Systém manažérstva informačnej bezpečnosti ISO 27001:2006
Download
Report
Transcript Systém manažérstva informačnej bezpečnosti ISO 27001:2006
4. Prednáška
SÚVISLOSTI A TRENDY INFORMAČNEJ
BEZPEČNOSTI
• Disciplína „počítačovej“ bezpečnosti (dnes informačnej
bezpečnosti) evidentne nevznikla automaticky so vznikom prvých
počítačov. Týchto bolo spočiatku málo, ich využívanie si vyžadovalo
špeciálne znalosti a bolo teda obmedzené na malú skupinu špecialistov.
• Bezpečnosť - ak vôbec bola, bola vnímaná
skôr ako fyzická ochrana celých počítačových
systémov.
• Takéto vnímanie bezpečnosti nevymizlo ani s rastom počítačov a ich
rýchlym využívaním na spracúvanie veľkých množstiev údajov, napr.
sálové počítače boli štandardne prevádzkované vo vyhradených
priestoroch s kontrolovaným prístupom.
SÚVISLOSTI A TRENDY INFORMAČNEJ
BEZPEČNOSTI
• Prvé prejavy o systematické riešenie počítačovej/IB - v druhej polovici 60. rokov
20 stor.,
• Na prelome 60. a 70. rokov sa zároveň vytvorili ďalšie predpoklady pre rýchly
rozvoj IKT - prepojenie prvých počítačov do siete ARPANET, začali práce na
systéme UNIX. V tom čase sa objavili aj prví hackeri.
• Vo februári 1970 bola v USA publikovaná prvá odborná práca venovaná otázkam
bezpečnosti počítačových systémov, túto udalosť teda možno dodatočne
označiť za vznik samostatnej disciplíny počítačovej, neskôr informačnej
bezpečnosti.
Nemecký Lorenzov šifrovací prístroj, používaný v 2.svetovej vojne
pre zašifrovanie správ na vysokej úrovni určené generálnemu štábu
• V r. 1973 americký National Bureau of Standards vyhlásil
verejné výberové konanie pre šifrovací systém.
Výsledok - prvý verejný šifrovací štandard v histórii,
bol publikovaný v r. 1975
The Da Vinci code
SÚVISLOSTI A TRENDY INFORMAČNEJ
BEZPEČNOSTI
•
80. roky 20. stor. - nárast aktivity v oblasti počítačovej (informačnej)
bezpečnosti v USA i v Európe - kryptologické konferencie, odborné konferencie o
počítačovej bezpečnosti, vznik medzinárodnej federácie pre spracovanie informácií
IFIP, odborný časopis Computers & Security.
•
Koniec zákazu využívať Internet na komerčné účely začiatkom 90. rokov 20.
stor. znamenal začiatok novej éry rozvoja tohto komunikačného média, ktorá
pochopiteľne ovplyvnila aj rozvoj disciplíny informačnej bezpečnosti.
•
Prvá dekáda 21. stor. je už obdobím s mnohými legislatívnymi postupmi s
cieľom dostať informačnú bezpečnosť do právneho rámca (zákony,
predpisy, normy) v mnohých štátoch sveta, EÚ a tým aj SR nevynímajúc.
= Bezpečnosť informačných aktív v informačnom systéme
Informačný systém
◦ akékoľvek hmotné a nehmotné objekty, ktoré sú cielene
vytvorené, vzájomne poprepájané za účelom zberu, výmeny,
spracovania, uchovania, generovania a distribúcie informácií a
údajov vo vopred definovanej štruktúre a čase
◦ súbor ľudí, technických prostriedkov a metód zabezpečujúcich
zhromažďovanie, prenos, spracovanie a uchovanie dát s cieľom
prezentácie informácií pre potreby užívateľov pôsobiacich v
systémoch riadenia.
Informačné aktíva
◦ všetky spracovávané informácie, prostriedky a osoby
spracovania, príp. všetko ostatné, čo plní istú funkciu v procese
spracovania informácií
• Minimalizuje prevádzkové škody
Informácie majú pre subjekt nezanedbateľnú hodnotu
o Strategické plány firiem, zdravotné záznamy, daňové priznanie,
bankové účty, elektronické platobné nástroje
Informačné technológie - súhrnné označenie pre súbor
prostriedkov a postupov na zber, prenos, spracovávanie,
uchovávanie a prezentáciu informácií.
