Optimalizace atestace 1 Atestace ISVS optimálně Hradec Králové března 2003 Ing. Pavel Staša, CISA Security Architect & Auditor, ICZ a.s.
Optimalizace atestace 2 Program 1.Atestační povinnost 2.Reálná atestace IS orgánů veřejné moci (OVM) i.Rozsah IS ii.Optimalizace postupu iii.Výběr asistenční firmy 3.Shrnutí místo závěru
Optimalizace atestace 3 Atestační povinnost (1) Atestační povinnost 1 1
Optimalizace atestace 4 Zákonné a podzákonné normy (1) §§§ Zákon č. 365/2000 Sb. o ISVS podmínky existence a provozu ISVS, které IS jsou zákonem dotčeny, povinnost „dodržovat závazná ustanovení standardů, zajišťovat ochranu a bezpečnost informací v rámci provozovaného IS“.
Optimalizace atestace 5 Standard ISVS 005/02.01 pro náležitosti životního cyklu IS, Standard ISVS 017/01.01 stanovující povinné požadavky na metodiku atestace shody IS se standardem ISVS pro náležitosti životního cyklu IS (1) Standardy ÚVIS Standardizační činnost ÚVIS - MI
Optimalizace atestace 6 Fáze životního cyklu (std. 5/2002) (1) Atestační povinnost Projekt akvizice Projekt základního nebo redukovaného postupu vývoje Projekt provozu a údržby Kombinované projekty Fáze životního cyklu ISVS Příprava ISUkončení IS Strateg. procesy ISRealizační proj. ISStrateg procesy. IS Realizační proj. IS Strateg. procesy ISRealizační proj. IS Definice potřeby IS Příprava na zprac. nebo aktualizaci informační strategie IS Příprava nebo aktualizace nástrojů strategického řízení IS Tvorba a údržba informační strategie Řízení bezpečnosti Plánování a koordinace projektů Plánování a řízení jakosti Řízení požadavků a jejich monitorování Vyřazení IS n/a Vývoj, provoz, údržba
Optimalizace atestace 7 Povinnost váže ISVS, které: přímo komunikují, nebo se tato komunikace předpokládá, s jinými ISVS, jsou nebo byly dodány OVM na zakázku za cenu vyšší než Kč, finanční prostředky na vývoj a provoz jsou čerpány ze státního rozpočtu. Kap. 9 odst. 1 std. 5/2002 uvádí tyto i další podmínky (1) Kdo musí Povinnost atestace shody s 5/2002
Optimalizace atestace 8 Různý obsah atestace: ISVS, jejich vývoj skončil před (A) nakoupený sw – akvizice (B1), vytvořené nebo rozšířené s použitím základního postupu vývoje (B2), vytvořené nebo rozšířené s použitím redukovaného postupu vývoje (B3). Pro atestaci podle tohoto postupu jen (A) (1) Co musí Předmět atestace
Optimalizace atestace 9 splňuje : dokumentace obsahuje všechny dokumenty v požadované struktuře a jakosti splňuje s výhradami : obsahuje všechny dokumenty, nesplňuje nepodstatné náležitosti ve struktuře a jakosti nesplňuje : dokumentace není úplná a závady se nepodaří odstranit ani ve spolupráci s atestačním střediskem (1) Atestace (A) Výrok o atestu - ISVS před
Optimalizace atestace 10 Musí být zpracována dokumentace v požadované struktuře a jakosti Pro (A) je to 9 dokumentů /pro (B) asi 20 dok./ strategie a plnění evidenčně-oznamovací povinnosti (evidenční list, informační strategie, systémové požadavky), bezpečnostní dokumentace (BPOL, projektová a provozní bezpečnostní dokumentace), dokumenty nutné pro provozování systému (změnové řízení, evidence poruch a mimořádných události, systémová a uživatelská příručka). (1) Co tedy musí být Podstata atestu
Optimalizace atestace 11 Reálná atestace IS v OVM (2) Reálná atestace 2 2
Optimalizace atestace 12 (2) Reálná atestace IS jako celek – jednotlivé agendové subsystémy Příklad: obce s rozšířenou působností Rozsah IS soubor provozní dokumentace jednotlivých agend jednotlivé agendové subsystémy ISS 1 ISS 2 ISS n stávající ISVS....
