Upload
dangbao
View
249
Download
0
Embed Size (px)
Citation preview
Management bezpečnosti informací dle ISO 27001:2006
Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.
1 Ing. Jaroslav Březina ENVIRO 15.4.2010
O autorovi
• Ing. Jaroslav Březina
– Pracuje ve společnosti SYSCOM SOFTWARE
• Představitel vedení pro systém jakosti
• Manažer jakosti
• Manažer bezpečnosti informací
• Bezpečnostní ředitel pro řízení utajovaných informací
– Je certifikován jako manažer jakosti a auditor QMS společností CERT Kladno
ENVIRO 15.4.2010 Ing. Jaroslav Březina 2
Představení společnosti
Společnost SYSCOM Software s.r.o. vznikla v roce 1994. Sídlo firmy je v Praze, provozovnu má v Hradci Králové. Zaměřujeme se na dodávky komplexních řešení v oblasti informačních systémů a dalších IT služeb. Hlavní činností společnosti je vývoj software na zakázku, jak na významných zakázkách pro státní a veřejnou správu (např. AVISME, EDS/SMVS), tak i pro komerční organizace (např. v minulosti software pro CK Čedok a QUELLE). Společnost SYSCOM SOFTWARE s.r.o. disponuje vynikajícím know-how v oblasti legislativy a metodiky ve státní správě České republiky.
ENVIRO 15.4.2010 Ing. Jaroslav Březina 3
Představení společnosti
Hlavní produkty společnosti:
Pro státní správu - AVISME
Informační systémy vyvinuté společností SSW podle potřeb rozpočtových organizací. Při vývoji produktů firma respektuje nejen potřeby zákazníka, ale i platnou legislativu, jejíž změny neustále plynule promítá do systémů a jejich aplikací.
ENVIRO 15.4.2010 Ing. Jaroslav Březina 4
Představení společnosti
Pro státní správu - EDS/SMVS Evidenčně Dotační Systém / Správa Majetku ve
Vlastnictví Státu
Systém je určen pro vstup a zpracování dat části státního rozpočtu. Je využíván na jednotlivých ministerstvech s přímým napojením na Ministerstvo financí ČR, kde slouží k centrálnímu zpracování podkladů pro tvorbu plánu výdajů státního rozpočtu. Systém je zaměřen na zkvalitnění, zpřehlednění a usnadnění rozhodovacích, řídících a kontrolních procesů programového financování.
ENVIRO 15.4.2010 Ing. Jaroslav Březina 5
Představení společnosti EDS/SMVS je více úrovňový systém, jehož činnost spočívá v propojení
všech jednotlivých složek dané organizace a ve vzájemné výměně dat mezi rezortem a MF. Řešení v současné době předpokládá tři úrovně (Ministerstvo financí ČR – kapitoly (rezorty) – organizační složky státu, nebo právní subjekt), je však možné jej aplikovat na libovolnou organizační strukturu.
Hlavní cíle systému EDS/SMVS • Jednoznačně vymezit typy výdajů, které musí být vedeny v programovém
financování. • Sjednotit procesy řízení projektů (akcí) v programovém financování se zákonem o
finanční kontrole. • Úprava metodiky umožňující bezproblémové uvolňování finančních prostředků na
projekty kofinancované z fondů EU. • Úprava metodiky a systému týkající se rezervních fondů. • Příprava modulů Integrovaného informačního systému Státní pokladny - IISSP.
ENVIRO 15.4.2010 Ing. Jaroslav Březina 6
Představení společnosti
Pro komerční organizace:
QUELLE Schikedanz AG & Co. - systém LAWIS pro významný evropský zásilkový dům je určen pro řízení logistiky velkoskladu v dceřiných společnostech a představuje komplexní řešení problematiky zásilkového obchodu.
