bezpečnosti is – seminář 1
DESCRIPTION
Bezpečnosti IS – seminář 1. Bezpečnost IS/IT (BIS) má pro organizaci zásadní význam Zodpovědnost managementu podniku – zodpovědnost managementu IS/IT – zodpovědnost uživatelů IS/IT Řešení BIS Vlastními silami Spolupráce s externími odborníky Outsourcing. Bezpečnosti IS – seminář 1. - PowerPoint PPT PresentationTRANSCRIPT
1
Bezpečnosti IS – seminář 1
• Bezpečnost IS/IT (BIS) má pro organizaci zásadní význam
• Zodpovědnost managementu podniku – zodpovědnost managementu IS/IT – zodpovědnost uživatelů IS/IT
• Řešení BIS– Vlastními silami– Spolupráce s externími odborníky– Outsourcing
2
Bezpečnosti IS – seminář 1• Řešení vlastními silami
– v menších IS – v IS s daty nižší hodnoty
• Zodpovědný pracovník/pracovníci – dostatečná odborná úroveň, soustavné zvyšování kvalifikace (školení, sebevzdělávání, atd.)
• Zdroje pro další vzdělávání – firemní materiály a publikace (White papers), příručky, veřejně dostupné normy, standardy
3
Bezpečnosti IS – seminář 1• Návody a doporučení pro praxi („The Best
Practices“, „Information Security Guide“, …) obecně aplikovatelné
• Kde jsou materiály k disposici?
• Příklady:• Practical Guide to Data Protection and Recovery
http://www.usdatatrust.com/resources/data_protection_guide.asp
4
Bezpečnosti IS – seminář 1• Doporučení
– jak postupovat při hodnocení stávajícího zabezpečení dat v podnikovém IS
– na co se zaměřit, aby se zabezpečení dat zlepšilo– jak zajistit obnovu IS po havárii nebo selhání
• Návrh postupu – Klasifikace dat
• Cena dat (součet nákladů k obnově dat, ztráta vzniklá nečinností po dobu výpadku - krátkodobá, ztráta „dobrého jména“ – dlouhodobá)
• Typy dat (zákaznické databáze, účetní záznamy, zápisy z jednání, pošta…..)
5
Bezpečnosti IS – seminář 1• Soupisy pro stanovení rizik (na otázky odpovědi
ano/ne, u výběrových otázek odpovědi a – b – c ……)– Fyzická bezpečnost
1. Jsou servery v klimatizovaném prostředí s protipožární ochranou?
2. Je průběžně prováděna kontrola těchto prostor?
3. Jsou servery připojeny k UPS s ochranou proti napěťovým výkyvům?
4. Je přístup k serverům pouze pro autorizované osoby?
– Logická (datová) bezpečnost1. Je systémová administrativa prováděna kvalifikovaným
personálem?
2. Je u každého externího přístupu instalován firewall?
3. Je používání uživatelských hesel a nastavení přístupových práv v souladu s potřebami podniku a podnikovými směrnicemi?
6
Bezpečnosti IS – seminář 14. Jsou prováděny periodické kontroly uživatelských přístupů
(změny v pravomocech a odpovědnosti uživatelů)?