Ochrana informácií musí zabezpečovať
o Aby k nim mali prístup iba oprávnené osoby
o Aby sa spracovávali nesfalšované informácie
o Aby sa dalo zistiť kto informáciu vytvoril, zmenil, odstránil
o Aby informácie neboli nekontrolovaným spôsobom zverejnené
o Aby informácie boli dostupné vtedy, keď sú potrebné
6
Ide o ochranu investícií
o Hardvér je možné zničiť
Teroristi (bomby)
Pomätení zamestnanci (ničenie)
Prepustení zamestnanci (požiar)
o Hardvér je možné ukradnúť
Kto by nekúpil lacnú vec
o Softvér je možné ukradnúť
Mnohokrát vysoká, ťažko vyčísliteľná hodnota
Konkurent ušetrí náklady na vývoj / zaobstaranie
Porušenie licencie
Neoprávnené používanie softvéru zamestnancom (2. zamestnanie)
o Informačný systém je možné používať neoprávnene
Zničenie systému, porušenie systému po krádeži hesla, rozbitie
mechanizmu prístupu
Použitie systému autorizovanými zamestnancami k nepracovnej
činnosti (osobnej / zárobkovej)
7
Informácia je tovar
o Aktíva – údaje je možné ukradnúť
Je nezaujímavé prepadať na prepážkach / uliciach
Vysoká hodnota (niekoľko desiatok miliárd SK) medzibankového
transferu denne
Vysoká hodnota on-line transferov priamo z účtu klientov
o Výstupy je možné ukradnúť
Krádeže tlačových zostáv, diskiet, CD nosičov
o Existujú právne / morálne pravidlá, zákonné úpravy na ochranu
údajov
Zákon č. 428/2002 Z. Z. O ochrane osobných údajov
Zákon č. 215/2004 Z. Z. O ochrane utajovaných skutočností
Bankový zákon, Daňový zákon, Zákon o zdravotnom poistení, ...
o Údaje je potrebné chrániť pred konkurenciou
Funkciu systému je možné zneprístupniť
8
◦ Samotné spracované informácie a ich ekonomická, právna
hodnota:
výskumné a vývojové práce, projektová dokumentácia,
analýzy, …
osobné údaje,
utajované skutočnosti.
◦ know-how spracovania informácií:
pracovné postupy, technológie spracovania, špecifické metódy
spracovania, centrálne databázy pomocných údajov, systémová
dokumentácia, používateľské manuály, zácvikové materiály,
prevádzkové, alebo podporné procedúry, plány kontinuity a
náhradné postupy,
◦ know-how personálu:
personál spracovania informácií, obslužný personál, riadiaci
personál.
◦ Komplexný know-how firmy použitý pri spracovaní informácií:
výsledky výskumu a vývoja, informácie o obchodných
partneroch, odmeňovanie zamestnancov, image, povesť,
ekonomické a obchodné tajomstvo: ekonomické a obchodné
správy a zhodnotenia,
◦ HW (servery, PC, periférne zariadenia – tlač., skenery,
kopírky, zálohovacie jednotky…)
◦ Nosiče informácií (pevné disky, kompaktné disky, pásky,
flash pamäte a pam. karty, pap. dokumenty, …),
◦ Komunikačné a prenosové linky a zariadenia (tel. a tel.
