Bezpečnostní politika Ochrana dat © Ing. Zdeněk Žaba, 2003

Dělení bezpečnostní politiky Bezpečnostní politika definuje bezpečnostní cíle a zásady rozebírá všechny principy, omezení, požadavky a postupy použitelné k dosažení bezpečnostní ochrany nejvyšší netechnická úroveň definice ochranných mechanismů kompromis mezi omezováním uživatelů a ochranou organizace Čtyři stupně bezpečnostní politiky a) paranoidní téměř vše je uživatelům zakázáno, neexistuje žádné propojení s vnějším světem (např. Internet, …) b) přísná vše, co není výslovně povoleno je zakázáno c) povolná vše, co není výslovně zakázáno je povoleno d) promiskuitní je povoleno i to, co by mělo být z důvodu alespoň minimální bezpečnosti zakázáno (uživatelé bez hesel, volná instalace vlastního SW, …)

Dělení bezpečnostní politiky 1) Bezpečnostní politika státu jsou ji podřízeny všechny ostatní bezpečnostní politiky zákony, nařízení vlády, směrnice, normy, … zákon č. 102/1971 Sb. o ochraně státního tajemství zákon č. 140/1961 Sb. trestní zákon zákon č. 256/1992 Sb. o ochraně osobních údajů v IS nařízení vlády ČSSR č. 148/1971 o ochraně hospodářského a služebního tajemství nařízení vlády ČSFR č. 419/1990 o základních skutečnostech tvořících předmět státního tajemství další právní normy jakkoliv upravující utajované skutečnosti, osobní údaje a zacházení s nimi (např. zákon 227/2000 Sb. zákon o elektronickém podpisu) ČSN ISO/IEC 17799 Soubor postupů pro řízení informační bezpečnosti ČSN ISO/IEC TR 13335-4 Řízení bezpečnosti IT - výběr ochranných opatření

Dělení bezpečnostní politiky 2) Podniková nebo resortní bezpečnostní politika jsou konkretizací bezpečnostní politiky státu pro konkrétní resort či podnik resort ministerstva obrany resort ministerstva vnitra bankovní sektor 3) Systémová bezpečnostní politika detailně rozpracovává principy ochrany podle konkrétních potřeb daného IS nesmí být v rozporu s nadřazenými bezpečnostními politikami u rozsáhlých systému definována ve dvou krocích globální systémová bezpečnostní politika detailní systémová bezpečnostní politika

Obsah bezpečnostní politiky Bezpečnostní politika je zpracována zásadně písemnou formou Obsahuje podmínky a metody reál. řešení informační bezpečnosti Návrh je nutno dělat s přihlédnutím k delšímu časovému období (ne pouze aktuální stav) Všechny postupy je nutno ověřit a popsat jejich implementaci Způsoby zabezpečení neustále sledovat a zdokonalovat Z chyb a bezpečnostních incidentů vyvozovat závěry a protiopatření Základní okruhy bezpečnostní politiky 1) popis informačního systému je nutno stanovit hranice IS (co tam patří a co už ne – hranice odpovědnosti) popis organizační struktury organizace (management, vedoucí úseků, …) popis úloh, které IS plní a datové toky mezi ním a dalšími částmi organizace 2) cíle bezpečnostní politiky vyplívají z bezpečnostních cílů organizace – požadavky a priority bezpečnosti

Obsah bezpečnostní politiky 3) legislativní východiska vymezuje právní předpisy a normy, které musí IS splňovat definuje postupy hodnocení a certifikace bezpečnostních vlastností bezpečnostní politika musí být v souladu s nadřazenou bezpečnostní politikou a bezpečnostními politikami spolupracujících IS 4) definice citlivosti informací klasifikace informací dle jejich významu pro majitele vytvoření stupňů citlivosti (např. důvěrné, tajné, přísně tajné) 5) definice hrozeb působících na IS výčet hrozeb, které mohou na IS působit a kterým musí být schopen čelit 6) definice bezpečnostní služeb, které musí IS splňovat postupy na fyzické, organizační i logické úrovni vedoucí k zajištění bezpečnosti požadavky na spolehlivost, dostupnost, detekci chyb, únik informací, … postupy pro zpracování neelektronických a vnějších podkladů (diskety, …)

