Teoria i praktyka ochrony informacji

Transkrypt

1 Zarządzanie Jakością Teoria i praktyka ochrony informacji Dr Mariusz Maciejczak

2 Informacja Informacja jest czynnikiem, który zwiększa naszą wiedzę o otaczającej nas rzeczywistości W. Flakiewicz Bez materii nie ma nic, bez energii wszystko jest nieruchome, bez informacji jest chaos E. Niedzielska Informacja to taki rodzaj zasobów, który pozwala na zwiększenie naszej wiedzy o nas i otaczającym nas świecie J. Kisielnicki i H. Sroka

3 Piramida Mądrości

4 Przetworzone dane podstawą podejmowania decyzji

5 To właśnie konieczność dzielenia się fragmentaryczną wiedzą z innymi w grupie, niezbędna dla osiągnięcia założonych (ukrytych przed innymi członkami populacji) celów, wywołała potrzebę ochrony informacji, stworzyła formy i metody niezbędne do jej realizacji. Informacja a wiedza Człowiek od zarania dziejów wykorzystywał wiedzę dla siebie, ukrywał przed innymi i manipulował nią dla własnych (osobistych, plemiennych czy też narodowych) celów.

6 Ochrona informacji Rozwijała się różnymi drogami (od szyfru Cezara po steganografię), ale zawsze chodziło przede wszystkim o ogólnie rozumianą ochronę istotnych wartości dotyczących ludzi (pieniądza Fenicjanie, tajemnic wiary templariusze, tajemnic grupy loże masońskie itd.) na poziomie maksymalnego, możliwego do osiągnięcia bezpieczeństwa. Czy pojedynczy człowiek, sam z siebie, jest w stanie na tyle opanować swoje świadome i nieświadome (mowa ciała) reakcje, aby nie poddać się bezpośredniej ocenie i odczytowi własnych emocji (kod werbalny, werbalne zachowania maskujące wokalne i wizualne sygnały stanu) w odniesieniu do chronionych przezeń informacji?

7 Ochrona informacji jako dziedzina nauki SECURITOLOGIA Pierwsze publikacje podejmujące próbę wyodrębnienia nauki o zarządzaniu bezpieczeństwem życia człowieka securitologii jako dyscypliny naukowej pochodzą z lat 90. ubiegłego wieku. Samego określenia securitologia (Секюритология ) z propozycją jego definicji użył w 1989 roku w Rosji W.I. Jaroczkin, który w sposób nowatorski wskazał na wyodrębniającą się wśród innych dyscyplin naukowych nową naukę o bezpieczeństwie życia człowieka. Szerzej informują o samym problemie i sposobach jego badania, liczne prace polskich naukowców z tej dziedziny: Janusza Świniarskiego, Stanisława Piochy, Leszka Korzeniowskiego, Jana Maciejewskiego i innych.

8 Tekst jawny IP L 0 R 0 f K 1 L1 R 0 L2 R 1 f R R 1 L0 K f ( R0, 1) 2 L1 K f ( R1, 2 ) K 2 NP. Schemat szyfrowania algorytmem DES L15 R 14 R 15 L14 K f ( R14, 15) K 16 R 15 L14 K f ( R14, 15) IP Szyfrogram

9 Społeczeństwo informacyjne a bezpieczeństwo informacji W bezpiecznym społeczeństwie informacyjnym ( trzeciej fali wg A. H. Tofflerów*) wszelkie działania muszą i powinny opierać się na świadomym kontrolowaniu bezpieczeństwa ogólnego przez nadzorowanie bezpieczeństwa informacji tej, którą gromadzimy, wykorzystujemy i udostępniamy otoczeniu. Inżynieria bezpieczeństwa informacji to przede wszystkim umiejętność analizowania otoczenia pod względem zbierania i wykorzystywania każdej z wielu dostępnych danych i jego analizy na potrzeby bieżące bezpieczeństwa instytucji/organizacji/grupy społecznej. * Alvin i Heidi Toffler: Trzecia fala (1980, wyd. polskie: 1989).

10 Bezpieczeństwo informacji obrona informacyjna, która polega na uniemożliwieniu i utrudnieniu zdobywania danych o fizycznej naturze aktualnego i planowanego stanu rzeczy i zjawisk we własnej przestrzeni funkcjonowania oraz utrudnianiu wnoszenia entropii informacyjnej do komunikatów i destrukcji fizycznej do nośników danych Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003.

