1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) 1

2 A i 2 Případová studie k bezpečnosti IS – zadání 1. Bezpečností informační politika organizace 2. ISMS - Bezpečností informační politika organizace 3. Doporučení pro řízení informační bezpečnosti Úkoly do samostudia

3 Cíle přednášky 3 1. Charakterizovat bezpečnostní incidenty, jejich význam a řešení 2. bezpečností informační politiku organizace 2. Objasnit bezpečností informační politiku organizace 3. Uvést doporučení pro řízení informační bezpečnosti 3. Uvést doporučení pro řízení informační bezpečnosti

4 Důvody pro bezpečnost informací: Minimalizace nebezpečí úniku a zneužití dat Úspora vynaložených nákladů souvisejících s odstraněním následků bezpečnostních incidentů Dodržení legislativních předpisů Snížení rizika nedostupnosti informací Silná image společnosti a důvěra zákazníků Možnost průběžného sledování a hodnocení dosažené úrovně zabezpečení Pojetí bezpečnosti informací

Klastrové pojetí bezpečnosti Klastrové pojetí informační bezpečnosti organizace je do jisté míry v rozporu uplatňovaným systémovým přístupem Efektivita řízení Nákladové a bezpečnostní synergie BCM BCM - Řízení kontinuity činností ustanovuje strategický a provozní rámec přiměřený potřebám a cílům organizace.

6 Bezpečností informační politika organizace = je soubor zásad a pravidel, s jejichž pomocí organizace chrání svá aktiva, především počítačové sítě a informační systémy, které jsou nejzranitelnější, hned po lidském faktoru... bezpečnostní politika Obecně lze bezpečnostní incident definovat jako narušení bezpečnosti IS/IT a pravidel ustanovených k jeho ochraně (bezpečnostní politika). Zjištěné bezpečnostní incidenty a nedostatky musí být nahlášeny zodpovědným osobám, zaarchivovány, zdokumentovány, prozkoumány a odstraněny s ohledem na příčiny, které je vyvolaly tak, aby mohlo být dosaženo nápravy.

Reakce na nové bezpečnostní potřeby

Jak reagovat ? Otázky, které si v této souvislosti musíme klást: 1. Jak reagovat na změny charakteru bezpečnostních hrozeb? 2. Jak se změny promítnou do praxe bezpečnosti informací ? 3. Jaký je poměr potenciálu „starých osvědčených“ a „nových“ nástrojů“?

„Nové“ priority ve výstavbě bezpečnostního systému organizace HW SW Bezpečnostní systém ochrany informací organizace Lidé Management Výkonní zaměstnanci Ochrana prostředí Ochrana samotných IT Bezpečnost technologie Bezpečnostní vzdělávání Kontrolní mechanismy Bezpečnostní management Organizační a režimová opatření

10 Bezpečností informační politika organizace Porušení bezpečnosti stroje způsobí uživatel buď úmyslně, nebo svou nevědomostí, nedbalostí či neznalostí. Důsledky narušení bezpečnosti stroje mohou být různé s různým stupněm závažnosti - využití napadeného počítače k dalším útokům jako přestupní stanice, získání důvěrných dat a jejich zneužití, úmyslné poškození získaných dat, zneužití identity.

11 Bezpečností informační politika organizace management. Z hlediska bezpečnosti informací se v typické organizaci mezi nejrizikovější faktory řadí personál organizace, obzvláště její management. Statistiky uvádějí, že padesát až osmdesát procent ztrát informací je způsobeno managementem vlastní organizace. D ů vody jsou prosté: management musí mít zajištěn nejširší přístup ke zpracovávaným informacím.

12 Bezpečností informační politika organizace To platí zejména pro rizika porušení d ů věrnosti informací, což je ale jen jedno z hledisek informační bezpečnosti. sociálního inženýrství Personál může být také zranitelný kvůli hrozbám tzv. sociálního inženýrství, kdy útočník prostřednictvím promyšlené manipulace zneužívá přirozené důvěřivosti člověka. hardwarových prostředků V některých typech organizací mohou být také vysoká rizika v oblasti hardwarových prostředků (zastaralé UPS, absence firewallu…).

