PLNOG 13: Piotr Wojciechowski: Security and Control Policy

POLITYKI BEZPIECZEŃSTWA I KONTROLI Piotr Wojciechowski (CCIE #25543)

ABOUT ME ¢ Senior Network Engineer MSO at VeriFone Inc. ¢ Previously Network Solutions Architect at one of top

polish IT integrators ¢ CCIE #25543 (Routing & Switching) ¢ Blogger – http://ccieplayground.wordpress.com ¢ Administrator of CCIE.PL board

�  The biggest Cisco community in Europe �  Over 7500 users �  3 admin, 5 moderators �  58 polish CCIEs as members, 20 of them actively posting �  About 150 new topics per month �  About 1000 posts per month �  English section available

AGENDA ¢ Czym jest polityka bezpieczeństwa? ¢ Realizacja polityki bezpieczeństwa w IT ¢ Wdrażanie polityki bezpieczeństwa ¢ Audyty ¢  Jak stworzyć efektywną politykę bezpieczeństwa?

CZYM JEST POLITYKA BEZPIECZEŃSTWA?

CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Polityka bezpieczeństwa jest:

�  Zbiorem spójnych, precyzyjnych reguł i procedur wg których dana organizacja buduje, zarządza oraz udostępnia zasoby

�  Określa chronione zasoby �  Dokumentem zgodnym z prawem

CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Co obejmuje polityka bezpieczeństwa:

�  Całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy

�  Nie ogranicza się jedynie do sieci komputerowej czy systemów lecz obejmuje całość działania i procesów, które następują w firmie

�  Jest to dokument spisany �  Jest dokumentem specyficznym dla każdej korporacji –

nie ma ogólnego szablonu gotowego do zastosowania �  Musi być dokumentem znanym pracownikom

CYKL ŻYCIA POLITYKI BEZPIECZEŃSTWA

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢  6 podstawowych polityk definiujących pracę działu

IT oraz osób korzystających z infrastruktury IT ¢ Odpowiedni podział obowiązków w szczególności

nadzoru i kontroli spełnienia wymogów opisanych w polityce bezpieczeństwa

¢ Regularne audyty

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka dostępu do Internetu

�  Czy użytkownicy są uprawnieni do korzystania z Internetu w celach prywatnych?

�  Czy użytkownicy mogą sami ściągać i instalować oprogramowanie?

�  Jakie aplikacje są niezbędne do prawidłowego działania korporacji i z jakich zasobów muszą korzystać?

�  Jak mają być zabezpieczone komputery mające dostęp do Internety?

�  Etc…

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka kontroli email i mediów społecznościowych

�  Bardzo prosta metoda wycieku informacji poufnych �  Kontrola potencjalnego wycieku informacji �  Ochrona wizerunku firmy �  Pracownicy muszą być świadomi, że treść wiadomości

może być monitorowana

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola kluczy

�  O fizycznych kluczach do drzwi i kłódek zapomina się często w epoce dwustopniowego uwierzytelniania

�  Kto ma klucze do szafy w serwerowni w chwili obecnej? �  Ile jest kompletów kluczy do każdego z pomieszczeń? �  Kto może pobrać klucze? �  W jaki sposób kontrolujemy czy klucze nie opuszczają

budynku celem wykonania kopi?

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola urządzeń mobilnych

�  Nowoczesne urządzenia przechowują często więcej wrażliwych informacji niż komputery pracowników

�  Mobilne urządzenia są łatwym punktem, przez który zagrożenie może przeniknąć do sieci

�  Jakie urządzenia mobilne są dozwolone w naszej sieci? �  Jaką konfigurację na nich wymuszamy? �  Etc…

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola dostępu dla gości

�  Polityka dotycząca postępowania z gośćmi w budynkach biurowych i data center ¢  Punkt rejestracji gości ¢  Wymóg towarzyszenia gościom w wyznaczonych strefach ¢  Identyfikatory gościa

�  Odseparowana sieć WLAN dla gości z limitowanym dostępem do Internetu

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Non-Disclosure Agreement (NDA)

�  Jasno zakomunikowana polityka pracownikom �  Jasne określenie, że ochrona informacji dotyczy zarówno

komunikacji werbalnej jak i emaili, narzędzi społecznościowych czy komunikatorów

�  Podpisanie NDA przez każdego z pracowników

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Scenariusz nierealny – polityka powstaje wraz z

uruchomieniem i rozwojem firmy ¢ Scenariusz prawdziwy – potrzeba biznesowa

wymusza stworzenie spójnej polityki bezpieczeństwa

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Kluczowe elementy polityki bezpieczeństwa

