezentace Upozornit na jeden z přístupů – na koncept zaručené bezpečnosti, který byl vyvinut za účelem zajišťování bezpečnosti IS/ICT, jež by se mohl začít více využívat i v informačních systémech veřejné správy (ISVS). Stručně vysvětlit principy a podstatu tohoto přístupu a poukázat na přednosti a problémy související s jeho použitím za účelem zajištění bezpečnosti ISVS. Tento příspěvek může být podnětem k diskusi o širším uplatnění popisovaného přístupu k zajištění bezpečnosti IS/ICT ve veřejné správě.

5 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT I. 1. Přístup V místě instalace systému se provádějí všechny potřebné procesy „inženýringu“ systémové bezpečnosti, které předepisuje např. standard ISO/IEC – Information technology – Systems Security Engineering – Capability Maturity Model (SSE – CMM®), nebo jiná „best paractice“. Tento přístup vyžaduje, aby vlastník porozuměl všem rizikům a schválil tzv. zbytková rizika tj. vymezil úroveň přijatelných rizik. Jednotlivá opatření navržená za účelem zvládnutí poznaných rizik a k jejich snížení na přijatelnou úroveň jsou potom součástí návrhu systému a jeho implementace, případně se aplikují ve fázi produkčního provozu systému. Odpovědnost za zajištění bezpečnosti má architekt systému, jeho implementátor (dodavatel implementačních prací), dále vlastník a provozovatel. Skutečná bezpečnost systému se zpravidla ověřuje až po instalaci bezpečnostním auditem a technickými prověrkami. O skutečné bezpečnosti systému je vlastník spraven až po provedení a vyhodnocení prověrek.

6 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT II. Po uvedení do produktivního provozu V průběhu zbytku životního cyklu začnou fungovat procesy správy bezpečnosti, monitoringu bezpečnosti a auditu bezpečnosti předepsané např. standardem BS ISO/IEC 27001:2005.

7 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT I. 2. Přístup V místě instalace se implementuje systém složený z komponent, které splňují kriteria na ověřenou úroveň záruk bezpečnosti. Implementace důsledně sleduje postupy, které stanovil výrobce nebo jiná důvěryhodná strana a které byly podmínkou získání osvědčení (certifikátu/atestu) o splnění kriterii na ověřenou úroveň záruk bezpečnosti. Tento přístup nevyžaduje, aby vlastník porozuměl všem rizikům a schválil tzv. zbytková rizika tj. vymezil úroveň přijatelných rizik. Vlastník chce být pouze ujištěn, že systém odolá všem hrozbám a že se jeho užíváním nevýší rizika, kterým je organizace vystavena. Jednotlivá opatření, navržená proto, aby chránila informační aktiva proti všem předpokládaným hrozbám, jsou potom součástí komponent, ze kterých je systém postaven, případně se aplikují ve fázi produkčního provozu systému. Odpovědnost za zajištění bezpečnosti má výrobce komponent, architekt systému, jeho implementátor (dodavatel implementačních prací), dále vlastník a provozovatel. Bezpečnost komponent je ověřena předem nezávislou třetí stranou. O skutečné bezpečnosti systému rozhoduje vlastník předem, stanovením požadavků na ověřenou úroveň záruk bezpečnosti.

8 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT II. Po uvedení do produktivního provozu V průběhu zbytku životního cyklu začnou fungovat procesy správy bezpečnosti, monitoringu bezpečnosti a auditu bezpečnosti předepsané např.standardem BS ISO/IEC 27001:2005. Ve zbytku prezentace budeme diskutovat přístup založený na konceptu zaručené bezpečnosti.

9 Co je zaručená bezpečnost

10 Proč vnikla potřeba zaručené bezpečnosti Vlastník aktiv požaduje, aby bezpečnostní opatření zajistily účinnou ochranu vůči hrozbám jimž jsou aktiva vystavena. Vlastníci však většinou nejsou schopni rozhodovat o všech aspektech ochranných opatření, a proto žádají, aby bezpečnostní opatření byla důkladně ověřena. Výsledkem takového ověření je prohlášení o tom, v jakém rozsahu jsou poskytnuty záruky, že se na ochranná opatření dá spolehnout a že účinně snižují riziko, jimž jsou aktiva vystavena. Prohlášení stanovuje stupeň/úroveň záruk, která poskytují ochranná opatření. (úroveň záruk bezpečnosti) Zaručená bezpečnost = bezpečnost odpovídající zvolené ověřené úrovni záruk bezpečnosti

11 Proč vnikla potřeba zaručené bezpečnosti Záruka je taková vlastnost ochranných opatření, na níž se zakládá důvěra, že opatření správně fungují. Prohlášení o stupni/úrovni záruk muže být využito vlastníkem aktiv při rozhodování zda akceptovat rizika jimž jsou aktiva vystavena. Vlastníci musí odpovídat za aktiva nepřetržitě a musí být schopni stále obhajovat svoje rozhodnutí o rizicích, která se rozhodli akceptovat. Proto je potřeba, aby prohlášení o úrovni záruk bezpečnosti učiněné na základě ověření bylo udržitelné. Z tohoto důvodu musí ověření vést k objektivnímu opakovatelnému výsledku, který je možné považovat za průkazný. Proto je model ověřování bezpečnosti IS/ICT standardizován v ISO/IEC 15408:2005, proto existuje certifikační schéma na hodnocení produktů IS/ICT.

