1 Bezpečnosti IS – seminář 1 Bezpečnost IS/IT (BIS) má pro organizaci zásadní význam Zodpovědnost managementu podniku – zodpovědnost managementu IS/IT – zodpovědnost uživatelů IS/IT Řešení BIS –Vlastními silami –Spolupráce s externími odborníky –Outsourcing

2 Bezpečnosti IS – seminář 1 Řešení vlastními silami –v menších IS –v IS s daty nižší hodnoty Zodpovědný pracovník/pracovníci – dostatečná odborná úroveň, soustavné zvyšování kvalifikace (školení, sebevzdělávání, atd.) Zdroje pro další vzdělávání – firemní materiály a publikace (White papers), příručky, veřejně dostupné normy, standardy

3 Bezpečnosti IS – seminář 1 Návody a doporučení pro praxi („The Best Practices“, „Information Security Guide“, …) obecně aplikovatelné Kde jsou materiály k disposici? Příklady: Practical Guide to Data Protection and Recovery ion_guide.asp ion_guide.asp

4 Bezpečnosti IS – seminář 1 Doporučení –jak postupovat při hodnocení stávajícího zabezpečení dat v podnikovém IS –na co se zaměřit, aby se zabezpečení dat zlepšilo –jak zajistit obnovu IS po havárii nebo selhání Návrh postupu –Klasifikace dat Cena dat (součet nákladů k obnově dat, ztráta vzniklá nečinností po dobu výpadku - krátkodobá, ztráta „dobrého jména“ – dlouhodobá) Typy dat (zákaznické databáze, účetní záznamy, zápisy z jednání, pošta…..)

5 Bezpečnosti IS – seminář 1 Soupisy pro stanovení rizik (na otázky odpovědi ano/ne, u výběrových otázek odpovědi a – b – c ……) –Fyzická bezpečnost 1.Jsou servery v klimatizovaném prostředí s protipožární ochranou? 2.Je průběžně prováděna kontrola těchto prostor? 3.Jsou servery připojeny k UPS s ochranou proti napěťovým výkyvům? 4.Je přístup k serverům pouze pro autorizované osoby? –Logická (datová) bezpečnost 1.Je systémová administrativa prováděna kvalifikovaným personálem? 2.Je u každého externího přístupu instalován firewall? 3.Je používání uživatelských hesel a nastavení přístupových práv v souladu s potřebami podniku a podnikovými směrnicemi?

6 Bezpečnosti IS – seminář 1 4.Jsou prováděny periodické kontroly uživatelských přístupů (změny v pravomocech a odpovědnosti uživatelů)? 5.Jsou všechna přístupová hesla netriviální znakové řetězce? 6.Mají uživatelé povinnost měnit hesla se zákazem jejich znovupoužití po dobu min. 1 roku? 7.Je na všech počítačích a serverech instalovaný a aktualizovaný antivirový SW? 8.Existuje pro uživatele zákaz instalace vlastního SW (neověřeného) ? 9.Existuje zákaz používat v kancelářích bezdrátové připojení?

7 Bezpečnosti IS – seminář 1 –Zálohování a obnova dat 1.Jak často provádíte backup? (průběžně – denně – týdně – měsíčně – ročně – nikdy) 2.Jak je prováděn? (automaticky – manuálně odborníkem – manuálně neodborníkem) 3.Jak dlouho jsou zálohy uchovávány? (rok a více – nejméně měsíc – týden – den – vůbec) 4.Jak často jsou zálohy ověřovány? (denně – týdně – občas – nikdy) 5.Kde jsou zálohy uchovávány? (mimo provoz IS – doma u zaměstnanců – v prostoru s protipožární ochranou – na jiném serveru –jinak) 6.Kdy je záloha přemisťována mimo provoz IS? (bezprostředně po vytvoření – během 8 hod. – během 24 hod. – každý týden – každý měsíc – nikdy) 7.Jak dlouho trvá nalezení a zavedení ztraceného souboru ze zálohy? (několik minut – několik hodin – den – týden – měsíc a více)

8 Bezpečnosti IS – seminář 1 Z odpovědí lze sestavit tabulku určující stupeň odhaleného rizika Odhalené riziko Fyzická bezpečnost Datová bezpečnost Zálohování a obnova nízké„ano“ všechny otázky střední„ano“ nejméně 3x „ano“ nejméně 6x pouze odpovědi a nebo b vysoké„ano“ méně než 3x „ano“ méně než 6x jiné odpovědi než a/b u všech otázek

