350 likes | 554 Views
INFORMAČNÁ BEZPEČNOSŤ 4. RNDr. Eva KOSTRECOVÁ, PhD. KLASIFIKÁCIA A RIADENIE AKTÍV. Obsah prednášky: Inventarizácia a klasifikácia aktív Klasifikácia údajov a informácií Klasifikácia priestorov Klasifikácia komunikačných segmentov. ÚVOD.
E N D
INFORMAČNÁ BEZPEČNOSŤ 4 RNDr. Eva KOSTRECOVÁ, PhD.
KLASIFIKÁCIA A RIADENIE AKTÍV Obsah prednášky: • Inventarizácia a klasifikácia aktív • Klasifikácia údajov a informácií • Klasifikácia priestorov • Klasifikácia komunikačných segmentov
ÚVOD Každá organizácia, ktorá chce dosiahnuť alebo zvýšiť určitú úroveň svojej informačnej bezpečnosti, si musí v rámci bezpečnostnej politiky a bezpečnostných cieľov utvoriť adekvátny názor na riadenie svojich informačných aktív, zhodnotiť ich význam a zaujať postoj k ich ochrane. Všetky aktíva spoločnosti musia mať zabezpečenú ochranu v závislosti na význame podpory základných funkcií spoločnosti. Všeobecne sa dá povedať, že chránime informačné aktíva spoločnosti pred hrozbami, ktoré sa využitím slabiny informačného systému transformujú na riziká. Aktivované riziko potom spôsobuje stratu dôvernosti, dostupnosti prípadne integrity informácie, ako základných bezpečnostných atribútov informácie. Cieľom bezpečnostnej klasifikácie informačných aktív a riadenia ich bezpečnosti je stanoviť a udržiavať ich efektívnu ochranu. Bezpečnostná klasifikácia informačných aktív a riadenie ich bezpečnosti zahŕňa: • inventarizáciu a klasifikáciu informačných aktív, • zodpovednosť za informačné aktíva.
DEFINÍCIA AKTÍV Aktívom rozumieme objekt, subjekt, službu, štruktúru, vzťah alebo proces, ktorého narušením môže hodnotený informačný systém utrpieť stratu. Aktíva môžu byť hmotné a nehmotné: budovy, peniaze, hardvér, softvér, nosiče informácií, na nich uložené informácie a údaje, komunikačná technika, kancelárska technika, dokumenty v papierovej a elektronickej podobe, dodávateľská podpora, kritické osoby potrebné na činnosť a prevádzku podniku, identifikačné prostriedky, bezpečnostné prostriedky, dobré meno spoločnosti, jej kredit, know-how a pod.
INVENTARIZÁCIA AKTÍV Inventárne zoznamy aktív napomáhajú zabezpečiť uskutočňovanie efektívnej ochrany aktív (riadenie aktív). Proces zostavenia inventárneho zoznamu aktív je dôležitým aspektom manažmentu rizík. Organizácia potrebuje byť schopná identifikovať svoje aktíva, ich relatívnu hodnotu a dôležitosť. Na základe týchto informácií môže zabezpečiť daným aktívam úroveň ochrany zodpovedajúcu ich hodnote a dôležitosti. Mal by byť vytvorený a udržovaný inventárny zoznam dôležitých aktív súvisiacich s každým informačným systémom. Každé aktívum by malo byť jasne identifikované a jeho vlastníctvo a bezpečnostná klasifikácia by mali byť odsúhlasené a zdokumentované spolu s jeho aktuálnym umiestnením.
GARANT AKTÍVA Všetky aktíva spoločnosti musia mať zabezpečenú ochranu v závislosti na význame podpory základných funkcií spoločnosti. Každé aktívum alebo skupina aktív musí byť jednoznačne identifikované, klasifikované a musí mať prideleného garanta. Pokiaľ sa aktívum - systém skladá z viacerých samostatných častí (podsystémov, modulov), môže byť garant určený pre každú takúto časť. Garant zodpovedá za bezpečnosť aktíva a vykonanie náležitých opatrení na jeho ochranu v súlade s riadiacimi dokumentmi bezpečnostnej politiky. Zodpovednosť za implementáciu bezpečnostných opatrení môže byť delegovaná na odborné útvary spoločnosti alebo externých dodávateľov.
