Management bezpečnosti
informací dle ISO 27001:2006
Zkušenosti se zaváděním ve
společnosti SYSCOM SOFTWARE s.r.o.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
1
O autorovi
• Ing. Jaroslav Březina
– Pracuje ve společnosti SYSCOM SOFTWARE
•
•
•
•
Představitel vedení pro systém jakosti
Manažer jakosti
Manažer bezpečnosti informací
Bezpečnostní ředitel pro řízení utajovaných informací
– Je certifikován jako manažer jakosti a auditor QMS
společností CERT Kladno
ENVIRO 15.4.2010
Ing. Jaroslav Březina
2
Představení společnosti
Společnost SYSCOM Software s.r.o. vznikla v roce 1994.
Sídlo firmy je v Praze, provozovnu má v Hradci
Králové. Zaměřujeme se na dodávky komplexních
řešení v oblasti informačních systémů a dalších IT
služeb. Hlavní činností společnosti je vývoj software na
zakázku, jak na významných zakázkách pro státní
a veřejnou správu (např. AVISME, EDS/SMVS), tak i pro
komerční organizace (např. v minulosti software pro CK
Čedok a QUELLE). Společnost SYSCOM SOFTWARE
s.r.o. disponuje vynikajícím know-how v oblasti
legislativy a metodiky ve státní správě České republiky.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
3
Představení společnosti
Hlavní produkty společnosti:
Pro státní správu - AVISME
Informační systémy vyvinuté společností SSW podle
potřeb rozpočtových organizací. Při vývoji
produktů firma respektuje nejen potřeby
zákazníka, ale i platnou legislativu, jejíž změny
neustále plynule promítá do systémů a jejich
aplikací.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
4
Představení společnosti
 Pro státní správu - EDS/SMVS
Evidenčně Dotační Systém / Správa Majetku ve
Vlastnictví Státu
Systém je určen pro vstup a zpracování dat části
státního rozpočtu. Je využíván na jednotlivých
ministerstvech s přímým napojením na Ministerstvo
financí ČR, kde slouží k centrálnímu zpracování
podkladů pro tvorbu plánu výdajů státního rozpočtu.
Systém je zaměřen na zkvalitnění, zpřehlednění a
usnadnění rozhodovacích, řídících a kontrolních
procesů programového financování.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
5
Představení společnosti
 EDS/SMVS je více úrovňový systém, jehož činnost spočívá v propojení
všech jednotlivých složek dané organizace a ve vzájemné výměně dat mezi
rezortem a MF. Řešení v současné době předpokládá tři úrovně
(Ministerstvo financí ČR – kapitoly (rezorty) – organizační složky státu,
nebo právní subjekt), je však možné jej aplikovat na libovolnou organizační
strukturu.
Hlavní cíle systému EDS/SMVS
•
•
•
•
•
Jednoznačně vymezit typy výdajů, které musí být vedeny v programovém
financování.
Sjednotit procesy řízení projektů (akcí) v programovém financování se zákonem o
finanční kontrole.
Úprava metodiky umožňující bezproblémové uvolňování finančních prostředků na
projekty kofinancované z fondů EU.
Úprava metodiky a systému týkající se rezervních fondů.
Příprava modulů Integrovaného informačního systému Státní pokladny - IISSP.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
6
Představení společnosti
Pro komerční organizace:
QUELLE Schikedanz AG & Co. - systém LAWIS
pro významný evropský zásilkový dům je určen
pro řízení logistiky velkoskladu v dceřiných
společnostech a představuje komplexní řešení
problematiky zásilkového obchodu.
