ADVISORY Je možné dosáhnout zaručené bezpečnosti v informačních systémech veřejné správy? Jiří Vondrášek, senior manager 25. – 27. září 2006

2 Obsah Úvod – účel prezentace Co je zaručená bezpečnost Předpoklady, za jakých se může aplikovat koncept zaručené bezpečnosti do ISVS Proč by ISVS měly mít zaručenou bezpečnost Podmínky, které musí být splněny, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS Shrnutí a závěry – Je možné dosáhnout zaručené bezpečnosti v ISVS

3 Úvod

4 Úvod - účel prezentace Upozornit na jeden z přístupů – na koncept zaručené bezpečnosti, který byl vyvinut za účelem zajišťování bezpečnosti IS/ICT, jež by se mohl začít více využívat i v informačních systémech veřejné správy (ISVS). Stručně vysvětlit principy a podstatu tohoto přístupu a poukázat na přednosti a problémy související s jeho použitím za účelem zajištění bezpečnosti ISVS. Tento příspěvek může být podnětem k diskusi o širším uplatnění popisovaného přístupu k zajištění bezpečnosti IS/ICT ve veřejné správě.

5 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT I. 1. Přístup V místě instalace systému se provádějí všechny potřebné procesy „inženýringu“ systémové bezpečnosti, které předepisuje např. standard ISO/IEC – Information technology – Systems Security Engineering – Capability Maturity Model (SSE – CMM®), nebo jiná „best paractice“. Tento přístup vyžaduje, aby vlastník porozuměl všem rizikům a schválil tzv. zbytková rizika tj. vymezil úroveň přijatelných rizik. Jednotlivá opatření navržená za účelem zvládnutí poznaných rizik a k jejich snížení na přijatelnou úroveň jsou potom součástí návrhu systému a jeho implementace, případně se aplikují ve fázi produkčního provozu systému. Odpovědnost za zajištění bezpečnosti má architekt systému, jeho implementátor (dodavatel implementačních prací), dále vlastník a provozovatel. Skutečná bezpečnost systému se zpravidla ověřuje až po instalaci bezpečnostním auditem a technickými prověrkami. O skutečné bezpečnosti systému je vlastník spraven až po provedení a vyhodnocení prověrek.

6 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT II. Po uvedení do produktivního provozu V průběhu zbytku životního cyklu začnou fungovat procesy správy bezpečnosti, monitoringu bezpečnosti a auditu bezpečnosti předepsané např. standardem BS ISO/IEC 27001:2005.

7 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT I. 2. Přístup V místě instalace se implementuje systém složený z komponent, které splňují kriteria na ověřenou úroveň záruk bezpečnosti. Implementace důsledně sleduje postupy, které stanovil výrobce nebo jiná důvěryhodná strana a které byly podmínkou získání osvědčení (certifikátu/atestu) o splnění kriterii na ověřenou úroveň záruk bezpečnosti. Tento přístup nevyžaduje, aby vlastník porozuměl všem rizikům a schválil tzv. zbytková rizika tj. vymezil úroveň přijatelných rizik. Vlastník chce být pouze ujištěn, že systém odolá všem hrozbám a že se jeho užíváním nevýší rizika, kterým je organizace vystavena. Jednotlivá opatření, navržená proto, aby chránila informační aktiva proti všem předpokládaným hrozbám, jsou potom součástí komponent, ze kterých je systém postaven, případně se aplikují ve fázi produkčního provozu systému. Odpovědnost za zajištění bezpečnosti má výrobce komponent, architekt systému, jeho implementátor (dodavatel implementačních prací), dále vlastník a provozovatel. Bezpečnost komponent je ověřena předem nezávislou třetí stranou. O skutečné bezpečnosti systému rozhoduje vlastník předem, stanovením požadavků na ověřenou úroveň záruk bezpečnosti.

