Případová studie Případová studie Zavedení ISMS dle standardu Mastercard
Verze 1.0
Případová studie
Obsah Zavedení ISMS dle standardu Mastercard
Zavedení ISMS dle standardu Mastercard
Výchozí stav
1
Obchodní cíle
2
Řešení
3
Přínosy řešení
4
Výchozí stav Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice. republice Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a souvisejících produktů jako je bezpečná komunikace a autentizace splňující nejvyšší bezpečnostní standardy. Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v soukromých firmách či ve státní správě. Základem dodávaných řešení je vlastní vývoj aplikačního SW vybavení v a personalizace karet. Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný. Tento stav generoval následující problematické oblasti: 1.
Pracné a nejednotné řízení informační bezpečnosti s různými nároky v jednotlivých útvarech
2.
Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na problematiku informační bezpečnosti
3.
Malá informovanost o bezpečnostních incidentech v jednotlivých útvarech
4.
Komplikované získávání podkladů o stavu informační bezpečnosti
5.
Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti, neexistence role manažera pro informační bezpečnost be
Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice.
1
Obchodní cíle Vzhledem k tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních karet, stal se tento požadavek iniciátorem naplnění strategického cíle cíle společnosti, a to implementace systému řízení informační bezpečnosti (ISMS) v souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost. Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementací implementací ISMS dle ISO/IEC 27001. Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení: 1.
Proniknutí na nové trhy a rozšíření portfolia „sofistikovaných řešení“
2.
Integrace a sjednocení současných bezpečnostních postupů postupů a politik do jednoho systému řízení
3.
Definování centrální politiky ISMS
4.
Nastavení pravidel a postupů dle požadavků Mastercard
5.
Zavedení systémového přístupu k managementu rizik založenému na dokumentovaném postupu
6.
Zlepšení logické a fyzické bezpečnosti personalizace p
Řešení
Řešení implementace ISMS vycházelo z požadavku klienta na dosažení shody s požadavky normy ISO/IEC 27001 a standardů Mastercard pro logickou bezpečnost a dosažení certifikace Mastercard tak, aby bylo možno v 10/2012 zahájit výrobu bankovních karet.
Implementace ntace a následná certifikace ISMS dle požadavků Mastercard je, v mnoha ohledech, mnohem náročnější, než běžná implementace ISMS dle ISO/IEC 27001. Z pohledu implementace procesního a systémového řízení je postup obou implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem závaznější v oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v příloze A normy ISO/IEC 27001. Vzhledem k tomu, že v mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou stranu nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen z pohledu implementace většinou technologických opatření, ale i z pohledu větších požadavků na potřebu lidských zdrojů a definování různých bezpečnostních bezpečnost rolí a jejich zastupitelnosti. Práce řešitelského týmu, který byl složen z konzultantů na procesní řízení ISMS, specialisty na management rizik a expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRINCE2 PRI a s pomocí podpůrné aplikace MS Project. Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.
2
Implementace byla rozdělena do devíti fází: 1.
Fáze č. 1 – Provedení úvodní analýzy ISMS, ISMS tj. hledání silných a slabých stránek (SWOT) ve stávajícím systému informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.
2.
Fáze č. 2 – Stanovení rozsahu a struktury ISMS. ISMS Hned na začátku implementace je nutné stanovit rozsah a strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem pro stanovení rozsahu a struktury ISMS byla úvodní analýza (situační audit) ISMS. Dalším zdrojem pro stanovení rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z hlediska informační bezpečnosti. V této fázi konzultanti Versa Systems společně s pracovníky Organizace vymezili předmět před (rozsah) a hranice systému informační bezpečnosti.
3.
Fáze č. 3 – Stanovení bezpečnostní politiky (Politika ISMS). V této fázi byla stanovena politika ISMS tak, aby pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z výsledků úvodní analýzy, která je prakticky nezbytným podkladem pro definování základních principů v bezpečnostní politice. politice
4.
Fáze č. 4 – Zavedení systematického řízení rizik (management rizik), tj. zpracování metodiky pro analýzu, hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v rozsahu ISMS. Součástí metodiky bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně rizika. riz V této fázi bylo nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k daným aktivům se identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých hrozeb. Nakonec nec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a zkušeného moderátora, přičemž se použila metoda „WHAT – IF“. Výsledky analýzy rizik byly klíčové pro další postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich eliminaci.
5.
Fáze č. 5 – Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních opatření pro eliminaci neakceptovatelných rizik. Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z této a předchozí fáze byla podrobná zpráva s popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla prezentována vedení organizace. Zástupci vedení spolu s pracovníky bezpečnostního výboru vybrali pro jednotlivá neakceptovatelná rizika nejvhodnější řešení. Při výběru bezpečnostních opatření vycházeli především z následujících priorit:
6.
