Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Transkrypt

1 : bezpieczeństwo IT w wybranych standardach niemieckich i francuskich Maciej Kaniewski 1/19

2 IT Baseline Protection Manual IT Grundschutz = zabezpieczenie podstawowe Opracowany przez Federalny Urząd ds. Bezpieczeństwa w Technice Informacyjnej (zał. 1990, podlega federalnemu MSW) Standard dostępny bezpłatnie w wersji niemieckiej (pełnej) oraz angielskiej (trochę okrojonej) Cel przystępne narzędzie, pozwala uniknąć szczegółowej analizy ryzyka od podstaw dla typowych systemów informatycznych Ok użytkowników urzędy federalne (w tym MSW, policja, GSG9), landy i administracja lokalna, przedsiębiorstwa Ostatnia wersja listopad 2004 Katalog najlepszych praktyk - ok. 55 komponentów, 600 zabezpieczeń, 2200 stron Pierwszy wydany certyfikat październik 2002 Obecnie BSI certyfikuje według na bazie IT-Grundschutz Istnieje narzędzie wspomagające projektowanie polityki bezpieczeństwa (Grundschutz-Tool) - dodatkowo płatne 2/19

3 Standardy uzupełniające 100-1: Systemy zarządzania bezpieczeństwem informacji (wpasowanie w model ISO oraz ISO 17799) 100-2: Sposób postępowania przy IT- Grundschutz (wstęp metodyczny) 100-3: Analiza ryzyka na bazie IT- Grundschutz (uzupełnienie) 3/19

4 IT Baseline Protection Manual (2) Analiza strukturalna Inwentaryzacja aplikacji Inwentaryzacja systemów IT Określenie wymagań bezpieczeństwa Aplikacje Systemy Podstawowa analiza ryzyka Uzupełniająca analiza ryzyka opcja Planowanie wdrożenia 4/19

5 IT Baseline Protection Manual (3) Określenie wymaganego poziomu bezpieczeństwa na podstawie scenariuszy szkód Osobno dla każdego atrybutu bezpieczeństwa (poufność, dostępność, integralność) bada się konsekwencje w zakresie: naruszenie prawa i przepisów naruszenie ochrony danych osobowych naruszenie bezpieczeństwa osobistego ograniczenie możliwości wykonywania zadań negatywne oddziaływanie na zewnątrz straty finansowe Określenie sumarycznego poziomu bezpieczeństwa 5/19

6 IT Baseline Protection Manual (4) Wymagany poziom bezpieczeństwa dla aplikacji - maksymalny wynikający z analizy scenariuszy Mapowanie aplikacji na systemy IT Wymagany poziom bezpieczeństwa dla systemu IT uwzględnienie efektu kumulacji maksymalizacji zależności dystrybucji ryzyka 6/19

7 IT Baseline Protection Manual (5) Podstawowa analiza ryzyka Odwzorowanie systemu IT przy pomocy słownika komponentów Analiza zagrożeń i podatności Dla każdego komponentu Analiza faktycznego stanu zabezpieczeń Identyfikacja wymagań dla zabezpieczeń Opracowanie koncepcji ochrony komponentu Opracowanie koncepcji ochrony systemu 7/19

8 IT Baseline Protection Manual (6) Wykaz komponentów System priorytet 1 2 Wykaz zagrożeń macierz powiązań Wykaz środków 3 8/19

9 IT Baseline Protection Manual (7) Modelowanie warstwowe Poziom 1: Nadrzędny zarządzanie bezpieczeństwem IT organizacja personel koncepcja planów awaryjnych koncepcja archiwizacji koncepcja ochrony antywirusowej koncepcja kryptograficzna obsługa incydentów zarządzanie sprzętem i oprogramowaniem oprogramowanie standardowe 9/19

10 IT Baseline Protection Manual (8) Modelowanie warstwowe (cd.) Poziom 2: Infrastruktura budynek okablowanie pomieszczenia biurowe serwerownia archiwum nośników danych pomieszczenie na infrastrukturę techniczną szafy ochronne domowe stanowisko pracy centrum obliczeniowe Poziom 3: Systemy IT Poziom 4: Sieć Poziom 5: Aplikacje 10/19

