1 / 24

Bezpečnosti IS – seminář 1

Bezpečnosti IS – seminář 1. Bezpečnost IS/IT (BIS) má pro organizaci zásadní význam Zodpovědnost managementu podniku – zodpovědnost managementu IS/IT – zodpovědnost uživatelů IS/IT Řešení BIS Vlastními silami Spolupráce s externími odborníky Outsourcing. Bezpečnosti IS – seminář 1.

rafi
Download Presentation

Bezpečnosti IS – seminář 1

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnosti IS – seminář 1 • Bezpečnost IS/IT (BIS) má pro organizaci zásadní význam • Zodpovědnost managementu podniku – zodpovědnost managementu IS/IT – zodpovědnost uživatelů IS/IT • Řešení BIS • Vlastními silami • Spolupráce s externími odborníky • Outsourcing

  2. Bezpečnosti IS – seminář 1 • Řešení vlastními silami • v menších IS • v IS s daty nižší hodnoty • Zodpovědný pracovník/pracovníci – dostatečná odborná úroveň, soustavné zvyšování kvalifikace (školení, sebevzdělávání, atd.) • Zdroje pro další vzdělávání – firemní materiály a publikace (White papers), příručky, veřejně dostupné normy, standardy

  3. Bezpečnosti IS – seminář 1 • Návody a doporučení pro praxi („The Best Practices“, „Information Security Guide“, …) obecně aplikovatelné • Kde jsou materiály k disposici? • Příklady: • Practical Guide to Data Protection and Recovery http://www.usdatatrust.com/resources/data_protection_guide.asp

  4. Bezpečnosti IS – seminář 1 • Doporučení • jak postupovat při hodnocení stávajícího zabezpečení dat v podnikovém IS • na co se zaměřit, aby se zabezpečení dat zlepšilo • jak zajistit obnovu IS po havárii nebo selhání • Návrh postupu • Klasifikace dat • Cena dat (součet nákladů k obnově dat, ztráta vzniklá nečinností po dobu výpadku - krátkodobá, ztráta „dobrého jména“ – dlouhodobá) • Typy dat (zákaznické databáze, účetní záznamy, zápisy z jednání, pošta…..)

  5. Bezpečnosti IS – seminář 1 • Soupisy pro stanovení rizik (na otázky odpovědi ano/ne, u výběrových otázek odpovědi a – b – c ……) • Fyzická bezpečnost • Jsou servery v klimatizovaném prostředí s protipožární ochranou? • Je průběžně prováděna kontrola těchto prostor? • Jsou servery připojeny k UPS s ochranou proti napěťovým výkyvům? • Je přístup k serverům pouze pro autorizované osoby? • Logická (datová) bezpečnost • Je systémová administrativa prováděna kvalifikovaným personálem? • Je u každého externího přístupu instalován firewall? • Je používání uživatelských hesel a nastavení přístupových práv v souladu s potřebami podniku a podnikovými směrnicemi?

  6. Bezpečnosti IS – seminář 1 • Jsou prováděny periodické kontroly uživatelských přístupů (změny v pravomocech a odpovědnosti uživatelů)? • Jsou všechna přístupová hesla netriviální znakové řetězce? • Mají uživatelé povinnost měnit hesla se zákazem jejich znovupoužití po dobu min. 1 roku? • Je na všech počítačích a serverech instalovaný a aktualizovaný antivirový SW? • Existuje pro uživatele zákaz instalace vlastního SW (neověřeného) ? • Existuje zákaz používat v kancelářích bezdrátové připojení?

  7. Bezpečnosti IS – seminář 1 • Zálohování a obnova dat • Jak často provádíte backup? (průběžně – denně – týdně – měsíčně – ročně – nikdy) • Jak je prováděn? (automaticky – manuálně odborníkem – manuálně neodborníkem) • Jak dlouho jsou zálohy uchovávány? (rok a více – nejméně měsíc – týden – den – vůbec) • Jak často jsou zálohy ověřovány? (denně – týdně – občas – nikdy) • Kde jsou zálohy uchovávány? (mimo provoz IS – doma u zaměstnanců – v prostoru s protipožární ochranou – na jiném serveru –jinak) • Kdy je záloha přemisťována mimo provoz IS? (bezprostředně po vytvoření – během 8 hod. – během 24 hod. – každý týden – každý měsíc – nikdy) • Jak dlouho trvá nalezení a zavedení ztraceného souboru ze zálohy? (několik minut – několik hodin – den – týden – měsíc a více)

