Zarzàdzanie bezpieczeƒstwem. informacji BS ISO/IEC Dlaczego bezpieczeƒstwo. informacji

Transkrypt

1 Dlaczego bezpieczeƒstwo informacji Ka dego roku setki polskich firm ponoszà straty spowodowane utratà informacji lub ciàg oêcià dzia ania systemów informatycznych. Coraz wi ksze zagro enie stanowià nie tylko wirusy, ale równie nielojalni lub, co gorsza, nieêwiadomi pracownicy. Poniewa informacje stajà si jednym z wa niejszych zasobów organizacji, ich utrata mo e wiàzaç si z realnymi stratami finansowymi, utratà zaufania klientów, a w najgorszym przypadku nawet upad oêcià firmy. W rezultacie ka dego roku wydaje si coraz wi cej na ró ne zabezpieczenia poczàwszy od systemów fizycznego nadzoru i kontroli, na ró nych mechanizmach bezpieczeƒstwa IT koƒczàc. W wi kszoêci przypadków wydatki zwiàzane z bezpieczeƒstwem nie sà traktowane jako inwestycje, ale jako niezb dny koszt dzia ania. Wiedza o istniejàcych zagro eniach i stosowanych zabezpieczeniach ogranicza si do pracowników kilku komórek organizacyjnych zazwyczaj departamentu IT oraz pionu ochrony informacji niejawnych. W takiej sytuacji organizacja nie zarzàdza bezpieczeƒstwem, a tylko wdra a kolejne zabezpieczenia, które lepiej lub gorzej chronià je przed zagro eniami dla informacji. Sytuacja ta przypomina prób leczenia, bez zdiagnozowania przyczyn choroby. W rezultacie wdro enie nowych mechanizmów cz sto nie przynosi spodziewanych skutków i przek ada si na zniech cenie do dalszych dzia aƒ zwiàzanych z bezpieczeƒstwem informacji wed ug badaƒ IDC przeprowadzonych w 2003, na pytanie Dlaczego Paƒstwa organizacja nie wdra a systemów bezpieczeƒstwa, 35% ankietowanych odpowiedzia o, e dotychczasowe inwestycje nie spe ni y oczekiwaƒ. Rozwiàzaniem tego problemu mo e byç wdro enie systemu zarzàdzania bezpieczeƒstwem informacji (ISMS) opartym na indywidualnej analizie ryzyka zbiorze polityk, procedur i instrukcji, dzi ki którym bezpieczeƒstwo informacji staje si integralnà cz Êcià mechanizmów zarzàdzania organizacjà. Wdro enie ISMS gwarantuje, e bezpieczeƒstwo w organizacji koncentruje si na okresowej analizie ryzyka i z rezultatów analizy wynika uzasadnienie dla wdro enia poszczególnych zabezpieczeƒ. Zarzàdzanie bezpieczeƒstwem informacji BS ISO/IEC 17799

2 Organizacja niedbajàca o bezpieczeƒstwo w systemowy sposób - Brak koordynacji polityki bezpieczeƒstwa pomi dzy ró nymi jednostkami organizacyjnymi (departament IT, ochrona fizyczna, Pion Ochrony Informacji Niejawnych). - Koncentracja na zabezpieczeniach. -Wydatki na bezpieczeƒstwo traktowane jako koszt dzia ania. Organizacja z wdro onym systemem zarzàdzania bezpieczeƒstwem informacji +Standaryzacja bezpieczeƒstwa informacji w ca ej organizacji stworzenie odpowiednich struktur nadzorczych. +Koncentracja na analizie ryzyka. +Wydatki na bezpieczeƒstwo traktowane jako inwestycja (mo liwoêç wyznaczania wskaêników zwrotu z inwestycji). +Przewaga marketingowa na rynku. +Mo liwoêç niezale nej certyfikacji systemu. Norma ISO/IEC Przy budowie systemu zarzàdzania bezpieczeƒstwem informacji mo liwe jest wykorzystanie ró nych metodyk i dokumentów êród owych poczàwszy od standardów korporacyjnych, poprzez normy krajowe na normach mi dzynarodowych koƒczàc. W wi kszoêci przypadków najbardziej atrakcyjnà mo liwoêcià jest wdro enie systemu zgodnego ze standardem mi dzynarodowym. Dzi ki takiemu wyborowi organizacja uzyskuje pewnoêç, e tworzàc system korzysta ze