DELENIE AKTÍV Aktíva spoločnosti delíme na: • hmotné aktíva • nehmotné aktíva
HMOTNÉ AKTÍVA Medzi hmotné aktíva zaraďujeme: • technologické a komunikačné zariadenia – modemy, smerovače, ústredne, vysielače, prenosové zariadenie, prenosové káble, • komponenty IS - servery, pracovné stanice, tlačiarne, aktívne a pasívne sieťové prvky (routre, brány, ...), diskové polia a knižnice, • osoby – zamestnanci, klienti, návštevy, • financie – cenné papiere, hotovosť • nosiče údajov a informácií - médiá (disky, pásky, ...), papierové, dokumentácia, • podporné technické zariadenia - zdroje napájania, klimatizačné a vykurovacie zariadenia, zariadenia pre dodávku vody a energií, • nehnuteľný majetok – budovy, • hnuteľný majetok – nábytok, kancelárska a komunikačná technika, zariadenie kancelárií, nábytok.
NEHMOTNÉ AKTÍVA Medzi nehmotné aktíva zaraďujeme: • informačné aktíva - údaje a informácie vo všetkých podobách (elektronická, zvuková, video, papierová, archivovaná), vrátane: systémovej dokumentácie, bezpečnostných dokumentov, používateľských manuálov, zácvikových materiálov, plánov kontinuity, • softvérové aktíva – aplikačný softvér, systémový softvér, vývojové nástroje a utility, • služby – počítačové a komunikačné služby, všeobecne-prospešné služby (vykurovanie, osvetlenie, klimatizácia, zabezpečenie dodávky vody a energií), • iné – dobré meno, kredit, dobré vzťahy z externými subjektami.
KLASIFIKÁCIA ÚDAJOV A INFORMÁCIÍ Cieľom klasifikácie údajov a informácií je určiť jednotnú klasifikačnú schému pre zaradenie informácií a údajov do kategórií na základe ich citlivosti, t.j. požiadaviek na dôvernosť, dostupnosť a integritu. Pre účely manipulácie s informáciami, údajmi a dokumentmi v spoločnosti sa na základe platnej legislatívy SR a požiadaviek bezpečnosti uvedených v Bezpečnostnej doktríne spoločnosti definuje klasifikačná schéma údajov. Klasifikačná schéma neurčuje stupne dôležitosti informácií a údajov, ale určuje kategórie, ktorým budú v prostredí spoločnosti priradené zodpovedajúce technické a organizačné opatrenia tak, aby bola chránená ich dôvernosť, integrita a dostupnosť. Za klasifikáciu údajov a informácií zodpovedá garant týchto údajov a musí s ňou byť oboznámený každý zamestnanec spoločnosti.
KLASIFIKAČNÁ SCHÉMA Klasifikácia údajov do klasifikačnej schémy: • Utajované skutočnosti v zmysle Zákona č. 215/2004 Z.z. • Ostatné údaje
UTAJOVANÉ SKUTOČNOSTI V ZMYSLE ZÁKONA Č. 215/2004 Z.z. Povinnosti týkajúce sa ochrany údajov spadajúcich do kategórieutajovaných skutočností sú detailne špecifikované v Zákone č. 215/2004 Z. z. a príslušných vyhláškach Národného bezpečnostného úradu. Spoločnosť musí zaručiť bezpečnosť údajov klasifikovaných v stupňoch utajenia uvedených v tejto právnej norme, používať technické prostriedky spĺňajúce požiadavky na spracovanie utajovaných skutočností a zabezpečiť ďalšie opatrenia na ich ochranu v súlade s pravidlami určenými v tomto zákone. Utajovaná skutočnosť sa musí chrániť pred nepovolanou osobou a cudzou mocou spôsobom ustanoveným v Zákone 215/2004 Z. z., v predpisoch vydaných na jeho vykonanie a v ďalších osobitných predpisoch.