Obsah bezpečnostní politiky 7) zásady personální politiky řeší problematiku přístupu osob k chráněným informacím řeší prověřování zaměstnanců a jejich odborné a kvalifikační kvality definují závaznost bezpečnostní politiky pro všechny 8) zásady organizační politiky definuje orgány organizace zodpovědné za prosazování bezpečnostní pol. určuje způsoby řešení bezpečnostních incidentů stanovuje konkrétní osoby zodpovědné za provozování konkrétních bezpečnostních mechanismů – stanovit povinnosti stanovuje pravidla pro vydávání a prokazování oprávněnosti přístupu definuje zásady evidence a likvidace nosičů informací (diskety, dokumenty) definice metod pro odhalování slabin systému (penetration testing, …) definuje styk s okolním prostředím (pravidla, tiskový mluvčí, …)

Obsah bezpečnostní politiky 9) technicko-provozní zabezpečení technické prostředky řešení zabezpečení včetně finančních analýz požadavky na servisní zajištění časové plány řešení bezpečnosti IS 10) politika zálohování definuje přesné postupy vytváření záloh systému konkrétní specifikace závisí na celé řadě dalších faktorů (uživatelé, změny) velmi zásadní pro minimalizaci škod a zotavení systému po havárii 11) plán obnovy po havárii může to být velmi rozsáhlý projekt – často to řeší havarijní tým cílem je obnovit předhavarijní stav systému s minimalizací škod stanovení nejdůležitějších funkcí organizace, které je nutno řešit přednostně odhad ztrát (fyzické ztráty + odliv klientů ,…) definice priorit obnovy jak technických tak i organizačních určení max. povolené doby výpadku (pak již to má vážné důsledky) požadavky na dostupnost havarijního týmu + rozdělení pravomocí řešení záložních komunikačních tras po dobu havárie

Obsah bezpečnostní politiky vybudování záložních pracovišť pro případ havárie funkční pracoviště – kompletní minimální technická záloha organizace – stačí provést obnovu dat a může to fungovat funkční prostory – prostory s vybudovanou infrastrukturou do kterých je třeba instalovat a zprovoznit výpočetní techniku funkční podpora – pomoc cizí, smluvně vázané organizace pro zajištění opětovné funkce 12) metodika řešení krizových stavů řešení bezpečnostních incidentů definuje opatření k nápravě a jak postihnout viníky

Bezpečnostní politika a životní cyklus IS

Bezpečnostní politika a životní cyklus IS 1) Bezpečnostní záměr IS požadavky na bezpečnost od zadavatele projektu vychází z aktuálního stavu a definuje klíčové problémové oblasti, které je nutno řešit cíle organizace, odpovědnost za dílčí části bezpečnosti, stupně citlivosti dat, úrovně oprávnění uživatelů IS, časový plán nemá obsahovat konkrétní technické návrhy – od toho je řešitel 2) Globální systémová bezpečnostní politika v obecné rovině definuje zásady řešení bezpečnostních požadavků (dány bezpečnostním záměrem) součást celkové analýzy systému např. definice několika bezpečnostních skupin, kompetence správce systému a bezpečnostního správce, … 3) Detailní systémová bezpečnostní politika konkretizuje obecné postupy globální politiky konkretizuje hrozby (na základě analýzy) a způsob jejich eliminace základ pro výběr vhodných bezpečnostních produktů