Bezpečností informační politika organizace Bezpečnostní politika musí být kontinuálně aktualizována v souladu se změnami prostředí a zahrnuje: politiku přípustného užívání aktiv, objasnění způsobu uskutečňování a vynucování bezpečnostních opatření, specifikaci školení svých zaměstnanců v oblasti ochrany aktiv, proceduru vyhodnocení účinnosti politiky vedoucí k provedení její inovace.

14 Bezpečností informační politika organizace objektivních Rozsah a struktura řízení informační bezpečnosti jsou závislé na řadě objektivních skutečností: - velikosti organizace, - geografickém umístění, - rozsahu a významu provozovaných IC Systémů, - použité informační a komunikační technologii - apod. …

15 Bezpečností informační politika organizace nedá se použít univerzální Toto je hlavní důvod, proč se aplikuje nejlepší praxe (normy, standardy a doporučení) pro zavedení informační bezpečnosti a nedá se použít univerzální šablona. Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik Obecně je třeba při budování informační bezpečnosti vycházet z analýzy výchozího stavu a z analýzy rizik.

16 Bezpečností informační politika organizace řízený proces Z důvodu zajištění dostatečné efektivity informační bezpečnosti se musí jednat o řízený proces vyvážený ve všech oblastech, který má podporu vedení a respektuje kulturu organizace. být seznámen s organizací a pravidly Každý uživatel informačního a komunikačního systému musí být seznámen s organizací a pravidly je nutná prevence informační bezpečnosti (se směrnicemi), a aby pochopil účel bezpečnostních opatření, je nutná prevence - soustavná osvěta a vzdělávání v oblasti informační bezpečnosti.

Obecné typy bezpečnostní politiky promiskuitní promiskuitní bezpečnostní politika, není ani vlastně bezpečnostní politikou, ve svých pravidlech nikoho neomezuje a povoluje subjektům realizovat vše, i co by neměli dělat, liberální liberální - ve svých pravidlech umožňuje realizovat vše, až na výjimky, které jsou explicitně vyjmenované, opatrná opatrná - ve svých pravidlech zakazuje vše s výjimkou toho, co je explicitně povoleno (viz OKIS UO), paranoidní paranoidní - zakazuje dělat vše, co je potenciálně nebezpečné, tedy i to co by nemuselo být explicitně zakázáno.

18 ISMS - Bezpečností informační politika organizace norem ISO/IEC a V poslední dob ě se stále častěji hovoří o systému managementu informační bezpečnosti (tzv. ISMS) podle norem ISO/IEC a Tak lze doložit správný postup při vypracování plán ů, které navazují a analýzu rizik provedenou dle standardů, které tyto normy upravují. ISMS ISMS (anglicky: information security management system) je tedy část celkového systému managementu organizace, která se orientuje na ř ízení rizik v oblasti bezpe č nosti informací.

19 Účelem ISMS Účelem ISMS je efektivní a účinná bezpečná správa duševního majetku, a to jak vlastního, tak i majetku, který organizaci svěřuje občan (tj. informací). aktiva Informace též představují aktiva - určitou hodnotu, se kterou stojí a padá důvěra občana, a proto je nutno ji chránit. zranitelnosti výslednou míru rizik. Aby ochrana ohodnocených informací byla přiměřená, je třeba dále pojmenovat a ohodnotit hrozby, které na aktiva působí, zranitelnosti (slabiny našich aktiv) a stanovit výslednou míru rizik. ISMS - Bezpečností informační politika organizace

20 ISMS - Bezpečností informační politika organizace + Chování uživatele IS - operátora

21 Doporučení pro řízení informační bezpečnosti Bezpečnostní politika pokrývá tyto oblasti informační bezpečnosti: a ) Organizaci a řízení bezpečnosti; b) Řízení aktiv; c) Personální bezpečnost; d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j)Soulad s požadavky. k)Chování uživatele IS - operátora