12 Co vše znamená zaučená úroveň bezpečnosti Prohlášení, že nějaký systém nebo jeho část má ověřenou zaručenou úroveň bezpečnosti znamená, že je nezávislou stranou ověřeno, že splňuje určitá hodnotící kriteria. Kriteria jsou předem stanovena a vyjadřují vyvážený soubor požadavků na bezpečnostní funkce, požadavků na záruky a požadavků na prostředí. Soubor kriterií je sestaven postupem, který je určen standardem ISO/IEC 15408:2005. Soubor kriterií je sestaven podle formálního modelu, do kterého vstupují jako parametry vlastnosti prostředí, ve kterém má být předmět ověřování provozován. Za vlastností prostředí jsou v této souvislosti považovány Předpoklady (omezení a požadavky stanovené zákony, zkušenosti a znalosti obsluhy apod.) Hrozby Bezpečnostní politiky organizace. Kriteria jsou ověřována postupem, který je také stanoven standardem ISO/IEC 15408:2005.

13 Analogie zaručené bezpečnosti z oblasti ochrany zdraví a majetku Pro zajištění bezpečnosti jsou předepsány bezpečnostní prvky Automobily mají předepsané bezpečnostní prvky – pásy, airbagy, ABS … Pojišťovna vyžaduje, aby cenné předměty byly uloženy v bezpečných schránkách odolávajících násilnému vniknutí, uzamčeny zámkem určité kvality. Výběr povinných prvků závisí na několika faktorech Na předpokládaném chování Na hrozbách prostředí Na hodnotě aktiva, jež má být zabezpečeno (chráněno). Úroveň bezpečnosti je prověřována a je požadováno, aby byla zaručena. Jako spotřebitelé (vlastníci aktiva - svého zdraví) nebudeme jezdit automobilem, který nemá zaručenou bezpečnost, jinak riskujeme, že budeme havarovat a budeme zraněni. Jako vlastníci cenného předmětu ho uložíme do bezpečné schránky, nebudeme riskovat jeho odcizení, a to že nebudeme moci uplatnit na pojišťovně náhradu škody, když neprokážeme, že cennosti byly přiměřeně chráněny proti krádeži.

14 Příklady IS/ICT se zaručenou bezpečností

15 Příklady IS/ICT se zaručenou bezpečností Informační systémy určené pro zpracování utajovaných skutečností. Je to vyžadováno legislativou některých států. Informační systémy, které jsou součástí tzv. kritické infrastruktury. Je to vyžadováno legislativou některých států. Informační systémy veřejných certifikačních a registračních autorit, které vydávají a spravují kvalifikované certifikáty. Je to vyžadováno zákonem i v ČR.

16 Předpoklady, za jakých se může aplikovat koncept zaručené bezpečnosti do ISVS

17 Nejprve uvedeme příklady, kdy se stejný přístup osvědčil, ale v jiných oblastech bezpečnosti, a na základě analogie stanovíme předpoklady Automobil daného typu se vyrábí ve velkých sériích, proto se výrobci vyplatí nechat provést certifikaci (atesty) bezpečnostních prvků montovaných do vozidla. Zákazník si vybírá podle počtu a kombinace bezpečnostních prvků v daném typu vozidla. Stavby, které musí mít určitou odolnost se stavějí pouze z certifikovaných/atestovaných komponent a normou stanovenými technologickými postupy.

18 Předpoklady Koncept zaručené bezpečnosti je možné aplikovat na standardní komponenty IS/ICT, které jsou užívány ve většině organizací veřejné správy Producenti sami zajišťují certifikaci svých produktů na příslušné ověřené úrovně záruk bezpečnosti Producenti sami zajišťují přípravu návodů, jak jejich produkt nastavit tak, aby splňoval kriteria příslušné ověřené úrovně záruk bezpečnosti. Je potřeba přijmout koncept, že ISVS vybudovaný z komponent, které všechny dosahují určité ověřené úrovně záruk bezpečnosti, dosahuje jako celek ověřené úrovně záruk bezpečnosti, která odpovídá nejnižší z ověřených úrovní dosažených jeho komponentami. U malého počtu specifických komponent ISVS, jejichž ověření nezajistil výrobce, se dá individuálně aplikovat postup ověřování uvedený v ISO/IEC a dosáhnout i pro ně ověřenou úroveň záruk bezpečnosti.