V současné době je jednání se skupinou Halens & Cellbes, Consortio Fashion Group s.r.o. (Švédsko)
ENVIRO 15.4.2010 Ing. Jaroslav Březina 7
Představení společnosti
Další služby: • Návrh systémového SW, HW, komunikací a dalších
technologií • Konzultační činnost a analýza • Zaškolení obsluhy a technického personálu • Zabezpečení zkušebního provozu v místě instalace • Technická podpora • Záruční servis na celý systém • Pozáruční konzultační a servisní činnost • Provozování aplikací v prostředí Internetu • Fulltextové nadstavby pro WWW servery ENVIRO 15.4.2010 Ing. Jaroslav Březina 8
Představení společnosti
Společnost SYSCOM Software s.r.o. vlastní následující certifikáty:
certifikát ISO 9001:2009 do 14.10.2014
certifikát ISO/IEC 27001:2006 do 23.07.2015
Osvědčení NBÚ na stupeň utajení „Důvěrné“ do 18.4.2015
profesní certifikáty Microsoft a Oracle
ENVIRO 15.4.2010 Ing. Jaroslav Březina 9
ČSN ISO/IEC 27001:2006 Systémy bezp. informací - Požadavky
• Tato norma nahrazuje ČSN BS 7799-2 (2004)
• Vazba na ČSN ISO/IEC 13335-3:2000
– Techniky řízení bezpečnosti IT
• Vazba na ČSN ISO/IEC 17799:2006
– Oprava 1 , změna na ČSN ISO/IEC 27002:2008
– Soubor postupů pro management bezp. informací
• Vazba na ČSN ISO 90003:2005
– Směrnice pro použití ISO 9001 na počítačový SW
ENVIRO 15.4.2010 Ing. Jaroslav Březina 10
Vazba na ISO 9001:2008
• Většina požadavků se kryje s ISO 9001:2008
• Rozdíl je položen na
– Ustavení ISMS
– Rozsah ISMS
– Zavádění, řízení a provozování ISMS
Zde je základní deklarace (přihlášení se) k principům ISMS – detaily k zavedení jsou uvedeny v Příloze A: Cíle, opatření a jednotlivá bezpečnostní opatření.
11 Ing. Jaroslav Březina ENVIRO 15.4.2010
Vazba na ISO 9001:2008
• Stejně jako v ISO 9001:2008 je nutné stanovit:
– Bezpečnostní politiku ISMS
– Vyloučené oblasti z ISMS
– Hlavní cíle k zajištění bezpečnostní politiky ISMS
a zvlášť uvedené specifické požadavky
– Právní zajištění ISMS (legislativa ČR i EU)
12 Ing. Jaroslav Březina ENVIRO 15.4.2010
Aktiva a rizika
• Norma požaduje klasifikaci informačních aktiv
– tzn. rozdělení aktiv na jednotlivé kategorie např.:
• Kategorie U: Pokrývá účetní a platební informace
• Kategorie O: Pokrývá osobní údaje
• Kategorie I: Pokrývá interní informace
• Kategorie P: Pokrývá informace o výzvách a projektech
• atd.
Seznam informačních aktiv jsem uvedl pro přehlednost a další návaznosti v samostatné příloze ke směrnici „Směrnice pro řízení bezpečnosti informací „
13 Ing. Jaroslav Březina ENVIRO 15.4.2010
Aktiva a rizika
• Řízení informačních rizik jsem rozdělil do následujících podkapitol, a to:
– Identifikace a hodnocení rizik
– Zvládání rizik
– Kontroly zvládání rizik
– Zbytková rizika
V samostatné příloze se seznamem informačních aktiv jsem doplnil rizika a jejich klasifikaci k jednotlivým aktivům. Nástin tabulky viz dále.
14 Ing. Jaroslav Březina ENVIRO 15.4.2010
Seznam klasifikovaných informačních aktiv a jejich rizik
Zkratka Věcný obsah Specifikace. Kategorie
aktiva
Odpověd-
nost Riziko
Zvládání
rizika
Projekty
Informace o vyhlášených
a předložených
projektech
Internetové
stránky,
Intranet,
Vnitřní
informační
systém
P
VP
TVP
Střední:
a) ztráta dokumentu
b) nesoulad
elektronického a
papírového záznamu
Stanovení
úložného místa a
důsledná
kontrola spisu a
jeho elektronické
verze
Atd.
15 Ing. Jaroslav Březina ENVIRO 15.4.2010
Analýza rizik na základě rozlišení typů hrozeb a obecných zranitelností
• Kategorie hrozby:
– A náhodná
– E přírodního charakteru
– D úmyslná
Ke kategorizaci jsem využil ČSN ISO/IEC TR 13335-3:2000 – Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 3: Techniky pro řízení bezpečnosti IT , příloha „C“ Seznam možných typů hrozeb a přílohu „E“ Typy metod analýzy rizik.
16 Ing. Jaroslav Březina ENVIRO 15.4.2010
Analýza rizik
• Stupeň rizika určuje příslušný expert (viz ČSN ISO/IEC 13335-3, příloha E, příklad 3 – Odhad hodnoty četnosti a možné změny rizik).
