System ZarządzaniaBezpieczeństwem Informacji

Na podstawie materiałów ISO27001Security Opracował Tomasz Barbaszewski

Informacja, podobnie jak inne ważne aktywaOrganizacji jest niezbędna dla jej działaniaoraz stanowi dla niej wartość

-a więc powinna być odpowiednio chroniona!

BS ISO 27002:2005

Informacja może być:Informacja może być:

➢ Utworzona➢ Otrzymana➢ Składowana➢ Usunięta➢ Przetwarzana➢ Transmitowana➢ Wykorzystana (właściwie lub nie)➢ Uszkodzona➢ Zagubiona➢ Skradziona

Informacja może być:Informacja może być:➢ Wydrukowana lub zapisana na papierze➢ Przechowywana w pamięci masowej ➢ Transmitowana pocztą zwykłą lub elektroniczną➢ Prezentowana na urządzeniach video➢ Publikowana na stronach WWW➢ Przekazana ustnie

W każdym jednak przypadku, niezależnie od W każdym jednak przypadku, niezależnie od formy, jaką formy, jaką informacjainformacja przybiera oraz w jaki przybiera oraz w jaki sposób jest przekazywana lub składowanasposób jest przekazywana lub składowanawymaga odpowiedniej ochrony!wymaga odpowiedniej ochrony!

ISO/IEC 27002 (17799)

Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?

➢ Zapewnieniem odpowiedniej jakości informacji

➢ Bezpieczeństwo informacji można osiągnąć stosującróżne strategie

➢ Wykorzystywane strategie powinny się wzajemnieuzupełniać

➢ Celem bezpieczeństwa informacji jest zabezpieczenierealizacji istotnych procesów przez Organizację

Bezpieczeństwa nie można kupić - Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu! o bezpieczeństwo trzeba zadbać samemu!

Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?

Bezpieczeństwa nie można kupić - Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu! o bezpieczeństwo trzeba zadbać samemu!

➢ Bezpieczeństwo informacji może zapewnić jedynie architektura, w której urządzenia, systemy, programy,wykrywanie podatności i zagrożeń współpracują ze sobą.

➢ Bezpieczeństwo nie może zasypiać! ➢

➢ Dotyczy Ludzi, Procesów, Technologii i wykorzystuje polityki i procedury

➢

➢ Celem jest bezpieczeństwo LPT – a nie sprzętu !

Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?

Ludzie Procesy

Technologie

Bezpieczeństwoinformacji

Ludzie – czyli kim jesteśmy?Ludzie – czyli kim jesteśmy?

Z informacją mają do czynienia:

➢ Akcjonariusze, właściciele, politycy➢ Kadra zarządzająca➢ Pracownicy➢ Partnerzy➢ Dostawcy usług➢ Podwykonawcy➢ Klienci, petenci, pacjenci...➢ Prawnicy...

Procesy – czyli co robimy?Procesy – czyli co robimy?

Procesy to zestaw praktyk i procedur, które realizujemyeksploatując system teleinformatyczny

➢ System pomocy dla użytkowników (Help Desk)➢ Zarządzanie dostępem do usług➢ Raportowanie incydentów i zarządzanie nimi➢ Zarządzanie dostępem➢ Zarządzanie tożsamością➢ Kontrola spełnienia wymagań prawnych➢ Szkolenia...

Technologie – czyli czego używamy?Technologie – czyli czego używamy?

➢ OprogramowanieSystemy operacyjne, programy komunikacyjne, użytkowe(ogólnego przeznaczenia i specjalistyczne)Oprogramowania jako usługi (SaaS)

➢ Zabezpieczenia fizyczneElektroniczne systemy dostępu, klucze, karty, czytnikibiometryczne, kamery monitorujące...Zabezpieczenia środowiskowe: systemy P-Poż, wentylacja,klimatyzacja, zasilanie awaryjne..

➢ Urządzenia dostępoweKomputery PC, Notebooki, Netbooki, PDA, SmarfonyTerminale, stacje sieciowe, stacje WWW, infokioskiAparaty cyfrowe, drukarki, skanery, kopiarki...

