System Zarządzania Bezpieczeństwem · PDF fileInformacja, podobnie jak inne ważne aktywa...
Transcript of System Zarządzania Bezpieczeństwem · PDF fileInformacja, podobnie jak inne ważne aktywa...
System ZarządzaniaBezpieczeństwem Informacji
Na podstawie materiałów ISO27001Security Opracował Tomasz Barbaszewski
Informacja, podobnie jak inne ważne aktywaOrganizacji jest niezbędna dla jej działaniaoraz stanowi dla niej wartość
-a więc powinna być odpowiednio chroniona!
BS ISO 27002:2005
Informacja może być:Informacja może być:
➢ Utworzona➢ Otrzymana➢ Składowana➢ Usunięta➢ Przetwarzana➢ Transmitowana➢ Wykorzystana (właściwie lub nie)➢ Uszkodzona➢ Zagubiona➢ Skradziona
Informacja może być:Informacja może być:➢ Wydrukowana lub zapisana na papierze➢ Przechowywana w pamięci masowej ➢ Transmitowana pocztą zwykłą lub elektroniczną➢ Prezentowana na urządzeniach video➢ Publikowana na stronach WWW➢ Przekazana ustnie
W każdym jednak przypadku, niezależnie od W każdym jednak przypadku, niezależnie od formy, jaką formy, jaką informacjainformacja przybiera oraz w jaki przybiera oraz w jaki sposób jest przekazywana lub składowanasposób jest przekazywana lub składowanawymaga odpowiedniej ochrony!wymaga odpowiedniej ochrony!
ISO/IEC 27002 (17799)
Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?
➢ Zapewnieniem odpowiedniej jakości informacji
➢ Bezpieczeństwo informacji można osiągnąć stosującróżne strategie
➢ Wykorzystywane strategie powinny się wzajemnieuzupełniać
➢ Celem bezpieczeństwa informacji jest zabezpieczenierealizacji istotnych procesów przez Organizację
Bezpieczeństwa nie można kupić - Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu! o bezpieczeństwo trzeba zadbać samemu!
Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?
Bezpieczeństwa nie można kupić - Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu! o bezpieczeństwo trzeba zadbać samemu!
➢ Bezpieczeństwo informacji może zapewnić jedynie architektura, w której urządzenia, systemy, programy,wykrywanie podatności i zagrożeń współpracują ze sobą.
➢ Bezpieczeństwo nie może zasypiać! ➢
➢ Dotyczy Ludzi, Procesów, Technologii i wykorzystuje polityki i procedury
➢
➢ Celem jest bezpieczeństwo LPT – a nie sprzętu !
Czym jest bezpieczeństwo informacji ?Czym jest bezpieczeństwo informacji ?
Ludzie Procesy
Technologie
Bezpieczeństwoinformacji
Ludzie – czyli kim jesteśmy?Ludzie – czyli kim jesteśmy?
Z informacją mają do czynienia:
➢ Akcjonariusze, właściciele, politycy➢ Kadra zarządzająca➢ Pracownicy➢ Partnerzy➢ Dostawcy usług➢ Podwykonawcy➢ Klienci, petenci, pacjenci...➢ Prawnicy...
Procesy – czyli co robimy?Procesy – czyli co robimy?
Procesy to zestaw praktyk i procedur, które realizujemyeksploatując system teleinformatyczny
➢ System pomocy dla użytkowników (Help Desk)➢ Zarządzanie dostępem do usług➢ Raportowanie incydentów i zarządzanie nimi➢ Zarządzanie dostępem➢ Zarządzanie tożsamością➢ Kontrola spełnienia wymagań prawnych➢ Szkolenia...
Technologie – czyli czego używamy?Technologie – czyli czego używamy?
➢ OprogramowanieSystemy operacyjne, programy komunikacyjne, użytkowe(ogólnego przeznaczenia i specjalistyczne)Oprogramowania jako usługi (SaaS)
➢ Zabezpieczenia fizyczneElektroniczne systemy dostępu, klucze, karty, czytnikibiometryczne, kamery monitorujące...Zabezpieczenia środowiskowe: systemy P-Poż, wentylacja,klimatyzacja, zasilanie awaryjne..
