Konference "Bezpečnost v podmínkách organizací a institucí ČR" Certifikace systému řízení informační bezpečnosti dle normy BS7799 AGENDA Klíčová témata Normy a zákony související s ISMS Proces zavádění Proces certifikace Gabriel Lukáč gabriel.lukac@nexa.cz

Východisko a cíl prezentace Informatizace se stává klíčovou nejen konkurenční výhodou, ale podnikatelský úspěch je u většiny subjektů nereálný Informační bezpečnost se dostává (konečně) do popředí zájmů manažérů českých podniků Existuje standardizovaný přístup k informační bezpečnosti, jehož smysluplnost lze ověřit certifikačním procesem založeným na světových standardech

Vymezení procesu řízení informační bezpečnosti Legislativní základ Systém řízení informační bezpečnosti „INFORMATION SECURITY MANAGEMENT SYSTEM“ (ISMS) Aplikované standardy BS-7799, resp. ISO 17799, apod.

Zavedení standardů ISMS dle BS 7799 Jasná metodika na základě celosvětových zkušeností (místo experimentů různých zlatokopů) Norma v kontextu systémů řízení dle ISO 9001 / 14001 / ... Vychází z potřeb podniku, nikoliv z technické vyspělosti jednotlivých zařízení či technologií Obrana proti „nutnosti“ neustále investovat do různých technických novinek Nabízí systémový přístup k ŘÍZENÍ bezpečnosti informací (tj. nejen informačního systému)

Vymezení procesu řízení informační bezpečnosti v systému dle BS 7799 Je kontinuální proces, v průběhu kterého dochází k: vyhodnocování rizik, návrhu a realizaci opatření k jejich eliminaci, kontrole aktuálnosti rizik a dodržování opatření k jejich eliminaci, ve stále měnícím se prostředí !!!

Ochota managementu se infor. bezp. zabývat a to kontinuálně ! Vymezení procesu řízení informační bezpečnosti Východiska pro budování informační bezpečnosti Ochota managementu se infor. bezp. zabývat a to kontinuálně ! Vyčlenění potřebných vnitřních lidských zdrojů Ochota managementu investovat Připravenost spolupracovat s externími subjekty Připravenost managementu na možné změny, např. v interních procesech, org. struktuře, ...

Vymezení procesu řízení informační bezpečnosti Legislativní základ Zákony: Obchodní zákoník – obchodní tajemství Zákon o ochraně utaj. skut. Zákon o ochraně osobních údajů Zákon o el. podpisu Zákon o některých službách informační společnosti … Normy (ČSN ISO/IEC) 17799 IT – Code of Practice for information Security Management (resp. BS 7799) 13335 – pojetí a modely, řízení a plánování, techniky řízení bezpečnosti IT 15408 - Evaluation criteria for IT security Standardy ISVS

Struktura systému norem v oblasti informační bezpečnosti

4. Systém řízení bezpečnosti informací 5. Odpovědnost vedení Struktura normy BS 7799-2:2002 1. Působnost 2. Normativní odkazy 3. Definice 4. Systém řízení bezpečnosti informací 5. Odpovědnost vedení 6. Zhodnocení ISMS vedením organizace 7. Zlepšování ISMS Příloha A (Normativní) Cíle a opatření

Bezpečnostní politika Organizace bezpečnosti informaci BS 7799 - Příloha A Bezpečnostní politika Organizace bezpečnosti informaci Klasifikace a řízení aktiv Personální bezpečnost Fyzická bezpečnost Řízení komunikací a provozu Řízení přístupu Vývoj a údržba systému Řízení kontinuity Soulad s požadavky

Postup budování ISMS

Analýza rizik zahrnuje: Riziko = Hodnota aktiva * Pravděpodobnost uplatnění hrozby * Zranitelnost identifikaci aktiv identifikaci hrozeb ohodnocení aktiv určení pravděpodobnosti uplatnění hrozby určení zranitelnosti každého aktiva hrozbou výpočet hodnoty Riziko pro každou dvojici aktiva a hrozby

Požadavky na dokumentaci Bezpečnostní politika Popis rozsahu ISMS Analýza rizik (vč. metodiky) Plán řízení rizik Dokumentované postupy (směrnice) Pracovní postupy, havarijní plány, zálohování, přístup třetích stran, požadavky na smluvní vztahy, apod. Záznamy (důkazy v libovolné formě) SOA – „statement of applicability“ – prohlášení o aplikovatelnosti

Musí existovat důkazy, že ISMS je zavedeno a dodržováno Požadavky na záznamy Musí existovat důkazy, že ISMS je zavedeno a dodržováno Jejich správa musí být řízena Zálohování, archivace, skartace, ... Musí být dostupné, zvlášť při řešení bezpečnostních incidentů Příklady záznamů: Návštěvní kniha, provozní deníky, logy autorizačního procesu, apod..

Požadavky na organizaci a procesy Zřízená funkce bezpečnostního manažéra s patřičnými kompetencemi Existence „bezpečnostního fóra“ Definice zodpovědností a role jednotlivých pracovníků v systémů řízení informační bezpečnosti Pravidelná revize systému zodpovědnými pracovníky (interní audity) a vedením (přezkoumání ISMS vedením)

Certifikační audit je prováděn jako dvoufázový proces Fáze certifikace Certifikace ISMS Certifikační audit je prováděn jako dvoufázový proces Fáze certifikace Fáze 1 – Documentation (desktop) review Revize rozsahu a obsahu dokumentace ISMS Fáze 2 – Implementation Audit Revize způsobu, úplnosti a komplexnosti zavedených protiopatření

Certifikační audit – 1 fáze Documentation review Cca. 1 měsíc před druhou fází Zahrnuje: Revize rozsah ISMS Kompletnost požadované dokumentace Revize Statement of Applicability Existence a úplnost bezpečnostní politiky a bezpečnostních standardů Existence záznamů ISMS

Certifikační audit – 2 fáze Implementation audit Zahrnuje: Interview s managementem Interview s vlastníky a uživateli ISMS Revize shody dokumentace s implementovaným systémem Revize jednotlivých částí systému Report jednotlivých zjištění Vypracování zprávy včetně doporučení

Vydání certifikátu o shodě se standardy

BS 7799: VÝZNAMNÝ VZESTUP CERTFIKACE Asie Europa Ostatní svět ZDROJ: Gamma Secure Systems Ltd.

Počet ISMS certifikací

Certifikace ISMS – Česká republika Certifikováno Eurotel (RW TUV) ŽS Brno (CQS) Pardubický kraj (CQS) Iteral (CQS) Beset (CQS) ... ??? V přípravě Eltodo dopravní systémy Marconia NeXA Eurotender ... ???

Děkuji za pozornost. ADRESA SPOJENÍ NeXA, s.r.o. Beranových 65 199 00, Praha 18 SPOJENÍ  Tel.: +420 234 312 962-4 Fax: +420 234 313 052 http://www.NeXA.cz