8 Z pohledu vlastníka/provozovatele můžeme rozlišit dva základní přístupy k zajištění bezpečnosti IS/ICT II. Po uvedení do produktivního provozu V průběhu zbytku životního cyklu začnou fungovat procesy správy bezpečnosti, monitoringu bezpečnosti a auditu bezpečnosti předepsané např.standardem BS ISO/IEC 27001:2005. Ve zbytku prezentace budeme diskutovat přístup založený na konceptu zaručené bezpečnosti.

9 Co je zaručená bezpečnost

10 Proč vnikla potřeba zaručené bezpečnosti Vlastník aktiv požaduje, aby bezpečnostní opatření zajistily účinnou ochranu vůči hrozbám jimž jsou aktiva vystavena. Vlastníci však většinou nejsou schopni rozhodovat o všech aspektech ochranných opatření, a proto žádají, aby bezpečnostní opatření byla důkladně ověřena. Výsledkem takového ověření je prohlášení o tom, v jakém rozsahu jsou poskytnuty záruky, že se na ochranná opatření dá spolehnout a že účinně snižují riziko, jimž jsou aktiva vystavena. Prohlášení stanovuje stupeň/úroveň záruk, která poskytují ochranná opatření. (úroveň záruk bezpečnosti) Zaručená bezpečnost = bezpečnost odpovídající zvolené ověřené úrovni záruk bezpečnosti

11 Proč vnikla potřeba zaručené bezpečnosti Záruka je taková vlastnost ochranných opatření, na níž se zakládá důvěra, že opatření správně fungují. Prohlášení o stupni/úrovni záruk muže být využito vlastníkem aktiv při rozhodování zda akceptovat rizika jimž jsou aktiva vystavena. Vlastníci musí odpovídat za aktiva nepřetržitě a musí být schopni stále obhajovat svoje rozhodnutí o rizicích, která se rozhodli akceptovat. Proto je potřeba, aby prohlášení o úrovni záruk bezpečnosti učiněné na základě ověření bylo udržitelné. Z tohoto důvodu musí ověření vést k objektivnímu opakovatelnému výsledku, který je možné považovat za průkazný. Proto je model ověřování bezpečnosti IS/ICT standardizován v ISO/IEC 15408:2005, proto existuje certifikační schéma na hodnocení produktů IS/ICT.

12 Co vše znamená zaučená úroveň bezpečnosti Prohlášení, že nějaký systém nebo jeho část má ověřenou zaručenou úroveň bezpečnosti znamená, že je nezávislou stranou ověřeno, že splňuje určitá hodnotící kriteria. Kriteria jsou předem stanovena a vyjadřují vyvážený soubor požadavků na bezpečnostní funkce, požadavků na záruky a požadavků na prostředí. Soubor kriterií je sestaven postupem, který je určen standardem ISO/IEC 15408:2005. Soubor kriterií je sestaven podle formálního modelu, do kterého vstupují jako parametry vlastnosti prostředí, ve kterém má být předmět ověřování provozován. Za vlastností prostředí jsou v této souvislosti považovány Předpoklady (omezení a požadavky stanovené zákony, zkušenosti a znalosti obsluhy apod.) Hrozby Bezpečnostní politiky organizace. Kriteria jsou ověřována postupem, který je také stanoven standardem ISO/IEC 15408:2005.

13 Analogie zaručené bezpečnosti z oblasti ochrany zdraví a majetku Pro zajištění bezpečnosti jsou předepsány bezpečnostní prvky Automobily mají předepsané bezpečnostní prvky – pásy, airbagy, ABS … Pojišťovna vyžaduje, aby cenné předměty byly uloženy v bezpečných schránkách odolávajících násilnému vniknutí, uzamčeny zámkem určité kvality. Výběr povinných prvků závisí na několika faktorech Na předpokládaném chování Na hrozbách prostředí Na hodnotě aktiva, jež má být zabezpečeno (chráněno). Úroveň bezpečnosti je prověřována a je požadováno, aby byla zaručena. Jako spotřebitelé (vlastníci aktiva - svého zdraví) nebudeme jezdit automobilem, který nemá zaručenou bezpečnost, jinak riskujeme, že budeme havarovat a budeme zraněni. Jako vlastníci cenného předmětu ho uložíme do bezpečné schránky, nebudeme riskovat jeho odcizení, a to že nebudeme moci uplatnit na pojišťovně náhradu škody, když neprokážeme, že cennosti byly přiměřeně chráněny proti krádeži.