9 Bezpečnosti IS – seminář 1 Závěry plynoucí z vyhodnocení –Nízké riziko – výborný stav nevyžadující žádné úpravy v IS –Střední riziko – vyžaduje úpravy v daných oblastech IS –Vysoké riziko – kritický stav, hrozí ztráta dat, nutné bezprostřední úpravy v IS

10 Bezpečnosti IS – seminář 1 Doporučení –ke zlepšení ochrany dat v oblasti prevence (složka fyzická a logická – datová) 1.Zajistit bezpečnost fyzického přístupu pouze pro autorizované osoby 2.Řízení provozního prostředí – klimatizace, vytápění pod kontrolou 3.Ochrana proti výpadkům a kolísání napětí – UPS 4.Instalace firewallů na všech přístupových bodech z externích sítí 5.Antivirový SW – instalace a update, virus-scannery na mail serverech 6.Řízení uživatelských přístupů – přidělování přístupových práv, změny přístupových práv při změnách pracovního zařazení, rušení uživatelských přístupů u odcházejících zaměstnanců 7.Nastavení pravidel pro přístupová hesla ke kritickým datům (počet a kombinace znaků, periody pro změny hesel: každé 3 měsíce u běžných uživatelů, každý měsíc u správců)

11 Bezpečnosti IS – seminář 1 –ke zlepšení obnovy dat po selhání IS (vypracování návrhu postupu při obnovování dat – plán obnovy a zálohování) Identifikace kritických dat (existují ekonomická a časová omezení pro zálohování všech dat) – provádí vrcholový management Data nejvyšší hodnoty Potřebná dataNepotřebná data Základní data pro organizaci, závisí na nich klíčové procesy, vyžadují bezprostřední obnovu Data s dlouhodobým významem, nejsou vyžadována bezprostředně, nesmí být ztracena (účetnictví) Data malého významu, při ztrátě minimální dopad na podnikové procesy

12 Bezpečnosti IS – seminář 1 –Identifikace objemu, uložení a formátů (objem v GB, identifikace úložišť – servery, RAID, …, formáty: databáze, jednotlivé soubory…, fyzické lokality: ve stejné budově, detašovaná pracoviště …) –Stanovení požadované doby obnovy u kritických dat – čím rychlejší obnova, tím větší finanční náklady – reálné požadavky –Určení osobní zodpovědnosti včetně zástupců, požadované kvalifikační předpoklady

13 Bezpečnosti IS – seminář 1 –Postup při implementování plánu obnovy a zálohování 1.Vytvoření záložního zdroje dat – spolehlivě a přesně s dostatečnou četností, spolehlivost ověřit (tj. všechny zálohy musí být čitelné) 2.Přemisťování záloh – bezprostřední, správné nakládání s fyzickými médii, transportní služba je stále k disposici (u fyzických i síťových přesunů) 3.Zajištění úložiště záloh – stálý a rychlý přístup k zálohám, ochrana proti průniku k zálohám nebo jejich porušení 4.Provádění obnovy dat v čase požadovaném organizací

14 Bezpečnosti IS – seminář 1 –Výběr vhodné zálohovací metody – příklady: Magnetické pásky - uložené mimo organizaci, tradiční ověřená metoda, možnost provádět cyklické zálohování –Nevýhoda - pásky nejsou zcela spolehlivé, potřeba zajistit více kopií V HW jiného serveru - odborníky doporučovaná metoda (do diskových polí RAID, clustering, mirroring) Kopie přenášené do vzdáleného serveru, který je duplicitně zpracovává – přes Internet nebo lépe přes VPN – možnost okamžité obnovy – vyšší náklady na pořízení repliky HW a SW. Při ztrátě originálních dat jsou použita duplicitní data –Nevýhoda – nelze vytvářet archivy Outsourcing

15 Nástroje pro Self Assessment COBIT v. 3.0 (Control Objectives for Information and related Technology) - univerzální metodika a nástroj pro hodnocení a řízení ICT (včetně informační bezpečnosti). –Vyvinut v IT Governance InstituteIT Governance Institute –Souhrn „best practices“ v řízení IT (podrobný popis celkem 44 procesů) – vazby mezi cíli organizace a technologiemi –Procesy rozděleny do 4 domén –Plánování a organizace (PO) –Pořízení a implementace (AI) –Dodávka a podpora (DS) –Monitoring (M)

