AUDYT BEZPIECZEŃSTWA INFORMACJI w praktyce

Transkrypt

1 AUDYT BEZPIECZEŃSTWA INFORMACJI w praktyce wybrane aspekty metodyki Piotr Wojczys CISA, CICA

2 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok ( 20 ust.2 pkt 14). Główne obiekty audytu zawiera Rozdział IV - Minimalne wymagania dla systemów teleinformatycznych 20 ust.2 - działania systemowe ; 21 ust.1 i ust. 2 - rozliczalność działań w systemach teleinformatycznych ;

3 Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; 2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; 3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; 4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji; 5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4; 6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) Stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich; 7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji; 8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; 9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; 10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; 11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych; 12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa; 13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

4 Czym jest bezpieczeństwo informacji? System zarządzania bezpieczeństwem informacji powinien zapewniać: Poufność informacji (tylko osoby uprawnione mogą mieć dostęp do danej informacji); Dostępność informacji (informacja powinna być cały czas dostępna dla osób uprawnionych); Integralność informacji (informacje nie mogą zostać zmienione w sposób nieuprawniony, informacja ma być zgodna oczekiwaniami i kompletna).

5 1. Aktualizacja regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia 1. - Polityka Bezpieczeństwa Przetwarzania Danych Osobowych - Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych. Kto jest opowiedziany za aktualizację w/w? 2. Przeglądy dokumentacji PBI (regularne i udokumentowane). 3. Usytuowanie ABI w strukturze organizacyjnej? 4. Indywidualne zakresy obowiązków odpowiedzialności i uprawnień kluczowych osób (ABI, informatycy). 5. Zgłaszanie zbiorów danych osobowych GIODO / własny rejestr zbiorów prowadzony przez ABI 6. Podpisywanie umów powierzenia przetwarzania danych osobowych. 7. Podpisywanie upoważnień do przetwarzania danych osobowych. Kto i na jakiej } podstawie? Punktem wyjścia jest polityka bezpieczeństwa informacji (PBI) - zestaw przemyślanych, udokumentowanych zasad i procedur bezpieczeństwa wraz z ich planem wdrożenia i egzekwowania.

6 Dobra polityka bezpieczeństwa informacji to polityka, którą rozumiemy. Polityka bezpieczeństwa informacji to wyrażona przez kierownictwo ogólna intencja i kierunki działań dla zachowania poufności, integralności i dostępności informacji. Propozycja struktury dokumentów PBI: Ogólna PBI - Mało zmienna w czasie - Zawartość (treść) umożliwia jej opublikowanie (np. na stronach internetowych organizacji). - Nie epatuje terminami i nazwami technicznymi. Polityka Rachunkowości Polityka bezpieczeństwa przetwarzania danych osobowych Zasady korzystania z Internetu i poczty elektronicznej Polityka bezpieczeństwa fizycznego i technicznego??? Opis systemu informatycznego, wraz z opisem algorytmów i parametrów oraz programowych zasad ochrony danych, w tym w szczególności metod zabezpieczenia dostępu do danych i systemu ich przetwarzania. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Regulamin użytkowania urządzeń mobilnych Instrukcja bezp. fizycznego i technicznego

7 2. Aktualność inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację. 1. Podstawowa ewidencja sprzętu informatycznego w ramach ewidencji majątkowej. Spisy inwentarzowe. 2. Rejestry/ewidencje elementów infrastruktury IT prowadzone przez służby informatyczne. Schematy sieci komputerowej. 3. Przypisanie konkretnym osobom obowiązków w zakresie prowadzenia ewidencji - w tym oprogramowania i nośników oprogramowania (niezależnie od monitorowania legalności eksploatowanego oprogramowania). 4. Ewidencja oprogramowania (licencje!).

8 3. Okresowe analizy ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowanie działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy. 1. Identyfikacja krytycznych informacji, ich zbiorów i dróg przepływu oraz związanej z tym infrastruktury + ich klasyfikacja informacji. 2. Okresowe, udokumentowane analizy ryzyka odnoszące się do BI. 3. Właściciele ryzyk w obszarze BI. Przypisanie konkretnym osobom obowiązków w tym zakresie. 4. Bieżące działania minimalizujące ryzyka w zakresie BI.