Zranitelnost
Hrozba/Incident
Riziko Zvládání rizika
Příčina Kat.
Software
Nejasné nebo neúplné
specifikace pro
vývojáře; nedostatek
efektivního řízení
změn
Selhání software
D, A
střední
Proškolený personál,
specifikace SW pro
jednotlivé PC
– viz M 07-07
17 Ing. Jaroslav Březina ENVIRO 15.4.2010
Postup zavedení v SSW - 1
• Rozhodnutí vedení
• Jmenování MBI (manažera bezpečnosti informací)
• Stanovení etap zavádění ISMS
• Zpracování hmg zavádění ISMS
• Zpracovávání dokumentace dle hmg – Doplnění stávající dokumentace QMS
– Zpracování zastřěšující směrnice pro ISMS
– Zapracování do integrované PK
– Provedení interního auditu
18 Ing. Jaroslav Březina ENVIRO 15.4.2010
Postup zavedení v SSW - 2
• Projednání závěrů interního auditu
• Zpracování nápravných opatření a sledování jejich plnění a zapracování závěrů do dokumentace.
• Ověření zavedených opatření a zpracování zprávy o zavádění ISMS
• Rozhodnutí vedení k provedení certifikace dle ISO 27001:2006
19 Ing. Jaroslav Březina ENVIRO 15.4.2010
Problematické oblasti při zavádění
• Přístup na řešení problematických oblastí je nejlépe předvést na jednotlivých cílech, které jsou rozpracovány v normě v příloze A – Cíle, opatření a jednotlivá bezpečnostní opatření. Příloha A je rozdělena na 11 doporučení a návodů pro zavedení nejlepších praktik pro podporu těchto opatření (A5 – A 15).
20 Ing. Jaroslav Březina ENVIRO 15.4.2010
Opatření A 5
• Bezpečnostní politika informací
– Je nutné stanovit:
• Bezpečnostní politiku ISMS
• Přezkoumání vedením organizace
21 Ing. Jaroslav Březina ENVIRO 15.4.2010
Opatření A 6
• Organizace bezpečnosti informací – Interní organizace
• Závazek vedení
• Přidělení odpovědnosti v oblasti ISMS
• Dohody o ochraně důvěrných informací
– Externí subjekty • Identifikace rizik plynoucích z přístupu ext. subjektů
• Bezpečnostní požadavky pro přístup klientů
• Bezpečnostní požadavky v dohodách s třetí stranou
ENVIRO 15.4.2010 Ing. Jaroslav Březina 22
Opatření A 7
• Řízení aktiv
– Odpovědnost za aktiva
• Evidence aktiv
• Vlastnictví aktiv
– Klasifikace informací
• Doporučení pro klasifikaci
• Označování a nakládání s informacemi
ENVIRO 15.4.2010 Ing. Jaroslav Březina 23
Opatření A 8
• Bezpečnost lidských zdrojů – Před vznikem pracovního poměru
• Role a odpovědnosti, Prověřování
• Podmínky výkonu pracovní činnosti
– Během pracovního poměru • Odpovědnost vedoucích zaměstnanců
• Informovanost, vzdělávání a školení v oblasti ISMS
– Ukončení nebo změna pracovního poměru • Odpovědnosti při ukončení pracovního poměru
• Odebrání přístupových práv
ENVIRO 15.4.2010 Ing. Jaroslav Březina 24
Opatření A 9
• Fyzická bezpečnost a bezpečnost prostředí – Zabezpečené oblasti
• Fyzický bezpečnostní perimetr • Kontroly vstupu osob • Ochrana před hrozbami zvnějšku a prostředí
– Bezpečnost zařízení • Umístění zařízení a jeho ochrana • Bezpečnost kabeláže • Bezpečnost zařízení mimo objekt • Bezpečná likvidace nebo opakované použití zařízení
ENVIRO 15.4.2010 Ing. Jaroslav Březina 25
Opatření A 10
• Řízení komunikací a provozu – Provozní postupy a odpovědnosti
• Dokumentace provozních postupů • Řízení změn
– Řízení dodávek služeb třetích stran • Dodávky služeb • Monitorování a přezkoumání služeb třetích stran
– Plánování a přejímání systému • Řízení kapacit • Přejímání systémů
ENVIRO 15.4.2010 Ing. Jaroslav Březina 26
Opatření A 10 - pokračování
– Ochrana proti škodlivým programům a mobilním kódům
• Opatření na ochranu proti škodlivým programům
– Zálohování
– Správa bezpečnosti sítě