➢ Urządzenia dostępoweKomputery PC, Notebooki, Netbooki, PDA, SmarfonyTerminale, stacje sieciowe, stacje WWW, infokioskiAparaty cyfrowe, drukarki, skanery, kopiarki...
Bezpieczeństwo informacji: Bezpieczeństwo informacji:
1. Zabezpiecza informację przed zagrożeniami2. Zapewnia ciągłość działania Organizacji3. Minimalizuje straty finansowe4. Wpływa na zwrot kosztów inwestycji5. Zwiększa możliwości Organizacji
Przetrwanie Organizacji zależy od zapewnieniabezpieczeństwa informacji
Bezpieczeństwo informacji powinno zapewnić: Bezpieczeństwo informacji powinno zapewnić:
PoufnośćPoufność
IntegralnośćIntegralność
DostępnośćDostępność
Informacja jest dostępna tylko tymużytkownikom, którzy otrzymali
odpowiednie uprawnienia
Informacja jest kompletna, niezostała w sposób niekontrolowany
zmieniona i jest wiarygodna
Uprawnieni użytkownicy majązapewniony dostęp do informacji
kiedy jej potrzebują (24x7)
ISO 27002:2005
Naruszenie bezpieczeństwa informacjiNaruszenie bezpieczeństwa informacjiprowadzi do: prowadzi do:
➢ Utraty reputacji➢ Strat finansowych➢ Utraty kontroli nad własnością intelektualną➢ Problemów prawnych (dane osobowe itp.)➢ Utraty zaufania u klientów, partnerów, petentów...➢ Kosztów związanych z przerwami w działalności
straty dobrej opiniistraty dobrej opinii
Bezpieczeństwo informacji to wyzwanieBezpieczeństwo informacji to wyzwanieorganizacyjne, a nie „problem informatyczny”organizacyjne, a nie „problem informatyczny”
Ponad 70% to zagrożenia wewnętrznePonad 70% to zagrożenia wewnętrzne
Ponad 60%winowajców dopuściło się naruszeniaPonad 60%winowajców dopuściło się naruszeniaprocedur bezpieczeństwa po raz pierwszyprocedur bezpieczeństwa po raz pierwszy
Największe ryzyko: LudzieNajwiększe ryzyko: Ludzie
Najważniejszy kapitał: LudzieNajważniejszy kapitał: Ludzie
Zagrożenie Podatność
RYZYKO Informacja
WartośćWymagania
zabezpieczeń
Działanie
wykorzystuje
zwiększa zwiększa
zwiększa
zagraża
posiadaokreślawymusza
zabezpiecza
redukuje
Zagrożenie:Zagrożenie:
CzłowiekCzłowiek
MaszynaMaszyna
NaturaNatura
Utrata:Utrata:
PoufnościPoufności
IntegralnościIntegralności
DostępnościDostępności
Zagrożenia i ich skutkiZagrożenia i ich skutki
Zagrożenia mogą być przypadkowe lub powodowanecelowo. Jedynie zagrożenia powodowane przez ludziMogą być zarówno przypadkowe, jak i celowe.
Zagrożenia i ich źródłaZagrożenia i ich źródłaZagrożenie Przykłady
Błędy i pomyłki ludzkie Brak wiedzy, przeszkolenia, przypadki
Naruszenia praw autorskich Piractwo, przekraczanie licencji
Szpiegostwo lub kradzież danych Nieautoryzowany dostęp, kradzieże
Nieuprawnione korzystanie z informacji Szantaż, publikacja informacji
Sabotaż i wandalizm Uszkodzenie sprzętu lub/i informacji
Kradzieże Kradzież sprzętu, nośników z danymi
Ataki programistyczne Wirusy, konie trojańskie, blokada dostępu
Zakłócenia w dostawie usług Zasilanie, transmisja danych
Siły natury Ogień, powódź, huragan
Defekty sprzętowe i programowe Błędy w kodach, uszkodzenia
Błędy eksploatacyjne Brak aktualizacji, kontroli baterii
Normy SZBI:Normy SZBI:
PN-ISO/IEC 27001Technika informatyczna → Techniki bezpieczeństwa →Systemy zarządzania bezpieczeństwem informacji →Wymagania
PN-ISO/IEC 17799 (ISO 27002)Technika informatyczna → Techniki bezpieczeństwa →Praktyczne zasady zarządzania bezpieczeństwemInformacji
Norma ISO 27001 obejmuje ogółem 133 punkty kontrolnepodlegające sprawdzeniu podczas certyfikacji. ISO 27002(w Polsce 17799) zalecenia obejmujące 11 obszarów.