  8. Bezpečnosti IS – seminář 1 • Z odpovědí lze sestavit tabulku určující stupeň odhaleného rizika

  9. Bezpečnosti IS – seminář 1 • Závěry plynoucí z vyhodnocení • Nízké riziko – výborný stav nevyžadující žádné úpravy v IS • Střední riziko – vyžaduje úpravy v daných oblastech IS • Vysoké riziko – kritický stav, hrozí ztráta dat, nutné bezprostřední úpravy v IS

  10. Bezpečnosti IS – seminář 1 • Doporučení • ke zlepšení ochrany dat v oblasti prevence (složka fyzická a logická – datová) • Zajistit bezpečnost fyzického přístupu pouze pro autorizované osoby • Řízení provozního prostředí – klimatizace, vytápění pod kontrolou • Ochrana proti výpadkům a kolísání napětí – UPS • Instalace firewallů na všech přístupových bodech z externích sítí • Antivirový SW – instalace a update, virus-scannery na mail serverech • Řízení uživatelských přístupů – přidělování přístupových práv, změny přístupových práv při změnách pracovního zařazení, rušení uživatelských přístupů u odcházejících zaměstnanců • Nastavení pravidel pro přístupová hesla ke kritickým datům (počet a kombinace znaků, periody pro změny hesel: každé 3 měsíce u běžných uživatelů, každý měsíc u správců)

  11. Bezpečnosti IS – seminář 1 • ke zlepšení obnovy dat po selhání IS (vypracování návrhu postupu při obnovování dat – plán obnovy a zálohování) • Identifikace kritických dat (existují ekonomická a časová omezení pro zálohování všech dat) – provádí vrcholový management

  12. Bezpečnosti IS – seminář 1 • Identifikace objemu, uložení a formátů (objem v GB, identifikace úložišť – servery, RAID, …, formáty: databáze, jednotlivé soubory…, fyzické lokality: ve stejné budově, detašovaná pracoviště …) • Stanovení požadované doby obnovy u kritických dat – čím rychlejší obnova, tím větší finanční náklady – reálné požadavky • Určení osobní zodpovědnosti včetně zástupců, požadované kvalifikační předpoklady

  13. Bezpečnosti IS – seminář 1 • Postup při implementování plánu obnovy a zálohování • Vytvoření záložního zdroje dat – spolehlivě a přesně s dostatečnou četností, spolehlivost ověřit (tj. všechny zálohy musí být čitelné) • Přemisťování záloh – bezprostřední, správné nakládání s fyzickými médii, transportní služba je stále k disposici (u fyzických i síťových přesunů) • Zajištění úložiště záloh – stálý a rychlý přístup k zálohám, ochrana proti průniku k zálohám nebo jejich porušení • Provádění obnovy dat v čase požadovaném organizací

  14. Bezpečnosti IS – seminář 1 • Výběr vhodné zálohovací metody – příklady: • Magnetické pásky - uložené mimo organizaci, tradiční ověřená metoda, možnost provádět cyklické zálohování • Nevýhoda - pásky nejsou zcela spolehlivé, potřeba zajistit více kopií • V HW jiného serveru - odborníky doporučovaná metoda (do diskových polí RAID, clustering, mirroring) • Kopie přenášené do vzdáleného serveru, který je duplicitně zpracovává – přes Internet nebo lépe přes VPN – možnost okamžité obnovy – vyšší náklady na pořízení repliky HW a SW. Při ztrátě originálních dat jsou použita duplicitní data • Nevýhoda – nelze vytvářet archivy • Outsourcing

  15. Nástroje pro Self Assessment • COBIT v. 3.0 (Control Objectives for Information and related Technology) - univerzální metodika a nástroj pro hodnocení a řízení ICT (včetně informační bezpečnosti). • Vyvinut v IT Governance Institute • Souhrn „best practices“ v řízení IT (podrobný popis celkem 44 procesů) – vazby mezi cíli organizace a technologiemi • Procesy rozděleny do 4 domén • Plánování a organizace (PO) • Pořízení a implementace (AI) • Dodávka a podpora (DS) • Monitoring (M)