V současné době je jednání se skupinou
Halens & Cellbes, Consortio Fashion Group s.r.o. (Švédsko)
ENVIRO 15.4.2010
Ing. Jaroslav Březina
7
Představení společnosti
Další služby:
• Návrh systémového SW, HW, komunikací a dalších
technologií
• Konzultační činnost a analýza
• Zaškolení obsluhy a technického personálu
• Zabezpečení zkušebního provozu v místě instalace
• Technická podpora
• Záruční servis na celý systém
• Pozáruční konzultační a servisní činnost
• Provozování aplikací v prostředí Internetu
• Fulltextové nadstavby pro WWW servery
ENVIRO 15.4.2010
Ing. Jaroslav Březina
8
Představení společnosti
Společnost SYSCOM Software s.r.o. vlastní
následující certifikáty:
 certifikát ISO 9001:2009 do 14.10.2014
 certifikát ISO/IEC 27001:2006 do 23.07.2015
Osvědčení NBÚ na stupeň utajení „Důvěrné“
do 18.4.2015
 profesní certifikáty Microsoft a Oracle
ENVIRO 15.4.2010
Ing. Jaroslav Březina
9
ČSN ISO/IEC 27001:2006
Systémy bezp. informací - Požadavky
• Tato norma nahrazuje ČSN BS 7799-2 (2004)
• Vazba na ČSN ISO/IEC 13335-3:2000
– Techniky řízení bezpečnosti IT
• Vazba na ČSN ISO/IEC 17799:2006
– Oprava 1 , změna na ČSN ISO/IEC 27002:2008
– Soubor postupů pro management bezp. informací
• Vazba na ČSN ISO 90003:2005
– Směrnice pro použití ISO 9001 na počítačový SW
ENVIRO 15.4.2010
Ing. Jaroslav Březina
10
Vazba na ISO 9001:2008
• Většina požadavků se kryje s ISO 9001:2008
• Rozdíl je položen na
– Ustavení ISMS
– Rozsah ISMS
– Zavádění, řízení a provozování ISMS
Zde je základní deklarace (přihlášení se) k principům
ISMS – detaily k zavedení jsou uvedeny v Příloze A:
Cíle, opatření a jednotlivá bezpečnostní opatření.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
11
Vazba na ISO 9001:2008
• Stejně jako v ISO 9001:2008 je nutné stanovit:
– Bezpečnostní politiku ISMS
– Vyloučené oblasti z ISMS
– Hlavní cíle k zajištění bezpečnostní politiky ISMS
a zvlášť uvedené specifické požadavky
– Právní zajištění ISMS (legislativa ČR i EU)
ENVIRO 15.4.2010
Ing. Jaroslav Březina
12
Aktiva a rizika
• Norma požaduje klasifikaci informačních aktiv
– tzn. rozdělení aktiv na jednotlivé kategorie např.:
• Kategorie U: Pokrývá účetní a platební informace
• Kategorie O: Pokrývá osobní údaje
• Kategorie I: Pokrývá interní informace
• Kategorie P: Pokrývá informace o výzvách a projektech
• atd.
Seznam informačních aktiv jsem uvedl pro přehlednost a
další návaznosti v samostatné příloze ke směrnici
„Směrnice pro řízení bezpečnosti informací „
ENVIRO 15.4.2010
Ing. Jaroslav Březina
13
Aktiva a rizika
• Řízení informačních rizik jsem rozdělil do
následujících podkapitol, a to:
– Identifikace a hodnocení rizik
– Zvládání rizik
– Kontroly zvládání rizik
– Zbytková rizika
V samostatné příloze se seznamem informačních
aktiv jsem doplnil rizika a jejich klasifikaci k
jednotlivým aktivům. Nástin tabulky viz dále.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
14
Seznam klasifikovaných informačních
aktiv a jejich rizik
Zkratka
Projekty
Věcný obsah
Informace o vyhlášených
a předložených
projektech
Specifikace.
Internetové
stránky,
Intranet,
Vnitřní
informační
systém
Kategorie
aktiva
P
Odpovědnost
VP
TVP
Riziko
Zvládání
rizika
Střední:
a)
ztráta dokumentu
b)
nesoulad
elektronického a
papírového záznamu
Stanovení
úložného místa a
důsledná
kontrola spisu a
jeho elektronické
verze
Atd.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
15
Analýza rizik na základě rozlišení typů
hrozeb a obecných zranitelností
• Kategorie hrozby:
–A
náhodná
–E
přírodního charakteru
–D
úmyslná
Ke kategorizaci jsem využil ČSN ISO/IEC TR 133353:2000 – Informační technologie – Směrnice pro
řízení bezpečnosti IT – Část 3: Techniky pro řízení
bezpečnosti IT , příloha „C“ Seznam možných typů
hrozeb a přílohu „E“ Typy metod analýzy rizik.
ENVIRO 15.4.2010
Ing. Jaroslav Březina
16
Analýza rizik
• Stupeň rizika určuje příslušný expert (viz ČSN
ISO/IEC 13335-3, příloha E, příklad 3 – Odhad
hodnoty četnosti a možné změny rizik).
Hrozba/Incident
Zranitelnost
Riziko
Příčina
Zvládání rizika
Kat.