Bezpieczeństwo informacji: Bezpieczeństwo informacji:

1. Zabezpiecza informację przed zagrożeniami2. Zapewnia ciągłość działania Organizacji3. Minimalizuje straty finansowe4. Wpływa na zwrot kosztów inwestycji5. Zwiększa możliwości Organizacji

Przetrwanie Organizacji zależy od zapewnieniabezpieczeństwa informacji

Bezpieczeństwo informacji powinno zapewnić: Bezpieczeństwo informacji powinno zapewnić:

PoufnośćPoufność

IntegralnośćIntegralność

DostępnośćDostępność

Informacja jest dostępna tylko tymużytkownikom, którzy otrzymali

odpowiednie uprawnienia

Informacja jest kompletna, niezostała w sposób niekontrolowany

zmieniona i jest wiarygodna

Uprawnieni użytkownicy majązapewniony dostęp do informacji

kiedy jej potrzebują (24x7)

ISO 27002:2005

Naruszenie bezpieczeństwa informacjiNaruszenie bezpieczeństwa informacjiprowadzi do: prowadzi do:

➢ Utraty reputacji➢ Strat finansowych➢ Utraty kontroli nad własnością intelektualną➢ Problemów prawnych (dane osobowe itp.)➢ Utraty zaufania u klientów, partnerów, petentów...➢ Kosztów związanych z przerwami w działalności

straty dobrej opiniistraty dobrej opinii

Bezpieczeństwo informacji to wyzwanieBezpieczeństwo informacji to wyzwanieorganizacyjne, a nie „problem informatyczny”organizacyjne, a nie „problem informatyczny”

Ponad 70% to zagrożenia wewnętrznePonad 70% to zagrożenia wewnętrzne

Ponad 60%winowajców dopuściło się naruszeniaPonad 60%winowajców dopuściło się naruszeniaprocedur bezpieczeństwa po raz pierwszyprocedur bezpieczeństwa po raz pierwszy

Największe ryzyko: LudzieNajwiększe ryzyko: Ludzie

Najważniejszy kapitał: LudzieNajważniejszy kapitał: Ludzie

Zagrożenie Podatność

RYZYKO Informacja

WartośćWymagania

zabezpieczeń

Działanie

wykorzystuje

zwiększa zwiększa

zwiększa

zagraża

posiadaokreślawymusza

zabezpiecza

redukuje

Zagrożenie:Zagrożenie:

CzłowiekCzłowiek

MaszynaMaszyna

NaturaNatura

Utrata:Utrata:

PoufnościPoufności

IntegralnościIntegralności

DostępnościDostępności

Zagrożenia i ich skutkiZagrożenia i ich skutki

Zagrożenia mogą być przypadkowe lub powodowanecelowo. Jedynie zagrożenia powodowane przez ludziMogą być zarówno przypadkowe, jak i celowe.

Zagrożenia i ich źródłaZagrożenia i ich źródłaZagrożenie Przykłady

Błędy i pomyłki ludzkie Brak wiedzy, przeszkolenia, przypadki

Naruszenia praw autorskich Piractwo, przekraczanie licencji

Szpiegostwo lub kradzież danych Nieautoryzowany dostęp, kradzieże

Nieuprawnione korzystanie z informacji Szantaż, publikacja informacji

Sabotaż i wandalizm Uszkodzenie sprzętu lub/i informacji

Kradzieże Kradzież sprzętu, nośników z danymi

Ataki programistyczne Wirusy, konie trojańskie, blokada dostępu

Zakłócenia w dostawie usług Zasilanie, transmisja danych

Siły natury Ogień, powódź, huragan

Defekty sprzętowe i programowe Błędy w kodach, uszkodzenia

Błędy eksploatacyjne Brak aktualizacji, kontroli baterii

Normy SZBI:Normy SZBI:

PN-ISO/IEC 27001Technika informatyczna → Techniki bezpieczeństwa →Systemy zarządzania bezpieczeństwem informacji →Wymagania

PN-ISO/IEC 17799 (ISO 27002)Technika informatyczna → Techniki bezpieczeństwa →Praktyczne zasady zarządzania bezpieczeństwemInformacji

Norma ISO 27001 obejmuje ogółem 133 punkty kontrolnepodlegające sprawdzeniu podczas certyfikacji. ISO 27002(w Polsce 17799) zalecenia obejmujące 11 obszarów.

