System Zarządzania Bezpieczeństwem Informacji w...

Bezpieczeństwo informacji

– jak i co chronimy

Warszawa, 26 stycznia 2017


Bezpieczeństwo – stan, proces

Szacowanie ryzyka

Normy …

System Zarządzania Bezpieczeństwem Informacji

wg ISO/IEC 27001

J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017


Big Data

Do lat dziewięćdziesiątych XX w. ludzkość wytworzyła

1 zettabajt danych.

Do 2020 r. stworzymy 32 zettabajty…

Luciano Floridi – profesor filozofii i etyki informacji na

Uniwersytecie w Oksfordzie

(Doradca Google’a w sporze o prawo bycia zapomnianym)



Big Data

"Obecnie aż 5 proc. globalnej produkcji energii elektrycznej

jest pochłaniane przez takie centra IT, a wkrótce wzrośnie to

do 7 proc." - informuje kierownik badań dr hab. Andrzej

Stupakiewicz z Wydziału Fizyki UwB. Zwraca uwagę, że

przy zapisie wydzielają się spore ilości ciepła - na tyle duże,

że aby chronić dane, trzeba zużywać dodatkową energię na

chłodzenie urządzeń. /PAP – Nauka w Polsce/



Wg PwC:

udział wydatków na zabezpieczenia w budżecie IT wyniósł w 2015 r. 19% (w Polsce – 10%)

91% firm na świecie przyjęło jakiekolwiek sformalizowane zasady bezpieczeństwa (w Polsce – 46%)

5% polskich firm straciło łącznie min. 1 mln zł z powodu cyberataków w 2015 r.

GW z 13.01.2016 r.



Big Data?

Bug data?



Skąd wiemy, czy bezpieczeństwo informacji

jest zapewnione przez naszego kontrahenta,

podwykonawcę, itp.?



Bezpieczeństwo informacji (2.19) to zachowanie

poufności (2.9),

integralności (2.25) i

dostępności (2.7) informacji

Dodatkowo można brać pod uwagę inne własności, takie jak:

autentyczność (2.6),

rozliczalność (2.2),

niezaprzeczalność (2.27)

niezawodność (2.33)(ISO/IEC 27000:2012)



2.3

aktywa

wszystko, co ma wartość dla organizacji

2.18

aktywa informacyjne

wiedza lub dane, które posiadają wartość dla organizacji

(PN-ISO/IEC 27000:2012)



2.26

system zarządzania

struktura polityk (2.28), procedur (2.30), wytycznych

(2.16) i związanych zasobów służących do osiągnięcia

celów organizacji

(ISO/IEC 27000:2012)



3.2.3 Bezpieczeństwo informacji

Bezpieczeństwo informacji obejmuje trzy główne atrybuty:

poufność, dostępność i integralność. Biorąc pod uwagę cel,

jakim jest zapewnienie nieprzerwanego sukcesu i ciągłości

biznesu oraz minimalizacja skutków, bezpieczeństwo

informacji polega na zastosowaniu i zarządzaniu właściwymi

środkami zabezpieczeń, co z kolei polega na rozpatrzeniu

szerokiej gamy zagrożeń.(ISO/IEC 27000:2012)



3.2.3 Bezpieczeństwo informacji (c.d.)

Bezpieczeństwo informacji jest osiągalne poprzez wdrożeniewłaściwego zbioru zabezpieczeń, wyselekcjonowanych wtrakcie wybranego procesu zarządzania ryzykiem izarządzanego poprzez SZBI, włączając w to polityki, procesy,procedury, struktury organizacyjne, oprogramowanie i sprzęt doochrony zidentyfikowanych aktywów informacyjnych. Tezabezpieczenia powinny być określone, wdrożone,monitorowane, przeglądane i doskonalone, tam gdzie jest tokonieczne, w celu zapewnienia, że określone cele biznesowe icele bezpieczeństwa organizacji zostaną osiągnięte

(ISO/IEC 27000:2012)



2.23

system zarządzania bezpieczeństwem informacji SZBI

część całościowego systemu zarządzania (2.26), opartana podejściu wynikającym z ryzyka biznesowego,odnosząca się do ustanawiania, wdrażania, eksploatacji,monitorowania, utrzymywania i doskonaleniabezpieczeństwa informacji (2.19)

(ISO/IEC 27000:2012)



Kodeks pracy - art. 100 § 1 pkt 4

- każdy pracownik ma obowiązek zachowania tajemnicy

pracodawcy z mocy prawa niezależnie od zapisów umowy

o pracę, regulaminu pracy itd.

Ustawa o zwalczaniu nieuczciwej konkurencji

Kodeks karny - art


PN-I-13335-1


Strategia bezpieczeństwa

Jakie zasoby chronić?