• Síťová opatření
• Bezpečnost síťových služeb
ENVIRO 15.4.2010 Ing. Jaroslav Březina 27
Opatření A 10 - pokračování
- Bezpečnost při zacházení s médii
• Správa výměnných počítačových médií
• Postupy pro manipulaci s informacemi
• Bezpečnost systémové dokumentace
- Výměna informací
- Postupy a politiky při výměně informací
- Elektronické zasílání zpráv
- Informační systémy organizace
ENVIRO 15.4.2010 Ing. Jaroslav Březina 28
Opatření A 10 - pokračování
- Služby elektronického obchodu
• On-line transakce
• Veřejně přístupné systémy
- Monitorování
• Pořizování auditních záznamů
• Administrátorský a operátorský deník
• Synchronizace hodin
ENVIRO 15.4.2010 Ing. Jaroslav Březina 29
Opatření A 11
• Řízení přístupu
– Požadavky na řízení přístupu
• Politika řízení přístupu
– Řízení přístupu uživatelů
• Registrace uživatele
• Řízení privilegovaného přístupu
– Odpovědnosti uživatelů
• Používání hesel
• Zásada prázdného stolu a prázdné obrazovky monitoru
ENVIRO 15.4.2010 Ing. Jaroslav Březina 30
Opatření A 11 - pokračování
- Řízení přístupu k síti • Politika užívání síťových služeb
• Ochrana portů pro vzdálenou diagnostiku a konfiguraci
- Řízení přístupu k operačnímu systému • Bezpečné postupy přihlášení
- Řízení přístupu k aplikacím a informacím • Oddělení citlivých systémů
- Mobilní výpočetní zařízení a práce na dálku • Mobilní výpočetní prostředky
ENVIRO 15.4.2010 Ing. Jaroslav Březina 31
Opatření A 12
• Akvizice, vývoj a údržba systémů
– Bezpečnostní požadavky informačních systémů
• Analýza a specifikace bezpečnostních požadavků
– Správné zpracování v aplikacích
• Validace vstupních dat
• Kontrola vnitřního zpracování
– Kryptografická opatření
• Politika pro použití kryptografických opatření
• Správa klíčů
ENVIRO 15.4.2010 Ing. Jaroslav Březina 32
Opatření A 12 - pokračování
• Bezpečnost systémových souborů
– Správa provozního programového vybavení
– Řízení přístupu ke knihovně zdrojových kódů
• Bezpečnost procesů vývoje a podpory
– Postupy řízení změn
– Programové vybavení vyvíjené ext. dodavatelem
• Řízení technických zranitelností
– Řízení, správa a kontrola technických zranitelností
ENVIRO 15.4.2010 Ing. Jaroslav Březina 33
Opatření A 13
• Zvládání bezpečnostních incidentů
– Hlášení bezpečnostních událostí a slabin
• Hlášení bezpečnostních událostí a slabin
– Zvládání bezpečnostních incidentů a kroky k nápravě
• Odpovědnosti a postupy
• Ponaučení z bezpečnostních incidentů
• Shromažďování důkazů
ENVIRO 15.4.2010 Ing. Jaroslav Březina 34
Opatření A 14
• Řízení kontinuity činnosti společnosti
– Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací
• Zahrnutí bezpečnosti informací do procesu řízení kontinuity činnosti organizace
• Vytváření a implementace plánů kontinuity
• Testování, udržování a přezkoumání plánů kontinuity
ENVIRO 15.4.2010 Ing. Jaroslav Březina 35
Opatření A 15
• Soulad s požadavky – Soulad s právními požadavky
• Identifikace odp. předpisů
• Ochrana duševního vlastnictví, záznamů organizace
– Soulad s bezpečnostními politikami, normami a technická shoda • Shoda s bezpečnostními politikami a normami
• Kontrola technické shody
– Hlediska auditu informačních systémů • Opatření k auditu informačních systémů
ENVIRO 10.9.2012 Ing. Jaroslav Březina 36
Závěr
Děkuji za pozornost.
Jaroslav Březina - Manažer jakosti SYSCOM Software spol. s r. o.
Kytlická 818/21a, 190 00, Praha 9 e-mail: [email protected] tel: 286 000 628; fax: 286 892 961 http://www.ssw.cz
ENVIRO 15.4.2010 Ing. Jaroslav Březina 37