11 11 obszarów SZBI:obszarów SZBI:

Politykabezpieczeństwa

informacjiOrganizacja

bezpieczeństwainformacji

Zarządzanieaktywami

Zarządzaniezasobamiludzkimi

Bezpieczeństwofizyczne

Zarządzanieoperacjami

i komunikacją

Kontroladostępu

Akwizycja, eksploatacja

i modernizacja

Zarządzanieincydentami

Planowanieciągłości działania

Zgodnośćz prawem

INFORMACJA

Poufność Integralność

Dostępność

Polityka bezpieczeństwaPolityka bezpieczeństwa

Podlega zatwierdzeniu przezZarząd Organizacji

➢ Powinna być dostępna dla pracowników Organizacji(np. opublikowana w Intranecie),

➢ Określa:- co jest przedmiotem ochrony,- metody ochrony krytycznych zasobów,- odwołuje się do polityk szczegółowych,- procedury postępowania,- deklarację stosowania.

Księga bezpieczeństwaKsięga bezpieczeństwaDokument wewnętrzny o układziezgodnym z Załącznikiem A normyPN-ISO/IEC 27001

➢ Jest podzielona na rozdziały odpowiadające obszaromzdefiniowanym przez normę.

➢ Określa stanowisko Organizacji, zastosowane mechanizmy zabezpieczające oraz wyłączenia.

➢ Ułatwia wewnętrzną organizację systemu zarządzaniabezpieczeństwem informacji.

➢ Zawiera odwołania do dokumentów zawierającychpostanowienia i procedury SZBI.

Klasyfikacja informacjiKlasyfikacja informacji

Klasyfikacja informacji jest niezbędna do jej ochrony

➢ Informacje poufne - o zasadniczym znaczeniu dlaorganizacji, dostępne tylko dla osób, którym są niezbędne do realizacji zadań.

➢ Do użytku wewnętrznego – istotne dla działania organizacji, udostępniane bez ograniczeń dla pracowników Organizacji lub na podstawie porozumień o zachowaniu poufności.

➢ Publiczne – udostępniane bez ograniczeń, przeznaczone do nieograniczonej publikacji.

Klasyfikacja informacjiKlasyfikacja informacji

Informacja

Dostępność Integralność Poufność

1 2 3 1 2 3 1 2 3

Atrybutom jakości informacji przypisujemywartości – niską, średnią i wysoką

Zarządzanie zasobami ludzkimiZarządzanie zasobami ludzkimi

➢ Pracownicy Organizacji- określenie ról i odpowiedzialności

➢ Partnerzy z zawartymi porozumieniamio poufności

➢ Podwykonawcy, dostawcy, odbiorcy

➢ Klienci, petenci...

Ochrona informacji wymaga selektywnej dystrybucji

Kontrola dostępu - Kontrola dostępu - - - ochrona fizyczna ochrona fizyczna

➢ Przestrzegaj ustalonych procedur dostępu➢ Zawsze noś identyfikator lub kartę dostępu➢ Zwracaj uwagę na osoby bez identyfikatorów➢ Przyjmuj gości i interesantów jedynie w wyznaczonych

pomieszczeniach

➢ Nie wprowadzaj obcych osób do chronionychpomieszczeń bez istotnej potrzeby i zezwolenia

➢ Nie wynoś nośników z informacją poza strefychronione

➢ Nie rób zbędnych kopii informacji „na wszelkiwypadek”

➢ Nie wnoś do stref chronionych nośników danychpamięci USB, przenośnych dysków twardych itp.

Kontrola dostępu - Kontrola dostępu - - - ochrona haseł ochrona haseł

➢ Stosuj hasła zawierające znaki specjalne - @,$,&,~ itp.➢ Używaj haseł, które możesz łatwo zapamiętać➢ Zmieniaj hasła dostępu zgodnie z zaleceniami➢ Przy zmianie hasła nie używaj haseł, których używałeś

poprzednio.