�  Bezpieczeństwo fizyczne budynków i urządzeń �  Bezpieczeństwo informacji �  Wykrywanie i przeciwdziałanie nadużyciom �  Wykrywanie oszustw �  Zarządzanie ryzykiem �  Business Continuity Planning (BCP) �  Zarządzanie w sytuacjach kryzysowych

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Chronione informacje i procesy najlepiej podzielić

na kategorie, które prościej będzie opisywać w dokumentach, na przykład: �  Grupy użytkowników lub procesów – marketing, dział

sprzedaży, administracja, księgowość itp. �  Technologie – sieci, systemy, storage, backup �  Cykl życia produktu – deployment, QA, production,

support �  Elementy wewnętrzne i zewnętrzne – intranet, extranet,

WWW, VPN

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Gdy zidentyfikujemy obszary których ochronę

polityka bezpieczeństwa ma opisywać powinniśmy określić grupy użytkowników, którzy wymagają dostępu do informacji by wykonywać swoją pracę.

¢ Gdy określimy niezbędne zasoby przeprowadzamy analizę ryzyka związaną z wykradzeniem, uszkodzeniem lub zniszczeniem informacji

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Analiza ryzyka

�  Skomplikowany proces zależny od formy prowadzonego biznesu

�  Powinien zawierać potencjalne scenariusze, które mogą zagrozić prowadzonemu biznesowi i szacować koszty, które firma poniesie, gdyby scenariusz się zrealizował

�  Powinien zawierać szacunek trzech scenariuszy: ¢  Expected ¢  Worst-case ¢  Best-case

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Polityka bezpieczeństwa, procedury czy wdrażane

technologie muszą być adekwatne do ryzyka, prowadzonego biznesu oraz dostępnych środków na ich wdrożenie i utrzymanie

¢ Analiza ROI pozwala określić, czy koszt wdrożenia danego rozwiązania nie przekracza kosztu scenariusza worst-case utraty danych

AUDYTY

AUDYTY ¢ Czym jest audyt?

�  Proces ocenienia czy przyjęta polityka bezpieczeństwa odpowiednio chroni zasoby informacyjne korporacji

�  Proces weryfikacji odpowiedniego wdrożenia i przestrzegania przyjętej polityki

�  Trzy główne obszary analizy: ¢  Audyt techniczny ¢  Ochrona fizyczna ¢  Proces zarządzania informacją

�  Testy penetracyjne to nie audyt!

AUDYTY ¢ Audyty mogą być wewnętrzne lub zewnętrzne ¢ Audyty zewnętrzne najczęściej przeprowadzane na

potrzeby uzyskania certyfikacji produktu, wdrożenia lub procesu.

¢ Ma na celu pokazanie słabości polityk bezpieczeństwa i pozwolić poprawić znalezione błędy

¢ Wykorzystywane są narzędzia automatyzujące proces ale rola audytora jest bardzo ważna

¢  4 etapy przeprowadzania audytu

AUDYTY ¢ Etap I – przygotowanie

�  Wyspecyfikowanie obszarów audytu �  Zebranie dokumentacji o procesach �  Zebranie informacji o strukturze korporacji i

stanowiskach �  Zebranie informacji o zasobach sprzętowych i

programowych �  Zapoznanie się z politykami i procedurami �  Etc…

AUDYTY ¢ Etap II – ustalenie celów audytu

�  Weryfikacja procedur związanych z krytycznymi systemami

�  Weryfikacja świadomości pracowników �  Weryfikacja procesu współpracy z podmiotami

zewnętrznymi �  Proces kontroli zmian �  Business continuity �  Etc…

AUDYTY ¢ Etap III – zbieranie danych do audytu

�  Rozmowa z pracownikami �  Przegląd logów systemowych �  Weryfikacja wdrożenia procedur w życie �  Kontrola fizyczna obiektów czy sprzętu �  Kontrola procedur backupu i odzyskiwania danych �  Kontrola procesu niszczenia nośników �  Etc…

AUDYTY ¢ Etap IV – analiza danych i raport końcowy

�  Podsumowanie zebranych danych �  Wyspecyfikowanie obszarów wymagających poprawy �  Wyspecyfikowanie zaleceń do poprawy �  Wykazanie obszarów niezgodności ze standardami pod

kątem których audyt był przeprowadzany �  Etc…

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA?

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Czym jest efektywna polityka bezpieczeństwa?