linky, faxy, odkazovače, TCP/IP sieťové linky, smerovače,
prepínače, FW, antény, komunikátory, modemy, …)
◦ Podporné zariadenia: (napájacie zdroje, klimatizačné
jednotky)
◦ SW (systémový, aplikačný, vývojové nástroje a
pomocné utility, zdrojové knižnice programov,
databázové systémy, …),
◦ Prevádzkové vplyvy komunikačných systémov na
sledovaný systém a závislosť systému na nich
(internet, intranet, e-mail, tel. a faxové spojenie,
rozhlas, televízia, …)
Zvyšujú bezpečnostné riziká
Chránia aktíva pred
hrozbami využívajúcimi
zraniteľné miesta aktív
Zvyšujú potenciálne
bezpečnostné riziká, indikujú
požiadavky na ochranu
1. Vývoj Bezpečnostnej politiky IT
2. Identifikácia rolí a zodpovedností - Určenie kto je za čo v organizácii
zodpovedný
3. Správa rizík
o Identifikácia, zvládnutie, odstránenie alebo minimalizácia
nepredvídateľných udalostí, ktoré majú nežiaduci vplyv na aktíva
organizácie
o Identifikácia a ohodnotenie
Chránených aktív (citlivé údaje a ich klasifikácia)
Zraniteľných miest a s nimi súvisiacich hrozieb (vrátane určenia foriem
útokov a typov útočníkov)
Pravdepodobnosti s akými sa útočí a akým rizikám je IS vystavený
Potenciálnych škôd
Rešpektovaných obmedzení (organizačných, finančných, daných
prostredím, personálnych, časových, právnych, technických, kultúrnosociálnych)
4. Výber bezpečnostných opatrení a ich implementácia bezpečnostnými
mechanizmami
5. Správa konfigurácií
6. Správa zmenového konania
7. Vypracovanie havarijného plánu
8. Školiace aktivity v oblasti bezpečnosti
9. Prevádzková činnosť – Údržba, Bezpečnostný audit, Monitorovanie,
Posudzovanie, Reakcia na incidenty
14
Informačný systém, IS
o
Skúmame bezpečnosť IS bez ďalšej interpretácie
o
Hardvér
o
Výsledky, databázy
Ľudia
Aplikačné programy, operačný systém
Údaje
o
Procesor, pamäti, terminály, telekomunikácie
Softvér
o
Výskum a vývoj, riadenie burzy, systém riadenia podniku, bankový systém,
personálna agenda, systém certifikačnej autority
Personál obsluhujúci IS, používatelia
Aktíva
o
Hardvér, Softvér, Údaje
o
Citlivé informácie
o
Čokoľvek, čo je pre organizáciu cenné (má hodnotu)
Informácie, ktoré sú používané na riadenie chodu organizácie a na plnenie jej
poslania, prípadne sú priamo produktom činnosti organizácie
Bez explicitnej definície a ohodnotenia aktív nie je možné implementovať a
udržovať žiadny bezpečnostný program
15
Objekt IS
o Pasívna entita, ktorá obsahuje / prijíma informácie, objekt je
sprístupňovaný subjektmi IS (udeľovanie prístupových práv
subjektom)
Subjekt IS
o Aktívna (identifikovateľná) entita
Osoba, proces alebo zariadenie činné na základe príkazu
používateľa
o Autorizovateľná pre
Získanie informácie z objektu
Vydávanie príkazov ovplyvňujúcich udelenie práv prístupu k
objektu
Zmenu stavu objektu
16
Obchodný zákonník č.513/1991,
Zákon č. 428/2002 Z.z. o ochrane osobných údajov, ktorý
upravuje:
-ochranu osobných údajov fyzických osôb pri ich spracúvaní
-zásady spracúvania osobných údajov
-bezpečnosť osobných údajov a ochranu práv dotkn. Osôb
-cezhraničný tok osobných údajov
-zriadenie, postavenie a pôsobnosť Úradu na ochranu
osobných údajov
Zákon č. 215/2004 Z.z. o utajovaných skutočnostiach,ktorý
upravuje:
-podmienky na ochranu utajovaných skutočností
-práva a povinnosti právnických osôb a fyzických osôb
-pôsobnosť Národného bezpečnostného úradu
-zodpovednosť za porušenie povinností ustanovených týmto
zákonom
Zákon č. 215/2002 Z.z. o elektronickom podpise,
Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám
1. ISO/IEC 27000:2009 - základný prehľad, Je súhrnom definícii
pojmov, terminológie a slovníkom pre všetky ostatné normy z
danej série
2. ISO/IEC 27001:2006 (predtým známa ako BS 7799-2) - Systém
riadenia informačnej bezpečnosti – požiadavky. Je hlavnou normou
pre ISMS. Je komplexným systémom riadenia informačnej
bezpečnosti od realizácie, udržiavania, a zlepšovania systému
3. ISO/IEC 27002:2005 – Informačné technológie, Bezpečnostné
techniky, Praktická príručka/postupy pre riadenie informačnej
bezpečnosti
4. ISO/IEC 27005:2008 – Riadenie a analýza bezpečnostných rizík
5. ISO/IEC 27006:2007 - Návod na certifikačný a registračný proces
6. ISO/IEC 27011:2008-určená pre riadenie SMIB v
telekomunikáciách
7. ISO/IEC 27799:2008-riadenie požiadaviek a bezpečnosti
informácii v zdravotníckych zariadeniach
1.
2.
3.
4.
5.
Rozhodnutím manažmentu organizácie o zavádzaní tohto
systému
Formulácia a zverejnenie politiky informačnej bezpečnosti
organizácie
Definovanie rozsahu pôsobnosti systému manažérstva
bezpečnosti
Stanovenie možných rizík a spôsob ich riadenia a kontroly.
