1 Atestace ISVS optimln Optimalizace atestace Ing Pavel
- Slides: 22
1 Atestace ISVS optimálně Optimalizace atestace Ing. Pavel Staša, CISA Security Architect & Auditor, ICZ a. s. Hradec Králové 24. - 25. března 2003
Optimalizace atestace Program 2 1. Atestační povinnost 2. Reálná atestace IS orgánů veřejné moci (OVM) i. Rozsah IS ii. Optimalizace postupu iii. Výběr asistenční firmy 3. Shrnutí místo závěru
Optimalizace atestace (1) Atestační povinnost 3 1 Atestační povinnost
4 Zákonné a podzákonné normy (1) §§§ n Zákon č. 365/2000 Sb. o ISVS q podmínky existence a provozu ISVS, q které IS jsou zákonem dotčeny, Optimalizace atestace q povinnost „dodržovat závazná ustanovení standardů, zajišťovat ochranu a bezpečnost informací v rámci provozovaného IS“.
Optimalizace atestace (1) Standardy ÚVIS 5 Standardizační činnost ÚVIS - MI n Standard ISVS 005/02. 01 pro náležitosti životního cyklu IS, n Standard ISVS 017/01. 01 stanovující povinné požadavky na metodiku atestace shody IS se standardem ISVS pro náležitosti životního cyklu IS
Optimalizace atestace (1) Atestační povinnost 6 Fáze životního cyklu (std. 5/2002) Fáze životního cyklu ISVS Vývoj, provoz, údržba Příprava IS Strateg. procesy IS Realizační proj. IS Strateg procesy. IS Ukončení IS Realizační proj. IS Strateg. procesy IS n/a Definice potřeby IS Příprava na zprac. nebo aktualizaci informační strategie IS Příprava nebo aktualizace nástrojů strategického řízení IS Projekt akvizice Realizační proj. IS n/a Tvorba a údržba informační strategie Řízení bezpečnosti Plánování a koordinace projektů Plánování a řízení jakosti Řízení požadavků a jejich monitorování Projekt základního nebo redukovaného postupu vývoje Vyřazení IS Projekt provozu a údržby Kombinované projekty
7 Povinnost atestace shody s 5/2002 Optimalizace atestace (1) Kdo musí Povinnost váže ISVS, které: n přímo komunikují, nebo se tato komunikace předpokládá, s jinými ISVS, n jsou nebo byly dodány OVM na zakázku za cenu vyšší než 200 000 Kč, n finanční prostředky na vývoj a provoz jsou čerpány ze státního rozpočtu. Kap. 9 odst. 1 std. 5/2002 uvádí tyto i další podmínky
8 Předmět atestace (1) Co musí n Různý obsah atestace: q ISVS, jejich vývoj skončil před 1. 1. 2001 (A) q nakoupený sw – akvizice (B 1), Optimalizace atestace q vytvořené nebo rozšířené s použitím základního postupu vývoje (B 2), q vytvořené nebo rozšířené s použitím redukovaného postupu vývoje (B 3). n Pro atestaci podle tohoto postupu jen (A)
Optimalizace atestace (1) Atestace (A) 9 Výrok o atestu - ISVS před 1. 1. 2001 n splňuje: dokumentace obsahuje všechny dokumenty v požadované struktuře a jakosti n splňuje s výhradami: obsahuje všechny dokumenty, nesplňuje nepodstatné náležitosti ve struktuře a jakosti n nesplňuje: dokumentace není úplná a závady se nepodaří odstranit ani ve spolupráci s atestačním střediskem
(1) Co tedy musí být 10 Podstata atestu n Musí být zpracována dokumentace v požadované struktuře a jakosti n Pro (A) je to 9 dokumentů /pro (B) asi 20 dok. / q strategie a plnění evidenčně-oznamovací povinnosti (evidenční list, informační strategie, systémové požadavky), Optimalizace atestace q bezpečnostní dokumentace (BPOL, projektová a provozní bezpečnostní dokumentace), q dokumenty nutné provozování systému (změnové řízení, evidence poruch a mimořádných události, systémová a uživatelská příručka).
Optimalizace atestace (2) Reálná atestace 11 2 Reálná atestace IS v OVM
Optimalizace atestace (2) Reálná atestace 12 Rozsah IS n IS jako celek – jednotlivé agendové subsystémy n Příklad: obce s rozšířenou působností jednotlivé agendové subsystémy stávající ISVS soubor provozní dokumentace jednotlivých agend ISS 1 ISS 2 . . ISSn
Optimalizace atestace (2) Reálná atestace 13 Optimalizace postupu n IS jako celek, jednotlivé ISS atest mají nebo jsou schopny ho získat do okamžiku podání žádosti o atestaci systému jako celku. n Pak je pro (A) nutnou a postačující podmínkou získání atestu úplná a správná dokumentace.
