1 Aplikovaná informatika Aplikovaná informatika Případová studie bezpečnosti IS – zadání a vypracování ZEMÁNEK, Z. - PLUSKAL, D. Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ ) 1
2 A i 2 Případová studie k bezpečnosti IS – zadání a vypracování 1. Rozdělení a provázanost rolí ISMS 1. Rozdělení a provázanost rolí ISMS 2. Zadání zápočtového projektu Zp1 2. Zadání zápočtového projektu Zp1 3. Doporučení pro řízení informační bezpečnosti 3. Doporučení pro řízení informační bezpečnosti Úkoly do samostudia
3 Cíle cvičení 3 1. Charakterizovat rozdělení a provázanost rolí 1. Charakterizovat rozdělení a provázanost rolí 2. Provést zadání zápočtového projektu Zp1 2. Provést zadání zápočtového projektu Zp1 3. Nastínit doporučení pro řízení informační bezpečnosti 3. Nastínit doporučení pro řízení informační bezpečnosti
4 Rozdělení a provázanost rolí ISMS
Zadání zápočtového projektu Zp1 Podle předchozího schéma vytvoříte čtyřčlenné realizační týmy s rolemi: Manažer Administrátor Projektant Operátor Dále projdete uvedená doporučení vztahující se k vaší roli a z nich sestavíte projekt s názvem: Případová studie bezpečnosti informačních systémů
Rozdělení a provázanost rolí Manažer ISMS – jeho úloha Manažer ISMS – jeho úloha Postup vytvoření a zavedení ISMS Stanovení rozsahu systému, Stanovení rozsahu systému, zpracování analýzy rizik, zpracování analýzy rizik, formulace bezpečnostní politiky, formulace bezpečnostní politiky, formulace bezpečnostních standardů, formulace bezpečnostních standardů, monitorování a hodnocení ISMS, monitorování a hodnocení ISMS, monitorování systému, monitorování systému, přezkoumání řízení, přezkoumání řízení, řešení nápravných a preventivních opatření řešení nápravných a preventivních opatření
Rozdělení a provázanost rolí Administrátor ISMS – jeho úloha Administrátor ISMS – jeho úloha Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Popis Informačního systému a jeho struktura (řízení) – technické prostředky, programové vybavení, uložení, oběh a zálohování dat, komunikace, provoz, provozní doby, help-desk, krizová řešení. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti uživatelů informačních systémů – uživatel (kategorie dle přístupových práv), externí uživatel, správce lokality, uživatelské účty a jejich typy, podmínky zřízení a zrušení, žádost o nový software, dokumentace instalace či reinstalace, vyřazení software, pravidelné kontroly. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Práva a povinnosti správců informačních systémů – oddělení informatiky (práva a povinnosti, úloha ve schvalovacím a přidělovacím procesu, způsob komunikace, dokumentování rozhodnutí, instalací, archivace dokladů, centrální evidence hardwaru a softwaru, opakování softwarových auditů, reakce na nepovolené chování uživatelů, instalační protokoly, komunikace s ekonomickým a účetním oddělením) správce aplikací, databází, hardware, financování. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření. Zabezpečení a ochrana informačních systémů – organizační opatření, správa uživatelských účtů, ochrana před viry a nežádoucími instalacemi, technická opatření.