14 Příklady IS/ICT se zaručenou bezpečností

15 Příklady IS/ICT se zaručenou bezpečností Informační systémy určené pro zpracování utajovaných skutečností. Je to vyžadováno legislativou některých států. Informační systémy, které jsou součástí tzv. kritické infrastruktury. Je to vyžadováno legislativou některých států. Informační systémy veřejných certifikačních a registračních autorit, které vydávají a spravují kvalifikované certifikáty. Je to vyžadováno zákonem i v ČR.

16 Předpoklady, za jakých se může aplikovat koncept zaručené bezpečnosti do ISVS

17 Nejprve uvedeme příklady, kdy se stejný přístup osvědčil, ale v jiných oblastech bezpečnosti, a na základě analogie stanovíme předpoklady Automobil daného typu se vyrábí ve velkých sériích, proto se výrobci vyplatí nechat provést certifikaci (atesty) bezpečnostních prvků montovaných do vozidla. Zákazník si vybírá podle počtu a kombinace bezpečnostních prvků v daném typu vozidla. Stavby, které musí mít určitou odolnost se stavějí pouze z certifikovaných/atestovaných komponent a normou stanovenými technologickými postupy.

18 Předpoklady Koncept zaručené bezpečnosti je možné aplikovat na standardní komponenty IS/ICT, které jsou užívány ve většině organizací veřejné správy Producenti sami zajišťují certifikaci svých produktů na příslušné ověřené úrovně záruk bezpečnosti Producenti sami zajišťují přípravu návodů, jak jejich produkt nastavit tak, aby splňoval kriteria příslušné ověřené úrovně záruk bezpečnosti. Je potřeba přijmout koncept, že ISVS vybudovaný z komponent, které všechny dosahují určité ověřené úrovně záruk bezpečnosti, dosahuje jako celek ověřené úrovně záruk bezpečnosti, která odpovídá nejnižší z ověřených úrovní dosažených jeho komponentami. U malého počtu specifických komponent ISVS, jejichž ověření nezajistil výrobce, se dá individuálně aplikovat postup ověřování uvedený v ISO/IEC a dosáhnout i pro ně ověřenou úroveň záruk bezpečnosti.

19 Proč by ISVS měly mít zaručenou bezpečnost

20 Důvody pro přijetí konceptu zaručené bezpečnosti v ISVS Dosažení ověřené úrovně záruk bezpečnosti ISVS se dá jednoduše nařídit. Požadovaná úroveň záruk se stanoví podle charakteru prostředí, kde má být ISVS provozován, a podle hodnoty informačních aktiv v ISVS zpracovávaných. Není potřeba více zdůvodňovat, kolik bezpečnosti je potřeba. Pro danou typovou situaci (prostředí, převažující typ informací, regulatorní rámec …) se zákonem/vyhláškou/standardem stanoví požadavek, jakou ověřenou úroveň záruk bezpečnosti musí ISMS dosáhnout. Ověřená úroveň záruk bezpečnosti ISVS je stanovena předem, ne zjištěna ex-post. Podle ověřené úrovně záruk bezpečnosti se dají ISVS jednoduše klasifikovat do skupin. Ověřená úroveň záruk bezpečnosti je jednotná agregovaná metrika pro všechny, její význam je zakotven standardem a nezáleží na organizaci provozující ISVS. Standard je stanoven nezpochybnitelnou autoritou.