sprawdzonych i wiarygodnych wskazówek. Przyk adem takiego standardu jest norma ISO/IEC Standard omawia wytyczne do budowy ISMS (tzw. najlepsze praktyki ). Standard definiuje poszczególne elementy kontroli i sterowania bezpieczeƒstwem informacji, podporzàdkowanych 10 grupom wymagaƒ. W rezultacie mo liwe jest zidentyfikowanie najw aêciwszych zabezpieczeƒ w kontekêcie specyfiki dzia alnoêci gospodarczej oraz otoczenia rynkowego. Odpowiadajàc na poni sze pytania sprawdzicie Paƒstwo czy wasza firma bezpiecznie zarzàdza najcenniejszymi aktywami informacjami. ISO/IEC KOMPLEKSOWE PODEJÂCIE DO BEZPIECZE STWA Polityka bezpieczeƒstwa. Czy pracownicy wiedzà, e ochrona informacji firmy jest wa na tak e z ich punktu widzenia? Jakie sà cele wymagania zwiàzane z wdro eniem ISMS? Organizacja bezpieczeƒstwa. W jaki sposób ró ne elementy bezpieczeƒstwa sà koordynowane w ca ej organizacji. Czy administratorzy IT dostosowujà poziom zabezpieczeƒ logicznych do istniejàcych zabezpieczeƒ fizycznych? Dost p firm trzecich. Jakie firmy zewn trzne majà dost p do informacji organizacji (firma sprzàtajàca, serwis kserokopiarek, dostawcy us ug i sprz tu). W jaki sposób dost p ten jest kontrolowany? Czy przy zawieraniu umowy bierze si pod uwag wymagania zwiàzane z bezpieczeƒstwem informacji? Klasyfikacja i kontrola zasobów. Które grupy informacji sà wa ne dla dzia ania firmy? W jaki sposób informacje te sà zabezpieczane czy ich ochrona nie ogranicza si tylko do wersji elektronicznej? Czy organizacja posiada wiedz, na jakich urzàdzeniach przetwarzane sà krytyczne dane? Czy ochrona obejmuje nie tylko zapewnienie poufnoêci, ale równie integralnoêci i dost pnoêci. Bezpieczeƒstwo osobowe. Czy wszyscy nowo zatrudniani pracownicy (tak e praktykanci) podpisujà oêwiadczenia o zachowaniu poufnoêci? Czy po kilku latach pracownicy pami tajà, do czego zobowiàzali si podpisujàc te oêwiadczenia. W jaki sposób dba si o zachowanie wysokiej ÊwiadomoÊci pracowników w zakresie bezpieczeƒstwa informacji? Bezpieczeƒstwo fizyczne. Czy stosowane zabezpieczenia sà adekwatne do istniejàcych zagro eƒ? Czy sà zgodne z opracowanà klasyfikacjà informacji i analizà ryzyka? Zarzàdzanie systemami i sieciami. Czy zidentyfikowano systemy krytyczne? Czy zdefiniowano odpowiednie instrukcje zarzàdzania kopiami zapasowymi (tworzenie, odtwarzanie, testowanie, przechowywanie, dost p itp.)? W jaki sposób zapewnia si skutecznoêç systemu antywirusowego? Kontrola dost pu do systemów. W jaki sposób nadaje si i odbiera uprawnienia w systemach IT? Czy istniejà zapisy, pozwalajàce zweryfikowaç prawid owoêç nadanych uprawnieƒ? Rozwój i utrzymanie systemu. Czy wymagania zwiàzane z bezpieczeƒstwem sà standardowym elementem nowo wdra anych rozwiàzaƒ? W jaki sposób testuje si oprogramowanie? Jakie zasady regulujà wdra anie poprawek i aktualizacji do systemów informatycznych? Zarzàdzanie ciàg oêcià biznesu. Czy zidentyfikowano informacj i systemy informacyjne wa ne ze wzgl du na Êwiadczenie us ug lub realizacje produkcji? Czy zidentyfikowano najbardziej prawdopodobne zagro enia dla takich informacji i systemów i zdefiniowano plany awaryjne? Czy stworzone plany awaryjne sà okresowo testowane pod kàtem skutecznoêci? ZgodnoÊç z wymaganiami prawnymi. Czy organizacja nadzoruje wymagania prawne zwiàzane z bezpieczeƒstwem informacji np. czy administratorzy wiedzà, jakie wymagania powinien spe niaç system przetwarzajàcy dane osobowe?