Rozdělení a provázanost rolí Realizovat hlavní požadavky na ISMS Zpřístupnit aplikaci přes jednotné - intuitivně ovládané - uživatelské prostředí: – Přístupné přes webový prohlížeč, bez zvláštních nároků na klientské stanice – Podporující vizualizaci prostorových dat Vytvořit flexibilní procesně orientovaný systém s automatizovanou podporou postupů (workflow) – Pracovní postupy jednoznačně budou určeny typem a způsobem nakládání s daty – Možnost snadné modifikace a rozšiřování workflow Systém integrovat s dalšími spolupracujícími systémy poskytujícími služby v oblasti: – Správy dokumentů – Spolupracujících registrů Navrhnout a realizovat systém: – Centralizovaný, vysoce dostupný, bezpečný – Podporující minimálně 50 uživatelů z ústředí a územních a odloučených pracovišť lokalizovaných po celé ČR Zjemnění a finalizace návrhu pomocí prototypů Aktivní účast klíčových uživatelů při návrhu systému a jeho ověřování – Rozsáhlé systémově integrační a zátěžové testování Příprava uživatelské dokumentace - „Standardní“ uživatelské manuály, vzorové příklady, metodické postupy a FAQ – Rozsáhlé školení Několik kol plné migrace a ověření její správnosti – Příprava na produktivní provoz a jeho zahájení Detailní plán –těsné zapojení expertních uživatelů a zástupců vedení do jeho tvorby a implementace v organizaci Projektant ISMS – jeho úloha
Rozdělení a provázanost rolí Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Informační systémy mají pokrýt oprávněné a zabezpečené informační požadavky uživatelů – operátorů. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Služby poskytované IS Povolená a zakázaná zařízení sítě IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Používání programového vybavení Evidence a správa programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Uživatel ISMS – jeho úloha Realizovat hlavní požadavky na ISMS
10 Doporučení pro řízení informační bezpečnosti Bezpečnostní politika pokrývá tyto oblasti (úkoly) informační bezpečnosti: a ) Organizaci a řízení bezpečnosti (rizik); b) Řízení aktiv; c) Personální bezpečnost; d) Fyzickou bezpečnost a bezpečnost prostředí; e) Řízení komunikací a provozu; f) Řízení přístupu; g) Pořízení, vývoj a údržba informačních systémů; h) Správa incidentů informační bezpečnosti; i) Řízení kontinuity činností organizace; j) Soulad s administrativním opatřením ; k) Pořízení, vývoj a údržba. hování uživatele IS - operátora l) Chování uživatele IS - operátora
11 1) Mít bezpečnostní politiku: Bezpečnostní politika obsahuje cíl informační bezpečnosti a způsob jeho naplnění. Dále politika stručně uvádí návaznost budovaného systému řízení informační bezpečnosti na cíle organizace a regulatorní požadavky norem a legislativy. Důležitou součást politiky tvoří též určení základních odpovědností za budovaný systém řízení informační bezpečnosti a ustavení kritérií vůči kterým budou hodnocena rizika. Doporučení pro řízení informační bezpečnosti a) Organizaci a řízení bezpečnosti
12 2) Řídit informační bezpečnost Úkolem řízení informační bezpečnosti je zavést pravidla a postupy pro řízení informační bezpečnosti organizace. Pro řízení informační bezpečnosti v rámci organizace musí být jednoznačně: organizace řízení, - popsána organizace řízení, odpovědnost - odpovědnost za informační bezpečnost vedoucích pracovníků všech stupňů, odborných orgánů a rolí v systému informační bezpečnosti. Doporučení pro řízení informační bezpečnosti a) Organizaci a řízení bezpečnosti
13 Doporučení pro řízení informační bezpečnosti a) Organizaci a řízení bezpečnosti 3) Zavést řízení rizik jako součást řízení informační bezpečnosti Řízení rizik tvoří proces, který zahrnuje soustavné hodnocení rizik a jejich zvládání. Součástí procesu je identifikace hrozeb a z nich plynoucích rizik. Řízení rizik se musí stát nedílnou součástí celkového řízení informační bezpečnosti. To znamená, že rizika jsou monitorována a vyhodnocována, jsou navržena protiopatření na minimalizaci rizik a zbytková rizika jsou akceptovaná To znamená, že rizika jsou monitorována a vyhodnocována, jsou navržena protiopatření na minimalizaci rizik a zbytková rizika jsou akceptovaná.