11 Poczucie bezpieczeństwa W odniesieniu do postrzegania i poszukiwania poczucia bezpieczeństwa warto wziąć pod uwagę model zaprezentowany przez D. Frei a, który uwzględnia cztery elementy: stan braku bezpieczeństwa w którym występuje rzeczywiste i istotne zagrożenie zewnętrzne, którego postrzeganie jest adekwatne, stan obsesji w którym niewielkie zagrożenie postrzega się jako duże, stan fałszywego bezpieczeństwa w którym istotne zagrożenie postrzegane jest jako niewielkie, stan bezpieczeństwa w którym zagrożenie zewnętrzne jest niewielkie, a jego postrzeganie prawidłowe.

12 Podział zagrożeń informacyjnych

13 Składowe bezpieczeństwa informacji

14 Trzeba pamiętać, że przyczyną kryzysu jest zawsze najsłabiej chroniony element

15 Analiza funkcjonalna w kontekście metod biometrycznych

16 Podejście praktyczne do SZBI Istotnym, żeby nie powiedzieć głównym, elementem budowania warunków bezpieczeństwa i przeciwstawiania się zagrożeniom jest wiedza menedżera o charakterze samych zagrożeń oraz jego sposób komunikowania się z personelem zarządczym średniego szczebla i pracownikami otwarty, bezpośredni (o ile to możliwe), na poziomie ich percepcji, co w dobie rozwoju współczesnych środków przekazu zapewnia nieosiągalną w innym układzie pełnię porozumienia (werbalny i niewerbalny kontakt osobisty). Uzupełnieniem jest wnikliwa strategiczna analiza systemowa wdrożonej polityki bezpieczeństwa, znajomość jej zasad i umiejętność skutecznego odwołania się do jej ustaleń na każdym (polityki cząstkowe/procedury) poziomie działania

17

18 Sposoby budowy wysokiego poziomu systemu bezpieczeństwa informacji Polityka Standardy DLACZEGO CO Procedury Wytyczne i Plany JAK

19 Współzależności biznesu i systemu IT

20 Bezpieczeństwo informacji to nie tylko bezpieczeństwo IT System kontroli bezpieczeństwa informatycznego dużej firmy w USA

21 Klasyfikacja stopnia poufności danych Informacja publiczna Informacja do użytku wewnętrznego Informacja prywatna Własność zastrzeżona firmy Informacja poufna firmy Tajemnica Przedsiębiorstwa Tajemnica Państwowa

22 ol i vet t i oliv eti Ta sama osoba może mieć wtedy dostęp do jednych zasobów i brak dostępu do innych zasobów Dostęp Udzielony Program Sterujący Komputer PC Brak Dostępu Drzwi 1 Drzwi 2

23 Sposób automatycznej analizy odcisku palca

24 Identyfikacja typu coś co masz tokeny Sprawdzanie kart magnetycznych lub chipowych

25 Bezpieczeństwo systemu komputerowego stan systemu komputerowego, w którym ryzyko urzeczywistnienia się zagrożeń związanych z jego funkcjonowaniem jest ograniczone do akceptowalnego poziomu.

26 Słabe punkty sieci komputerowych

27 Klasyfikacja zagrożeń 1: ze względu na charakter przyczyny: świadoma i celowa działalność człowieka - chęć rewanżu, szpiegostwo, wandalizm, terroryzm, chęć zaspokojenia własnych ambicji wydarzenie losowe - błędy i zaniedbania ludzkie, awarie sprzętu i oprogramowania, temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia w zasilaniu, klęski żywiołowe, wyładowania atmosferyczne, katastrofy

28 Klasyfikacja zagrożeń 2: ze względu na umiejscowienie źródła zagrożenia: wewnętrzne - mające swoje źródło wewnątrz organizacji użytkującej system informacyjny zewnętrzne - mające swoje źródło na zewnątrz organizacji (poprzez sieć komputerową, za pośrednictwem wirusów komputerowych)

29 Typy najczęściej spotykanych zagrożeń w sieci komputerowej fałszerstwo komputerowe, włamanie do systemu, czyli tzw. hacking, oszustwo, a w szczególności manipulacja danymi, manipulacja programami, oszustwa, jakim są manipulacje wynikami, sabotaż komputerowy, piractwo, podsłuch, niszczenie danych oraz programów komputerowych

30 Najwygodniejsze dla konstruktorów systemów informatycznych są metody oparte na hasłach lub PIN Wadą jest ryzyko, że użytkownik zapomni hasło lub że intruz wejdzie nielegalnie w posiadanie hasła

