Management bezpečnosti informací dle ISO 27001:2006cert.cz/download/27001_CERT_Kladno_2012.pdf ·...

Management bezpečnosti informací dle ISO 27001:2006

Zkušenosti se zaváděním ve společnosti SYSCOM SOFTWARE s.r.o.

1 Ing. Jaroslav Březina ENVIRO 15.4.2010

O autorovi

• Ing. Jaroslav Březina

– Pracuje ve společnosti SYSCOM SOFTWARE

• Představitel vedení pro systém jakosti

• Manažer jakosti

• Manažer bezpečnosti informací

• Bezpečnostní ředitel pro řízení utajovaných informací

– Je certifikován jako manažer jakosti a auditor QMS společností CERT Kladno

ENVIRO 15.4.2010 Ing. Jaroslav Březina 2

Představení společnosti

Společnost SYSCOM Software s.r.o. vznikla v roce 1994. Sídlo firmy je v Praze, provozovnu má v Hradci Králové. Zaměřujeme se na dodávky komplexních řešení v oblasti informačních systémů a dalších IT služeb. Hlavní činností společnosti je vývoj software na zakázku, jak na významných zakázkách pro státní a veřejnou správu (např. AVISME, EDS/SMVS), tak i pro komerční organizace (např. v minulosti software pro CK Čedok a QUELLE). Společnost SYSCOM SOFTWARE s.r.o. disponuje vynikajícím know-how v oblasti legislativy a metodiky ve státní správě České republiky.



Hlavní produkty společnosti:

Pro státní správu - AVISME

Informační systémy vyvinuté společností SSW podle potřeb rozpočtových organizací. Při vývoji produktů firma respektuje nejen potřeby zákazníka, ale i platnou legislativu, jejíž změny neustále plynule promítá do systémů a jejich aplikací.



Pro státní správu - EDS/SMVS Evidenčně Dotační Systém / Správa Majetku ve

Vlastnictví Státu

Systém je určen pro vstup a zpracování dat části státního rozpočtu. Je využíván na jednotlivých ministerstvech s přímým napojením na Ministerstvo financí ČR, kde slouží k centrálnímu zpracování podkladů pro tvorbu plánu výdajů státního rozpočtu. Systém je zaměřen na zkvalitnění, zpřehlednění a usnadnění rozhodovacích, řídících a kontrolních procesů programového financování.


Představení společnosti EDS/SMVS je více úrovňový systém, jehož činnost spočívá v propojení

všech jednotlivých složek dané organizace a ve vzájemné výměně dat mezi rezortem a MF. Řešení v současné době předpokládá tři úrovně (Ministerstvo financí ČR – kapitoly (rezorty) – organizační složky státu, nebo právní subjekt), je však možné jej aplikovat na libovolnou organizační strukturu.

Hlavní cíle systému EDS/SMVS • Jednoznačně vymezit typy výdajů, které musí být vedeny v programovém

financování. • Sjednotit procesy řízení projektů (akcí) v programovém financování se zákonem o

finanční kontrole. • Úprava metodiky umožňující bezproblémové uvolňování finančních prostředků na

projekty kofinancované z fondů EU. • Úprava metodiky a systému týkající se rezervních fondů. • Příprava modulů Integrovaného informačního systému Státní pokladny - IISSP.



Pro komerční organizace:

QUELLE Schikedanz AG & Co. - systém LAWIS pro významný evropský zásilkový dům je určen pro řízení logistiky velkoskladu v dceřiných společnostech a představuje komplexní řešení problematiky zásilkového obchodu.