5. Jsou všechna přístupová hesla netriviální znakové řetězce?
6. Mají uživatelé povinnost měnit hesla se zákazem jejich znovupoužití po dobu min. 1 roku?
7. Je na všech počítačích a serverech instalovaný a aktualizovaný antivirový SW?
8. Existuje pro uživatele zákaz instalace vlastního SW (neověřeného) ?
9. Existuje zákaz používat v kancelářích bezdrátové připojení?
7
Bezpečnosti IS – seminář 1– Zálohování a obnova dat
1. Jak často provádíte backup? (průběžně – denně – týdně – měsíčně – ročně – nikdy)
2. Jak je prováděn? (automaticky – manuálně odborníkem – manuálně neodborníkem)
3. Jak dlouho jsou zálohy uchovávány? (rok a více – nejméně měsíc – týden – den – vůbec)
4. Jak často jsou zálohy ověřovány? (denně – týdně – občas – nikdy)5. Kde jsou zálohy uchovávány? (mimo provoz IS – doma u
zaměstnanců – v prostoru s protipožární ochranou – na jiném serveru –jinak)
6. Kdy je záloha přemisťována mimo provoz IS? (bezprostředně po vytvoření – během 8 hod. – během 24 hod. – každý týden – každý měsíc – nikdy)
7. Jak dlouho trvá nalezení a zavedení ztraceného souboru ze zálohy? (několik minut – několik hodin – den – týden – měsíc a více)
8
Bezpečnosti IS – seminář 1• Z odpovědí lze sestavit tabulku určující stupeň
odhaleného rizika
Odhalené riziko
Fyzická bezpečnost
Datová bezpečnost
Zálohování a obnova
nízké „ano“
všechny otázky
střední „ano“ nejméně 3x
„ano“ nejméně 6x
pouze odpovědi a
nebo b
vysoké „ano“ méně než 3x
„ano“ méně než 6x
jiné odpovědi než a/b u
všech otázek
9
Bezpečnosti IS – seminář 1
• Závěry plynoucí z vyhodnocení– Nízké riziko – výborný stav nevyžadující
žádné úpravy v IS– Střední riziko – vyžaduje úpravy v daných
oblastech IS– Vysoké riziko – kritický stav, hrozí ztráta dat,
nutné bezprostřední úpravy v IS
10
Bezpečnosti IS – seminář 1• Doporučení
– ke zlepšení ochrany dat v oblasti prevence (složka fyzická a logická – datová)1. Zajistit bezpečnost fyzického přístupu pouze pro autorizované
osoby2. Řízení provozního prostředí – klimatizace, vytápění pod kontrolou3. Ochrana proti výpadkům a kolísání napětí – UPS4. Instalace firewallů na všech přístupových bodech z externích sítí5. Antivirový SW – instalace a update, virus-scannery na mail
serverech6. Řízení uživatelských přístupů – přidělování přístupových práv,
změny přístupových práv při změnách pracovního zařazení, rušení uživatelských přístupů u odcházejících zaměstnanců
7. Nastavení pravidel pro přístupová hesla ke kritickým datům (počet a kombinace znaků, periody pro změny hesel: každé 3 měsíce u běžných uživatelů, každý měsíc u správců)
11
Bezpečnosti IS – seminář 1– ke zlepšení obnovy dat po selhání IS (vypracování návrhu
postupu při obnovování dat – plán obnovy a zálohování)• Identifikace kritických dat (existují ekonomická a časová omezení
pro zálohování všech dat) – provádí vrcholový management
Data nejvyšší hodnoty
Potřebná data Nepotřebná data
Základní data pro organizaci, závisí na nich klíčové procesy,
vyžadují bezprostřední obnovu
Data s dlouhodobým významem, nejsou
vyžadována bezprostředně,
nesmí být ztracena (účetnictví)
Data malého významu, při ztrátě minimální dopad na podnikové procesy
12
Bezpečnosti IS – seminář 1
– Identifikace objemu, uložení a formátů (objem v GB, identifikace úložišť – servery, RAID, …, formáty: databáze, jednotlivé soubory…, fyzické lokality: ve stejné budově, detašovaná pracoviště …)
– Stanovení požadované doby obnovy u kritických dat – čím rychlejší obnova, tím větší finanční náklady – reálné požadavky
– Určení osobní zodpovědnosti včetně zástupců, požadované kvalifikační předpoklady
13
Bezpečnosti IS – seminář 1– Postup při implementování plánu obnovy a
zálohování1. Vytvoření záložního zdroje dat – spolehlivě a
přesně s dostatečnou četností, spolehlivost ověřit (tj. všechny zálohy musí být čitelné)
2. Přemisťování záloh – bezprostřední, správné nakládání s fyzickými médii, transportní služba je stále k disposici (u fyzických i síťových přesunů)
3. Zajištění úložiště záloh – stálý a rychlý přístup k zálohám, ochrana proti průniku k zálohám nebo jejich porušení
4. Provádění obnovy dat v čase požadovaném organizací
14
Bezpečnosti IS – seminář 1– Výběr vhodné zálohovací metody – příklady:
• Magnetické pásky - uložené mimo organizaci, tradiční ověřená metoda, možnost provádět cyklické zálohování
– Nevýhoda - pásky nejsou zcela spolehlivé, potřeba zajistit více kopií
• V HW jiného serveru - odborníky doporučovaná metoda (do diskových polí RAID, clustering, mirroring)