31 Opracowano z wykorzystaniem artykułów: Blim M.: Teoria ochrony informacji. Cz. 1, 2, 3. Magazyn Zabezpieczenia. Blim M.: Normalizacja w zarządzaniu bezpieczeństwem - nowe spojrzenie. Magazyn Zabezpieczenia. Jabłoński M., Mielus M.: 2009: Zagrożenia bezpieczeństwa informacji w przedsiębiorstwie. Magazyn Zabezpieczenia

32 Zarządzanie Jakością System Zarządzania Bezpieczeństwem Informacji - NORMALIZACJA Dr Mariusz Maciejczak

33 Bezpieczeństwo Informacji Norma PN-ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji - Wymagania.

34 Historia normy

35 Norma PN-ISO/IEC 27001: 2007 Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC Zastępuje normę PN-I :2005 Obejmuje: Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji

36 Norma PN-ISO/IEC 27001: 2007

37 Norma ISO/IEC 27001:2007 Międzynarodowa norma ISO określa wymagania związane z: ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, Utrzymaniem, doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.

38 Norma PN-ISO/IEC 27001: 2007 Norma ISO oparta jest na podejściu procesowym i wykorzystuje model Planuj Wykonuj Sprawdzaj Działaj (PDCA tj. Plan Do Check - Act ), który jest stosowany dla całej struktury procesów SZBI.

39 Zgodność z innymi systemami NORMY ZWIĄZANE: BS :2002 standard brytyjski na podstawie którego opracowana została norma ISO/IEC 27001:2005 PN-ISO/IEC 27001:2007 polskie tłumaczenie normy ISO/IEC 27001:2005 ISO/IEC 17799:2005 norma zawierająca wytyczne, określające w jaki sposób spełnić poszczególne wymagania normy ISO/IEC 27001:2005 NORMY SPÓJNE: Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzania, np. dostosowana do ISO 9001:2000 i ISO 14001:2004 Norma została tak zaprojektowana, aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi systemami

40 ISO a ISO 1779

41 Zawartość normy Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI oraz ciągłym doskonaleniem SZBI. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka.

42

43 Analiza ryzyka Mehari: metoda zarządzania i analizy ryzyka rozwijana przez CLUSIF - Club de la Sécurité de l'information Francis. CRAMM: "CCTA Risk Assessment and Management Methodology" metodyka pierwotnie opracowana na potrzeby rządu Wielkiej Brytani, w okresie późniejszym skomercjalizowana. W chwili obecnej jest własnością Insight Consulting, będącego częścią światowej grupy Siemens. OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation metodologia analizy ryzyka, będąca własnością CERT i przez nią utrzymywana. CiticusOne: komercyjne oprogramowanie stworzone przez Citicus, bazujące na jednej z najbardziej znanych metodyk analizy ryzyka zwanej FIRM, opracowanej przez Information Security Forum. ISO TR 13335: ten wielostronicowy raport techniczny opracowany przez ISO określany jako wytyczne do zarządzania bezpieczeństwem systemów informatycznych, będzie podstawą opracowywanego standardu ISO związanego z procesem zarządzania ryzykiem. AS/NZS 4360:2004: uznany standard, dotyczący zarządzania ryzykiem, opublikowany wspólnie z Australia Standards oraz New Zealand Standards. HB 436:2004: wytyczne do zarządzania ryzykiem rozszerzające standard AS/NZS NIST SP : wytyczne do zarządzania ryzykiem w systemach IT stworzone przez NIST. Proteus Enterprise: narzędzie przeznaczone do zarządzania ryzykiem w obszarze bezpieczeństwa, opracowane przez Veridion, a dystrybuowane przez BSI. ISO 31000: jest to nowy standard ISO, obecnie na etapie projektu, zawierający wytyczne w zakresie ogólnego implementowania procesu zarządzania ryzykiem. Standard nie jest opracowywany z myślą o IT czy bezpieczeństwie informacji.