3 Integracja systemów zarzàdzania Jednym z fundamentów ISMS jest opracowanie systemu zarzàdzania, w którym bezpieczeƒstwo informacji jest traktowane jako jedna z form zarzàdzania organizacjà. Dlatego interesujàcà mo liwoêcià jest integracja ISMS z innymi systemami zarzàdzania, (ISO 9001, ISO 14001, PN-N 18001). W rezultacie w organizacji powstaje spójny zbiór polityk, procedur i instrukcji, który wype nia wymagania kilku norm jednoczeênie. Dzi ki temu mo liwe jest nie tylko wdro enie bardziej skutecznego systemu zarzàdzania, ale tak e minimalizacja kosztów zwiàzanych z jego funkcjonowaniem (np. poprzez przeprowadzenie audytów zintegrowanych). Poniewa normy Mi dzynarodowej Organizacji Normalizacyjnej (ISO) sà budowane w analogiczny sposób, cz Êç z wymagaƒ zawartych w ró nych normach jest taka sama (np. nadzór nad zapisami). W rezultacie, w przypadku, gdy w organizacji wdro ono ju system zarzàdzania, jego rozbudowanie o nowe elementy (np. zwiàzane z bezpieczeƒstwem informacji) wià e si z mniejszymi nak adami pracy. Obecnie wiele organizacji, które wczeêniej wdro y o system zarzàdzania jakoêcià (ISO 9001) prowadzi prace rozszerzajàce jego zakres o wymagania norm ISO/IEC / BS Przyk adem organizacji, w których proces taki zosta pomyêlnie zakoƒczony jest Komisja Papierów WartoÊciowych i Gie d, regulator rynku papierów wartoêciowych w Polsce, a tak e Lumena spó ka z o. o., jeden z wiodàcych integratorów IT na naszym rynku. BS 7799 WYMAGANIA: Polityka bezpieczeƒstwa Organizacja bezpieczeƒstwa Klasyfikacja i kontrola aktywów Bezpieczeƒstwo osobowe Bezpieczeƒstwo fizyczne i Êrodowiskowe Zarzàdzanie systemami i sieciami Kontrola dost pu do systemu Rozwój i utrzymanie systemu Zarzàdzanie ciàg oêcià dzia ania ZgodnoÊç z wymaganiami prawa i w asnymi standardami ZINTEGROWANY SYSTEM ZARZÑDZANIA: OdpowiedzialnoÊç kierownictwa Zarzàdzanie zasobami ludzkimi Nadzorowanie infrastruktury Nadzorowanie dokumentacji Nadzorowanie firm wspó pracujàcych Nadzorowanie i doskonalenie systemu WYMAGANIA: System zarzàdzania jakoêcià OdpowiedzialnoÊç kierownictwa Zarzàdzanie zasobami Realizacja zadania Pomiary, analiza i doskonalenie ISO 9001

4 Certyfikacja ISMS Wdro enie systemu zarzàdzania bezpieczeƒstwem informacji mo e byç zakoƒczone certyfikacjà systemu. Jest ona przeprowadzana przez niezale nà jednostk certyfikacyjnà i polega na weryfikacji, czy sposób zarzàdzania ochronà danych w organizacji odpowiada wymaganiom sprecyzowanym w normie BS BS jest standardem zawierajàcym wymagania dotyczàce ISMS okreêlajàce, które wytyczne ISO/IEC muszà byç zrealizowane. Certyfikacja jest przeprowadzana przez zespó audytorów i koƒczy si wystawieniem rekomendacji do przyznania certyfikatu. Dodatkowo co roku przeprowadzane sà tzw. audyty nadzoru, których celem jest potwierdzenie ciàg ego doskonalenia systemu. Z regu y certyfikat jest wydawany na 3 lata i po tym okresie organizacja, która chce przed u yç wa noêç certyfikatu musi poddaç si audytowi recertyfikujàcemu (na takich samych zasad jak pierwszy audyt certyfikacyjny) Cz sto firmy uwa ajà stosowane zabezpieczenia za wystarczajàce i nie poddajà ich adnej niezale nej ocenie. Certyfikacja ISMS pozwala