Post on 26-May-2015
description
POLITYKI BEZPIECZEŃSTWA I KONTROLI Piotr Wojciechowski (CCIE #25543)
ABOUT ME ¢ Senior Network Engineer MSO at VeriFone Inc. ¢ Previously Network Solutions Architect at one of top
polish IT integrators ¢ CCIE #25543 (Routing & Switching) ¢ Blogger – http://ccieplayground.wordpress.com ¢ Administrator of CCIE.PL board
� The biggest Cisco community in Europe � Over 7500 users � 3 admin, 5 moderators � 58 polish CCIEs as members, 20 of them actively posting � About 150 new topics per month � About 1000 posts per month � English section available
AGENDA ¢ Czym jest polityka bezpieczeństwa? ¢ Realizacja polityki bezpieczeństwa w IT ¢ Wdrażanie polityki bezpieczeństwa ¢ Audyty ¢ Jak stworzyć efektywną politykę bezpieczeństwa?
CZYM JEST POLITYKA BEZPIECZEŃSTWA?
CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Polityka bezpieczeństwa jest:
� Zbiorem spójnych, precyzyjnych reguł i procedur wg których dana organizacja buduje, zarządza oraz udostępnia zasoby
� Określa chronione zasoby � Dokumentem zgodnym z prawem
CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Co obejmuje polityka bezpieczeństwa:
� Całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy
� Nie ogranicza się jedynie do sieci komputerowej czy systemów lecz obejmuje całość działania i procesów, które następują w firmie
� Jest to dokument spisany � Jest dokumentem specyficznym dla każdej korporacji –
nie ma ogólnego szablonu gotowego do zastosowania � Musi być dokumentem znanym pracownikom
CYKL ŻYCIA POLITYKI BEZPIECZEŃSTWA
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ 6 podstawowych polityk definiujących pracę działu
IT oraz osób korzystających z infrastruktury IT ¢ Odpowiedni podział obowiązków w szczególności
nadzoru i kontroli spełnienia wymogów opisanych w polityce bezpieczeństwa
¢ Regularne audyty
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka dostępu do Internetu
� Czy użytkownicy są uprawnieni do korzystania z Internetu w celach prywatnych?
� Czy użytkownicy mogą sami ściągać i instalować oprogramowanie?
� Jakie aplikacje są niezbędne do prawidłowego działania korporacji i z jakich zasobów muszą korzystać?
� Jak mają być zabezpieczone komputery mające dostęp do Internety?
� Etc…
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka kontroli email i mediów społecznościowych
� Bardzo prosta metoda wycieku informacji poufnych � Kontrola potencjalnego wycieku informacji � Ochrona wizerunku firmy � Pracownicy muszą być świadomi, że treść wiadomości
może być monitorowana
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola kluczy
� O fizycznych kluczach do drzwi i kłódek zapomina się często w epoce dwustopniowego uwierzytelniania
� Kto ma klucze do szafy w serwerowni w chwili obecnej? � Ile jest kompletów kluczy do każdego z pomieszczeń? � Kto może pobrać klucze? � W jaki sposób kontrolujemy czy klucze nie opuszczają
budynku celem wykonania kopi?
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola urządzeń mobilnych
� Nowoczesne urządzenia przechowują często więcej wrażliwych informacji niż komputery pracowników
� Mobilne urządzenia są łatwym punktem, przez który zagrożenie może przeniknąć do sieci
� Jakie urządzenia mobilne są dozwolone w naszej sieci? � Jaką konfigurację na nich wymuszamy? � Etc…
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola dostępu dla gości
� Polityka dotycząca postępowania z gośćmi w budynkach biurowych i data center ¢ Punkt rejestracji gości ¢ Wymóg towarzyszenia gościom w wyznaczonych strefach ¢ Identyfikatory gościa
� Odseparowana sieć WLAN dla gości z limitowanym dostępem do Internetu
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Non-Disclosure Agreement (NDA)
� Jasno zakomunikowana polityka pracownikom � Jasne określenie, że ochrona informacji dotyczy zarówno
komunikacji werbalnej jak i emaili, narzędzi społecznościowych czy komunikatorów
� Podpisanie NDA przez każdego z pracowników
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Scenariusz nierealny – polityka powstaje wraz z
uruchomieniem i rozwojem firmy ¢ Scenariusz prawdziwy – potrzeba biznesowa
wymusza stworzenie spójnej polityki bezpieczeństwa
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Kluczowe elementy polityki bezpieczeństwa
� Bezpieczeństwo fizyczne budynków i urządzeń � Bezpieczeństwo informacji � Wykrywanie i przeciwdziałanie nadużyciom � Wykrywanie oszustw � Zarządzanie ryzykiem � Business Continuity Planning (BCP) � Zarządzanie w sytuacjach kryzysowych
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Chronione informacje i procesy najlepiej podzielić
na kategorie, które prościej będzie opisywać w dokumentach, na przykład: � Grupy użytkowników lub procesów – marketing, dział
sprzedaży, administracja, księgowość itp. � Technologie – sieci, systemy, storage, backup � Cykl życia produktu – deployment, QA, production,
support � Elementy wewnętrzne i zewnętrzne – intranet, extranet,
WWW, VPN
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Gdy zidentyfikujemy obszary których ochronę
polityka bezpieczeństwa ma opisywać powinniśmy określić grupy użytkowników, którzy wymagają dostępu do informacji by wykonywać swoją pracę.
