23
Strategie informační bezpečnosti Ivo Vašíček
Strategie informační bezpečnosti
Ivo Vašíček
Proces systému informační bezpečnosti
ANALÝZA RIZIK inventura aktiv seznam hrozeb a zranitelností
BEZPEČNOSTNÍ AUDIT kontrola shody ověření vhodnosti
STRATEGIE cíle prostředky
IMPLEMENTACE opatření řešení
Neustálé zlepšování
Vyšší cíle
Efektivnější postupy
Rostoucí hrozby
Účinnější opatření
Formulace strategie
1. Přehled požadavků
2. Ověření možností splnění požadavků
3. Stanovení cílů
4. Plán plnění cílů (Určení prostředků a
zodpovědností)
5. Formulace závazného dokumentu (vnitřní předpis)
6. Deklarace úrovně informační bezpečnosti – veřejně
prezentované strategie ISMS
Příprava strategie - 1.
Požadavky zainteresovaných stran Vlastníci, zřizovatelé Management Pracovníci Zákazníci Dodavatelé Veřejnost
Strategie informuje ZS o tom, co mohou očekávat
a co mají garantováno z hlediska ochrany informací !
Zjištění požadavků zainteresovaných stran
K jakým informacím chtějí mít přístup?
Jaké informace nezbytně potřebují?
Jaké informace o nich uchováváme?
Jak si „cení“ svých informací? Jak moc je chtějí chránit?
Vlastníci, zřizovatelé
Přezkoumání zřizovacích dokumentů z hlediska práv zřizovatelů (akcionářů apod.)
Dohody mezi managementem a zřizovateli
Jaké informace musíme komu poskytovat
K jakým informacím musíme umožnit přístup
Jaké informace získáváme od „vlastníků“ a jak je musíme chránit
Management(stanovuje procesy, cíle a přiděluje prostředky)
Přezkoumání organizační struktury a přístupových práv
Stanovení požadované úrovně informační bezpečnosti
Jaké informace musíme komu poskytovat?
K jakým informacím musíme komu umožnit přístup?
Jaké informace chce management chránit? (soupis individuálních
požadavků)
Jaké náklady ochrany informací management očekává?
Pracovníci
Požadavky personalistiky
Výkonné procesy, přístupová práva
Podněty ke zlepšování
Jaké informace o pracovnících musíme uchovávat? (definuje
management)
Jaké informace potřebují pro svoji práci? (ověříme - s
managementem)
Jaké informace potřebují chránit, a proč? (soupis požadavků)
Zákazníci(u úřadu občané)
Obchodní útvary
Realizační útvary (včetně servisních)
Finanční útvary
Jaké informace o zákaznících musíme uchovávat?
Jaké jsou obchodní požadavky na ochranu dat zákazníků?
(smluvní garance ochrany svěřených dat)
K jakým informacím mají mít zákazníci přístup?
Dodavatelé
Obchodní útvary
Realizační útvary (včetně servisních)
Finanční útvary
Jaké informace o dodavatelích musíme uchovávat?
Jaké jsou obchodní požadavky na ochranu dat dodavatelů?
(smluvní garance ochrany svěřených dat)
K jakým informacím mají mít dodavatelé přístup?
Jaké informace dodavatelům svěřujeme a jaké stanovujeme
požadavky na jejich ochranu?
Veřejnost
Platná legislativa
Obchodní a marketingová strategie
Jaké informace musíme uchovávat? (ze zákona)
Jaké informace o okolí potřebujeme uchovávat? (OMS)
Jaké informace musíme poskytovat? (ze zákona)
Jaké informace musíme chránit? (ze zákona)
Jaké jsou podmínky pro pořizování a ochranu informací? (ze
zákona)
Jaké jsou speciální požadavky na ochranu informací? (NBÚ)
Výběr legislativy
Zákon 101-2000Sb. – o ochraně osobních údajů
Zákon 106 -1999Sb. – Svobodný přístup k informacím
Zákon 227-2000Sb. – O elektronickém podpisu
Zákoník práce 262-2006 Sb. v aktuálním znění
….
Ověření možností splnění požadavků - 2.