V současné době je jednání se skupinou Halens & Cellbes, Consortio Fashion Group s.r.o. (Švédsko)



Další služby: • Návrh systémového SW, HW, komunikací a dalších

technologií • Konzultační činnost a analýza • Zaškolení obsluhy a technického personálu • Zabezpečení zkušebního provozu v místě instalace • Technická podpora • Záruční servis na celý systém • Pozáruční konzultační a servisní činnost • Provozování aplikací v prostředí Internetu • Fulltextové nadstavby pro WWW servery ENVIRO 15.4.2010 Ing. Jaroslav Březina 8


Společnost SYSCOM Software s.r.o. vlastní následující certifikáty:

certifikát ISO 9001:2009 do 14.10.2014

certifikát ISO/IEC 27001:2006 do 23.07.2015

Osvědčení NBÚ na stupeň utajení „Důvěrné“ do 18.4.2015

profesní certifikáty Microsoft a Oracle


ČSN ISO/IEC 27001:2006 Systémy bezp. informací - Požadavky

• Tato norma nahrazuje ČSN BS 7799-2 (2004)

• Vazba na ČSN ISO/IEC 13335-3:2000

– Techniky řízení bezpečnosti IT

• Vazba na ČSN ISO/IEC 17799:2006

– Oprava 1 , změna na ČSN ISO/IEC 27002:2008

– Soubor postupů pro management bezp. informací

• Vazba na ČSN ISO 90003:2005

– Směrnice pro použití ISO 9001 na počítačový SW


Vazba na ISO 9001:2008

• Většina požadavků se kryje s ISO 9001:2008

• Rozdíl je položen na

– Ustavení ISMS

– Rozsah ISMS

– Zavádění, řízení a provozování ISMS

Zde je základní deklarace (přihlášení se) k principům ISMS – detaily k zavedení jsou uvedeny v Příloze A: Cíle, opatření a jednotlivá bezpečnostní opatření.


Vazba na ISO 9001:2008

• Stejně jako v ISO 9001:2008 je nutné stanovit:

– Bezpečnostní politiku ISMS

– Vyloučené oblasti z ISMS

– Hlavní cíle k zajištění bezpečnostní politiky ISMS

a zvlášť uvedené specifické požadavky

– Právní zajištění ISMS (legislativa ČR i EU)


Aktiva a rizika

• Norma požaduje klasifikaci informačních aktiv

– tzn. rozdělení aktiv na jednotlivé kategorie např.:

• Kategorie U: Pokrývá účetní a platební informace

• Kategorie O: Pokrývá osobní údaje

• Kategorie I: Pokrývá interní informace

• Kategorie P: Pokrývá informace o výzvách a projektech

• atd.

Seznam informačních aktiv jsem uvedl pro přehlednost a další návaznosti v samostatné příloze ke směrnici „Směrnice pro řízení bezpečnosti informací „


Aktiva a rizika

• Řízení informačních rizik jsem rozdělil do následujících podkapitol, a to:

– Identifikace a hodnocení rizik

– Zvládání rizik

– Kontroly zvládání rizik

– Zbytková rizika

V samostatné příloze se seznamem informačních aktiv jsem doplnil rizika a jejich klasifikaci k jednotlivým aktivům. Nástin tabulky viz dále.


Seznam klasifikovaných informačních aktiv a jejich rizik

Zkratka Věcný obsah Specifikace. Kategorie

aktiva

Odpověd-

nost Riziko

Zvládání

rizika

Projekty

Informace o vyhlášených

a předložených

projektech

Internetové

stránky,

Intranet,

Vnitřní

informační

systém

P

VP

TVP

Střední:

a) ztráta dokumentu

b) nesoulad

elektronického a

papírového záznamu

Stanovení

úložného místa a

důsledná

kontrola spisu a

jeho elektronické

verze

Atd.


Analýza rizik na základě rozlišení typů hrozeb a obecných zranitelností

• Kategorie hrozby:

– A náhodná

– E přírodního charakteru

– D úmyslná

Ke kategorizaci jsem využil ČSN ISO/IEC TR 13335-3:2000 – Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 3: Techniky pro řízení bezpečnosti IT , příloha „C“ Seznam možných typů hrozeb a přílohu „E“ Typy metod analýzy rizik.