•
vědomé přijetí rizik, je-li je to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika)
•
vyhnutí se rizikům
•
přenesení nebo rozložení míry rizika rizika na další strany (například dodavatele, pojišťovny)
•
splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů
•
plánovaný rozvoj aktivit organizace a jejího ISMS
•
uplatnění „best practices“
Fáze č. 6 - Implementace a provoz ISMS. Implementace bezpečnostních opatření a jejich testování. Jednalo se o nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k vybraným opatřením pro snižování rizik vytvořit plány implementace těchto opatření, tzv. Programy pro zvládání rizik (RTP = Risk Treatment Plans). Takto sestavené plány bylo nutno realizovat v praxi a postupně jednotlivá opatření uvést do provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády, bezpečnostní ečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a záznamy,, které pokrývaly celý životní cyklus systému logické a fyzické bezpečnosti dle požadavků Mastercard. 3
7.
Stěžejní dokumentace – Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro transakční systém, pro systém personalizace a pro systém KSM (systém generování šifrovacích š klíčů) a další dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené dokumentace byly i postupy tupy pro havarijní plánování a obnovy funkčnosti a popis procesu managementu incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní testování, včetně postupů pro testování zranitelností a penetračních testů. te V této fázi bylo nutné zejména:
8.
•
alokovat zdroje lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS
•
připravit programy vzdělávání a zvyšování bezpečnostního povědomí zaměstnanců
•
implementovat zvolená opatření opatře prostřednictvím programů řízení rizik
•
implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační bezpečnosti
•
implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti ISMS I
•
implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)
Fáze č. 7 – Monitorování a přezkoumávání ISMS. ISMS. Pro správnou funkci ISMS dle Mastercard bylo nutné zahájit co nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a informací z provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k prezentaci při auditu Mastercard. ard. Základní činnosti monitorování a měření, které bylo nutné v této fázi provádět, byly následující: •
pravidelné ověřování ISMS z hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a s ohledem na výsledky bezpečnostních auditů, incidentů, incidentů, příp. podnětů zákazníků a jiných stran
•
pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s ohledem na změny v organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí atd.
•
realizovat interní systémový audit ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a úrovně zavedení ISMS
•
provést přezkoumávání ISMS vedením
•
zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS
•
provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a penetračních testů
•
vést, zaznamenávat a vyhodnocovat vyhodnocovat auditní logy, záznamy o činnostech administrátorů atd.
Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv. „Plán bezpečnostních kontrol a údržby“. Ve finální verzi tento plán obsahoval celkem 84 aktivit, a které je nutné provádět v různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně) V rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí schváleného testovacího nástroje nástroje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se musí provádět kvartálně. 9.
Fáze č. 8 – Certifikační proces Mastercard. K této fázi se přistoupilo po cca 12 měsících trvání projektu. Certifikace dle požadavků Mastercard je podobný podobný proces jako u certifikace dle ISO/IEC 27001 s tím rozdílem, že trvá nepoměrně déle a je také mnohem důkladnější. Vzhledem k tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na technologie a systém ISMS také značné požadavky na kvalifikovaný a jazykově vybavený personál organizace. 4
Konzultanti Versa Systems byli v této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu pracovníků organizace, samozřejmě v mezích přípustných pravidel. Certifikační audit proběhl úspěšně a v současné době má organizace vydaný certifikát dokladující shodu s kritérii Mastercard a její jméno je zaneseno do schválených dodavatelů Mastercard. 10. Fáze č. 9 – Údržba a zlepšování ISMS. Je to fáze udržování a dalšího rozvoje implementované lementované a certifikovaného systému. V současné době má Versa Systems uzavřenou postimplementační dohodu (SLA ) o údržbě systému ISMS v Organizaci.
Přínosy řešení • • • • •
•
Zákazník má implementovaný a certifikovaný ISMS dle požadavků Mastercard. Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor. Zavedením ISMS se nastavil systémový a procesní přístup k řízení informační bezpečnosti s jasně definovanými odpovědnostmi za jednotlivé oblasti ISMS, s jasně popsanými sanými postupy a pravidly v ISMS. Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení důvěrnosti, integrity a dostupnosti informačních aktiv v Organizaci. Zavedeným a certifikovaným ISMS se Organizace stává kvalifikovaným kvalifikovaným dodavatelem v oblasti platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v bankovnictví. Organizace je díky certifikaci Mastercard lépe vnímána v bankovním sektoru. Zavedení ISMS je i ekonomicky výhodné, neboť náklady náklady se postupně vrátí zejména cestou minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v dodávkách produktů, které podléhají certifikaci Mastercard.
5