Software
Nejasné nebo neúplné
specifikace pro
vývojáře; nedostatek
efektivního řízení
změn
ENVIRO 15.4.2010
Selhání software
D, A
střední
Proškolený personál,
specifikace SW pro
jednotlivé PC
– viz M 07-07
Ing. Jaroslav Březina
17
Postup zavedení v SSW - 1
•
•
•
•
•
Rozhodnutí vedení
Jmenování MBI (manažera bezpečnosti informací)
Stanovení etap zavádění ISMS
Zpracování hmg zavádění ISMS
Zpracovávání dokumentace dle hmg
–
–
–
–
Doplnění stávající dokumentace QMS
Zpracování zastřěšující směrnice pro ISMS
Zapracování do integrované PK
Provedení interního auditu
ENVIRO 15.4.2010
Ing. Jaroslav Březina
18
Postup zavedení v SSW - 2
• Projednání závěrů interního auditu
• Zpracování nápravných opatření a sledování
jejich plnění a zapracování závěrů do
dokumentace.
• Ověření zavedených opatření a zpracování
zprávy o zavádění ISMS
• Rozhodnutí vedení k provedení certifikace dle
ISO 27001:2006
ENVIRO 15.4.2010
Ing. Jaroslav Březina
19
Problematické oblasti při zavádění
• Přístup na řešení problematických oblastí je
nejlépe předvést na jednotlivých cílech, které
jsou rozpracovány v normě v příloze A – Cíle,
opatření a jednotlivá bezpečnostní opatření.
Příloha A je rozdělena na 11 doporučení a
návodů pro zavedení nejlepších praktik pro
podporu těchto opatření (A5 – A 15).
ENVIRO 15.4.2010
Ing. Jaroslav Březina
20
Opatření A 5
• Bezpečnostní politika informací
– Je nutné stanovit:
• Bezpečnostní politiku ISMS
• Přezkoumání vedením organizace
ENVIRO 15.4.2010
Ing. Jaroslav Březina
21
Opatření A 6
• Organizace bezpečnosti informací
– Interní organizace
• Závazek vedení
• Přidělení odpovědnosti v oblasti ISMS
• Dohody o ochraně důvěrných informací
– Externí subjekty
• Identifikace rizik plynoucích z přístupu ext. subjektů
• Bezpečnostní požadavky pro přístup klientů
• Bezpečnostní požadavky v dohodách s třetí stranou
ENVIRO 15.4.2010
Ing. Jaroslav Březina
22
Opatření A 7
• Řízení aktiv
– Odpovědnost za aktiva
• Evidence aktiv
• Vlastnictví aktiv
– Klasifikace informací
• Doporučení pro klasifikaci
• Označování a nakládání s informacemi
ENVIRO 15.4.2010
Ing. Jaroslav Březina
23
Opatření A 8
• Bezpečnost lidských zdrojů
– Před vznikem pracovního poměru
• Role a odpovědnosti, Prověřování
• Podmínky výkonu pracovní činnosti
– Během pracovního poměru
• Odpovědnost vedoucích zaměstnanců
• Informovanost, vzdělávání a školení v oblasti ISMS
– Ukončení nebo změna pracovního poměru
• Odpovědnosti při ukončení pracovního poměru
• Odebrání přístupových práv
ENVIRO 15.4.2010
Ing. Jaroslav Březina
24
Opatření A 9
• Fyzická bezpečnost a bezpečnost prostředí
– Zabezpečené oblasti
• Fyzický bezpečnostní perimetr
• Kontroly vstupu osob
• Ochrana před hrozbami zvnějšku a prostředí
– Bezpečnost zařízení
•
•
•
•
ENVIRO 15.4.2010
Umístění zařízení a jeho ochrana
Bezpečnost kabeláže
Bezpečnost zařízení mimo objekt
Bezpečná likvidace nebo opakované použití zařízení
Ing. Jaroslav Březina
25
Opatření A 10
• Řízení komunikací a provozu
– Provozní postupy a odpovědnosti
• Dokumentace provozních postupů
• Řízení změn
– Řízení dodávek služeb třetích stran
• Dodávky služeb
• Monitorování a přezkoumání služeb třetích stran
– Plánování a přejímání systému
• Řízení kapacit
• Přejímání systémů
ENVIRO 15.4.2010
Ing. Jaroslav Březina
26
Opatření A 10 - pokračování
– Ochrana proti škodlivým programům a mobilním
kódům
• Opatření na ochranu proti škodlivým programům
– Zálohování
– Správa bezpečnosti sítě
• Síťová opatření
• Bezpečnost síťových služeb
ENVIRO 15.4.2010