nie tylko potwierdziç, e system zosta wdro ony poprawnie, ale e spe nia on wymagania mi dzynarodowego standardu a dzi ki temu, e podobne wymagania spe niajà setki organizacji na ca ym Êwiecie. Jest to jedna z niewielu mo liwoêci wykazania poprawnoêci i efektywnoêci mechanizmów zwiàzanych z bezpieczeƒstwem informacji. Dzi ki certyfikacji firmy mogà uzyskaç niezale ne potwierdzenie wysokiego poziomu ochrony danych, które mogà póêniej wykorzystywaç do udowodnienia wype nienia wymagaƒ stawianych przez strony trzecie. Dobrym przyk adem takiej sytuacji jest Êwiadczenie us ug przetwarzania na zewnàtrz (outsourcing) dla firm sektora finansowego. ISO/IEC bezpieczeƒstwo dla ka dego Norma ISO/IEC jest uznanym mi dzynarodowym standardem tworzenia systemów zarzàdzania bezpieczeƒstwem informacji. Oznacza to, e organizacje na ca ym Êwiecie wdra ajà systemy ISMS korzystajàc z tego samego dokumentu odniesienia. W rezultacie systemy te mogà byç do siebie porównywane i w ten sposób doskonalone. Niezale nie od wielkoêci czy po o enia geograficznego, przedsi biorcy na ca ym Êwiecie napotykajà na podobne problemy i wàtpliwoêci w zakresie wdro enia systemu. System zarzàdzania bezpieczeƒstwem informacji mo e byç wdro ony w organizacji dowolnej wielkoêci (od kilku osób do kilkudziesi ciu tysi cy pracowników), niezale nie od bran y w jakiej dzia a. Jest to mo liwe, poniewa podstawà standardu nie jest wdro enie konkretnej listy zabezpieczeƒ, ale odpowiednie zarzàdzanie bezpieczeƒstwem. System zarzàdzania bezpieczeƒstwem informacji jest powszechnie wdra any przez banki (np. Federal Reserve Bank of New York), urz dy i instytucje publiczne (np. Komisja Papierów WartoÊciowych i Gie d), firmy sektora energetycznego (elektrownie i zak ady energetyczne na ca ym Êwiecie), czy te firmy sektora wytwórczego.

5 1. DZIA ANIA WST PNE Etap obejmuje dzia ania przygotowawcze - podzia odpowiedzialnoêci, dobór firmy doradczej, zakupienie normy czy narz dzi informatycznych wspierajàcych wdro enie. 3. WST PNE SZKOLENIA Podnoszenie ÊwiadomoÊci pracowników ma kluczowe znaczenie dla sukcesu wdro enia systemu zarzàdzania bezpieczeƒstwem informacji. Dlatego niezwykle wa ne jest, aby ju od wczesnych etapów prac szkoliç pracowników w tym zakresie. Wst pne szkolenia majà na celu poinformowanie o najwa niejszych wnioskach z audytu a tak e dzia aniach, jakie zostanà podj te aby usunàç zidentyfikowane problemy. Jest to tak e dobry moment, aby przekazaç pracownikom podstawowà wiedz z zakresu normy ISO/IEC PLAN MINIMALIZACJI RYZYKA Analiza ryzyka jest punktem wyjêcia do wyznaczenia poziomów akceptowalnych ryzyka oraz dzia aƒ, jakie zostanà podj te, aby poziomy te osiàgnàç. Baz dzia aƒ doskonalàcych mo e stanowiç norma ISO/IEC lub inne wytyczne i standardy bran owe (np. Rekomendacja D GINB). Wynikiem etapu powinien byç plan minimalizacji ryzyka - opracowany zgodnie z wymaganiami normy dokument, zawierajàcy harmonogram dzia aƒ zmierzajàcych do podniesienia poziomu bezpieczeƒstwa przetwarzanych informacji. DROGA KU BEZPIECZE STWU DROGA KU BEZPIECZE STWU DROGA KU BEZPIECZE STWU 6. OPRACOWANIE DOKUMENTACJI Kolejnym etapem realizacji wdro enia jest opracowanie i opublikowanie