Optimalizace atestace 13 (2) Reálná atestace IS jako celek, jednotlivé ISS atest mají nebo jsou schopny ho získat do okamžiku podání žádosti o atestaci systému jako celku. Pak je pro (A) nutnou a postačující podmínkou získání atestu úplná a správná dokumentace. Optimalizace postupu
Optimalizace atestace 14 bezpečn. dokument. pokryto atestací produktu (ISS) u výrobce (dodavatele) ISS 1 ISS 2 ISSn hranice atestovaného ISVS asistence při atestaci příprava na atestaci strategie (2) Reálná atestace Situace při optimalizovaném postupu provozní dokument.....
Optimalizace atestace 15 (2) Reálná atestace 1.Výběr asistenční firmy (AF) s ohledem na vazby na atestační středisko – smlouva 2.AF seznámí OVM s detailním plánem, korigují a zpřesňují se vzájemné požadavky – zodpovědnost správce zůstává nedotčena 3.AF provede AR a zpracuje bezpečnostní dokumentaci (návrh) 4.Správce kompletuje strategickou a evidenční dokumentaci Postup (zjednodušeně 1/2)
Optimalizace atestace 16 (2) Reálná atestace 5.Správce zpracuje (aktualizuje) provozní dokumentaci systému jako celku 6.AF připraví smluvní podmínky OVM – asistenční středisko 7.Další práce budou probíhat podle standardu 017/01.01 a podle smlouvy Pravomoc a zodpovědnost zůstává na správci Dokumentace se všeobecnou závazností musí OVM vydat podle lokálních předpisů (AF – návrh) Postup (zjednodušeně 2/2)
Optimalizace atestace 17 (2) Reálná atestace 1.Postup je zjednodušen na potřebné minimum podle std. 17/2002 5/2002 drobné inkonzistence -> změny 2.Některé ISS nepůjde nahradit, ani se nepodaří získat jejich atestaci (sw třetích stran ze státní správy) 3.ISVS jako celek je „živý systém“ a vykazuje systematickou snahu o rozšiřování (změny) 4.Přírůstková atestace jde k tíži OVM Úskalí
Optimalizace atestace 18 (2) Výběr asistenta Není třeba vypisovat výb. řízení podle 199/1994 Vnitřní výběrové řízení se doporučuje Odborně na výši se znalostí: prostředí státní správy, legislativy, standardizačního a atestačního procesu, ICT, bezpečnosti informací a informačních systémů. Důvěryhodná: informace pod ochranou zákonů, informace neveřejné povahy důležité pro plnění funkce OVM Výběr asistenční firmy
Optimalizace atestace 19 (2) Výběr asistenta Vymezit hranice ISVS jako celku Z čeho se ISVS jako celek skládá Jaký je stav dílčích atestací v okamžiku zahájení (podle jakého std. jsou dílčí systémy atestovány) Podle jakého std. se požaduje atestace systému jako celku Pravomoci a zodpovědnosti smluvních stran Vymezení oblastí, v nichž budou prováděny aktivity OVM a které jsou tudíž vyjmuty z termínů plnění Smluvní zajištění
Optimalizace atestace 20 Shrnutí místo závěru (3) Závěr 3 3
Optimalizace atestace 21 (3) Shrnutí místo závěru Atestace jsou reálnou povinností Atestace jsou reálnou hrozbou Atestace stojí peníze a čas Atestace nezbaví správce zodpovědnosti za dokumentaci dílčích systémů (i když je nebude ověřovat) Atestace není jedinou povinností, jak jsou std. vymáhány Asistence nezbaví OVM zodpovědnosti za to mít ISVS atestován Atestace ani asistence neomezují povinnosti správce Smluvní zajištění
Optimalizace atestace 22 Informace vždy, ale jen pro oprávněné Komplexní zajištění bezpečnosti