Případová studie

Případová studie

Zavedení ISMS dle standardu Mastercard

Výchozí stav

Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice. Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a souvisejících produktů jako je bezpečná komunikace a autentizace splňující nejvyšší bezpečnostní standardy. Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v soukromých firmách či ve státní správě. Základem dodávaných řešení je vlastní vývoj aplikačního SW vybavení a personalizace karet. Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný.

Tento stav generoval následující problematické oblasti:platebni karty 3

  1. Pracné a nejednotné řízení informační bezpečnosti s různými nároky v jednotlivých útvarech
  2. Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na problematiku informační bezpečnosti
  3. Malá informovanost o bezpečnostních incidentech v jednotlivých útvarech
  4. Komplikované získávání podkladů o stavu informační bezpečnosti
  5. Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti, neexistence role manažera pro informační bezpečnost

Obchodní cíle

Vzhledem k tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních karet, stal se tento požadavek iniciátorem naplnění strategického cíle společnosti, a to implementace systému řízení informační bezpečnosti (ISMS) v souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost. Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementací ISMS dle ISO/IEC 27001.

Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:

  1. Proniknutí na nové trhy a rozšíření portfolia „sofistikovaných řešení"
  2. Integrace a sjednocení současných bezpečnostních postupů a politik do jednoho systému řízení
  3. Definování centrální politiky ISMS
  4. Nastavení pravidel a postupů dle požadavků Mastercard
  5. Zavedení systémového přístupu k managementu rizik založenému na dokumentovaném postupu
  6. Zlepšení logické a fyzické bezpečnosti personalizace

Řešení

Řešení implementace ISMS vycházelo z požadavku klienta na dosažení shody s požadavky normy ISO/IEC 27001 a standardů Mastercard pro logickou bezpečnost a dosažení certifikace Mastercard tak, aby bylo možno v 10/2012 zahájit výrobu bankovních karet. Implementace a následná certifikace ISMS dle požadavků Mastercard je, v mnoha ohledech, mnohem náročnější, než běžná implementace ISMS dle ISO/IEC 27001. Z pohledu implementace procesního a systémového řízení je postup obou implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem závaznější v oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v příloze A normy ISO/IEC 27001. Vzhledem k tomu, že v mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou stranu nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen z pohledu implementace většinou technologických opatření, ale i z pohledu větších požadavků na potřebu lidských zdrojů a definování různých bezpečnostních rolí a jejich zastupitelnosti. Práce řešitelského týmu, který byl složen z konzultantů na procesní řízení ISMS, specialisty na management rizik a expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRINCE2 a s pomocí podpůrné aplikace MS Project. Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.

Implementace byla rozdělena do devíti fází:

  1. Provedení úvodní analýzy ISMS, tj. hledání silných a slabých stránek (SWOT) ve stávajícím systému informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.
  2. Stanovení rozsahu a struktury ISMS
    Hned na začátku implementace je nutné stanovit rozsah a strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem pro stanovení rozsahu a struktury ISMS byla úvodní analýza (situační audit) ISMS. Dalším zdrojem pro stanovení rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z hlediska informační bezpečnosti. V této fázi konzultanti Versa Systems společně s pracovníky Organizace vymezili předmět (rozsah) a hranice systému informační bezpečnosti.
  3. Stanovení bezpečnostní politiky (Politika ISMS).
    V této fázi byla stanovena politika ISMS tak, aby pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z výsledků úvodní analýzy, která je prakticky nezbytným podkladem pro definování základních principů v bezpečnostní politice.
  4. Zavedení systematického řízení rizik (management rizik), tj. zpracování metodiky pro analýzu, hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v rozsahu ISMS. Součástí metodiky bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně rizika. V této fázi bylo nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k daným aktivům se identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých hrozeb. Nakonec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a zkušeného moderátora, přičemž se použila metoda „WHAT – IF". Výsledky analýzy rizik byly klíčové pro další postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich eliminaci.
  5. Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních opatření pro eliminaci neakceptovatelných rizik. Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z této a předchozí fáze byla podrobná zpráva s popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla prezentována vedení organizace. Zástupci vedení spolu s pracovníky bezpečnostního výboru vybrali pro jednotlivá neakceptovatelná rizika nejvhodnější řešení. Při výběru bezpečnostních opatření vycházeli především z následujících priorit:
    • vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika)
    • vyhnutí se rizikům
    • přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny)
    • splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů
    • plánovaný rozvoj aktivit organizace a jejího ISMS
    • uplatnění „best practices"
  6. Implementace a provoz ISMS.
    Implementace bezpečnostních opatření a jejich testování. Jednalo se o nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k vybraným opatřením pro snižování rizik vytvořit plány implementace těchto opatření, tzv. Programy pro zvládání rizik (RTP = Risk Treatment Plans). Takto sestavené plány bylo nutno realizovat v praxi a postupně jednotlivá opatření uvést do provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády, bezpečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a záznamy, které pokrývaly celý životní cyklus systému logické a fyzické bezpečnosti dle požadavků Mastercard. Stěžejní dokumentace – Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro transakční systém, pro systém personalizace a pro systém KSM (systém generování šifrovacích klíčů) a další dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené dokumentace byly i postupy pro havarijní plánování a obnovy funkčnosti a popis procesu managementu incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní testování, včetně postupů pro testování zranitelností a penetračních testů.
    V této fázi bylo nutné zejména:
    • alokovat zdroje lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS
    • připravit programy vzdělávání a zvyšování bezpečnostního povědomí zaměstnanců
    • implementovat zvolená opatření prostřednictvím programů řízení rizik
    • implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační bezpečnosti
    • implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti ISMS
    • implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)
  7. Monitorování a přezkoumávání ISMS.
    Pro správnou funkci ISMS dle Mastercard bylo nutné zahájit co nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a informací z provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k prezentaci při auditu Mastercard. Základní činnosti monitorování a měření, které bylo nutné v této fázi provádět, byly následující:
    • pravidelné ověřování ISMS z hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a s ohledem na výsledky bezpečnostních auditů, incidentů, příp. podnětů zákazníků a jiných stran
    • pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s ohledem na změny v organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí atd.
    • realizovat interní systémový audit ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a úrovně zavedení ISMS
    • provést přezkoumávání ISMS vedením
    • zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS
    • provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a penetračních testů
    • vést, zaznamenávat a vyhodnocovat auditní logy, záznamy o činnostech administrátorů atd.

      Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv. „Plán bezpečnostních kontrol a údržby". Ve finální verzi tento plán obsahoval celkem 84 aktivit, které je nutné provádět v různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně). V rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí schváleného testovacího nástroje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se musí provádět kvartálně.

  8. Certifikační proces Mastercard.
    K této fázi se přistoupilo po cca 12 měsících trvání projektu. Certifikace dle požadavků Mastercard je podobný proces jako u certifikace dle ISO/IEC 27001 s tím rozdílem, že trvá nepoměrně déle a je také mnohem důkladnější. Vzhledem k tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na technologie a systém ISMS také značné požadavky na kvalifikovaný a jazykově vybavený personál organizace. Konzultanti Versa Systems byli v této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu pracovníků organizace, samozřejmě v mezích přípustných pravidel. Certifikační audit proběhl úspěšně a v současné době má organizace vydaný certifikát dokladující shodu s kritérii Mastercard a její jméno je zaneseno do schválených dodavatelů Mastercard.
  9. Údržba a zlepšování ISMS.
    Je to fáze udržování a dalšího rozvoje implementované a certifikovaného systému. V současné době má Versa Systems uzavřenou postimplementační dohodu (SLA) o údržbě systému ISMS v Organizaci.

Přínosy řešení

  • Zákazník má implementovaný a certifikovaný ISMS dle požadavků Mastercard.
  • Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.
  • Zavedením ISMS se nastavil systémový a procesní přístup k řízení informační bezpečnosti s jasně definovanými odpovědnostmi za jednotlivé oblasti ISMS, s jasně popsanými postupy a pravidly v ISMS.
  • Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení důvěrnosti, integrity a dostupnosti informačních aktiv v Organizaci.
  • Zavedeným a certifikovaným ISMS se Organizace stává kvalifikovaným dodavatelem v oblasti platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v bankovnictví. Organizace je díky certifikaci Mastercard lépe vnímána v bankovním sektoru.
  • Zavedení ISMS je i ekonomicky výhodné, neboť náklady se postupně vrátí zejména cestou minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v dodávkách produktů, které podléhají certifikaci Mastercard.

 pdfPřípadová studie v PDF1.73 MB