14 4) Realizovat řízení aktiv identifikace, realizovat identifikaci a ohodnocení aktiv Úkolem řízení aktiv je určit způsob identifikace, realizovat identifikaci a ohodnocení aktiv organizace. veden registr aktiv Aby mohla být důsledně zajištěna ochrana aktiv, měl by být veden registr aktiv informačního a komunikačního systému, který je důležitý i z hlediska řízení rizik. stanoven vlastník tohoto aktiva, který je odpovědný Pro každé významné aktivum by měl být stanoven vlastník tohoto aktiva, který je odpovědný za stanovení přiměřených opatření na ochranu tohoto aktiva v souladu s vydanými pravidly v rámci organizace. Doporučení pro řízení informační bezpečnosti b) Řízení aktiv
15 5) Věnovat dostatečnou pozornost personální bezpečnosti oblast řízení lidských zdrojů Úkolem personální bezpečnosti je určit a zavést bezpečnostní pravidla a postupy pro oblast řízení lidských zdrojů. Lidé a jejich konání Lidé a jejich konání představují velkou hrozbu pro informační bezpečnost, ať ve formě prostých lidských chyb, nebo úmyslného jednání. snížit rizika spojená s lidským jednáním po celou dobu trvání pracovního poměru Řešení personální bezpečnosti má snížit rizika spojená s lidským jednáním a měla by být zahrnuta v celém procesu řízení lidských zdrojů od přijímacího řízení po celou dobu trvání pracovního poměru i po jeho ukončení. Doporučení pro řízení informační bezpečnosti c) Personální bezpečnost
16 6) Řešit fyzickou bezpečnost Předmětem je fyzická ochrana aktiv Předmětem je fyzická ochrana aktiv. popsat opatření a chování, Je účelné zavést bezpečnostní zóny (perimetry), popsat opatření a chování, která jsou v těchto zónách uplatňována (tzv. režimové směrnice). v celém životním cyklu (pořízení – likvidace) Dále je potřebné řešit bezpečnost jednotlivých zařízení a prostředků v celém životním cyklu (pořízení – likvidace) jak v rámci objektu, tak i mimo (např. přenosná výpočetní technika a média). Doporučení pro řízení informační bezpečnosti d) Fyzickou bezpečnost a bezpečnost prostředí
17 7A) Řídit komunikace a provoz Úkolem řízení komunikace a provozu je definovat základní rámec bezpečného řízení komunikace a provozu. Bezpečný provoz a komunikace informačních a komunikačních technologií by měly být popsány v provozní a operativní dokumentaci: Provozní postupy; Postupy pro řešení bezpečnostních incidentů; Provozní a technické deníky; Karty zařízení; Kniha bezpečnostních incidentů a nedostatků. Doporučení pro řízení informační bezpečnosti e) Řízení komunikací a provozu
18 7B) Řídit komunikace a provoz Změny podléhat řízenému procesu Změny prováděné v prostředcích pro zpracování informací musí podléhat řízenému procesu. respektovat princip oddělení Měl by se respektovat princip oddělení povinností a oddělení vývoje od provozu. zavedené provozní a technické deníky pro plánování obnovy Vhodným způsobem zavedené provozní a technické deníky slouží jako podklad pro plánování obnovy a výpočetní kapacity pro nové informační a komunikační systémy. Do provozní bezpečnosti patří: - ochrana proti škodlivým programům - ochrana proti škodlivým programům, - správa integrity a dostupnosti dat, - správa komunikačních sítí, směrnice nakládání s nosiči informací (médii), - výměna (přenos) informací. Doporučení pro řízení informační bezpečnosti e) Řízení komunikací a provozu
19 8) Řídit přístup k systémům fáze životního cyklu přístupu uživatele Účelem tohoto procesu, zahrnujícím všechny fáze životního cyklu přístupu uživatele (registrace - změna - zrušení), je zabránit neoprávněnému přístupu k informačnímu a komunikačnímu systému (tzv.“mrtvé duše“). jeho pracovních povinností Přístup k informacím musí být jasně stanoven pro každého uživatele na základě jeho pracovních povinností (na základě role, kterou má v informačním systému) podle pravidel a provozních požadavků (pravidlo „potřeba znát“). privilegovaným uživatelům Zvýšenou pozornost je nutné věnovat tzv. privilegovaným uživatelům, správě hesel a kontrole přístupových práv, přístupu k síťovým prostředkům, operačním a aplikačním systémům, přenosné výpočetní technice a soustavnému monitorování celého systému. uživatel musí znát své povinnosti a odpovědnosti Každý uživatel musí znát své povinnosti a odpovědnosti spojené s přístupem k informačním a komunikačním systémům. Doporučení pro řízení informační bezpečnosti f) Řízení přístupu