➢ Nie używaj haseł słownikowych lub łatwych doodgadnięcia przez osoby, które Cię znają

➢ Nigdy nie zapisuj haseł oraz nie przechowuj ichbez zachowania reguł bezpieczeństwa (np. w telefoniekomórkowym)

➢ Nie przekazuj haseł w żaden sposób. Dla potrzeb serwisowych używaj haseł tymczasowych.

➢ Nie używaj haseł odrzuconych przez system podczasweryfikacji ich złożoności.

Kontrola dostępu - Kontrola dostępu - - - korzystanie z Internetu korzystanie z Internetu

➢ Korzystaj z Internetu wyłącznie do celów służbowych

➢ Nie zestawiaj dodatkowych połączeń z Internetem(np. telefonicznych połączeń modemowych)

➢ Nie korzystaj z materiałów obscenicznych itp.➢ Nie korzystaj z serwisów aukcyjnych jeśli nie należy

to do Twoich obowiązków służbowych➢ Nie używaj Internetu w celu uzyskania nieuprawnionego

dostępu do innych komputerów➢ Nie kopiuj z sieci żadnych programów, nie instaluj ich

na swoim komputerze. Czynności te może realizować jedynie dział IT.

Korzystanie z E-mail: Korzystanie z E-mail:

➢ Służbowe konto E-mail może być używane wyłączniedo celów służbowych

➢ Przechowuj pocztę elektroniczną zgodnie z procedurami➢ W przypadku otrzymania niechcianej poczty poinformuj

o tym administratora serwera oraz bezpieczeństwa

➢ Nie używaj służbowego konta E-mail do celów prywatnych➢ Nie wysyłaj korespondencji seryjnej bez polecenia

przełożonych➢ Nie wysyłaj poczty elektronicznej do klientów jeśli nie

należy to do Twoich obowiązków➢ Nie otwieraj żadnych załączników poczty otrzymanej

od nieznanych nadawców➢ Nie wysyłaj poczty bez informacji o jej przeznaczeniu lub

bez stosowania odpowiednich zabezpieczeń (podpisu elektronicznego, szyfrowania itp.).

Zarządzanie incydentami: Zarządzanie incydentami:

Incydenty powinny być zgłaszane:➢ Pocztą elektroniczną na specjalny adres➢ Telefonicznie na określony numer➢ Anonimowo (skrzynki uwag)

Zgłaszane powinny być zarówno incydentyzwiązane z IT – atak wirusowy, spam, hackingjak i nie związane bezpośrednio z IT – np.ruch nieznanych osób, blokada samozamykaczydrzwi, wykorzystywanie nośników przenośnych...

Informacji o incydentach nie należy upowszechniać W żadnym przypadku nie wolno zapobiegać zgłoszeniu incydentu

Odpowiedzialność użytkownika Odpowiedzialność użytkownika

➢ Dbałość o aktualność oprogramowania zabezpieczającego➢ Zabezpieczenie systemu podczas nieobecności przy stanowisku➢ Przechowywanie komputera przenośnego i nośników danych

w zamykanych szafach➢ Zachowanie najwyższej ostrożności podczas korzystania

z komputera przenośnego poza Organizacją➢ Zabezpieczenie komputera przenośnego przed utratą lub kradzieżą➢ Zabezpieczenie ekranu komputera przez możliwością odczytania

informacji (np. podczas pracy w pociągu lub samolocie)➢ Upewnienie się, że istotne aktywa informacyjne są należycie

chronione➢ Znajomość prawa związanego z ochroną informacji, własności

intelektualnej, danych osobowych itp.➢ Weryfikowanie autentyczności poczty elektronicznej otrzymywanej

z nieznanych adresów sieciowych➢ Wyłączanie zasilania komputera po zakończeniu pracy,➢ Doskonalenie własnej wiedzy o ochronie informacji

Przeszkoleni i świadomi użytkownicy Przeszkoleni i świadomi użytkownicy gwarantują skuteczniejszą ochronę gwarantują skuteczniejszą ochronę

informacjiinformacji

niż najlepsze programy zabezpieczające!niż najlepsze programy zabezpieczające!