  16. Nástroje pro Self Assessment • Požadavky zahrnuté v COBITu • Požadavky na kvalitu • kvalita • náklady • dodání • Požadavky na správu • Efektivita • Účinnost • Spolehlivost • Souhlas s externími pravidly • Bezpečnostní požadavky • Důvěrnost • Integrita • Dostupnost

  17. Nástroje pro Self Assessment • Základem pro posouzení a měření procesů jsou informace: • Popis vyzrálosti procesu • 0 - neexistující • 1 - počáteční • 2 - opakovatelný • 3 - definovaný • 4 - řízený • 5 - optimatizovatelný • Kritické faktory úspěchu • Cílové metriky • Výkonnostní metriky

  18. Nástroje pro Self Assessment • Do on-line nástroje DSM byly vybrány procesy • PO9 Assess Risks - Hodnocení rizik • PO11 Manage Quality – Řízení kvality • AI6 Manage Changes – Řízení změn • DS4 Ensure Continuous Service – Zajištění kontinuity služeb • DS5 Ensure Systems Security – Zajištění bezpečnosti systémů • DS11 Manage Data – Management dat • MO1 Monitor the Processes – Monitorování procesů • Popis vybraných procesů

  19. Nástroje pro Self Assessment • Výsledky – přehledné tabulky a grafy • Reporting hodnocení kontrolních cílů (IT processes control objectives assessment report) • Reporting hodnocení vyspělosti procesů (IT processes maturity levels assessment report) • Benchmarking hodnocení kontrolních cílů (IT processes performance benchmark) • Benchmarking hodnocení vyspělosti procesů (Maturity levels benchmark)

  20. Nástroje pro Self Assessment • ASSET (Automated Security Self-Evaluation Tool) • Nástroj vyvinutý (zdarma dostupný) v National Institute of Standards and Technology – http://csrc.nist.gov/asset • Zaměření pouze na informační bezpečnost (na rozdíl od COBITu) • Hodnocení se provádí ve 3 oblastech (17 podoblastí) • Management controls (opatření pro management) • Operational controls (opatření pro provoz) • Technical controls (opatření technická) • Odpovědi na základě interview, posuzování dokumentace a testováním existujících bezpečnostních opatření • Výsledné hodnocení kritických požadavků – stupnice 0 – 5. (0. riziková úroveň, 1. opatření je uvedeno v BP, 2. opatření je zdokumentováno jako procedura, 3. opatření je implementováno, 4. opatření je testováno a kontrolováno, 5. opatření je plně integrováno v komplexním bezpečnostním řešení)

  21. Série norem ISO/IEC 2700 • Informační technologie • Bezpečnostní techniky • ISMS • Principy a názvosloví • ISO 27000 - definice pojmů a terminologický slovník pro všechny ostatní normy z této série. • ISO 27001 (BS7799-2) - hlavní norma pro Systém řízení bezpečnosti informací (ISMS), dříve známá jako BS7799 část 2, podle které jsou systémy certifikovány. Norma byla publikována koncem října 2005.

  22. Série norem ISO/IEC 2700 • ISO 27002 (ISO/IEC 17799 & BS7799-1) - aktuální verze normy byla publikována v červnu 2005 jako ISO/IEC 17799:2005. Na rok 2007 je plánováno její opětovné vydání, tentokráte již pod označením 27002. • ISO 27003 - návod k implementaci ostatních norem. • ISO 27004 - norma bude publikována pod názvem "Information Security Management Metrics and Measurement".

  23. Série norem ISO/IEC 2700 • ISO 27005 (BS 7799-3) - norma bude publikována pod názvem "Information Security Management Systems - Guidelines for Information Security Risk Management" a měla by nahradit BS 7799 část 3. • ISO 27006 - norma bude pravděpodobně publikována pod názvem “Information technology - Security techniques - International accreditation guidelines for the accreditation of bodies operating certification / Registration of information security management systems”. • ISO 27007 - doporučení pro auditování ISMS

  24. Služby „třetích stran“ • GITy, a.s. • http://www.gity.cz/cz/zakaznicka-reseni/bezpecnost-it/ • RAC - Risk Analysis Consultants, s.r.o. • http://www.rac.cz/rac/homepage.nsf/CZ/Hlavni

More Related