Post on 06-Feb-2018
System ZarządzaniaBezpieczeństwem Informacji
Na podstawie materiałów ISO27001Security Opracował Tomasz Barbaszewski
Informacja, podobnie jak inne ważne aktywaOrganizacji jest niezbędna dla jej działaniaoraz stanowi dla niej wartość
-a więc powinna być odpowiednio chroniona!
BS ISO 27002:2005
Informacja może być:Informacja może być:
➢ Utworzona➢ Otrzymana➢ Składowana➢ Usunięta➢ Przetwarzana➢ Transmitowana➢ Wykorzystana (właściwie lub nie)➢ Uszkodzona➢ Zagubiona➢ Skradziona
Informacja może być:Informacja może być:➢ Wydrukowana lub zapisana na papierze➢ Przechowywana w pamięci masowej ➢ Transmitowana pocztą zwykłą lub elektroniczną➢ Prezentowana na urządzeniach video➢ Publikowana na stronach WWW➢ Przekazana ustnie
W każdym jednak przypadku, niezależnie od W każdym jednak przypadku, niezależnie od formy, jaką formy, jaką informacjainformacja przybiera oraz w jaki przybiera oraz w jaki sposób jest przekazywana lub składowanasposób jest przekazywana lub składowanawymaga odpowiedniej ochrony!wymaga odpowiedniej ochrony!
ISO/IEC 27002 (17799)
Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?
➢ Zapewnieniem odpowiedniej jakości informacji
➢ Bezpieczeństwo informacji można osiągnąć stosującróżne strategie
➢ Wykorzystywane strategie powinny się wzajemnieuzupełniać
➢ Celem bezpieczeństwa informacji jest zabezpieczenierealizacji istotnych procesów przez Organizację
Bezpieczeństwa nie można kupić - Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu! o bezpieczeństwo trzeba zadbać samemu!
Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?
Bezpieczeństwa nie można kupić - Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu! o bezpieczeństwo trzeba zadbać samemu!
➢ Bezpieczeństwo informacji może zapewnić jedynie architektura, w której urządzenia, systemy, programy,wykrywanie podatności i zagrożeń współpracują ze sobą.
➢ Bezpieczeństwo nie może zasypiać! ➢
➢ Dotyczy Ludzi, Procesów, Technologii i wykorzystuje polityki i procedury
➢
➢ Celem jest bezpieczeństwo LPT – a nie sprzętu !
Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?
Ludzie Procesy
Technologie
Bezpieczeństwoinformacji
Ludzie – czyli kim jesteśmy?Ludzie – czyli kim jesteśmy?
Z informacją mają do czynienia:
➢ Akcjonariusze, właściciele, politycy➢ Kadra zarządzająca➢ Pracownicy➢ Partnerzy➢ Dostawcy usług➢ Podwykonawcy➢ Klienci, petenci, pacjenci...➢ Prawnicy...
Procesy – czyli co robimy?Procesy – czyli co robimy?
Procesy to zestaw praktyk i procedur, które realizujemyeksploatując system teleinformatyczny
➢ System pomocy dla użytkowników (Help Desk)➢ Zarządzanie dostępem do usług➢ Raportowanie incydentów i zarządzanie nimi➢ Zarządzanie dostępem➢ Zarządzanie tożsamością➢ Kontrola spełnienia wymagań prawnych➢ Szkolenia...
Technologie – czyli czego używamy?Technologie – czyli czego używamy?
➢ OprogramowanieSystemy operacyjne, programy komunikacyjne, użytkowe(ogólnego przeznaczenia i specjalistyczne)Oprogramowania jako usługi (SaaS)
➢ Zabezpieczenia fizyczneElektroniczne systemy dostępu, klucze, karty, czytnikibiometryczne, kamery monitorujące...Zabezpieczenia środowiskowe: systemy P-Poż, wentylacja,klimatyzacja, zasilanie awaryjne..
➢ Urządzenia dostępoweKomputery PC, Notebooki, Netbooki, PDA, SmarfonyTerminale, stacje sieciowe, stacje WWW, infokioskiAparaty cyfrowe, drukarki, skanery, kopiarki...