�  Wiele kryteriów zależnych od charakteru prowadzonego biznesu

�  Szczegółowe wytyczne muszą uwzględniać strukturę korporacji i podział obowiązków

�  Nie może być oderwana od rzeczywistości

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium I

Polityka bezpieczeństwa odpowiednio definiuje cele bezpieczeństwa przedsiębiorstwa minimalizując

ryzyko operacyjne

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium II

Polityka bezpieczeństwa odpowiednio zabezpiecza przedsiębiorstwo przed naruszeniami polityki i

działaniami prawnymi osób trzecich

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium III

Polityka bezpieczeństwa została przedstawiona pracownikom (także kontraktowym) pracującym na

różnych szczeblach hierarchii, jest przez nich zrozumiała a stosowanie nadzorowane przez

przełożonych

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada1

�  Wybierz i stosuj jedną prostą strukturę wszystkich dokumentów definiujących politykę bezpieczeństwa

¢  Trzy typu dokumentów – polityka globalna, standardy, procedury

¢  Jedna struktura – prościej pracować grupowo, prostszy w odbiorze przekaz dla czytelnika

¢  Ułatwia audyt i wdrożenie narzędzi bezpieczeństwa

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 2

�  Zapisz wszystko w dokumentach

¢  Nie zostawiaj miejsca na niedopowiedzenia czy interpretację


�  Przypisz odpowiedzialność za poszczególne zadania z zakresu bezpieczeństwa do konkretnych osób lub/i stanowisk

¢  Jasność co do odpowiedzialności konkretnych osób także w przypadku rotacji na stanowiskach

¢  Ułatwia zarządzanie dokumentem i jego aktualizację ¢  Wskazane osoby są także odpowiedzialne za egzekwowanie

przestrzegania polityki bezpieczeństwa od swoich podwładnych ¢  Audyty oparte o ISO17799 czy COBIT wymagają jasnego

przypisania ról


�  Zastosuj jeden z dostępnych szablonów zgodnych z ISO nieznacznie go modyfikując

¢  ISO-IEC 17799:2005 dostarcza podział na 10 domen bezpieczeństwa możliwy do wdrożenia w każdej korporacji

¢  Podział na domeny bezpieczeństwa ułatwia przeprowadzanie audytów spójności i kompletności stworzonych polityk


�  Przeprowadzaj analizę ryzyka

¢  Polityka bezpieczeństwa powinna zawierać informację jak często i w jaki sposób analiza ryzyka jest przeprowadzana

¢  Analiza ryzyka pozwala oszacować jaki poziom bezpieczeństwa jest odpowiedni dla korporacji

¢  Dokument końcowy powinien zawierać informacje kto akceptuje ryzyko, kto akceptuje wyjątki, jak długo one powinny trwać, jakie narzędzia kontroli należy wdrożyć


�  Komunikuj politykę bezpieczeństwa jasno i regularnie

¢  Często pięta achillesowa całego procesu J ¢  Pracownicy powinni nie tylko być informowani o zmianach ale

potwierdzić zapoznanie się z nimi ¢  Pracownicy i kontraktorzy muszą być świadomi i rozumieć

swoją rolę w przestrzeganiu polityki bezpieczeństwa ¢  Szkolenia z zakresu polityk bezpieczeństwa dla pracowników


�  Zdefiniuj proces reakcji na naruszenie polityki bezpieczeństwa i procedur

¢  Zdefiniuj czym jest naruszenie polityki ¢  Załącz procedurę raportowania naruszenia polityki oraz

postępowania w takim przypadku ¢  Powiadom pracowników o ścieżce postępowania i możliwych

konsekwencjach


�  Przeprowadzaj audyty polityk bezpieczeństwa

¢  Regularny audyt jest wymogiem nie tylko standardów ale i dobrej praktyki

¢  Dla standardów i procedur stwórz scenariusze testowe pozwalające sprawdzić je w praktyce

¢  Audyt techniczny nie jest zadaniem skomplikowanym, audyt ludzi może być nie lada wyzwaniem


�  Automatyzuj procesy

¢  Ułatwia audyt i utrzymanie spójności polityki bezpieczeństwa ¢  Automatyzacja narzędzi dystrybucji procedur bezpieczeństwa ¢  Automatyzacja weryfikacji zapoznania się ze zmianami ¢  Automatyzacja weryfikacji wdrożenia szablonów ¢  Etc etc etc


�  Czy wiesz gdzie jest najsłabsze ogniwo?

QUESTIONS?

THANK YOU

PLNOG 13: Piotr Wojciechowski: Security and Control Policy

Internet

Transcript of PLNOG 13: Piotr Wojciechowski: Security and Control Policy