Analýza rizik

• Stupeň rizika určuje příslušný expert (viz ČSN ISO/IEC 13335-3, příloha E, příklad 3 – Odhad hodnoty četnosti a možné změny rizik).

Zranitelnost

Hrozba/Incident

Riziko Zvládání rizika

Příčina Kat.

Software

Nejasné nebo neúplné

specifikace pro

vývojáře; nedostatek

efektivního řízení

změn

Selhání software

D, A

střední

Proškolený personál,

specifikace SW pro

jednotlivé PC

– viz M 07-07


Postup zavedení v SSW - 1

• Rozhodnutí vedení

• Jmenování MBI (manažera bezpečnosti informací)

• Stanovení etap zavádění ISMS

• Zpracování hmg zavádění ISMS

• Zpracovávání dokumentace dle hmg – Doplnění stávající dokumentace QMS

– Zpracování zastřěšující směrnice pro ISMS

– Zapracování do integrované PK

– Provedení interního auditu


Postup zavedení v SSW - 2

• Projednání závěrů interního auditu

• Zpracování nápravných opatření a sledování jejich plnění a zapracování závěrů do dokumentace.

• Ověření zavedených opatření a zpracování zprávy o zavádění ISMS

• Rozhodnutí vedení k provedení certifikace dle ISO 27001:2006


Problematické oblasti při zavádění

• Přístup na řešení problematických oblastí je nejlépe předvést na jednotlivých cílech, které jsou rozpracovány v normě v příloze A – Cíle, opatření a jednotlivá bezpečnostní opatření. Příloha A je rozdělena na 11 doporučení a návodů pro zavedení nejlepších praktik pro podporu těchto opatření (A5 – A 15).


Opatření A 5

• Bezpečnostní politika informací

– Je nutné stanovit:

• Bezpečnostní politiku ISMS

• Přezkoumání vedením organizace


Opatření A 6

• Organizace bezpečnosti informací – Interní organizace

• Závazek vedení

• Přidělení odpovědnosti v oblasti ISMS

• Dohody o ochraně důvěrných informací

– Externí subjekty • Identifikace rizik plynoucích z přístupu ext. subjektů

• Bezpečnostní požadavky pro přístup klientů

• Bezpečnostní požadavky v dohodách s třetí stranou


Opatření A 7

• Řízení aktiv

– Odpovědnost za aktiva

• Evidence aktiv

• Vlastnictví aktiv

– Klasifikace informací

• Doporučení pro klasifikaci

• Označování a nakládání s informacemi


Opatření A 8

• Bezpečnost lidských zdrojů – Před vznikem pracovního poměru

• Role a odpovědnosti, Prověřování

• Podmínky výkonu pracovní činnosti

– Během pracovního poměru • Odpovědnost vedoucích zaměstnanců

• Informovanost, vzdělávání a školení v oblasti ISMS

– Ukončení nebo změna pracovního poměru • Odpovědnosti při ukončení pracovního poměru

• Odebrání přístupových práv


Opatření A 9

• Fyzická bezpečnost a bezpečnost prostředí – Zabezpečené oblasti

• Fyzický bezpečnostní perimetr • Kontroly vstupu osob • Ochrana před hrozbami zvnějšku a prostředí

– Bezpečnost zařízení • Umístění zařízení a jeho ochrana • Bezpečnost kabeláže • Bezpečnost zařízení mimo objekt • Bezpečná likvidace nebo opakované použití zařízení


Opatření A 10

• Řízení komunikací a provozu – Provozní postupy a odpovědnosti

• Dokumentace provozních postupů • Řízení změn

– Řízení dodávek služeb třetích stran • Dodávky služeb • Monitorování a přezkoumání služeb třetích stran