Bezpečnostní politika a životní cyklus IS 4) Bezpečnostní projekt uzavírá analytickou část řešení bezpečnosti IS sumarizuje výsledky analýz a popisuje praktickou implementaci jednotlivých bezpečnostních mechanismů zda existují ještě nějaká nezahrnutá rizika, … má stejný stupeň důvěrnosti jako nejcitlivější data v systému stanovit okruh osob, které se s nim resp. s jeho částmi mohou seznámit musí obsahovat dobu platnosti a termín další revize závěrů obsahuje jednoznačné definice pravomocí a odpovědnosti včetně požadavků na personál jeho součástí je i havarijní plán zpravidla se vypracovává ve 3 variantách (minimální, střední a maximální) a pak se oponentním řízením vybere ta varianta, která nejlépe vyhovuje a je finančně únosná

Bezpečnostní politika a životní cyklus IS 5) Hodnocení bezpečnosti jedná se o rozhodnutí, zda systém vyhovuje požadovaným kriteriím skládá se ze dvou částí certifikace – porovnání bezpečnostního projektu a bezpečnostní politikou (potvrzení o shodě) – nutno pro akreditaci akreditace – potvrzení, že daný systém lze použít v daných podmínkách pro zpracování daných dat akreditaci provádí „orgán dozoru“ odpovědný za provoz systému 6) Bezpečnostní směrnice určeny pro všechny uživatele IS – souhrn pravidel pro bezpečné využívání IS v praxi jednoznačně musí stanovit kdo zodpovídá za konkrétné druhy bezpečnosti na pracovišti musí obsahovat „přístupovou matrici“ – tabulka přístupových práv uživatelů a skupin k objektům IS (soubory, tiskárny, databáze, …) obsahují postupy pro vytváření a rušení uživatelských účtů často obsahují i další směrnice (zálohování, skartace, havárie, …)

Bezpečnostní analýza Zabývá se riziky plynoucímu z neoprávněného přístupu, útoku virů, technické poruchy, výpadku napájení, přírodní katastrofy, … Základem je analýza rizik a návrh vhodných protiopatření zvládnutí rizik vedoucí k jejich eliminaci případně minimalizaci Bezpečnostní analýzu je nutno periodicky opakovat Bezpečnostní analýza musí odpovědět na následující otázky: co je nutno chránit které informace jsou důležité a zda jsou důležité i pro někoho jiného před čím je nutno chránit jaké škody mohou vzniknout a jak jsou pravděpodobné jak a čím se bude ochrana realizovat pokud nákladky na eliminaci rizika převyšují možnou ztrátu je lépe toto riziko akceptovat

Bezpečnostní analýza – analýza rizik

Bezpečnostní analýza – analýza rizik 1) Definování problému přesné vymezení hranic sytému (co tam ještě patří a co už je něco jiného) co a v jakém rozsahu budeme analyzovat jakého cílového stavu chceme dosáhnout 2) Identifikace a ocenění aktiv vytvoření seznamu všech části systému ocenění zjištěných částí na základě ceny, priority ochrany, … technické prostředky – není problém s jejich hodnotou programové vybavení – není problém s jejich hodnotou informace (ostré i záložní) – hodnota je různá (vlastník, útočník) personál – mají vysokou hodnotu, ale cílem útoku moc nejsou dokumentace – může být zneužita k lepšímu plánování útoku 3) Identifikace současných opatření pokud se provádí opakovaná analýza

Bezpečnostní analýza – analýza rizik 4) Identifikace možných hrozeb jaké reálné hrozby a s jakým rizikem mohou působit na systém jaká je pravděpodobnost těchto hrozeb bývá to velmi obtížné na základě obecných informací (např. informace pojišťoven a výrobců) na základě vlastních zkušeností (jak často k čemu v minulosti docházelo) 5) Identifikace a ocenění slabin nalezení slabin aplikovaných bezpečnostních mechanismů a zvážení, zda je nadále řešit (další finance) nebo riziko akceptovat 6) Návrh protiopatření - jak se vypořádat s nalezeným rizikem? akceptovat pouze snížit maximálně eliminovat přesunout jinam (do jiné oblasti) pro celkový přehled je výhodné vytvářet matici hrozby/protiopatření jedno protiopatření často pokrývá několik rizik