22 Rozdělení a provázanost rolí

Podle předchozího schéma jsou realizační týmy s rolemi: Manažer Administrátor Projektant Operátor - z nich sestavíte realizační tým a budete řešit projekt s názvem: Případová studie bezpečnosti informačních systémů

Rozdělení a provázanost rolí Manažer ISMS – jeho úloha Manažer ISMS – jeho úloha Postup vytvoření a zavedení ISMS Stanovení rozsahu systému, Stanovení rozsahu systému, zpracování analýzy rizik, zpracování analýzy rizik, formulace bezpečnostní politiky, formulace bezpečnostní politiky, formulace bezpečnostních standardů, formulace bezpečnostních standardů, monitorování a hodnocení ISMS, monitorování a hodnocení ISMS, monitorování systému, monitorování systému, přezkoumání řízení, přezkoumání řízení, řešení nápravných a preventivních opatření řešení nápravných a preventivních opatření

Rozdělení a provázanost rolí Administrátor ISMS – jeho úloha Administrátor ISMS – jeho úloha Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření.

Rozdělení a provázanost rolí Realizovat hlavní požadavky na ISMS Zpřístupnit aplikaci přes jednotné - intuitivně ovládané - uživatelské prostředí: – Přístupné přes webový prohlížeč, bez zvláštních nároků na klientské stanice – Podporující vizualizaci prostorových dat Vytvořit flexibilní procesně orientovaný systém s automatizovanou podporou postupů (workflow) – Pracovní postupy jednoznačně budou určeny typem a způsobem nakládání s daty – Možnost snadné modifikace a rozšiřování workflow Systém integrovat s dalšími spolupracujícími systémy poskytujícími služby v oblasti: – Správy dokumentů – Spolupracujících registrů Navrhnout a realizovat systém: – Centralizovaný, vysoce dostupný, bezpečný – Podporující minimálně 50 uživatelů z ústředí a územních a odloučených pracovišť lokalizovaných po celé ČR Zjemnění a finalizace návrhu pomocí prototypů Aktivní účast klíčových uživatelů při návrhu systému a jeho ověřování – Rozsáhlé systémově integrační a zátěžové testování Příprava uživatelské dokumentace - „Standardní“ uživatelské manuály, vzorové příklady, metodické postupy a FAQ – Rozsáhlé školení Několik kol plné migrace a ověření její správnosti – Příprava na produktivní provoz a jeho zahájení Detailní plán –těsné zapojení expertních uživatelů a zástupců vedení do jeho tvorby a implementace v organizaci Projektant ISMS – jeho úloha

Rozdělení a provázanost rolí Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Služby poskytované IS Povolená a zakázaná zařízení sítě IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Používání programového vybavení Evidence a správa programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Uživatel ISMS – jeho úloha Realizovat hlavní požadavky na ISMS

Faktory úspěchu a rizika projektu Vysoká komplexita řešení ISMS se dotýká většiny klíčových procesů a tyto procesy jsou relativně složité Vysoké nároky na analýzu a testování – Úzká provázanost s dalšími projekty IS Úspěch ISMS je podmíněn úspěchem a provázaností dalších IS a naopak Závislost na náročných úpravách rozhraní na straně navazujících IS – Většinou vysoké nároky na „řízení změny“ při přechodu ze stávajícího zpracování na nový systém Široká skupina uživatelů s různým stupněm schopnosti se s novým systémem seznámit před uvedením do provozu a přizpůsobit mu své pracovní postupy Závěr - Rizika projektu

29 Úkoly do samostudia 29 Charakterizovat bezpečnostní incidenty, jejich význam a řešení bezpečností informační politiku organizace Objasnit bezpečností informační politiku organizace Uvést doporučení pro řízení informační bezpečnosti z pohledu role Uvést doporučení pro řízení informační bezpečnosti z pohledu role