9 4. Działania zapewniające, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji. 1. Zasada stosowania indywidualnych kont w systemach informatycznych. 2. Autoryzacja jako warunek istnienia konta. Upoważnienie nadane przez właściwą osobę (nie zawsze przełożony, jeśli nie jest Właścicielem ). (czas na jaki nadawane są uprawnienia i ich zakres, także w kontekście UODO). 3. Upoważnienia do przetwarzania danych osobowych wydanych imieniu ADO (oraz rejestr tych upoważnień). 4. Rozdział obowiązków w komórce IT.

10 Właściwy podział obowiązków. Najgorsza sytuacja to taka, w której uprawnienia administratora wszystkich kluczowych zasobów IT posiada jedna osoba. Co więcej, w małych organizacjach zdarza się, że ta osoba jest jednocześnie ABI! Matryca rozdzielenia obowiązków w obszarze IT zalecany sposób podziału obowiązków dla zachowania bezpieczeństwa i unikania konfliktu interesów czy nadzorowania samego siebie* Jeśli pewnych funkcji personelu nie można z jakichś powodów rozdzielić należy stosować dodatkowe mechanizmy kontrolne o charakterze kompensującym. Dużo zależy od wielkości organizacji i ilości personelu IT. Wskazówka. Sprawdzić jaki rzeczywisty dostęp do poszczególnych systemów mają poszczególne osoby (konta z uprawnieniami administratora), nie ograniczać się do formalnych zakresów obowiązków. *patrz:

11 5. Bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt Zasada stosowania indywidualnych kont w systemach informatycznych! 2. Zasady wycofywania uprawnień. 3. Mechanizmy wycofywania uprawnień. 4. Zapobieganie rolowaniu uprawnień.

12 SKUTKI STOSOWANIA PAPIEROWYCH OBIEGÓWEK Odejście pracownika 1 zgon, porzucenie pracy 2 martwe dusze 3 obiegówka nie dociera do ABI / ABT zawodzi ABI/ ABT (albo jest niedostępny) 5 zawodzi ASI (albo jest niedostępny) Usunięcie lub zablokowanie konta

13 6. Szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich. 1. Szkolenia kluczowych pracowników. 2. Szkolenia pozostałych pracowników.

14 7. Ochrona przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez: a) monitorowanie dostępu do informacji, b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji, c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji. 1. Bieżące czynności monitorowania dostępu w tym logi (serwery, systemy, urządzenia sieciowe). 2. Podstawowe elementy ochrony przed nieautoryzowanymi działaniami związanymi z przetwarzaniem informacji: ochrona sieci na poziomie portów LAN (standard IEEE 802.1X); BIOS; centralny system kontroli dostępu logicznego do pojedynczych komputerowych stanowisk pracy, serwerów i zasobów sieci - na poziomie domeny Windows (usługa katalogowa Active Directory); niezależne od domenowych systemy kontroli dostępu logicznego do kluczowych systemów informatycznych; system ochrony zewnętrznej klasy firewall (urządzanie sieciowe UTM); system ochrony zewnętrznego dostępu logicznego (urządzanie sieciowe-serwer VPN); zabezpieczenie kodem PIN dostępu do wydruków; stosowanie tokenów z hasłami jednorazowymi.

15 8. Podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość. 1. Regulacje wewnętrzne jednostki zakresie zdalnego dostępu do zasobów informatycznych / pracy na odległość. 2. Przypadki wykonywania telepracy? 3. Zakres i tryb dostępu do własnych zasobów IT w umowach zawieranych z podmiotami zewnętrznymi. 4. Zdalny, okazjonalny dostęp własnych pracowników (zwłaszcza pracowników IT).

16 9. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie. 1. Nośniki danych (dyski, macierze, taśmy płyty ). 2. Miejsca eksploatacji / przechowywania nośników danych. 3. Nośniki wycofywane z eksploatacji. + także metody kryptograficzne, patrz punkt 12 dalej

17 10. Zapisy w umowach serwisowych, podpisanych ze stronami trzecimi, gwarantujące odpowiedni poziom bezpieczeństwa informacji. Umowy powierzenia przetwarzania danych osobowych + zobowiązanie do przekazania opisu struktury zbiorów danych systemu, wskazując zawartość poszczególnych pól informacyjnych i powiązania między nimi. Zobowiązania do zachowania tajemnicy państwowej i służbowej? Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (obowiązująca od ) nie wskazuje już i nie określa pojęcia tajemnicy państwowej oraz tajemnicy służbowej. Tajemnica przedsiębiorstwa (Usługodawca) vs. tajemnica jednostki (Zamawiającego). np.. Strony zobowiązują się wzajemnie do zachowania w poufności wszelkich informacji, jakie uzyskały w związku z zawarciem, wykonywaniem i rozwiązaniem umowy, co do których mogą powziąć podejrzenie, że są informacjami poufnymi lub że jako takie są traktowane przez drugą stronę. W razie wątpliwości, co do charakteru danej informacji, przed jej ujawnieniem strona zwróci się do drugiej strony o wskazanie, czy informację tę należy traktować jako poufną. Stosowanie w umowach zapisów umożliwiających dokonanie niezależnej oceny, w obszarze bezpieczeństwa informacji, na przykład poprzez: - audyt przedmiotu umowy przez stronę trzecią wskazana przez Zamawiającego; - zobowiązane Dostawcy do przeprowadzania niezależnego audytu/kontroli bezpieczeństwa informacji i przedstawienia jego wyników Zamawiającemu.