UTAJOVANÉ SKUTOČNOSTI V ZMYSLE ZÁKONA Č. 215/2004 Z.z. /2 Zákon č. 215/2004 Z.z. definuje pre utajované skutočnosti nasledujúce stupne utajenia: • Prísne tajné • Tajné • Dôverné • Vyhradené
STUPEŇ UTAJENIA: PRÍSNE TAJNÉ Označenie tohto stupňa utajenia je "PRÍSNE TAJNÉ“ alebo skratka "PT„. Stupňom utajenia Prísne tajné sa označuje utajovaná skutočnosť vtedy, ak by následkom neoprávnenej manipulácie s ňou mohlo byť vážne ohrozené zachovanie ústavnosti, zvrchovanosti a územnej celistvosti štátu alebo by mohli vzniknúť nenahraditeľné a vážne škody v oblasti obrany, bezpečnosti, ekonomických záujmov, zahraničnej politiky alebo medzinárodných vzťahov, a tým mohla vzniknúť mimoriadne vážna ujma na záujmoch Slovenskej republiky.
STUPEŇ UTAJENIA: TAJNÉ Označenie tohto stupňa utajenia je "TAJNÉ“ alebo skratka "T„. Stupňom utajenia Tajné sa označuje utajovaná skutočnosť vtedy, ak by následkom neoprávnenej manipulácie s ňou mohlo byť ohrozené zahraničnopolitické postavenie, obrana, bezpečnosť a záujmy štátu v medzinárodnej a ekonomickej oblasti, a tým by mohla vzniknúť vážna ujma na záujmoch Slovenskej republiky.
STUPEŇ UTAJENIA: DÔVERNÉ Označenie tohto stupňa utajenia je "DÔVERNÉ" alebo skratka "D„. Stupňom utajenia Dôverné sa označuje utajovaná skutočnosť vtedy, ak by následkom neoprávnenej manipulácie s ňou mohlo dôjsť k poškodeniu štátnych záujmov, verejných záujmov alebo právom chránených záujmov štátneho orgánu, a tým k jednoduchej ujme na záujmoch Slovenskej republiky.
STUPEŇ UTAJENIA: VYHRADENÉ Označenie tohto stupňa utajenia bude "VYHRADENÉ" alebo skratka "V„. Stupňom utajenia Vyhradené sa označuje utajovaná skutočnosť vtedy, ak by neoprávnená manipulácia s ňou mohla zapríčiniť poškodenie právom chránených záujmov štátneho orgánu alebo občana, ktoré by mohlo byť nevýhodné pre záujmy Slovenskej republiky.
OSTATNÉ ÚDAJE Ostatné údaje začleňujeme do nasledujúcich kategórií: • Mimoriadne citlivé • Citlivé • Interné • Verejné
MIMORIADNE CITLIVÉ ÚDAJE Označenie pre túto kategóriu je „MIMORIADNE CITLIVÉ“ alebo skratka „MIC“. Do tejto kategórie zaraďujeme údaje, ktorých prezradenie, strata, poškodenie, modifikácia alebo nedostupnosť by mohli spôsobiť mimoriadne veľkú ekonomickú ujmu spoločnosti prípadne vážne ohroziť dobré meno spoločnosti a postavenie na trhu. Údaje zaradené do tejto kategórie sú prístupné len pre úzke skupiny zamestnancov vedenia spoločnosti. Prístup externých partnerov k týmto údajom je možný len vo výnimočných prípadoch odsúhlasených manažmentom spoločnosti. Externí partneri musia byť zmluvne zaviazaní ochranou týchto údajov.