11 IT Baseline Protection Manual (9) Dalsze kroki: Analiza stanu zabezpieczeń Konsolidacja i sprecyzowanie zabezpieczeń Oszacowanie kosztów i czasu Plan wdrożenia Podsumowanie: plusy: możliwość szybkiego wdrożenia, obfity katalog konkretnych rozwiązań, dużo praktycznych propozycji i przykładów minusy: nie wszystkie systemy uwzględnione, brak pełnej analizy ryzyka 11/19

12 IT Baseline Protection Manual (10) Przykładowa struktura organizacyjna Zarząd Komitet koordynacyjny IT Komitet bezpieczeństwa IT Pełnomocnik bezpieczeństwa IT Przedstawiciele użytkowników Wydziałowy pełnomocnik bezpieczeństwa IT Pełnomocnik bezpieczeństwa IT systemu (projektu) 12/19

13 IT Baseline Protection Manual (11) Certyfikacja: autodeklaracja poziom podstawowy (wprowadzenie niezbędnych zabezpieczeń) bez audytu przez licencjonowanego audytora BSI z audytem przez licencjonowanego audytora BSI autodeklaracja poziom zaawansowany (wprowadzenie najważniejszych zabezpieczeń) bez audytu przez licencjonowanego audytora BSI z audytem przez licencjonowanego audytora BSI audyt certyfikacyjny i certyfikacja przez akredytowaną instytucję Autodeklaracje jako kamienie milowe do certyfikacji Ważność 2 lata 13/19

14 EBIOS Expression des Besoins et Identification des Objectifs de Sécurité = wyrażenie potrzeb i identyfikacja celów bezpieczeństwa Cel racjonalizacja projektowania systemu zarządzania bezpieczeństwem IT Nacisk bardziej na metodykę niż gotowe rozwiązania Opracowany przez sekretariat generalny obrony narodowej, departament bezpieczeństwa systemów informatycznych Wywodzi się z metodyki planowania bezpieczeństwa obiektów jądrowych Składa się z pięciu części: wstęp, postępowanie, techniki, narzędzie do analizy ryzyka, narzędzie do przeciwdziałania ryzyku Także wersja angielska Darmowe oprogramowanie (ze źródłami) 14/19

15 EBIOS (2): Etapy działania 1. Analiza kontekstu 2. Określenie wymagań bezpieczeństwa 3. Zbadanie zagrożeń 4. Określenie celów bezpieczeństwa 5. Określenie wymagań bezpieczeństwa dzielą się na 13 aktywności 15/19

16 EBIOS (3): Zbadanie kontekstu Aktywności 1.1 Zbadanie organizacji (instytucji) 1.2 Zbadanie wybranego systemu Format opisu: sieć działań warunki wejściowe dane wejściowe czynności dane wyjściowe porady praktyczne 1.3 Zdefiniowanie celu studium bezpieczeństwa 16/19

17 EBIOS (4): Techniki i narzędzia Dla każdej aktywności opisane: definicje pojęć zasady postępowania stosowana metodyka i narzędzia (tablice, formularze, katalog zagrożeń itp.) Klasyfikacja aktywów (zasobów), zagrożeń i podatności Klasyfikacja celów i wymagań bezpieczeństwa Korelacja podatności oraz celów i wymagań bezpieczeństwa Pomocnicze standardy: PSSI: opracowanie polityki bezpieczeństwa TDBSSI: opracowanie tablicy rozdzielczej bezpieczeństwa IT (metoda wizualizacji) 17/19

18 EBIOS (5): Podsumowanie Plusy: przejrzysta i logiczna metodyka, zastosowanie przy dowolnym wymaganym poziomie bezpieczeństwa zgodność z ISO Minusy: mniej techniczny niż IT Grundschutz, nie zawiera szczegółowych rozwiązań 18/19

19 Dziękuję za uwagę! 19/19