Bezpieczeństwo informacji: Bezpieczeństwo informacji:
1. Zabezpiecza informację przed zagrożeniami2. Zapewnia ciągłość działania Organizacji3. Minimalizuje straty finansowe4. Wpływa na zwrot kosztów inwestycji5. Zwiększa możliwości Organizacji
Przetrwanie Organizacji zależy od zapewnieniabezpieczeństwa informacji
Bezpieczeństwo informacji powinno zapewnić: Bezpieczeństwo informacji powinno zapewnić:
PoufnośćPoufność
IntegralnośćIntegralność
DostępnośćDostępność
Informacja jest dostępna tylko tymużytkownikom, którzy otrzymali
odpowiednie uprawnienia
Informacja jest kompletna, niezostała w sposób niekontrolowany
zmieniona i jest wiarygodna
Uprawnieni użytkownicy majązapewniony dostęp do informacji
kiedy jej potrzebują (24x7)
ISO 27002:2005
Naruszenie bezpieczeństwa informacjiNaruszenie bezpieczeństwa informacjiprowadzi do: prowadzi do:
➢ Utraty reputacji➢ Strat finansowych➢ Utraty kontroli nad własnością intelektualną➢ Problemów prawnych (dane osobowe itp.)➢ Utraty zaufania u klientów, partnerów, petentów...➢ Kosztów związanych z przerwami w działalności
straty dobrej opiniistraty dobrej opinii
Bezpieczeństwo informacji to wyzwanieBezpieczeństwo informacji to wyzwanieorganizacyjne, a nie „problem informatyczny”organizacyjne, a nie „problem informatyczny”
Ponad 70% to zagrożenia wewnętrznePonad 70% to zagrożenia wewnętrzne
Ponad 60%winowajców dopuściło się naruszeniaPonad 60%winowajców dopuściło się naruszeniaprocedur bezpieczeństwa po raz pierwszyprocedur bezpieczeństwa po raz pierwszy
Największe ryzyko: LudzieNajwiększe ryzyko: Ludzie
Najważniejszy kapitał: LudzieNajważniejszy kapitał: Ludzie
Zagrożenie Podatność
RYZYKO Informacja
WartośćWymagania
zabezpieczeń
Działanie
wykorzystuje
zwiększa zwiększa
zwiększa
zagraża
posiadaokreślawymusza
zabezpiecza
redukuje
Zagrożenie:Zagrożenie:
CzłowiekCzłowiek
MaszynaMaszyna
NaturaNatura
Utrata:Utrata:
PoufnościPoufności
IntegralnościIntegralności
DostępnościDostępności
Zagrożenia i ich skutkiZagrożenia i ich skutki
Zagrożenia mogą być przypadkowe lub powodowanecelowo. Jedynie zagrożenia powodowane przez ludziMogą być zarówno przypadkowe, jak i celowe.
Zagrożenia i ich źródłaZagrożenia i ich źródłaZagrożenie Przykłady
Błędy i pomyłki ludzkie Brak wiedzy, przeszkolenia, przypadki
Naruszenia praw autorskich Piractwo, przekraczanie licencji
Szpiegostwo lub kradzież danych Nieautoryzowany dostęp, kradzieże
Nieuprawnione korzystanie z informacji Szantaż, publikacja informacji
Sabotaż i wandalizm Uszkodzenie sprzętu lub/i informacji
Kradzieże Kradzież sprzętu, nośników z danymi
Ataki programistyczne Wirusy, konie trojańskie, blokada dostępu
Zakłócenia w dostawie usług Zasilanie, transmisja danych
Siły natury Ogień, powódź, huragan
Defekty sprzętowe i programowe Błędy w kodach, uszkodzenia
Błędy eksploatacyjne Brak aktualizacji, kontroli baterii
Normy SZBI:Normy SZBI:
PN-ISO/IEC 27001Technika informatyczna → Techniki bezpieczeństwa →Systemy zarządzania bezpieczeństwem informacji →Wymagania
PN-ISO/IEC 17799 (ISO 27002)Technika informatyczna → Techniki bezpieczeństwa →Praktyczne zasady zarządzania bezpieczeństwemInformacji
Norma ISO 27001 obejmuje ogółem 133 punkty kontrolnepodlegające sprawdzeniu podczas certyfikacji. ISO 27002(w Polsce 17799) zalecenia obejmujące 11 obszarów.