20 9) Řešit bezpečnostní incidenty a nedostatky Úkolem správy incidentů včasnou nápravu Úkolem správy incidentů informační bezpečnosti je zajistit, aby události související s informační bezpečností a slabiny související s informačními systémy byly komunikovány způsobem, který umožní včasnou nápravu. bezpečnostní incidenty Zjištěné bezpečnostní incidenty a nedostatky musí být dokumentovány a vyšetřeny s ohledem na příčiny, které je vyvolaly, aby mohlo být dosaženo nápravy. Doporučení pro řízení informační bezpečnosti h) Správa incidentů informační bezpečnosti
21 10) Řídit správu kontinuity Úkolem řízení kontinuity chránit organizaci před následky Úkolem řízení kontinuity činností organizace je bránit přerušení činnosti organizace a chránit organizaci před následky závažných chyb a katastrof nebo tyto následky minimalizovat. Řízení kontinuitypřípravu adekvátní reakce Řízení kontinuity tvoří systém opatření zaměřených na přípravu adekvátní reakce v případě ohrožení zásadních činností organizace. Řízení kontinuity Řízení kontinuity zahrnuje systém dokumentace, testování, revizí a distribuce navržených opatření spolu s přidělením odpovídajících pravomocí. Pro zajištění kontinuity Pro zajištění kontinuity (minimalizaci výpadků) hlavních činností organizace je nutné zavést řízený proces vytvořením plánů postupů, jejich údržby, tyto plány pravidelně testovat a na základě výsledků testů plány aktualizovat (přehodnocovat). Doporučení pro řízení informační bezpečnosti i) Řízení kontinuity činností organizace
22 11) Zajistit soulad se standardy a právními normami Úkolem zajištění souladu s právními a regulatorními požadavky je vyvarovat se porušení norem trestního, obchodního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků při zavádění bezpečnostních a technologických opatření v rámci organizace. Je nutné zajistit soulad s legislativními předpisy (zákonné a podzákonné normy) a ostatními závaznými dokumenty, čehož docílíme jejich zdokumentováním a provedením analýzy požadavků z nich vyplývajících. Doporučení pro řízení informační bezpečnosti j) Soulad s administrativním opatřením
23 12) Věnovat dostatečnou pozornost pořízení, vývoji a údržbě řízení životního cyklu prostředků a systémů Úkolem při pořízení, vývoji a údržbě informačních systémů je řízení životního cyklu prostředků a systémů pro zpracování informací organizace v souladu s jejími bezpečnostními požadavky a potřebami. bezpečnost zahrnuta již ve fázi specifikace požadavků Při vývoji a údržbě infrastruktury a aplikačního vybavení musí být bezpečnost zahrnuta již ve fázi specifikace požadavků. Pozornost musí být věnována: - kryptografickým opatřením, - systémovým souborům, - procesům vývoje a údržby. Doporučení pro řízení informační bezpečnosti k) Pořízení, vývoj a údržba
24 13) Směrnice podle představ a akceptace operátora Doporučení pro řízení informační bezpečnosti l – Chování uživatele IS - operátora Informační systémy mají pokrýt oprávněné informační požadavky. Je nutné v nich obsáhnout z pohledu operátora (toho koho se to týká): Služby poskytované IS Služby poskytované IS Povolená a zakázaná zařízení sítě IS Povolená a zakázaná zařízení sítě IS Podmínky nastavení a ochrana uživatelských účtů Podmínky nastavení a ochrana uživatelských účtů Zásady používání hesel Zásady používání hesel Odpovědnosti (povinnosti) uživatele a jeho práva Odpovědnosti (povinnosti) uživatele a jeho práva Používání programového vybavení Používání programového vybavení Evidence a správa programového vybavení Evidence a správa programového vybavení Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…) Nutná opatření bezpečnosti (administrativní, fyzické, počítačové…)
25 14) Zajistit soulad se standardy a právními normami Základní právní normy a normativy. Úkolem zajištění souladu s právními a regulatorními požadavky je vyvarovat se porušení norem trestního, obchodního nebo občanského práva, zákonných nebo smluvních povinností a bezpečnostních požadavků při zavádění bezpečnostních a technologických opatření v rámci organizace. Je nutné zajistit soulad s legislativními předpisy (zákonné a podzákonné normy) a ostatními závaznými dokumenty, čehož docílíme jejich zdokumentováním a provedením analýzy požadavků z nich vyplývajících. Doporučení pro řízení informační bezpečnosti l – Chování uživatele IS - operátora
26 Úkoly do samostudia 26 Charakterizovat rozdělení a provázanost rolí ISMS Pracovat na zadání zápočtového projektu Zp1 Prostudovat doporučení pro řízení informační bezpečnosti