CITLIVÉ ÚDAJE Označenie pre túto kategóriu je „CITLIVÉ“ alebo skratka „CIT“. Do tejto kategórie zaraďujeme údaje, ktorých prezradenie, strata, poškodenie, modifikácia, nedostupnosť by mohli spôsobiť ekonomickúujmu alebo ohroziť dobré meno spoločnosti, prípadne jej postavenie na trhu. Údaje zaradené do tejto kategórie sú prístupné len pre určené skupiny zamestnancov. Citlivé údaje môžu byť sprístupnené externým partnerom, len ak sú zmluvne zaviazaní ich ochranou. Externí partneri musia byť schopní zaručiť ich ochranu.
INTERNÉ ÚDAJE Označenie pre túto kategóriu je „INTERNÉ“ alebo skratka „INT“. Interné údaje sú prístupné pre všetkých zamestnancov spoločnosti a pre vybraných externých partnerov, zmluvne zaviazaných ich ochranou. Medzi interné vnútrofiremné informácie, patria informácie týkajúce sa činnosti spoločnosti, jej zákazníkov a dodávateľov, činnosti zamestnancov spoločnosti, ktoré nie sú predmetom obchodného tajomstva uvedeného v kategórii „mimoriadne citlivé“ a „citlivé“ a nie sú osobnými údajmi.
VEREJNÉ ÚDAJE Označenie pre túto kategóriu je „VEREJNÉ“ alebo skratka „VEI“. Do tejto kategórie zaraďujeme údaje určené pre verejnosť, ktoré môžu byť voľne distribuované. Údaje zaradené do tejto kategórie musia byť autorizované príslušným garantom spoločnosti. Garantom verejných údajov je organizačný útvar poverený úlohami komunikácie s médiami a verejnosťou.
PROCEDÚRY PRE KLASIFIKÁCIU ÚDAJOV Je potrebné, aby bola v spoločnosti definovaná sada procedúr pre označovanie informácií a narábanie s nimi na základe klasifikačnej schémy. V procedúrach musia byť rozpracované pravidlá klasifikácie a manipulácie pre každú kategóriu údajov „MIC“, „CIT“, „INT“ a „VEI“, ktoré by mali pokrývať nasledujúce typy činností vykonávaných pri manipulácii s údajmi: • klasifikácia podľa obsahu (charakteristiky zaradenia údajov do jednej z kategórií), • prístupové práva, (ktoré osoby a za akých podmienok budú mať prístup k údajom z danej kategórie), • tvorba (pravidlá platné pri vzniku a tvorbe údajov), • kopírovanie (pravidlá kopírovania údajov), • prenos (pravidlá pri všetkých typoch prenosu údajov – poštou, faxom, elektronickou poštou, hlasovou poštou, telefonicky), • mazanie (pravidlá mazania a ničenia údajov), • spôsob ochrany údajov príslušnej kategórie.
KLASIFIKÁCIA PRIESTOROV Cieľom klasifikácie priestorov je určiť jednotnú klasifikačnú schému pre zaradenie priestorov tak v budovách (technologické miestnosti, kancelárie, haly, schodiská, sklady), ako aj mimo budov (parkoviská, nádvoria) do bezpečnostných zón a špecifikovať kľúčové aktíva (technológie, hmotný majetok, zamestnanci, klienti), ktoré sú predmetom ochrany v zónach.