Samotná certifikácia
Cieľom normy je poskytnúť podporu pre vytvorenie, zavedenie,
realizáciu, monitorovanie, udržiavanie a zlepšovanie systému
manažérstva bezpečnosti informácií
Je určená k ochrane informácií
SMIB zabezpečuje adekvátnu kontrolu nad citlivými informáciami
a tým poskytuje garanciu zainteresovaným stranám ako aj
manažmentu organizácie
zachovanie dôvernosti, integrity, dostupnosti informácií a
navyše sa môže týkať aj ďalších vlastností -autentičnosť,
sledovateľnosť, nemožnosť poprieť zodpovednosť a
spoľahlivosť
informácie nie sú sprístupňované a odhaľované neautorizovaným
osobám, entitám alebo procesom.
Informačné systémy v organizácii pracujú s informáciami, ktoré sú
dôverného charakteru. Majú priam existenčnú hodnotu pre danú
organizáciu. Poskytujú organizácii konkurenčnú výhodu a podiel na
trhu.
Je v záujme organizácie chrániť a dohliadať na to, aby mali k
informáciám prístup len oprávnené a autorizované osoby.
základné spôsoby ochrany dôvernosti informácii = riadený prístup k
informáciám (určenie stupňa priority ochrany a povolenia prístupu k
informácii), kódovanie informácie a zabezpečenie pred možným
útokom zvonku.
vlastnosť zabezpečujúca presnosť a kompletnosť aktív
Synonymom integrity je celistvosť, nedotknuteľnosť alebo
neporušenosť systému. Je to stav, keď je systém nenarušený
a nepodľahol nežiaducej zmene. Integrita sa zisťuje pomocou
kontrolných súčtov, samoopravnými kódmi, hašovacími
funkciami a digitálnym podpisom.
schopnosť byť dostupný a použiteľný na požiadanie
autorizovanej entity
IS je schopný poskytnúť relevantné informácie v čase, kedy o
to autorizovaná osoba, entita alebo proces požiada.
zabezpečuje sa buď archiváciou údajov a zálohovaním, alebo
redundanciou zdrojov a systémov (súbežná činnosť viacerých
zariadení, kedy v prípade výpadku jedného naskočí druhé)
1.
2.
3.
4.
5.
6.
7.
Analýza stavu SRIB,
Určenie rámca SRIB,
Aktualizácia a dopracovanie dokumentácie SRIB,
Implementovanie procesov SRIB do praxe,
Predcertifikačný audit SRIB,
Certifikačný audit SRIB,
Udržiavanie a zlepšovanie SRIB.
1.
Definovať opatrenia/procesy
2.
Prideliť zodpovednosti
3.
Formalizovať postupy
4.
Schváliť vedením organizácie
5.
Vyškoliť zamestnancov
6.
Zaviesť opatrenia
7.
Merať účinnosť opatrení
8.
Kontrolovať zhodu s politikou
9.
Vyhodnocovať incidenty
10. Vylepšovať opatrenia
Plánuj
Urob
Kontroluj
Konaj
•
•
Bezpečnosť informácií je zameraná na širokú škálu hrozieb a
zabezpečuje :
▫ kontinuitu činností organizácie,
▫ minimalizuje obchodné straty a
▫ maximalizuje návratnosť investícii a podnikateľských
príležitostí
Bezpečnosť informácií je možné dosiahnuť implementáciou
sústavy opatrení,
▫ vo forme pravidiel,
▫ natrénovaných postupov,
▫ procedúr, organizačnej štruktúry a programových funkcií
Externé konkurenčné výhody:
•
•
•
Certifikáciou ISMS sa zvyšuje imidž a osobná prestíž organizácie
na trhu, u zákazníkov, dodávateľov, odberateľov a širokej
verejnosti, čo prospieva jej dlhodobej stabilite a prosperite,
ISMS poskytuje zrýchľovanie rastu konkurenčnej schopnosti
organizácie,
ISMS napomáha odstráneniu prístupových bariér ku svetovým aj
domácim trhom
Interné organizačné výhody:
•
•
•
•
Zvýšenie produktivity činnosti pozitívnou efektivitou motivácie,
vzdelanosti, monitoringu, kontroly a sankcií
Zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov,
čím sa redukujú náklady na chyby
Optimalizácia a zefektívnenie plánovania investícií do IS a IT
Objektívnejšie vyhodnocovanie a ochrana firemného know-how
•
•
•
•
•
prečo chce či musí SMIB zaviesť
akých oblastí činností organizácie sa bude SMIB týkať
v akom rozsahu bude zavedený – (celá organizácia - všetky
činnosti, alebo len niektoré významné činnosti - napr. obchod,
výroba, servis, apod.)