– Plánování a přejímání systému • Řízení kapacit • Přejímání systémů


Opatření A 10 - pokračování

– Ochrana proti škodlivým programům a mobilním kódům

• Opatření na ochranu proti škodlivým programům

– Zálohování

– Správa bezpečnosti sítě

• Síťová opatření

• Bezpečnost síťových služeb



- Bezpečnost při zacházení s médii

• Správa výměnných počítačových médií

• Postupy pro manipulaci s informacemi

• Bezpečnost systémové dokumentace

- Výměna informací

- Postupy a politiky při výměně informací

- Elektronické zasílání zpráv

- Informační systémy organizace



- Služby elektronického obchodu

• On-line transakce

• Veřejně přístupné systémy

- Monitorování

• Pořizování auditních záznamů

• Administrátorský a operátorský deník

• Synchronizace hodin


Opatření A 11

• Řízení přístupu

– Požadavky na řízení přístupu

• Politika řízení přístupu

– Řízení přístupu uživatelů

• Registrace uživatele

• Řízení privilegovaného přístupu

– Odpovědnosti uživatelů

• Používání hesel

• Zásada prázdného stolu a prázdné obrazovky monitoru



- Řízení přístupu k síti • Politika užívání síťových služeb

• Ochrana portů pro vzdálenou diagnostiku a konfiguraci

- Řízení přístupu k operačnímu systému • Bezpečné postupy přihlášení

- Řízení přístupu k aplikacím a informacím • Oddělení citlivých systémů

- Mobilní výpočetní zařízení a práce na dálku • Mobilní výpočetní prostředky


Opatření A 12

• Akvizice, vývoj a údržba systémů

– Bezpečnostní požadavky informačních systémů

• Analýza a specifikace bezpečnostních požadavků

– Správné zpracování v aplikacích

• Validace vstupních dat

• Kontrola vnitřního zpracování

– Kryptografická opatření

• Politika pro použití kryptografických opatření

• Správa klíčů



• Bezpečnost systémových souborů

– Správa provozního programového vybavení

– Řízení přístupu ke knihovně zdrojových kódů

• Bezpečnost procesů vývoje a podpory

– Postupy řízení změn

– Programové vybavení vyvíjené ext. dodavatelem

• Řízení technických zranitelností

– Řízení, správa a kontrola technických zranitelností


Opatření A 13

• Zvládání bezpečnostních incidentů

– Hlášení bezpečnostních událostí a slabin

• Hlášení bezpečnostních událostí a slabin

– Zvládání bezpečnostních incidentů a kroky k nápravě

• Odpovědnosti a postupy

• Ponaučení z bezpečnostních incidentů

• Shromažďování důkazů


Opatření A 14

• Řízení kontinuity činnosti společnosti

– Aspekty řízení kontinuity činností organizace z hlediska bezpečnosti informací

• Zahrnutí bezpečnosti informací do procesu řízení kontinuity činnosti organizace

• Vytváření a implementace plánů kontinuity

• Testování, udržování a přezkoumání plánů kontinuity


Opatření A 15

• Soulad s požadavky – Soulad s právními požadavky

• Identifikace odp. předpisů

• Ochrana duševního vlastnictví, záznamů organizace

– Soulad s bezpečnostními politikami, normami a technická shoda • Shoda s bezpečnostními politikami a normami

• Kontrola technické shody

– Hlediska auditu informačních systémů • Opatření k auditu informačních systémů


Závěr

Děkuji za pozornost.

Jaroslav Březina - Manažer jakosti SYSCOM Software spol. s r. o.

Kytlická 818/21a, 190 00, Praha 9 e-mail: [email protected] tel: 286 000 628; fax: 286 892 961 http://www.ssw.cz


mailto:[email protected]



http://www.ssw.cz/

http://www.ssw.cz/

Date post:	27-Sep-2018
Category:	Documents
Upload:	dangbao
View:	247 times
Download:	0 times

Management bezpečnosti informací dle ISO 27001:2006cert.cz/download/27001_CERT_Kladno_2012.pdf ·...

Documents