KLASIFIKÁCIA ZÓN Priestory spoločnosti sa zaraďujú do nasledujúcich zón: • technologická a bezpečnostná zóna • zóna ochrany hmotného majetku • zóna ochrany zamestnancov • verejná zóna
TECHNOLOGICKÁ A BEZPEČNOSTNÁ ZÓNA Technologická a bezpečnostná zóna je zóna s najvyšším rizikom pre aktíva, v ktorých sa zabezpečuje riadenie, prevádzka a výkon bezpečnosti informačného systému, spracovanie údajov, a v ktorých sú umiestnené zariadenia elektronických komunikácií. Tento typ zóny delíme na základe úrovne bezpečnosti a ochrany aktív nachádzajúcich sa v zóne na nasledujúce podzóny: • strategické • mimoriadne dôležité • dôležité • štandardné • nevýznamné
ZÓNA OCHRANY HMOTNÉHO MAJETKU Zóna ochrany hmotného majetku je zóna, v ktorej aktívom s najväčšou výškou rizika je hmotný majetok (napr.: skladové priestory). V tejto zóne nemôžu byť uložené a spracovávané citlivé údaje. Tieto priestory nie sú prístupné verejnosti. Tento typ zóny delíme na základe hodnoty hmotného majetku nachádzajúceho sa v zóne na nasledujúce podzóny: • veľmi vysoké hodnoty • vysoké hodnoty • štandardné hodnoty
ZÓNA OCHRANY ZAMESTNANCOV Zóna ochrany zamestnancov je zóna, v ktorej riziko podstupujú hlavne zamestnanci spoločnosti. Do tejto zóny budú klasifikované priestory, kde sa manipuluje s peňažnou hotovosťou, priestory manažmentu, priestory, kde sú zamestnanci v kontakte s klientom a ďalšie interné priestory. Tento typ zóny delíme na nasledujúce podzóny: • priestory manažmentu • priestory kontaktu s klientom • štandardné pracovisko • interné priestory
VEREJNÁ ZÓNA Verejná zóna je zóna, do ktorej budú klasifikované priestory, kde sú zvýšenému riziku vystavení klienti spoločnosti od iných klientov, alebo iných osôb. V priestoroch klasifikovaných do tejto zóny sa môže nachádzať kontrolované množstvo klientov s voľným prístupom, alebo izolovaná skupina klientov. Sú to priestory s voľným prístupom verejnosti, kde môže dôjsť k poškodeniu majetku alebo dobrého mena spoločnosti. Tento typ zóny delíme na nasledujúce podzóny: • Kontrolovaný prístup verejnosti • Voľný prístup
KLASIFIKÁCIA KOMUNIKAČNÝCH SEGMENTOV Cieľom klasifikácie komunikačných segmentov je určiť jednotnú klasifikačnú schému pre zaradenie komunikačných komponentov a sietí do kategórií na základe požiadaviek na prestup údajov, služieb a používateľov do sietí. Komponenty pripojené do sieťového prostredia charakterizované špecifickou funkcionalitou, spracovaním citlivých údajov alebo potrebou separácie budú tvoriť samostatný komunikačný segment s definovanými pravidlami pripojenia komponentov do komunikačného segmentu a definovanými pravidlami komunikácie s inými komunikačnými segmentmi. Komunikačné segmenty zaraďujeme do nasledujúcich typov: • izolovaný • uzavretý • privátny • interný
IZOLOVANÝ KOMUNIKAČNÝ SEGMENT Do segmentu sú pripojené také komponenty, ktorých činnosť vyžaduje absolútnu izolovanosť od iných komunikačných segmentov (interná počítačová sieť spoločnosti pre vrcholový manažment). Preto prepájanie izolovaného komunikačného segmentu s inými segmentmi je zakázané. Do segmentu budú zaradené výlučne komponenty a služby sprístupnené vo vnútri spoločnosti.
UZAVRETÝ KOMUNIKAČNÝ SEGMENT Do segmentu sú pripojené také komponenty, ktorých činnosť vyžaduje prísne oddelenie od iných komunikačných segmentov s prísne riadeným prestupom údajov, služieb a používateľov. Do segmentu budú zaradené výlučne komponenty a služby sprístupnené vo vnútri spoločnosti.
PRIVÁTNY KOMUNIKAČNÝ SEGMENT Do segmentu sú pripojené také komponenty, ktorých činnosť vyžaduje oddelenie od iných komunikačných segmentov s riadeným prestupom údajov, služieb a používateľov. Do segmentu budú zaradené výlučne komponenty a služby sprístupnené tretím stranám.
INTERNÝ KOMUNIKAČNÝ SEGMENT Do segmentu sú pripojené také komponenty, ktorých činnosť vyžaduje prísne oddelenie od iných komunikačných segmentov s riadeným prestupom údajov, služieb a používateľov. Do segmentu budú zaradené výlučne komponenty a služby sprístupnené vo vnútri spoločnosti.