11 11 obszarów SZBI:obszarów SZBI:
Politykabezpieczeństwa
informacjiOrganizacja
bezpieczeństwainformacji
Zarządzanieaktywami
Zarządzaniezasobamiludzkimi
Bezpieczeństwofizyczne
Zarządzanieoperacjami
i komunikacją
Kontroladostępu
Akwizycja, eksploatacja
i modernizacja
Zarządzanieincydentami
Planowanieciągłości działania
Zgodnośćz prawem
INFORMACJA
Poufność Integralność
Dostępność
Polityka bezpieczeństwaPolityka bezpieczeństwa
Podlega zatwierdzeniu przezZarząd Organizacji
➢ Powinna być dostępna dla pracowników Organizacji(np. opublikowana w Intranecie),
➢ Określa:- co jest przedmiotem ochrony,- metody ochrony krytycznych zasobów,- odwołuje się do polityk szczegółowych,- procedury postępowania,- deklarację stosowania.
Księga bezpieczeństwaKsięga bezpieczeństwaDokument wewnętrzny o układziezgodnym z Załącznikiem A normyPN-ISO/IEC 27001
➢ Jest podzielona na rozdziały odpowiadające obszaromzdefiniowanym przez normę.
➢ Określa stanowisko Organizacji, zastosowane mechanizmy zabezpieczające oraz wyłączenia.
➢ Ułatwia wewnętrzną organizację systemu zarządzaniabezpieczeństwem informacji.
➢ Zawiera odwołania do dokumentów zawierającychpostanowienia i procedury SZBI.
Klasyfikacja informacjiKlasyfikacja informacji
Klasyfikacja informacji jest niezbędna do jej ochrony
➢ Informacje poufne - o zasadniczym znaczeniu dlaorganizacji, dostępne tylko dla osób, którym są niezbędne do realizacji zadań.
➢ Do użytku wewnętrznego – istotne dla działania organizacji, udostępniane bez ograniczeń dla pracowników Organizacji lub na podstawie porozumień o zachowaniu poufności.
➢ Publiczne – udostępniane bez ograniczeń, przeznaczone do nieograniczonej publikacji.
Klasyfikacja informacjiKlasyfikacja informacji
Informacja
Dostępność Integralność Poufność
1 2 3 1 2 3 1 2 3
Atrybutom jakości informacji przypisujemywartości – niską, średnią i wysoką
Zarządzanie zasobami ludzkimiZarządzanie zasobami ludzkimi
➢ Pracownicy Organizacji- określenie ról i odpowiedzialności
➢ Partnerzy z zawartymi porozumieniamio poufności
➢ Podwykonawcy, dostawcy, odbiorcy
➢ Klienci, petenci...
Ochrona informacji wymaga selektywnej dystrybucji
Kontrola dostępu - Kontrola dostępu - - - ochrona fizyczna ochrona fizyczna
➢ Przestrzegaj ustalonych procedur dostępu➢ Zawsze noś identyfikator lub kartę dostępu➢ Zwracaj uwagę na osoby bez identyfikatorów➢ Przyjmuj gości i interesantów jedynie w wyznaczonych
pomieszczeniach
➢ Nie wprowadzaj obcych osób do chronionychpomieszczeń bez istotnej potrzeby i zezwolenia
➢ Nie wynoś nośników z informacją poza strefychronione
➢ Nie rób zbędnych kopii informacji „na wszelkiwypadek”
➢ Nie wnoś do stref chronionych nośników danychpamięci USB, przenośnych dysków twardych itp.
Kontrola dostępu - Kontrola dostępu - - - ochrona haseł ochrona haseł
➢ Stosuj hasła zawierające znaki specjalne - @,$,&,~ itp.➢ Używaj haseł, które możesz łatwo zapamiętać➢ Zmieniaj hasła dostępu zgodnie z zaleceniami➢ Przy zmianie hasła nie używaj haseł, których używałeś
poprzednio.