polityk i procedur systemu bezpieczeƒstwa. Tworzone dokumenty powinny wype niaç wymagania normy, a tak e odpowiadaç oczekiwaniom organizacji w zakresie bezpieczeƒstwa. Zarówno etap opracowania dokumentacji, jak i jej póêniejszej dystrybucji mo e byç wspierany narz dziami informatycznymi. Wsparcie informatyczne jest metodà zmniejszenia nak adów czasowych nie tylko podczas wdro enia, ale tak e w póêniejszej fazie utrzymania systemu. DROGA KU BEZPIECZE STWU DZIA AJ PLANUJ SPRAWDè 8. AUDYTY WEWN TRZNE Jednym z ostatnich etapów realizacji projektu wdro enia systemu zarzàdzania bezpieczeƒstwem informacji sà audyty wewn trzne. Audyty majà na celu weryfikacj odpowiedniego wdro enia systemu i potwierdzenia dobrego przygotowania do zewn trznej certyfikacji. Jest to tak e dobra okazja do praktycznego przeszkolenia audytorów wewn trznych, a tak e zapoznania pracowni-ków ze specyfikà audytów. 9. CERTYFIKACJA Szczegó owe informacje odnaleêç mo na w punkcie Certyfikacja ISMS. 2. AUDYT BEZPIECZE STWA Audyt ma na celu ustalenie wyjêciowego poziomu bezpieczeƒstwa w organizacji, dzi ki czemu mo liwe jest zorientowanie si w zakresie niezb dnych prac. Audyt powinien uwzgl dniaç wszystkie elementy bezpieczeƒstwa (organizacyjne, fizyczne, osobowe, informatyczne, prawne) i obejmowaç swoim zakresem wszystkie komórki organizacyjne. Etap powinien uwzgl dniaç tak e analiz istniejàcej dokumentacji systemu zarzàdzania. 4. ANALIZA RYZYKA Podstawà systemu zarzàdzania bezpieczeƒstwem informacji jest minimalizacja ryzyka utraty kluczowych danych dla organizacji. Aby mo na by o skutecznie przeprowadziç analiz ryzyka, niezb dne jest jasne zdefiniowanie przedmiotu ochrony. W tym celu, zgodnie z wymaganiami normy, nale y opracowaç klasyfikacj informacji, która okreêla wag przetwarzanych informacji. WYKONAJ Analiza ryzyka jest kluczowym elementem systemu zarzàdzania bezpieczeƒstwem informacji i podstawà dalszego rozwoju systemu. Jest to tak e element, który cz sto sprawia najwi ksze problemy przy wdro eniu ISMS osoby odpowiedzialne za przeprowadzenie analizy majà trudnoêci z wiarygodnym identyfikowaniem zagro eƒ, czy ocenà prawdopodobieƒstwa ich spe nienia. Organizacja powinna skorzystaç z metodyki (w asnej, firmy doradczej, opisanej w literaturze), która pozwala zminimalizowaç powy sze problemy, jednoczeênie dostarczajàc wiarygodnych wyników. Równolegle analizy ryzyka zrealizowane powinny zostaç prace zwiàzane z opracowaniem strategii ciàg oêci dzia ania. Strategia jest dokumentem okreêlajàcym ryzyka zwiàzane ze sta oêcià Êwiadczenia us ug przez organizacj. Podczas opracowania strategii nast puje identyfikacja elementów infrastruktury koniecznej do funkcjonowania firmy, pod kàtem jej wp ywu na bezpieczeƒstwo informacji, rozumianego jako integralnoêç, poufnoêç i dost pnoêç danych. 7. SZKOLENIA Z DOKUMENTACJI Nawet najlepsze procedury nie przyczynià si do zwi kszenia bezpieczeƒstwa, je eli nie b dà one stosowane przez pracowników. Dlatego wa ne jest, aby etap opracowania dokumentacji zosta zakoƒczony serià szkoleƒ dla pracowników, na których przedstawione zostajà szczegó owo opracowane dokumenty, a tak e ich wp yw na codziennà prac w firmie.