¢ Gdy określimy niezbędne zasoby przeprowadzamy analizę ryzyka związaną z wykradzeniem, uszkodzeniem lub zniszczeniem informacji
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Analiza ryzyka
� Skomplikowany proces zależny od formy prowadzonego biznesu
� Powinien zawierać potencjalne scenariusze, które mogą zagrozić prowadzonemu biznesowi i szacować koszty, które firma poniesie, gdyby scenariusz się zrealizował
� Powinien zawierać szacunek trzech scenariuszy: ¢ Expected ¢ Worst-case ¢ Best-case
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Polityka bezpieczeństwa, procedury czy wdrażane
technologie muszą być adekwatne do ryzyka, prowadzonego biznesu oraz dostępnych środków na ich wdrożenie i utrzymanie
¢ Analiza ROI pozwala określić, czy koszt wdrożenia danego rozwiązania nie przekracza kosztu scenariusza worst-case utraty danych
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
AUDYTY
AUDYTY ¢ Czym jest audyt?
� Proces ocenienia czy przyjęta polityka bezpieczeństwa odpowiednio chroni zasoby informacyjne korporacji
� Proces weryfikacji odpowiedniego wdrożenia i przestrzegania przyjętej polityki
� Trzy główne obszary analizy: ¢ Audyt techniczny ¢ Ochrona fizyczna ¢ Proces zarządzania informacją
� Testy penetracyjne to nie audyt!
AUDYTY ¢ Audyty mogą być wewnętrzne lub zewnętrzne ¢ Audyty zewnętrzne najczęściej przeprowadzane na
potrzeby uzyskania certyfikacji produktu, wdrożenia lub procesu.
¢ Ma na celu pokazanie słabości polityk bezpieczeństwa i pozwolić poprawić znalezione błędy
¢ Wykorzystywane są narzędzia automatyzujące proces ale rola audytora jest bardzo ważna
¢ 4 etapy przeprowadzania audytu
AUDYTY ¢ Etap I – przygotowanie
� Wyspecyfikowanie obszarów audytu � Zebranie dokumentacji o procesach � Zebranie informacji o strukturze korporacji i
stanowiskach � Zebranie informacji o zasobach sprzętowych i
programowych � Zapoznanie się z politykami i procedurami � Etc…
AUDYTY ¢ Etap II – ustalenie celów audytu
� Weryfikacja procedur związanych z krytycznymi systemami
� Weryfikacja świadomości pracowników � Weryfikacja procesu współpracy z podmiotami
zewnętrznymi � Proces kontroli zmian � Business continuity � Etc…
AUDYTY ¢ Etap III – zbieranie danych do audytu
� Rozmowa z pracownikami � Przegląd logów systemowych � Weryfikacja wdrożenia procedur w życie � Kontrola fizyczna obiektów czy sprzętu � Kontrola procedur backupu i odzyskiwania danych � Kontrola procesu niszczenia nośników � Etc…
AUDYTY ¢ Etap IV – analiza danych i raport końcowy
� Podsumowanie zebranych danych � Wyspecyfikowanie obszarów wymagających poprawy � Wyspecyfikowanie zaleceń do poprawy � Wykazanie obszarów niezgodności ze standardami pod
kątem których audyt był przeprowadzany � Etc…
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA?
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Czym jest efektywna polityka bezpieczeństwa?