Identyfikacja zasobów krytycznych

Przed jakimi zagrożeniami?

Identyfikacja zagrożeń

Jakie nakłady możemy ponieść na ochronę (czas, koszty finansowe, …)

Zapewnienie zasobów finansowych, ludzkich,

(oszacowanie ryzyka, analiza kosztów i zysków)


Szacowanie ryzyka

• Niezbędne dokumenty

Katalog aktywów (w tym informacyjnych)

Katalog podatności

Katalog zagrożeń

Katalog zabezpieczeń

Katalog procesów

No i oczywiście metodyka szacowania ryzyka…

PN-ISO/IEC 27005:2014-01

(PN-ISO 31000:2012 Zarządzanie ryzykiem – Zasady i wytyczne)


Szacowanie ryzyka

Wybór zabezpieczeń zależy od decyzji organizacjiopartych na kryteriach akceptowania ryzyka, wariantówpostępowania z ryzykiem oraz od ogólnego podejściado zarządzania ryzykiem wprowadzonego worganizacji. Zaleca się, aby uwzględniał on wszystkieodpowiednie krajowe i międzynarodowe przepisyprawne i regulacje. Wybór zabezpieczeń zależyrównież od sposobu, w jaki one współdziałają dlazapewnienia głębokiej ochrony.

PN-ISO/IEC 27002:2014-12


Podstawowy zbiór dokumentów normalizacyjnych

niezbędny do budowy SZBI

Numer normy Tytuł Zawartość

PN-ISO/IEC 27001

Technika informatyczna.

Techniki bezpieczeństwa.

Systemy zarządzania

bezpieczeństwem Informacji.

Wymagania.

Prezentuje model oraz

metodę ustanowienia,

wdrożenia, eksploatacji,

monitorowania, przeglądu,

utrzymania i doskonalenia

SZBI.

PN-ISO/IEC 27005

Technika informatyczna.

Techniki bezpieczeństwa.

Zarządzanie ryzykiem

związanym z bezpieczeństwem

informacji.

Zawiera wytyczne do

zarządzania ryzykiem

dotyczącym bezpieczeństwa

informacyjnego. Stanowi

rozwinięcie ogólnych

koncepcji opisanych w PN-

ISO/IEC 27001.





PN-ISO/IEC 27002

Technika informatyczna. Techniki

bezpieczeństwa. Systemy

zarządzania bezpieczeństwem

Informacji. Wymagania.

Przewodnik umożliwiający

opracowanie skutecznego SZBI.

Omawia cele stosowania

zabezpieczeń oraz opisuje

metody wdrażania zabezpieczeń

na podstawie oszacowanego

ryzyka. (133 zasady dot. BI)

PN-ISO/IEC 27006


bezpieczeństwa. Wymagania dla

jednostek prowadzących audyt i

certyfikację systemów zarządzania

bezpieczeństwem informacji.

Wymagania i wytyczne dla

jednostek prowadzących audyt i

certyfikację SZBI. Może być

stosowana do celów audytu

wewnętrznego SZBI.

ISO/IEC 27004Information technology – Security

techniques – Information security

management - Measurement

Wytyczne dotyczące rozwoju i

wykorzystywania środków

pomiaru w celu oceny

skuteczności wdrożenia SZBI





PN-ISO/IEC 24762


bezpieczeństwa. Wytyczne dla

usług odtwarzania techniki

teleinformatycznej po katastrofie.

Dostarcza wytyczne w zakresie

usług odtwarzania techniki

teleinformatycznej po katastrofie.

Obejmuje aspekty wdrożenia,

testowania i realizacji

odtwarzania po katastrofie. Nie

obejmuje innych aspektów

zarządzania ciągłością działania.

(BS 25999, ISO 22301,

Rekomendacja D GINB /UKNF/…





ISO/IEC 27018:2014

Information technology- Security

techniques-Code of practice for

protection of personally identifiable

information (PII) in public clouds

acting as PII processor.

Dotyczy bezpieczeństwa danych

osobowych w chmurze.


PN-EN 50600 Technika informatyczna – Wyposażenie i

infrastruktura centrów przetwarzania danych

PN-EN 60950 Urządzenia techniki informatycznej –

Bezpieczeństwo

ISO/IEC TR 18044 Information technology-Security

techniques-Information security incident management

PN-ISO/IEC TR 15947 Technika informatyczna-Techniki

zabezpieczeń-Struktura wykrywania włamań w

systemach teleinformatycznych

ISO/IEC TR 19791 (WD) Information technology-Security

techniques-Security assessment of operational systems

Inne normy warte uwagi przy budowie, wyborze data

center/serwerowni, i in.