18 11. Zasady postępowania z informacjami, zapewniające minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych. 1. Podstawowym ogólnym środkiem ochrony przed kradzieżą informacji są zasady przyjęte w dokumentach PBI. 2. Zasady ochrony fizycznej (np. Polityka Bezpieczeństwa Fizycznego i Technicznego). 3. Ochrona logiczna zbieżna z 12 obiektem audytu + systemy DLP (Data Leak/Leakage/Loss Protection/Prevention)

19 12. Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, e) zapewnieniu bezpieczeństwa plików systemowych, f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych, g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa, h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.

20 13. Zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących. 1. Pojęcie incydentu naruszenia bezpieczeństwa informacji. 2. Ścieżka obsługi incydentu naruszenia bezpieczeństwa informacji. 3. Raportowanie do najwyższego kierownictwa. Incydent związany z bezpieczeństwem informacji to pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji. PN-ISO/IEC 27001:2007 wg ISO/IEC TR 18044:2004

21 14. Zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. 15. Rozliczalność działań użytkowników lub obiektów systemowych w systemach teleinformatycznych ( 21 rozporządzenia w sprawie KRI) 1. Rozliczalność w systemach teleinformatycznych podlega wiarygodnemu dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach). 2. W dziennikach systemów odnotowuje się obligatoryjnie działania użytkowników lub obiektów systemowych polegające na dostępie do: 1) systemu z uprawnieniami administracyjnymi; 2) konfiguracji systemu, w tym konfiguracji zabezpieczeń; 3) przetwarzanych w systemach danych podlegających prawnej ochronie w zakresie wymaganym przepisami prawa. 1. Identyfikatory i hasła do kont uprzywilejowanych (administratora). 2. Zawartość logów (identyfikatory użytkowników, czas i data logowań) NTP! 3. Miejsce przechowywania logów oraz ich nienaruszalność. 4. Retencja logów.

22 Przykład elementów procedury audytowej - implementacja IDS 1. Ocenić poziom otwarcia zasobów informacyjnych organizacji dla osób z zewnątrz. 2. Czy określone zostały krytyczne zasoby IT służące do przechowywania i przetwarzania informacji organizacji? 3. Które z nich są najbardziej podatne na ataki np. DoS? 4. Czy dostęp do krytycznych zasobów jest monitorowany przez system IDS? 5. Czy monitorowanie obejmuje ruch sieciowy generowany przez użytkowników z wewnątrz sieci firmowej? 6. Kto konfiguruje system IDS? Kto instaluje zaktualizowane oprogramowanie IDS? 7. Kto monitoruje alerty generowane przez IDS? 8. W jaki sposób przesyłane są alerty do odpowiedzialnego administratora? 9. Czy IDS ma narzędzie generowania podsumowującego dobowe zapisy w swoim logu? 10. Jak długo informacja z logu jest dostępna (retencja)? 11.Jaki jest mechanizm aktualizacji sygnatur ataków dla systemu IDS?

23 Istotne zmiany aktualizacja norm serii ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- Requirements ISO/IEC 27002:2013 Information technology -- Security techniques -- Code of practice for information security controls (wcześniej ISO/IEC Praktyczne zasady zarządzania bezpieczeństwem informacji) Ilość zabezpieczeń (controls) zmniejszyła się ze 133 do 114. Ilość sekcji wzrosła z 11 do 14. Wytyczne do zarządzania ryzykiem przeniesienie środka ciężkości z normy ISO (Zarządzanie ryzykiem w bezpieczeństwie informacji) na ISO (Zarządzanie ryzykiem -- Zasady i wytyczne). Pojęcie właściciela zasobów/aktywów zastąpiono terminem właściciel ryzyka.

24 Dziękuję za uwagę