11 11 obszarów SZBI:obszarów SZBI:
Politykabezpieczeństwa
informacjiOrganizacja
bezpieczeństwainformacji
Zarządzanieaktywami
Zarządzaniezasobamiludzkimi
Bezpieczeństwofizyczne
Zarządzanieoperacjami
i komunikacją
Kontroladostępu
Akwizycja, eksploatacja
i modernizacja
Zarządzanieincydentami
Planowanieciągłości działania
Zgodnośćz prawem
INFORMACJA
Poufność Integralność
Dostępność
Polityka bezpieczeństwaPolityka bezpieczeństwa
Podlega zatwierdzeniu przezZarząd Organizacji
➢ Powinna być dostępna dla pracowników Organizacji(np. opublikowana w Intranecie),
➢ Określa:- co jest przedmiotem ochrony,- metody ochrony krytycznych zasobów,- odwołuje się do polityk szczegółowych,- procedury postępowania,- deklarację stosowania.
Księga bezpieczeństwaKsięga bezpieczeństwaDokument wewnętrzny o układziezgodnym z Załącznikiem A normyPN-ISO/IEC 27001
➢ Jest podzielona na rozdziały odpowiadające obszaromzdefiniowanym przez normę.
➢ Określa stanowisko Organizacji, zastosowane mechanizmy zabezpieczające oraz wyłączenia.
➢ Ułatwia wewnętrzną organizację systemu zarządzaniabezpieczeństwem informacji.
➢ Zawiera odwołania do dokumentów zawierającychpostanowienia i procedury SZBI.
Klasyfikacja informacjiKlasyfikacja informacji
Klasyfikacja informacji jest niezbędna do jej ochrony
➢ Informacje poufne - o zasadniczym znaczeniu dlaorganizacji, dostępne tylko dla osób, którym są niezbędne do realizacji zadań.
➢ Do użytku wewnętrznego – istotne dla działania organizacji, udostępniane bez ograniczeń dla pracowników Organizacji lub na podstawie porozumień o zachowaniu poufności.
➢ Publiczne – udostępniane bez ograniczeń, przeznaczone do nieograniczonej publikacji.
Klasyfikacja informacjiKlasyfikacja informacji
Informacja
Dostępność Integralność Poufność
1 2 3 1 2 3 1 2 3
Atrybutom jakości informacji przypisujemywartości – niską, średnią i wysoką
Zarządzanie zasobami ludzkimiZarządzanie zasobami ludzkimi
➢ Pracownicy Organizacji- określenie ról i odpowiedzialności
➢ Partnerzy z zawartymi porozumieniamio poufności
➢ Podwykonawcy, dostawcy, odbiorcy
➢ Klienci, petenci...
Ochrona informacji wymaga selektywnej dystrybucji
Kontrola dostępu - Kontrola dostępu - - - ochrona fizyczna ochrona fizyczna
➢ Przestrzegaj ustalonych procedur dostępu➢ Zawsze noś identyfikator lub kartę dostępu➢ Zwracaj uwagę na osoby bez identyfikatorów➢ Przyjmuj gości i interesantów jedynie w wyznaczonych
pomieszczeniach
➢ Nie wprowadzaj obcych osób do chronionychpomieszczeń bez istotnej potrzeby i zezwolenia
➢ Nie wynoś nośników z informacją poza strefychronione
➢ Nie rób zbędnych kopii informacji „na wszelkiwypadek”
➢ Nie wnoś do stref chronionych nośników danychpamięci USB, przenośnych dysków twardych itp.
Kontrola dostępu - Kontrola dostępu - - - ochrona haseł ochrona haseł
➢ Stosuj hasła zawierające znaki specjalne - @,$,&,~ itp.➢ Używaj haseł, które możesz łatwo zapamiętać➢ Zmieniaj hasła dostępu zgodnie z zaleceniami➢ Przy zmianie hasła nie używaj haseł, których używałeś
poprzednio.