19 Proč by ISVS měly mít zaručenou bezpečnost

20 Důvody pro přijetí konceptu zaručené bezpečnosti v ISVS Dosažení ověřené úrovně záruk bezpečnosti ISVS se dá jednoduše nařídit. Požadovaná úroveň záruk se stanoví podle charakteru prostředí, kde má být ISVS provozován, a podle hodnoty informačních aktiv v ISVS zpracovávaných. Není potřeba více zdůvodňovat, kolik bezpečnosti je potřeba. Pro danou typovou situaci (prostředí, převažující typ informací, regulatorní rámec …) se zákonem/vyhláškou/standardem stanoví požadavek, jakou ověřenou úroveň záruk bezpečnosti musí ISMS dosáhnout. Ověřená úroveň záruk bezpečnosti ISVS je stanovena předem, ne zjištěna ex-post. Podle ověřené úrovně záruk bezpečnosti se dají ISVS jednoduše klasifikovat do skupin. Ověřená úroveň záruk bezpečnosti je jednotná agregovaná metrika pro všechny, její význam je zakotven standardem a nezáleží na organizaci provozující ISVS. Standard je stanoven nezpochybnitelnou autoritou.

21 Důvody pro přijetí konceptu zaručené bezpečnosti v ISVS Ověřená úroveň záruk bezpečnosti je podporována světovými výrobci komponent IS/ICT. Dosažení ověřené úrovně záruk bezpečnosti je možné opakovaně a efektivně ověřovat auditem. Pokud ISVS dosáhne stanovenou ověřenou úroveň záruk bezpečnosti, je to zárukou pro všechny zainteresované strany – vlastníky, provozovatele, uživatele a další. Kriteria, která mají být splněna jsou předem známá. Dodavatel i provozovatel ISVS se na to mohou dobře připravit. Proces nutný k dosažení ověřené úrovně záruk bezpečnosti pak proběhne velmi efektivně.

22 Podmínky, které musí být splněny, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS

23 Podmínky, které musí být splněny, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS Musí být provedena osvěta, která zvýší povědomí, že je to efektivní přístup k zajištění bezpečnosti ISVS Zaručená bezpečnost ISVS musí být vyžadována a kontrolována Regulatorními nástroji (zákony a podzákonnými normami) Vlastníky a provozovateli ISVS Uživateli ISVS Musí být vybudovány a podporovány orgány/organizace, které zajistí nestranné ověřování bezpečnosti ISVS a udělování certifikátů/atestů Použití ověřené úrovně záruk bezpečnosti ISVS se musí vyplatit, musí to přinášet měřitelný užitek (nebo úsporu)

24 Shrnutí a závěry Je možné dosáhnout zaručené bezpečnosti ISVS?

25 Shrnutí Mezi ISVS existují typová řešení založená na rozšířených SW produktech, na standardních operačních systémech a na standardních aplikačních platformách. Nejužívanější operační systémy a aplikační platformy jsou svými výrobci vybaveny funkcemi, které umožňují, že se dají nastavit do konfigurace, která splňuje kriteria ověřené úrovně záruk bezpečnosti dle ISO/IEC Postup nastavení a podmínky udržení takové konfigurace výrobce zveřejňuje a poskytuje implementačním firmám. Nejrozšířenější SW produkty (aplikační programové vybavení) používané v ISVS zatím nejsou přizpůsobeny tomu, aby splňovaly kriteria ověřené úrovně záruk bezpečnosti dle ISO/IEC 15408, protože na to není vyvíjen žádný tlak.

26 Shrnutí Ke splnění podmínek, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS schází mimo osvěty, která podpoří přijetí takové koncepce, zejména: Zajistit, aby zaručená bezpečnost ISVS byla vyžadována a kontrolována u určitých typů ISVS např. formou zákona nebo podzákonné normy Zajistit, aby existoval dostatek pověřených subjektů, které provádějí nestranné ověřování bezpečnosti a udělování certifikátů/atestů. Výrobci SW produktů pak sami budou usilovat o certifikaci svého produktu

27 Je možné dosáhnout zaručené bezpečnosti ISVS? V krátkodobém časovém horizontu ne. V delším časovém horizontu – to záleží na vůli prosadit koncept a zajistit podmínky.

28 Děkuji za pozornost

29 Jiří Vondrášek KPMG Česká republika, s.r.o The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby či subjektu. Ačkoliv se snažíme zajistit, aby poskytované informace byly přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, či že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla na základě těchto informací být činěna žádná opatření. © 2006 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic.