Audit, řízení bezpečnosti, kontrola ochranných opatření. Bezpečnostní politiky, jejich návrh, tvorba a prosazování, role a základy metod analýzy rizik.
Bezpečnostní audit je nezávislé posouzení stavu bezpečnosti v organizaci. Cíle a rozsah auditu mohou být různé. Audit posuzuje, zda procesy a opatření definované v bezpečnostní politice jsou správně implementovány a používány. Upozorňuje na možné zranitelnosti systému, které by mohly vést k ohrožení (= existence hrozeb). Také upozorňuje na nedostatečnost ochrany ve vztahu k novým poznatkům v oblasti bezpečnosti informačních a komunikačních technologií ve vztahu k uznávaným standardům.
Audit bezpečnostních politik (opatření) má dvě části:
Audit ISMS
Řízení bezpečnosti musí v organizaci fungovat jako součást celkového systému řízení organizace. Systém řízení bezpečnosti musí být přiměřený a šitý na míru konkrétní organizaci (politiky a procesy musí odrážet styl a kulturu organizace, přijaté politiky a procesy musí odrážet výsledky ohodnocení rizik). Technologie budování systému řízení bezpečnosti je definována standardy.
Ohodnocení rizik –> zvládnutí rizik –> implementace a prosazení politiky –> návrh a implementace ISMS (Information Security Management System).
ISO/IEC 27002 je standard, který dává cca 130 nástrojů (opatření) pro řízení bezpečnosti informací. Jako vstup k řízení bezpečnosti informací je vyžadováno následující:
ISMS je systém procesů, které zajišťují ustavení, zavádění, provozování/prosazování, monitorování, přezkoumávání, udržování a zlepšování bezpečnosti informací.
* Analýza rizik (co)
* Bezpečnostní politika (jak)
* Kritéria hodnocení (jaký systém)
* Interní a externí audit
TODO (nevím přesně k čemu se tahle podotázka vztahuje)
Bezpečnostní politika (BP) je soubor pravidel specifikující účinný způsob uplatňování opatření (implementované adekvátními mechanismy) potřebný pro dosažení požadované úrovně akceptovatelných rizik.
BP říká:
Detailnost BP závisí na cílové oblasti, ve které je politika uplatňovaná. Bezpečnostní politika je důvěryhodná, pokud se jejím dodržováním prokazatelně dosáhne požadované úrovně ochrany aktiv. Důvěryhodná BP musí jednoznačně stanovovat/popisovat stavy systému a správně zvládat reakce na bezpečnostní incidenty podle jednoznačně stanovených požadavků na bezpečnost.
Na úroveń důvěryhodnosti lze dát záruku (audit, certifikace od CA). Ale jen jestli je dobře specifikována, navržena a implementována.
Jednoduchý příklad aplikace Bezpečnostní politiky
Porušení politiky Alice si neochrání svůj DÚ na sdíleném disku ve škole. Bob úlohu opíše.
Kdo se choval v rozporu s bezpečnostní politikou? Bob. Politika totiž nepožaduje, aby DÚ byly chráněny před opsáním, pouze vyžaduje, aby úkoly nebyly opisovány.
Stěžejním pojmem je opatření. Typické opatření je kombinací technologie, chování a procedury, např.: antivirový program + pravidelné aktualizace + vyškolení personálu pro bezpečnou práci s emailovými přílohami. Nejlepší praktiky, pro volbu opatření je standard ISO 27002. Pokud je riziko nízké (zanedbatelná pravděpodobnost a dopad), tak se pravděpodobně pouze pojistíme. Při vysokém riziku (katastrofický dopad hraničící s jistotou) vytvoříme plán, abychom takové riziko eliminovali.
Perfektní bezpečnost je dosažen absolutní eliminací všech rizik. Často jsou známá teoretická řešení, která jsou prakticky nepoužitelná.
BP lze dále zúžit. Jedním zúžením je Politika bezpečnosti informací (ITSP - IT Security Policy), která se obvykle se zavádí v přirozeném jazyce a chrání informační aktiva. Stanovuje se obvykle na 5-10 let a je nezávislá na konkrétním IT vybavení. Zúžením ITSP je BP systému zpracování informací. Tu definuje ISO/IEC 27000 - Plán zvládání rizik a určuje způsob zabezpečení dat v dané organizaci.
Návrh a tvorba BP je iterativní proces. Finální verze musí odrážet výsledek ohodnocení rizik. BP musí respektovat charakteristiky činností, lokalit a aktiv organizace a technologií pro zpracování informací. BP definuje systém stanovení cílů a strategií řízení organizace a rizik. Stanovuje kritéria pro evaluaci rizik a strukturu procesu hodnocení rizik. BP musí být schválena vedením organizace, pravidelně přezkoumávána, případně podle potřeby aktualizována.
Deklarace politiky je krátký dokument, který odpovídá na otázky:
Následuje určení metodiky řízení rizik, kritérií pro hodnocení rizik, struktury procesu hodnocení rizik a stanovení zodpovědnosti.
Dále musejí být identifikovány požadavky na soubory opatření, které zajišťují vyhovění politice:
Odhad ceny vybudování systému pro řízení bezpečnosti (ISMS – Information Security Management System), hodnocení a kvantifikace potenciálních zisků, návrh plánu implementace a stanovení odpovědnosti za implementaci.