„rozdelenie právomocí“ jednotlivým zamestnancom
akým spôsobom chce organizácia SMIB zaviesť
Čo je SA 8000?
Kto je SAI?
Je SA8000 aplikovateľná na všetky odvetvia?
SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE
SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE NA
SLOVENSKU
Prvá auditovateľná norma v tejto oblasti
Je kompatibilná so štruktúrou :
◦ ISO 9001
◦ ISO 14001
◦ OHSAS 18001
Je založená na dohovoroch :
◦ Medzinárodnej organizácie práce (ILO)
◦ Všeobecnej deklarácií ľudských práv
◦ Dohovore OSN o právach dieťaťa
“Social Accountability International”
mimovládna medzinárodná odborná organizácia
venovaná zlepšovaniu pracovísk a komunít
vyvíjaním
a
implementovaním
štandardov
sociálnej zodpovednosti
SAI zhromažďuje:
◦
◦
◦
◦
kľúčových odborníkov pre vývoj štandardov,
akredituje audítorov,
vykonáva školenia a technickú asistenciu, a
asistuje organizáciám pri zlepšovaní sociálnej zhody v
ich dodávateľských reťazcoch
„schopnosť
firmy usilovať sa o neustále
rozmnožovanie bohatstva v súlade so životným
prostredím a spoločnosťou.“
smerovanie k etickým princípom, ktoré by
firmy mali dodržiavať v podnikaní
R. H. Bowen - prvý teoretik spoločensky
zodpovedného podnikania
1971 - Spoločenské zodpovednosti obchodných
korporácií...definovaný trojstupňový model SZP
základné
podnikové
zodpovednosti
pri
vytváraní rastu a zisku
firma musí byť pri sledovaní
svojich
ekonomických
záujmov citlivá na neustále sa
meniaci spoločenský rozmer,
ktorý
existuje
medzi
podnikaním a spoločnosťou;
zodpovednosti a činnosti,
ktoré firma vyvíja na aktívne
zlepšovanie svojho okolia,
Vonkajší
kruh
Stredný
kruh
Vnútorný
kruh
Univerzálnosť
Dobrovoľnosť
Aktívna spolupráca so zainteresovanými subjektmi
(stakeholders)
Záväzok prispievať k rozvoju kvality života
Zdôrazňujú rozvoj, nie iba rast
Pomenúvajú tri oblasti, v ktorých sa zodpovedné
podnikanie konkrétne prejavuje:
◦ Ekonomické prostredie (etický kódex, ochrana duševného
vlastníctva, reklama)
◦ Sociálna oblasť (BOZP, firemná filantopia, boj proti
korupcii)
◦ Environmentálna oblasť(recyklácia, ekodizajn..)
je jednou z najdôležitejších príčin vzrastu
významu spoločenskej zodpovednosti v podnikaní
1. Pokles
významu
hraníc
medzi
štátmi
a zjednodušenie prepravy a komunikácie
spôsobujú, že vzniká nový medzinárodný trh s
investičnými podmienkami
2.
Zjednodušený prístup k množstvu informácií,
ktoré majú spotrebitelia k dispozícii v reálnom
čase
3.
4.
Dlhodobo rastúci záujem o dodržiavanie
ľudských práv
Zmena štruktúry ekonomiky
Návod na podstatné
zodpovednosti
princípy
spoločenskej
Zahŕňa hlavné oblasti a problémy týkajúce sa
spoločenskej zodpovednosti
Dá sa aplikovať na všetky typy organizácií
Nie je určená na použitie vo vládnych
organizáciách pri uplatňovaní ich výkonnej,
legislatívnej a právnej moci
90- te roky 20.storočia
Využitie vo firmách so zahraničnou účasťou
Novelizácia Zákona o dani s príjmu
(561/2001) - slovenskí daňoví poplatníci
mohli venovať neziskovým organizáciám 1%
z dane z príjmu (v súčasnosti 2%)
Na Slovensku sa chápanie SZP
obmedzuje na filantropiu a charitu
často
Priama podpora
Dobročinný, zdieľaný marketing
Charitatívne aukcie a výstavy
Firemná nadácia/firemný nadačný fond
Nepeňažné darcovstvo
Účasť v správnych radách a grantových
komisiách neziskových organizácií
Strategické darcovstvo