Situace při optimalizovaném postupu Optimalizace atestace (2) Reálná atestace 14 hranice atestovaného ISVS bezpečn. dokument. strategie pokryto atestací produktu (ISS) u výrobce (dodavatele) ISS 1 . . provozní dokument. asistence při atestaci ISSn ISS 2 příprava na atestaci
Optimalizace atestace (2) Reálná atestace 15 Postup (zjednodušeně 1/2) 1. Výběr asistenční firmy (AF) s ohledem na vazby na atestační středisko – smlouva 2. AF seznámí OVM s detailním plánem, korigují a zpřesňují se vzájemné požadavky – zodpovědnost správce zůstává nedotčena 3. AF provede AR a zpracuje bezpečnostní dokumentaci (návrh) 4. Správce kompletuje strategickou a evidenční dokumentaci
(2) Reálná atestace 16 Postup (zjednodušeně 2/2) 5. Správce zpracuje (aktualizuje) provozní dokumentaci systému jako celku 6. AF připraví smluvní podmínky OVM – asistenční středisko Optimalizace atestace 7. Další práce budou probíhat podle standardu 017/01. 01 a podle smlouvy n Pravomoc a zodpovědnost zůstává na správci n Dokumentace se všeobecnou závazností musí OVM vydat podle lokálních předpisů (AF – návrh)
Optimalizace atestace (2) Reálná atestace 17 Úskalí 1. Postup je zjednodušen na potřebné minimum n podle std. 17/2002 <– 5/2000 -> 5/2002 drobné inkonzistence -> změny 2. Některé ISS nepůjde nahradit, ani se nepodaří získat jejich atestaci (sw třetích stran ze státní správy) 3. ISVS jako celek je „živý systém“ a vykazuje systematickou snahu o rozšiřování (změny) 4. Přírůstková atestace jde k tíži OVM
(2) Výběr asistenta 18 Výběr asistenční firmy n Není třeba vypisovat výb. řízení podle 199/1994 n Vnitřní výběrové řízení se doporučuje n Odborně na výši se znalostí: q prostředí státní správy, q legislativy, q standardizačního a atestačního procesu, Optimalizace atestace q ICT, q bezpečnosti informací a informačních systémů. n Důvěryhodná: q informace pod ochranou zákonů, q informace neveřejné povahy důležité pro plnění funkce OVM
Optimalizace atestace (2) Výběr asistenta 19 Smluvní zajištění n Vymezit hranice ISVS jako celku n Z čeho se ISVS jako celek skládá n Jaký je stav dílčích atestací v okamžiku zahájení (podle jakého std. jsou dílčí systémy atestovány) n Podle jakého std. se požaduje atestace systému jako celku n Pravomoci a zodpovědnosti smluvních stran n Vymezení oblastí, v nichž budou prováděny aktivity OVM a které jsou tudíž vyjmuty z termínů plnění
Optimalizace atestace (3) Závěr 20 3 Shrnutí místo závěru
Optimalizace atestace (3) Shrnutí místo závěru 21 Smluvní zajištění n Atestace jsou reálnou povinností n Atestace jsou reálnou hrozbou n Atestace stojí peníze a čas n Atestace nezbaví správce zodpovědnosti za dokumentaci dílčích systémů (i když je nebude ověřovat) n Atestace není jedinou povinností, jak jsou std. vymáhány n Asistence nezbaví OVM zodpovědnosti za to mít ISVS atestován n Atestace ani asistence neomezují povinnosti správce
22 Optimalizace atestace Komplexní zajištění bezpečnosti Informace vždy, ale jen pro oprávněné
Inna uit
Dominique cerveny
Pavel mff
Pavel motloch
Financial intermediaries
Pavel machala
Pavel theiner
Pavel rozsypal
P vs np
Misha pavel
The old house poem by franta bass
Pavel babenko
Pavel buividovich
Pavel sonnenschein
Pavel pablo gregorić
Pavel vychytil
Ota pavel prezentace
Pavel popp
Pavel skopal
Lidl platba stravenkami
Pavel buividovich
Pavel buividovich
A treia calatorie misionara a lui pavel