� Wiele kryteriów zależnych od charakteru prowadzonego biznesu
� Szczegółowe wytyczne muszą uwzględniać strukturę korporacji i podział obowiązków
� Nie może być oderwana od rzeczywistości
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium I
Polityka bezpieczeństwa odpowiednio definiuje cele bezpieczeństwa przedsiębiorstwa minimalizując
ryzyko operacyjne
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium II
Polityka bezpieczeństwa odpowiednio zabezpiecza przedsiębiorstwo przed naruszeniami polityki i
działaniami prawnymi osób trzecich
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium III
Polityka bezpieczeństwa została przedstawiona pracownikom (także kontraktowym) pracującym na
różnych szczeblach hierarchii, jest przez nich zrozumiała a stosowanie nadzorowane przez
przełożonych
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada1
� Wybierz i stosuj jedną prostą strukturę wszystkich dokumentów definiujących politykę bezpieczeństwa
¢ Trzy typu dokumentów – polityka globalna, standardy, procedury
¢ Jedna struktura – prościej pracować grupowo, prostszy w odbiorze przekaz dla czytelnika
¢ Ułatwia audyt i wdrożenie narzędzi bezpieczeństwa
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 2
� Zapisz wszystko w dokumentach
¢ Nie zostawiaj miejsca na niedopowiedzenia czy interpretację
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 3
� Przypisz odpowiedzialność za poszczególne zadania z zakresu bezpieczeństwa do konkretnych osób lub/i stanowisk
¢ Jasność co do odpowiedzialności konkretnych osób także w przypadku rotacji na stanowiskach
¢ Ułatwia zarządzanie dokumentem i jego aktualizację ¢ Wskazane osoby są także odpowiedzialne za egzekwowanie
przestrzegania polityki bezpieczeństwa od swoich podwładnych ¢ Audyty oparte o ISO17799 czy COBIT wymagają jasnego
przypisania ról
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 4
� Zastosuj jeden z dostępnych szablonów zgodnych z ISO nieznacznie go modyfikując
¢ ISO-IEC 17799:2005 dostarcza podział na 10 domen bezpieczeństwa możliwy do wdrożenia w każdej korporacji
¢ Podział na domeny bezpieczeństwa ułatwia przeprowadzanie audytów spójności i kompletności stworzonych polityk
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 5
� Przeprowadzaj analizę ryzyka
¢ Polityka bezpieczeństwa powinna zawierać informację jak często i w jaki sposób analiza ryzyka jest przeprowadzana
¢ Analiza ryzyka pozwala oszacować jaki poziom bezpieczeństwa jest odpowiedni dla korporacji
¢ Dokument końcowy powinien zawierać informacje kto akceptuje ryzyko, kto akceptuje wyjątki, jak długo one powinny trwać, jakie narzędzia kontroli należy wdrożyć
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 6
� Komunikuj politykę bezpieczeństwa jasno i regularnie
¢ Często pięta achillesowa całego procesu J ¢ Pracownicy powinni nie tylko być informowani o zmianach ale
potwierdzić zapoznanie się z nimi ¢ Pracownicy i kontraktorzy muszą być świadomi i rozumieć
swoją rolę w przestrzeganiu polityki bezpieczeństwa ¢ Szkolenia z zakresu polityk bezpieczeństwa dla pracowników
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 7
� Zdefiniuj proces reakcji na naruszenie polityki bezpieczeństwa i procedur
¢ Zdefiniuj czym jest naruszenie polityki ¢ Załącz procedurę raportowania naruszenia polityki oraz
postępowania w takim przypadku ¢ Powiadom pracowników o ścieżce postępowania i możliwych
konsekwencjach
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 8
� Przeprowadzaj audyty polityk bezpieczeństwa
¢ Regularny audyt jest wymogiem nie tylko standardów ale i dobrej praktyki
¢ Dla standardów i procedur stwórz scenariusze testowe pozwalające sprawdzić je w praktyce
¢ Audyt techniczny nie jest zadaniem skomplikowanym, audyt ludzi może być nie lada wyzwaniem
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 9
� Automatyzuj procesy
¢ Ułatwia audyt i utrzymanie spójności polityki bezpieczeństwa ¢ Automatyzacja narzędzi dystrybucji procedur bezpieczeństwa ¢ Automatyzacja weryfikacji zapoznania się ze zmianami ¢ Automatyzacja weryfikacji wdrożenia szablonów ¢ Etc etc etc
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 10
� Czy wiesz gdzie jest najsłabsze ogniwo?
QUESTIONS?
THANK YOU