➢ Nie używaj haseł słownikowych lub łatwych doodgadnięcia przez osoby, które Cię znają
➢ Nigdy nie zapisuj haseł oraz nie przechowuj ichbez zachowania reguł bezpieczeństwa (np. w telefoniekomórkowym)
➢ Nie przekazuj haseł w żaden sposób. Dla potrzeb serwisowych używaj haseł tymczasowych.
➢ Nie używaj haseł odrzuconych przez system podczasweryfikacji ich złożoności.
Kontrola dostępu - Kontrola dostępu - - - korzystanie z Internetu korzystanie z Internetu
➢ Korzystaj z Internetu wyłącznie do celów służbowych
➢ Nie zestawiaj dodatkowych połączeń z Internetem(np. telefonicznych połączeń modemowych)
➢ Nie korzystaj z materiałów obscenicznych itp.➢ Nie korzystaj z serwisów aukcyjnych jeśli nie należy
to do Twoich obowiązków służbowych➢ Nie używaj Internetu w celu uzyskania nieuprawnionego
dostępu do innych komputerów➢ Nie kopiuj z sieci żadnych programów, nie instaluj ich
na swoim komputerze. Czynności te może realizować jedynie dział IT.
Korzystanie z E-mail: Korzystanie z E-mail:
➢ Służbowe konto E-mail może być używane wyłączniedo celów służbowych
➢ Przechowuj pocztę elektroniczną zgodnie z procedurami➢ W przypadku otrzymania niechcianej poczty poinformuj
o tym administratora serwera oraz bezpieczeństwa
➢ Nie używaj służbowego konta E-mail do celów prywatnych➢ Nie wysyłaj korespondencji seryjnej bez polecenia
przełożonych➢ Nie wysyłaj poczty elektronicznej do klientów jeśli nie
należy to do Twoich obowiązków➢ Nie otwieraj żadnych załączników poczty otrzymanej
od nieznanych nadawców➢ Nie wysyłaj poczty bez informacji o jej przeznaczeniu lub
bez stosowania odpowiednich zabezpieczeń (podpisu elektronicznego, szyfrowania itp.).
Zarządzanie incydentami: Zarządzanie incydentami:
Incydenty powinny być zgłaszane:➢ Pocztą elektroniczną na specjalny adres➢ Telefonicznie na określony numer➢ Anonimowo (skrzynki uwag)
Zgłaszane powinny być zarówno incydentyzwiązane z IT – atak wirusowy, spam, hackingjak i nie związane bezpośrednio z IT – np.ruch nieznanych osób, blokada samozamykaczydrzwi, wykorzystywanie nośników przenośnych...
Informacji o incydentach nie należy upowszechniać W żadnym przypadku nie wolno zapobiegać zgłoszeniu incydentu
Odpowiedzialność użytkownika Odpowiedzialność użytkownika
➢ Dbałość o aktualność oprogramowania zabezpieczającego➢ Zabezpieczenie systemu podczas nieobecności przy stanowisku➢ Przechowywanie komputera przenośnego i nośników danych
w zamykanych szafach➢ Zachowanie najwyższej ostrożności podczas korzystania
z komputera przenośnego poza Organizacją➢ Zabezpieczenie komputera przenośnego przed utratą lub kradzieżą➢ Zabezpieczenie ekranu komputera przez możliwością odczytania
informacji (np. podczas pracy w pociągu lub samolocie)➢ Upewnienie się, że istotne aktywa informacyjne są należycie
chronione➢ Znajomość prawa związanego z ochroną informacji, własności
intelektualnej, danych osobowych itp.➢ Weryfikowanie autentyczności poczty elektronicznej otrzymywanej
z nieznanych adresów sieciowych➢ Wyłączanie zasilania komputera po zakończeniu pracy,➢ Doskonalenie własnej wiedzy o ochronie informacji
Przeszkoleni i świadomi użytkownicy Przeszkoleni i świadomi użytkownicy gwarantują skuteczniejszą ochronę gwarantują skuteczniejszą ochronę
informacjiinformacji
niż najlepsze programy zabezpieczające!niż najlepsze programy zabezpieczające!