16 Nástroje pro Self Assessment Požadavky zahrnuté v COBITu –Požadavky na kvalitu kvalita náklady dodání –Požadavky na správu Efektivita Účinnost Spolehlivost Souhlas s externími pravidly –Bezpečnostní požadavky Důvěrnost Integrita Dostupnost

17 Nástroje pro Self Assessment Základem pro posouzení a měření procesů jsou informace: –Popis vyzrálosti procesu 0 - neexistující 1 - počáteční 2 - opakovatelný 3 - definovaný 4 - řízený 5 - optimatizovatelný –Kritické faktory úspěchu –Cílové metriky –Výkonnostní metriky

18 Nástroje pro Self Assessment Do on-line nástroje DSM byly vybrány procesyDSM –PO9 Assess Risks - Hodnocení rizik –PO11 Manage Quality – Řízení kvality –AI6 Manage Changes – Řízení změn –DS4 Ensure Continuous Service – Zajištění kontinuity služeb –DS5 Ensure Systems Security – Zajištění bezpečnosti systémů –DS11 Manage Data – Management dat –MO1 Monitor the Processes – Monitorování procesů Popis vybraných procesů

19 Nástroje pro Self Assessment Výsledky – přehledné tabulky a grafy Reporting hodnocení kontrolních cílů (IT processes control objectives assessment report)Reporting hodnocení kontrolních cílů Reporting hodnocení vyspělosti procesů (IT processes maturity levels assessment report)Reporting hodnocení vyspělosti procesů Benchmarking hodnocení kontrolních cílů (IT processes performance benchmark)Benchmarking hodnocení kontrolních cílů Benchmarking hodnocení vyspělosti procesů (Maturity levels benchmark)Benchmarking hodnocení vyspělosti procesů

20 Nástroje pro Self Assessment ASSET (Automated Security Self-Evaluation Tool) –Nástroj vyvinutý (zdarma dostupný) v National Institute of Standards and Technology – –Zaměření pouze na informační bezpečnost (na rozdíl od COBITu) –Hodnocení se provádí ve 3 oblastech (17 podoblastí) Management controls (opatření pro management) Operational controls (opatření pro provoz) Technical controls (opatření technická) –Odpovědi na základě interview, posuzování dokumentace a testováním existujících bezpečnostních opatření –Výsledné hodnocení kritických požadavků – stupnice 0 – 5. (0. riziková úroveň, 1. opatření je uvedeno v BP, 2. opatření je zdokumentováno jako procedura, 3. opatření je implementováno, 4. opatření je testováno a kontrolováno, 5. opatření je plně integrováno v komplexním bezpečnostním řešení)

21 Série norem ISO/IEC 2700 Informační technologie –Bezpečnostní techniky –ISMS –Principy a názvosloví ISO definice pojmů a terminologický slovník pro všechny ostatní normy z této série.ISO ISO (BS7799-2) - hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Norma byla publikována koncem října 2005.ISO 27001

22 Série norem ISO/IEC 2700 ISO (ISO/IEC & BS7799-1) - aktuální verze normy byla publikována v červnu 2005 jako ISO/IEC 17799:2005. Na rok 2007 je plánováno její opětovné vydání, tentokráte již pod označením ISO ISO návod k implementaci ostatních norem.ISO ISO norma bude publikována pod názvem "Information Security Management Metrics and Measurement".ISO 27004

23 Série norem ISO/IEC 2700 ISO (BS ) - norma bude publikována pod názvem "Information Security Management Systems - Guidelines for Information Security Risk Management" a měla by nahradit BS 7799 část 3.ISO ISO norma bude pravděpodobně publikována pod názvem “Information technology - Security techniques - International accreditation guidelines for the accreditation of bodies operating certification / Registration of information security management systems”.ISO ISO doporučení pro auditování ISMSISO 27007

24 Služby „třetích stran“ GITy, a.s. reseni/bezpecnost-it/ reseni/bezpecnost-it/ RAC - Risk Analysis Consultants, s.r.o. avnihttp:// avni