Přehled aktiv
Seznam požadavků
Návrhy na opatření– Časová náročnost– Zdrojová náročnost (personální, finanční,…)– Výsledek opatření (které požadavky a do jaké míry budou
uspokojeny)
Konsolidovaný návrh (náklady, čas)– Minimální varianta– Optimální varianta– Náklady splnění speciálních požadavků (konkrétní)
Podklady pro rozhodování managementu
Návrhy opatření
Omezení přístupových práv
Použití šifrovacích prostředků
Školení pracovníků
Úpravy procesů
Nákup hardware, software
….
POŽADAVEK NA OCHRANU INFORMACÍ -
PŘIJATELNÁ MÍRA RIZIKA S OHLEDEM NA HROZBY-
ZRANITELNOST A NÁKLADY
Stanovení cílů - 3.
Diskuse s managementem (na základě předloženého návrhu)
– Stanovení úrovně a rozsahu ISMS
– Personální zdroje
– Finanční a jiné prostředky
– Časové rámce
– Kompetence a odpovědnosti
Podklady pro přípravu konkrétního plánu rozvoje ISMS
Schválené cíle
Splnění základních legislativních požadavků
Certifikace ISO 27001
Získání prověrky „TAJNÉ“
Zvýšená ochrana zákaznických dat (garantovaná)
Zvýšená ochrana obchodních informací
Zvýšená ochrana manažerské korespondence
….
Plán plnění cílů - 3.
Určení zdrojů (na základě schválených cílů)
– Konkrétní odpovědnost za cíle
– Stanovení etap, přesný popis cíle
– Finanční plán
– Plán použití zdrojů
– Plán součinností
Určení prostředků a zodpovědností
Podklad pro formulaci dokumentu strategie ISMS a realizaci
strategie
Plán plnění cílů
Analýza
Diskuse návrhu
Úpravy dokumentace
Školení
Ověření
….
Odpovídá, počet hodin práce, náklady na SW, počet hodin
součinnosti, školení…
Formulace závazného dokumentu – 5. (vnitřní předpis)
Odpovědnosti a kompetence
Četnost a rozsah auditů
Metoda a proces– Identifikace aktiv– Analýzy rizik– Řešení incidentů
Výčet závazných postupů a předpisů
Přehled cílů ISMS (odpovědnost, termín, náklady, parametr cíle)
Strategie ISMS zastřešuje veškerý výkon aktivit IB.
Ukázka interní normy:
Bezpeènostní politika spoleènosti
Deklarace úrovně informační bezpečnosti – veřejně prezentované strategie ISMS – 6.
Prezentace stávající a plánované úrovně ISMS
– Jistoty ochrany informací pro zákazníky
– Jistoty ochrany informací pro dodavatele
– Jistoty ochrany informací pro zaměstnance
Strategie informuje ZS o tom, co mohou očekávat a co
mají garantováno z hlediska ochrany informací !
Ukázka veřejné prezentace:
GSM Banking - Zaručení bezpečnosti
Zaručení maximální bezpečnostiSpolečnost T-Mobile provozuje službu T-Mobile GSM Banking od roku 1998. Komunikace mezi bankou a zákazníkem probíhá prostřednictvím kódovaných a šifrovaných SMS zpráv. Tento způsob komunikace s bankou patří mezi absolutně nejbezpečnější ze všech.Služba T-Mobile GSM Banking je prostředkem komunikace mezi zákazníkem a bankou. Obsahem této komunikace jsou informace podléhající bankovnímu tajemství. Největší důraz je kladen na bezpečnost.
Zamezení neoprávněného přístupu Uživatel mobilního telefonu podporujícího bankovní služby obdrží v bance při aktivaci služby T-Mobile GSM Banking (platí pro starší typy karet) či spolu se SIM kartou (platí pro Universal SIM) speciální číselný kód - BPUK. Na základě tohoto kódu si zvolí osobní přístupový kód BPIN. Správným zadáním kódu BPIN je podmíněno provedení všech bankovních operací.
Bezpečnost přenosu dat Přenos dat je zabezpečen šifrováním. Každá bankovní SIM karta má svůj šifrovací klíč, prostřednictvím kterého se provádí zabezpečení komunikace s bankou. Tento klíč je uložen v chráněné oblasti SIM karty a je dostupný pouze po zadání správného kódu BPIN. Odeslaná zpráva z mobilního telefonu je přijata bankou pouze tehdy, pokud je zašifrována správným šifrovacím klíčem.
Garance bezpeènosti a kvality