• Kopie přenášené do vzdáleného serveru, který je duplicitně zpracovává – přes Internet nebo lépe přes VPN – možnost okamžité obnovy – vyšší náklady na pořízení repliky HW a SW. Při ztrátě originálních dat jsou použita duplicitní data
– Nevýhoda – nelze vytvářet archivy
• Outsourcing
15
Nástroje pro Self Assessment• COBIT v. 3.0 (Control Objectives for Information and
related Technology) - univerzální metodika a nástroj pro hodnocení a řízení ICT (včetně informační bezpečnosti). – Vyvinut v IT Governance Institute– Souhrn „best practices“ v řízení IT (podrobný popis celkem 44
procesů) – vazby mezi cíli organizace a technologiemi– Procesy rozděleny do 4 domén– Plánování a organizace (PO)– Pořízení a implementace (AI)– Dodávka a podpora (DS)– Monitoring (M)
16
Nástroje pro Self Assessment• Požadavky zahrnuté v COBITu
– Požadavky na kvalitu• kvalita • náklady • dodání
– Požadavky na správu • Efektivita• Účinnost• Spolehlivost• Souhlas s externími pravidly
– Bezpečnostní požadavky• Důvěrnost• Integrita • Dostupnost
17
Nástroje pro Self Assessment• Základem pro posouzení a měření procesů jsou
informace:– Popis vyzrálosti procesu
• 0 - neexistující
• 1 - počáteční
• 2 - opakovatelný
• 3 - definovaný
• 4 - řízený
• 5 - optimatizovatelný
– Kritické faktory úspěchu– Cílové metriky– Výkonnostní metriky
18
Nástroje pro Self Assessment• Do on-line nástroje DSM byly vybrány procesy
– PO9 Assess Risks - Hodnocení rizik– PO11 Manage Quality – Řízení kvality– AI6 Manage Changes – Řízení změn– DS4 Ensure Continuous Service – Zajištění
kontinuity služeb– DS5 Ensure Systems Security – Zajištění
bezpečnosti systémů– DS11 Manage Data – Management dat– MO1 Monitor the Processes – Monitorování procesů
• Popis vybraných procesů
19
Nástroje pro Self Assessment
• Výsledky – přehledné tabulky a grafy• Reporting hodnocení kontrolních cílů (IT
processes control objectives assessment report) • Reporting hodnocení vyspělosti procesů (IT
processes maturity levels assessment report) • Benchmarking hodnocení kontrolních cílů (IT
processes performance benchmark) • Benchmarking hodnocení vyspělosti procesů
(Maturity levels benchmark)
20
Nástroje pro Self Assessment• ASSET (Automated Security Self-Evaluation Tool)
– Nástroj vyvinutý (zdarma dostupný) v National Institute of Standards and Technology – http://csrc.nist.gov/asset
– Zaměření pouze na informační bezpečnost (na rozdíl od COBITu)– Hodnocení se provádí ve 3 oblastech (17 podoblastí)
• Management controls (opatření pro management)• Operational controls (opatření pro provoz)• Technical controls (opatření technická)
– Odpovědi na základě interview, posuzování dokumentace a testováním existujících bezpečnostních opatření
– Výsledné hodnocení kritických požadavků – stupnice 0 – 5. (0. riziková úroveň, 1. opatření je uvedeno v BP, 2. opatření
je zdokumentováno jako procedura, 3. opatření je implementováno, 4. opatření je testováno a kontrolováno, 5. opatření je plně integrováno v komplexním bezpečnostním řešení)
21
Série norem ISO/IEC 2700• Informační technologie
– Bezpečnostní techniky– ISMS – Principy a názvosloví
• ISO 27000 - definice pojmů a terminologický slovník pro všechny ostatní normy z této série.
• ISO 27001 (BS7799-2) - hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Norma byla publikována koncem října 2005.
22
Série norem ISO/IEC 2700• ISO 27002 (ISO/IEC 17799 & BS7799-1) -
aktuální verze normy byla publikována v červnu 2005 jako ISO/IEC 17799:2005. Na rok 2007 je plánováno její opětovné vydání, tentokráte již pod označením 27002.
• ISO 27003 - návod k implementaci ostatních norem.
• ISO 27004 - norma bude publikována pod názvem "Information Security Management Metrics and Measurement".
23
Série norem ISO/IEC 2700
• ISO 27005 (BS 7799-3) - norma bude publikována pod názvem "Information Security Management Systems - Guidelines for Information Security Risk Management" a měla by nahradit BS 7799 část 3.
• ISO 27006 - norma bude pravděpodobně publikována pod názvem “Information technology - Security techniques - International accreditation guidelines for the accreditation of bodies operating certification / Registration of information security management systems”.
• ISO 27007 - doporučení pro auditování ISMS
24
Služby „třetích stran“
• GITy, a.s.
• http://www.gity.cz/cz/zakaznicka-reseni/bezpecnost-it/
• RAC - Risk Analysis Consultants, s.r.o.
• http://www.rac.cz/rac/homepage.nsf/CZ/Hlavni