21 Důvody pro přijetí konceptu zaručené bezpečnosti v ISVS Ověřená úroveň záruk bezpečnosti je podporována světovými výrobci komponent IS/ICT. Dosažení ověřené úrovně záruk bezpečnosti je možné opakovaně a efektivně ověřovat auditem. Pokud ISVS dosáhne stanovenou ověřenou úroveň záruk bezpečnosti, je to zárukou pro všechny zainteresované strany – vlastníky, provozovatele, uživatele a další. Kriteria, která mají být splněna jsou předem známá. Dodavatel i provozovatel ISVS se na to mohou dobře připravit. Proces nutný k dosažení ověřené úrovně záruk bezpečnosti pak proběhne velmi efektivně.

22 Podmínky, které musí být splněny, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS

23 Podmínky, které musí být splněny, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS Musí být provedena osvěta, která zvýší povědomí, že je to efektivní přístup k zajištění bezpečnosti ISVS Zaručená bezpečnost ISVS musí být vyžadována a kontrolována Regulatorními nástroji (zákony a podzákonnými normami) Vlastníky a provozovateli ISVS Uživateli ISVS Musí být vybudovány a podporovány orgány/organizace, které zajistí nestranné ověřování bezpečnosti ISVS a udělování certifikátů/atestů Použití ověřené úrovně záruk bezpečnosti ISVS se musí vyplatit, musí to přinášet měřitelný užitek (nebo úsporu)

24 Shrnutí a závěry Je možné dosáhnout zaručené bezpečnosti ISVS?

25 Shrnutí Mezi ISVS existují typová řešení založená na rozšířených SW produktech, na standardních operačních systémech a na standardních aplikačních platformách. Nejužívanější operační systémy a aplikační platformy jsou svými výrobci vybaveny funkcemi, které umožňují, že se dají nastavit do konfigurace, která splňuje kriteria ověřené úrovně záruk bezpečnosti dle ISO/IEC Postup nastavení a podmínky udržení takové konfigurace výrobce zveřejňuje a poskytuje implementačním firmám. Nejrozšířenější SW produkty (aplikační programové vybavení) používané v ISVS zatím nejsou přizpůsobeny tomu, aby splňovaly kriteria ověřené úrovně záruk bezpečnosti dle ISO/IEC 15408, protože na to není vyvíjen žádný tlak.

26 Shrnutí Ke splnění podmínek, aby bylo možné prosadit koncept zaručené bezpečnosti ISVS schází mimo osvěty, která podpoří přijetí takové koncepce, zejména: Zajistit, aby zaručená bezpečnost ISVS byla vyžadována a kontrolována u určitých typů ISVS např. formou zákona nebo podzákonné normy Zajistit, aby existoval dostatek pověřených subjektů, které provádějí nestranné ověřování bezpečnosti a udělování certifikátů/atestů. Výrobci SW produktů pak sami budou usilovat o certifikaci svého produktu

27 Je možné dosáhnout zaručené bezpečnosti ISVS? V krátkodobém časovém horizontu ne. V delším časovém horizontu – to záleží na vůli prosadit koncept a zajistit podmínky.

28 Děkuji za pozornost

29 Jiří Vondrášek KPMG Česká republika, s.r.o The information contained herein is of a general nature and is not intended to address the circumstances of any particular individual or entity. Although we endeavor to provide accurate and timely information, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future. No one should act on such information without appropriate professional advice after a thorough examination of the particular situation. Informace zde obsažené jsou obecného charakteru a nejsou určeny k řešení situace konkrétní osoby či subjektu. Ačkoliv se snažíme zajistit, aby poskytované informace byly přesné a aktuální, nelze zaručit, že budou odpovídat skutečnosti k datu, ke kterému jsou doručeny, či že budou platné i v budoucnosti. Bez důkladného prošetření konkrétní situace a řádné odborné konzultace by neměla na základě těchto informací být činěna žádná opatření. © 2006 KPMG Česká republika, s.r.o., a Czech limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss cooperative. All rights reserved. Printed in the Czech Republic.