Trzy źródła wymagań związanych z bezpieczeństwem

szacowanie ryzyka dotyczącego organizacji, z uwzględnieniemcałościowej strategii biznesowej i celów organizacji. Dziękiszacowaniu ryzyka można zidentyfikować zagrożenia dla aktywów,ocenić podatność na zagrożenia i prawdopodobieństwo ichwystąpienia oraz estymować potencjalne skutki;

przepisy prawne, regulacje, zobowiązania umowne, jakieorganizacja, jej partnerzy handlowi, kontrahenci oraz dostawcy usługmają wypełnić, oraz środowisko społeczno-kulturowe, w jakimfunkcjonują;

zbiór zasad, celów i wymagań dotyczących przetwarzania informacji,które organizacja wypracowała dla wsparcia swojej działalności.

PN-ISO/IEC 27002:2014-12

Dlaczego SZBI?


Dlaczego SZBI?

Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie

Krajowych Ram Interoperacyjności, minimalnych

wymagań dla rejestrów publicznych i wymiany informacji

w postaci elektronicznej oraz minimalnych wymagań dla

systemów teleinformatycznych.


Kompleksowe podejście do bezpieczeństwa informacji

Bezpieczeństwo

osobowe

Bezpieczeństwoinformatyczne

Technologie

Bezpieczeństwofizyczne

Informacje

Bezpieczeństwoprawne

Ludzie

Usługi

ISO 27001


Wymagania PN-ISO/IEC 27001:2014-12

Kontekst organizacji (pkt 4 normy)

• Zrozumienie organizacji i jej kontekstu

ISO 31000:2009, rozdz, 5.3

• Zrozumienie potrzeb i oczekiwań stron zainteresowanych

Wymagania stron zainteresowanych (np. organ nadzorujący, KE)

• Określenie zakresu SZBI

Udokumentowana informacja.

• System Zarządzania Bezpieczeństwem Informacji



Przywództwo (pkt 5 normy)

Zapewnienie dostępności zasobów potrzebnych w SZBI.

• Ustanowienie PBI

Udokumentowanie celów lub ram do ustanowienia bezpieczeństwa informacji, zapewnienie ciągłego doskonalenia.

• Przydzielenie odpowiedzialności i uprawnień

KSBI, IBSI, ABI, szef IT, szef administracji, pion bezpieczeństwa?



Planowanie (pkt 6 normy)

• Szacowanie ryzyka

Kryteria akceptacji, identyfikacja ryzyk, porównywalność

• Postępowanie z ryzykiem

Wybór opcji postępowania z ryzykiem (unikanie, akceptacja, minimalizacja, transfer, itd…) - PPR

Deklaracja Stosowania (Załącznik A)

ISO 31000:2009



Wsparcie (pkt 7 normy)

• Zapewnienie zasobów i kompetencji wykonujących czynności mogące mieć wpływ na b.i.

Szkolenia, mentoring, wsparcie specjalistów z zewnątrz

• Uświadamianie

Świadomość PBI, konsekwencji niezgodności z wymaganiami SZBI,

• Komunikacja

Formaty dokumentów, wersjonowanie, zatwierdzenie, nadzór



Działania operacyjne (pkt 8 normy)

• Planowanie i nadzorowanie procesów potrzebnych do spełnienia wymagań bezpieczeństwa informacji w oparciu o szacowanie ryzyka



Ocena wyników i Doskonalenie

(pkt 9 i 10 normy)

• Ocena wyników

Monitoringi, audyt wewnętrzny, przegląd zarządzania(tak jak w normie PN-EN ISO 9001), pomiaryskuteczności zabezpieczeń (ISO/IEC 27004)

• Doskonalenie

Reagowanie na niezgodności, działania korygujące, ciągłe doskonalenie


Dokumenty

• Polityka Bezpieczeństwa Informacji

• Procedury, polityki dziedzinowe, wytyczne

• Deklaracja Stosowania

• Procedury, polityki dziedzinowe, wytyczne

• System pomiaru (oceny) skuteczności zabezpieczeń (ISO/IEC 27004)

• Rejestr Incydentów Bezpieczeństwa Informacji

• Dokumentacja planów ciągłości działania


Praktyka codzienna•Instruktaże wstępne dla nowozatrudnionych, szkolenia

okresowe•Okresowe sprawdziany wiedzy pracowników•Monitorowanie przestrzegania zasad przez pracowników•Monitoringi serwerowni: CP i CZ•Analiza raportów z systemów bezpieczeństwa IT •Monitoringi umów z dostawcami produktów i usług •Monitoringi zarządzania podatnościami technicznymi•Analiza incydentów•Audyty SZBI•Przeglądy zarządzania

System Zarządzania Bezpieczeństwem Informacji


System Zarządzania Bezpieczeństwem Informacji w...

Documents

Transcript of System Zarządzania Bezpieczeństwem Informacji w...