➢ Nie używaj haseł słownikowych lub łatwych doodgadnięcia przez osoby, które Cię znają
➢ Nigdy nie zapisuj haseł oraz nie przechowuj ichbez zachowania reguł bezpieczeństwa (np. w telefoniekomórkowym)
➢ Nie przekazuj haseł w żaden sposób. Dla potrzeb serwisowych używaj haseł tymczasowych.
➢ Nie używaj haseł odrzuconych przez system podczasweryfikacji ich złożoności.
Kontrola dostępu - Kontrola dostępu - - - korzystanie z Internetu korzystanie z Internetu
➢ Korzystaj z Internetu wyłącznie do celów służbowych
➢ Nie zestawiaj dodatkowych połączeń z Internetem(np. telefonicznych połączeń modemowych)
➢ Nie korzystaj z materiałów obscenicznych itp.➢ Nie korzystaj z serwisów aukcyjnych jeśli nie należy
to do Twoich obowiązków służbowych➢ Nie używaj Internetu w celu uzyskania nieuprawnionego
dostępu do innych komputerów➢ Nie kopiuj z sieci żadnych programów, nie instaluj ich
na swoim komputerze. Czynności te może realizować jedynie dział IT.
Korzystanie z E-mail: Korzystanie z E-mail:
➢ Służbowe konto E-mail może być używane wyłączniedo celów służbowych
➢ Przechowuj pocztę elektroniczną zgodnie z procedurami➢ W przypadku otrzymania niechcianej poczty poinformuj
o tym administratora serwera oraz bezpieczeństwa
➢ Nie używaj służbowego konta E-mail do celów prywatnych➢ Nie wysyłaj korespondencji seryjnej bez polecenia
przełożonych➢ Nie wysyłaj poczty elektronicznej do klientów jeśli nie
należy to do Twoich obowiązków➢ Nie otwieraj żadnych załączników poczty otrzymanej
od nieznanych nadawców➢ Nie wysyłaj poczty bez informacji o jej przeznaczeniu lub
bez stosowania odpowiednich zabezpieczeń (podpisu elektronicznego, szyfrowania itp.).
Zarządzanie incydentami: Zarządzanie incydentami:
Incydenty powinny być zgłaszane:➢ Pocztą elektroniczną na specjalny adres➢ Telefonicznie na określony numer➢ Anonimowo (skrzynki uwag)
Zgłaszane powinny być zarówno incydentyzwiązane z IT – atak wirusowy, spam, hackingjak i nie związane bezpośrednio z IT – np.ruch nieznanych osób, blokada samozamykaczydrzwi, wykorzystywanie nośników przenośnych...
Informacji o incydentach nie należy upowszechniać W żadnym przypadku nie wolno zapobiegać zgłoszeniu incydentu
Odpowiedzialność użytkownika Odpowiedzialność użytkownika
➢ Dbałość o aktualność oprogramowania zabezpieczającego➢ Zabezpieczenie systemu podczas nieobecności przy stanowisku➢ Przechowywanie komputera przenośnego i nośników danych
w zamykanych szafach➢ Zachowanie najwyższej ostrożności podczas korzystania
z komputera przenośnego poza Organizacją➢ Zabezpieczenie komputera przenośnego przed utratą lub kradzieżą➢ Zabezpieczenie ekranu komputera przez możliwością odczytania
informacji (np. podczas pracy w pociągu lub samolocie)➢ Upewnienie się, że istotne aktywa informacyjne są należycie
chronione➢ Znajomość prawa związanego z ochroną informacji, własności
intelektualnej, danych osobowych itp.➢ Weryfikowanie autentyczności poczty elektronicznej otrzymywanej
z nieznanych adresów sieciowych➢ Wyłączanie zasilania komputera po zakończeniu pracy,➢ Doskonalenie własnej wiedzy o ochronie informacji
Przeszkoleni i świadomi użytkownicy Przeszkoleni i świadomi użytkownicy gwarantują skuteczniejszą ochronę gwarantują skuteczniejszą ochronę
informacjiinformacji
niż najlepsze programy zabezpieczające!niż najlepsze programy zabezpieczające!