Prosazování bezpečnostní politiky je cyklický proces, který se skládá z následujících kroků:
V rámci řízení bezpečnosti v organizaci jsou chápány následující role:
Správní rada požaduje soulad strategií organizace (pomocí auditní zprávy)
Výkonný management definuje procesy nutné k projení bezpečnosti informací a cílů organizace. zajišťuje odpovědnosti při řízení rizik.
Řídící výbor je ustanovený nejvyšším managementem organizace z členů napříč funkční strukturou organizace. Řídící výbor přezkoumává a podporuje strategie bezpečnosti informací a usiluje o integraci, zajišťuje, aby management podporoval integraci bezpečnosti do strategií organizace. Stanovuje cíle bezpečnosti informací, posuzuje a schvaluje bezpečnostní politiku, vymezuje oblast působení ISMS. V podstatě je to dohlížecí orgán.
CISO je většinou jmenován řídícím výborem. Vytváří bezpečnostní politiku (společně s řídícím výborem), určuje její cíle a strategie a stanovuje oblast působení. Instruuje řídící výbor o aktuálních hrozbách, zranitelnostech a adekvátních krocích k jejich eliminaci. Provádí iniciální posouzení rizik, identifikuje změny rizik a zajišťuje odpovídající reakce. Zajišťuje, že vrcholový management a řídící výbor odsouhlasuje rizika a přístup organizace k řízení rizik, plán zvládání rizik a nutnou úroveň záruky za bezpečnost. Pro jednotlivé cíle vybírá opatření a kontroluje, aby tyto cíle byly implementací opatření dosaženy. Vypracovává zprávy o bezpečnostních incidentech a řídí reakce na ně, včetně prokázání jejich příčin a určení a zajištění adekvátních opravných a/nebo preventivních akcí. Informuje řídící výbor o postupu implementace ISMS, o incidentech, problémech a bezpečnostních záležitostech.
Lokální správci odpovídají za identifikaci hrozeb a hodnocení rizik v systémech, které spravují, například systémy, sítě, areály,… Odpovídají za implementaci vybraných opatření, testování plánů zachování činností (obnova sítě, udržování činnosti v areálu,…).
Uživatelé IT musí znát a dodržovat politiku bezpečnosti informací v organizaci.
Analýza rizik je jeden z procesů řízení rizik. Jako řízení rizik jsou označovány procesy vedoucí k redukci rizik na akceptovatelnou úroveň. Cílem je ideálně plně eliminovat všechna rizik, racionálně pak snížit rizika na přijatelnou úroveň. Toho je možné dosáhnout snížením pravděpodobnosti uplatnění hrozeb pomocí opatření, která omezují dostupnost zranitelných míst, snižují počet útočníků a podobně.
Řízení rizik např (ISO/IEC 27005) zpravidla zahrnuje tyto procesy:
Ohodnocení rizik je systematické zkoumání aktiv, hrozeb, možných útočníků. Jedná se o formální přesně definovaný proces. Existují nástroje pro vedení procesu ohodnocování rizik, například CRAMM. Cílem je dosáhnout vyrovnanosti časových a finančních nákladů na ochrany a provoz, potřebné přesnosti při odhadech rizik a potřebných vědomostí pro volbu opatření pro zvládnutí rizik. Výstupem bývá tabulka s aktivy, hrozbami a mírami rizika (malé, velké, střední,…).
Prvním krokem je orientační ohodnocení rizik. Typicky je to součástí tvorby Deklarace politiky. Výsledkem je rozhodnutí o volbě jedné z metodologií ohodnocení rizik (elementární, neformální, detailní).
Elementární ohodnocení rizik je převzetí opatření na základě analogie podobných systémů a ze všeobecných standardů.
Neformální ohodnocení rizik je ohodnocení rizik na základě znalostí jednotlivců – odborníků na bezpečnost (interních nebo externích) bez použití standardních strukturovaných metod a nástrojů.
Detailní (formální) ohodnocení rizik je ohodnocení standardními strukturovanými metodami a nástroji ve všech fázích (identifikace aktiv, identifikace zranitelných míst,…).
Kombinované ohodnocení rizik kombinace předchozích přístupů, jak kde je to nutné (včetně ekonomických hledisek).
Forma analýzy rizik je buď kvantitativní nebo kvalitativní. Kvantitativní analýza rizik je založena na součinech pravděpodobností útoků a numerických výší škod. Výsledky jsou bezprostředně použitelné pro analýzu přínosů doporučených opatření. Znalosti pravděpodobností jsou vesměs nepřesné a hodnocení výše škod je často subjektivní. Kvalitativní analýza rizik využívá škály odhadovaných potenciálních škod a odhadovaných frekvencí výskytů útoků. Nepoužívá numerické vyjádření pravděpodobností nebo výší škod, získají se tak hodnoty rizik, které určí oblasti, které by měly mít prioritu při řešení rizik. Výsledky jsou vesměs nepoužitelné pro analýzu přínosů doporučených opatření.
Základní kroky procesu ohodnocení rizik:
Usilování o dostatečné snížení rizik za nejmenší možnou cenu. Preventivní opatření se přijímají většinou pro velká rizika, pro menší rizika pouze nápravná opatření. U nejmenších rizik je možné riziko prostě akceptovat nebo se proti němu pojistit. Výstup je implementace opatření.
Filip Nguyen (převzato ze 6. otázky oboru INS)
Ondra Mokoš
Dopňění k auditu: Marcel Poul