Ing. Jaroslav Březina
27
Opatření A 10 - pokračování
- Bezpečnost při zacházení s médii
• Správa výměnných počítačových médií
• Postupy pro manipulaci s informacemi
• Bezpečnost systémové dokumentace
- Výměna informací
- Postupy a politiky při výměně informací
- Elektronické zasílání zpráv
- Informační systémy organizace
ENVIRO 15.4.2010
Ing. Jaroslav Březina
28
Opatření A 10 - pokračování
- Služby elektronického obchodu
• On-line transakce
• Veřejně přístupné systémy
- Monitorování
• Pořizování auditních záznamů
• Administrátorský a operátorský deník
• Synchronizace hodin
ENVIRO 15.4.2010
Ing. Jaroslav Březina
29
Opatření A 11
• Řízení přístupu
– Požadavky na řízení přístupu
• Politika řízení přístupu
– Řízení přístupu uživatelů
• Registrace uživatele
• Řízení privilegovaného přístupu
– Odpovědnosti uživatelů
• Používání hesel
• Zásada prázdného stolu a prázdné obrazovky monitoru
ENVIRO 15.4.2010
Ing. Jaroslav Březina
30
Opatření A 11 - pokračování
- Řízení přístupu k síti
• Politika užívání síťových služeb
• Ochrana portů pro vzdálenou diagnostiku a konfiguraci
- Řízení přístupu k operačnímu systému
• Bezpečné postupy přihlášení
- Řízení přístupu k aplikacím a informacím
• Oddělení citlivých systémů
- Mobilní výpočetní zařízení a práce na dálku
• Mobilní výpočetní prostředky
ENVIRO 15.4.2010
Ing. Jaroslav Březina
31
Opatření A 12
• Akvizice, vývoj a údržba systémů
– Bezpečnostní požadavky informačních systémů
• Analýza a specifikace bezpečnostních požadavků
– Správné zpracování v aplikacích
• Validace vstupních dat
• Kontrola vnitřního zpracování
– Kryptografická opatření
• Politika pro použití kryptografických opatření
• Správa klíčů
ENVIRO 15.4.2010
Ing. Jaroslav Březina
32
Opatření A 12 - pokračování
• Bezpečnost systémových souborů
– Správa provozního programového vybavení
– Řízení přístupu ke knihovně zdrojových kódů
• Bezpečnost procesů vývoje a podpory
– Postupy řízení změn
– Programové vybavení vyvíjené ext. dodavatelem
• Řízení technických zranitelností
– Řízení, správa a kontrola technických zranitelností
ENVIRO 15.4.2010
Ing. Jaroslav Březina
33
Opatření A 13
• Zvládání bezpečnostních incidentů
– Hlášení bezpečnostních událostí a slabin
• Hlášení bezpečnostních událostí a slabin
– Zvládání bezpečnostních incidentů a kroky k
nápravě
• Odpovědnosti a postupy
• Ponaučení z bezpečnostních incidentů
• Shromažďování důkazů
ENVIRO 15.4.2010
Ing. Jaroslav Březina
34
Opatření A 14
• Řízení kontinuity činnosti společnosti
– Aspekty řízení kontinuity činností organizace
z hlediska bezpečnosti informací
• Zahrnutí bezpečnosti informací do procesu řízení
kontinuity činnosti organizace
• Vytváření a implementace plánů kontinuity
• Testování, udržování a přezkoumání plánů kontinuity
ENVIRO 15.4.2010
Ing. Jaroslav Březina
35
Opatření A 15
• Soulad s požadavky
– Soulad s právními požadavky
• Identifikace odp. předpisů
• Ochrana duševního vlastnictví, záznamů organizace
– Soulad s bezpečnostními politikami, normami a
technická shoda
• Shoda s bezpečnostními politikami a normami
• Kontrola technické shody
– Hlediska auditu informačních systémů
• Opatření k auditu informačních systémů
ENVIRO 10.9.2012
Ing. Jaroslav Březina
36
Závěr
Děkuji za pozornost.
Jaroslav Březina - Manažer jakosti
SYSCOM Software spol. s r. o.
Kytlická 818/21a, 190 00, Praha 9
e-mail: [email protected]
tel: 286 000 628; fax: 286 892 961
http://www.ssw.cz
ENVIRO 15.4.2010
Ing. Jaroslav Březina
37
Download

Management bezpečnosti informací dle ISO