6 Zaufaj profesjonalistom Wdro enie systemu zarzàdzania bezpieczeƒstwem informacji mo e byç przeprowadzone na wiele sposobów. Jednym z nich jest skorzystanie z us ug zewn trznego doradcy. Na polskim rynku dzia a wiele firm, pomagajàcych w budowie systemów zarzàdzania w organizacji. Jednak w chwili obecnej tylko Doradztwo Gospodarcze DGA S.A. ma praktyczne doêwiadczenie w zakresie normy BS wszystkie certyfikaty ISMS w Polsce zosta y przyznane firmom, którym doradzaliêmy. Ponadto DGA S.A. jako pierwsza firma w Polsce uzyska a akredytowany certyfikat zgodnoêci z normà BS Na potrzeby wdro eƒ systemów BS 7799 konsultanci DGA opracowali w asnà metodyk przeprowadzania audytu bezpieczeƒstwa oraz analizy ryzyka a wi c dwóch etapów wdro enia, które zazwyczaj sprawiajà najwi cej problemów. Podstawà zastosowanego podejêcia jest lista kontrolna, pozwalajàca na weryfikacj ponad 1000 aspektów bezpieczeƒstwa na wszystkich obszarach dzia alnoêci organizacji (tzw punktów bezpieczeƒstwa ). Lista kontrolna zosta a zbudowana w oparciu o wymagania i wytyczne norm BS , ISO/IEC oraz ISO/IEC Zaletà takiego rozwiàzania jest, obok bardzo szczegó owej weryfikacji stopnia spe nienia wytycznych norm, tak e mo liwoêç graficznej prezentacji wyników. Analiza ryzyka jest przeprowadzana automatycznie na podstawie wyników uzyskanych z audytu bezpieczeƒstwa, przez co likwiduje trudnoêci z zachowaniem powtarzalnoêci wyników, a tak e jest bardziej przejrzysta dla osób niezaanga owanych bezpoêrednio w jej przeprowadzenie. Wynikiem analizy jest macierz ryzyka, która okreêla bie àce poziomy ryzyka dla g ównych grup informacji w ró nych miejscach ich wyst powania. Konsultanci DGA mogà pomóc dostosowaç Paƒstwa organizacj do wymagaƒ BS na wiele ró nych sposobów poczàwszy od przeprowadzenia audytów bezpieczeƒstwa (poczàtkowa ocena zgodnoêci z normà), szkoleƒ dla pracowników, doradztwa przy przeprowadzaniu analizy ryzyka, na opracowaniu i wdro eniu ca ego systemu koƒczàc. Doradztwo Gospodarcze DGA S.A. jest akredytowanym wykonawcà us ug w ramach programu Unii Europejskiej Phare 2002 Fundusz Wsparcia Dost p do Innowacyjnych Us ug Doradczych realizowanego przez Polskà Agencj Rozwoju Przedsi biorczoêci. W szczególnoêci DGA posiada akredytacj na us ugi doradcze w zakresie wdro- enia systemu bezpieczeƒstwa informacji obejmujàce: * analiz ryzyka informacji oraz systemów informatycznych bazujàce na identyfikacji grup krytycznych zasobów, ich wartoêci oraz oszacowania podatnoêci i zagro eƒ, * przygotowanie spójnych polityk bezpieczeƒstwa informacji i bezpieczeƒstwa systemów informatycznych, * wdro enie wymaganych zabezpieczeƒ oraz Êrodków przeciwdzia ajàcych, * przygotowanie, wdro enie i testowanie planów ciàg oêci funkcjonowania dzia alnoêci przedsi biorstwa oraz odtwarzania po katastrofie, * integracj systemu bezpieczeƒstwa informacji w struktur innych, obecnych w firmie systemów zarzàdzania, * doradztwo w zakresie bezpieczeƒstwa informacji oraz przygotowanie zwiàzanych z tym programów promocji zagadnieƒ. Wybierajàc DGA stawiacie Paƒstwo na bezpieczeƒstwo oraz doêwiadczenie.