44 Część podstawowa 39 obszarów wymagających kontroli 133 punkty kontrolne bezwzględnie wymagane przez normę

45 Zawartość normy 0. wprowadzenie 1. Zakres normy 2. Powołania 3. Terminologia i definicje 4. System zarządzania bezpieczeństwem informacji 5. Odpowiedzialność kierownictwa 6. Wewnętrzne audity SZBI 7. Przegląd dokonywany przez kierownictwo 8. Doskonalenie ISMS Zał. A. Cele sterowania i sterowanie (controls) Zał. B. Przewodnik do stosowania normy Zał. C. Korespondencja z ISO 9001 i ISO Zał. D. Różnice w numeracji

46 System Zarządzania Bezpieczeństwem Informacji 4.1. Wymagania podstawowe 4.2. Tworzenie i zarządzanie SZBI Tworzenie SZBI Wdrożenie i funkcjonowanie SZBI Monitorowanie i przeglądy SZBI Obsługa i doskonalenie SZBI 4.3 Wymagania dotyczące dokumentacji Założenia Nadzór nad dokumentami Nadzór nad zapisami

47 Odpowiedzialność kierownictwa 5.1. Zaangażowanie kierownictwa 5.2. Zarządzanie zasobami Dostępność zasobów Szkolenie, uświadomienie i kompetencje

48 Przeglądy dokonywane przez kierownictwo 6.1. Założenia 6.2. Dane wejściowe 6.3. Dane wyjściowe 6.4. Audyty wewnętrzne

49 Doskonalenie 7.1. Ciągłe doskonalenie 7.2. Działania korygujące 7.3. Działania zapobiegawcze

50 Ciągłe doskonalenie

51 Ciągłe doskonalenie Planuj (ustanowienie ISMS) Opracuj politykę bezpieczeństwa, zadania, cele, procesy i procedury odpowiednie do określonego ryzyka i rosnącego bezpieczeństwa aby otrzymać wyniki zgodne zadaniami i polityką organizacji. Wykonaj (wdrożenie i stosowanie ISMS) Zastosuj i spowoduj rozpoczęcie funkcjonowania polityki bezpieczeństwa informacji, procesów i sterowania ISMS) Sprawdź (monitorowanie i przegląd ISMS) Sprawdzaj a gdzie to możliwe mierz wydajność procesów w stosunku do polityki bezpieczeństwa, zadań i doświadczeń praktycznych oraz raportuj wyniki zarządowi w celu dokonywania przeglądu Popraw (utrzymanie i doskonalenie ISMS) Wprowadzaj działania korygujące i zapobiegawcze w oparciu o wyniki przeglądów kierownictwa aby ciągle doskonalić ISMS.

52 Załącznik A Załącznik A - normatywny; Cele stosowania zabezpieczeń i zabezpieczenia Lista celów i zabezpieczeń podana w tym załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna rozważyć zastosowanie innych

53 Załącznik A zawiera wymagane zabezpieczenia podzielone na 11 obszarów: 1. A.5 Polityka bezpieczeństwa 2. A.6 Organizacja bezpieczeństwa informacji 3. A.7 Zarządzanie aktywami 4. A.8 Bezpieczeństwo zasobów ludzkich 5. A.9 Bezpieczeństwo fizyczne i środowiskowe 6. A.10 Zarządzanie systemami i sieciami 7. A.11 Kontrola dostępu 8. A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych 9. A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji 10.A.14 Zarządzanie ciągłością działania 11.A.15 Zgodność

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69 Załączniki B i C Załącznik B - informacyjny Zasady OECD i Norma Międzynarodowa Wytyczne OECD dotyczące bezpieczeństwa systemów informacyjnych i sieci Załącznik C - informacyjny Opisuje powiązania z normami ISO 9001:2000 ISO 14001:2004

70 Zalety normy PN-ISO/IEC 27001: 2007 Dużą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Norma porusza obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Jednocześnie norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma może być podstawą budowy SZBI w organizacjach małych jak i wielkich koncernach oraz może dotyczyć różnych sektorów branżowych.

71 Zalety normy PN-ISO/IEC 27001: 2007

72 Zasady kodeksowe normy ISO 17799

73 Przyszłość czy już konieczność dzisiaj? ISO/IEC Systemu zarządzania usługami informatycznymi BS Wytyczne do zarządzania ciągłością działania

74 ISO/IEC Fundamentem standardu jest pojęcie usługi informatycznej, z której korzysta organizacja a której dostarczeniem zajmuje się dział informatyki. Dostarczanie usług podlega zarządzaniu poprzez wymienione w normie procesy.

75 ISO/IEC Część pierwsza- określa wymagania zarządzania usługami IT i jest skierowana do osób odpowiedzialnych za zainicjowanie, wdrożenie i utrzymanie zarządzania usługami IT w organizacji. Część druga - najlepsze praktyki, prezentuje wytyczne dla audytorów oraz dostawców usług, którzy planują doskonalenie usług lub przeprowadzenie audytów.

76 ISO/IEC Wyróżniono 5 obszarów i 13 procesów: 1. Procesy dostarczania usług Zarządzanie poziomem usług Raportowanie poziomu usług Zarządzanie pojemnością Zarządzanie dostępnością i ciągłością działania Budżetowanie i rozliczanie usług Zarządzanie bezpieczeństwem informacji 2. Procesy relacji Zarządzanie relacjami z biznesem Zarządzanie relacjami z dostawcą 3. Procesy kontroli Zarządzanie konfiguracją Zarządzanie zmianą 4. Procesy naprawy Zarządzanie incydentem Zarządzanie problemem 5. Proces wersji Zarządzanie wersją

77 BS Seria BS dotyczy obszaru zarządzania ciągłością działania. BS został opracowany przez specjalistów pracujących w organizacjach z różnych krajów w oparciu o doświadczenie akademickie, techniczne i praktyczne w zarządzaniu ciągłością działania. Standard wprowadza systemowe podejście do zarządzania ciągłością działania w oparciu o dobre praktyki. Celem tego standardu jest zbudowanie pojedynczego źródła informacji pozwalającego zidentyfikować środki kontroli, które zgodnie z praktyką są niezbędne do zarządzania ciągłością działania. Standard może być wykorzystywany przez organizacje każdej wielkości w sektorach przemysłowym, handlowym, publicznym i non-profit.

78 Seria BS składa się z dwóch standardów Pierwszy BS :2006 jest zbiorem wytycznych, które wprowadzają procesy, zasady i terminologię. Drugi BS jest standardem, w oparciu o który może być przyznany certyfikat zgodności. Określa on wymagania do wdrożenia środków kontroli ciągłości działania.

79 BS Jest to brytyjski standard opracowany przez BSI i opublikowany 20 listopada 2007 roku. Definiuje on wymagania związane z funkcjonowaniem systemu zarządzania ciągłością działania w organizacji. Wymagania zostały określone w stosunku do ustanowienia, wdrożenia, eksploatacji, przeglądu, testowania, utrzymania i doskonalenia systemu zarządzania ciągłością działania (Business Continuity Management System - BCMS). Standard pozwala utworzyć system zarządzania ciągłością działania, który może funkcjonować w ramach kompleksowego zarządzania ryzykiem działalności.

80 Inne standardy ISO/PAS 22399:2007, Societal security Guidelines for incident preparedness and operational continuity management (including the best of five documents), TR 19:2005: Technical reference for business continuity management (Singapore), CSA Z1600 Standard on emergency management and continuity programs (draft standard from Canadian Standards Association,) All Hazards Risk Management Systems Best Practices Standard: Requirements with Guidance for Use: A practical management systems approach to security, preparedness, response, business/operational continuity and recovery for disruptive incidents resulting in an emergency, crisis, or disaster (draft standard from ASIS International). inne

81 Certyfikat ISO/IEC 27001:2007

82 Certyfikat ISO/IEC w Polsce na tle innych krajów w 2006r.

83 Certyfikat ISO/IEC w Polsce w 2009r. ok. 100 certyfikatów Pełna lista podmiotów na stronie

84 Certyfikat ISO/IEC w Polsce w 2009r. podział wg. jednostek certyfikacyjnych

85 Rejestr certyfikatów BS oraz ISO/IEC przyznanych organizacjom w Polsce w 2009r. Data cert. Organizacja Jednost ka home.pl sp.j. BSI CWW sp. k. TUV Nord PKP Cargo S.A. ZSJZ Polskie Górnictwo Naftowe i Gazownictwo SA TUV Nord Elektrotim S.A. ZSJZ Źródło: r.

86 Przykład: Bank Zachodni WBK S.A. Branża: Usługi Data przyznania certyfikatu: Akredytacja: Tak Bank Zachodni WBK S.A. Wielkość organizacji: pracowników Numer certyfikatu: HU09/3782 Jednostka certyfikująca: SGS Group Standard: ISO/IEC 27001:2005 Zakres systemu: Certyfikowany System Zarządzania Bezpieczeństwem Informacji obejmuje: - zarządzanie bezpieczeństwem informacji w banku, - obsługę systemów internetowej bankowości elektronicznej BZWBK24, - obsługę autoryzacji i rozliczeń kart kredytowych, - personalizację kart płatniczych.

87

88 Sposoby budowy wysokiego poziomu systemu bezpieczeństwa informacji Polityka Standardy DLACZEGO CO Procedury Wytyczne i Plany JAK