Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Transkrypt

1 Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica

2 Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena wartości informacji Analiza ryzyka Źródła zagrożeń systemów informatycznych Metodyka ochrony Środki bezpieczeństwa Dokument Zasad Bezpieczeństwa Wdrażanie systemu zabezpieczeń Aspekty ekonomiczne Zarządzanie bezpieczeństwem SI

3 Pojęcie Polityki Bezpieczeństwa Pod pojęciem Polityki Bezpieczeństwa rozumiemy zbiór reguł rządzących zachowaniem użytkowników, które mają na celu zabezpieczanie integralności systemu informatycznego i przetwarzanych w nim danych. Polityka Bezpieczeństwa dotyczy całego procesu korzystania z informacji niezależnie od sposobów jej gromadzenia i przetwarzania.

4 Akceptacja Akceptacja i zrozumienie potrzeby stworzenia i utrzymania Polityki bezpieczeństwa przez kierownictwo organizacji ma fundamentalne znaczenie.

5 Wartość informacji Informacja - dobro szczególne Które informacje należy chronić? Ile warte są poszczególne informacje? Może powinniśmy chronić wszystkie?

6 Obowiązujące prawo... Ustawa o ochronie informacji niejawnych Ustawa o ochronie danych osobowych Ustawa o ochronie baz danych Ustawa o świadczeniu usług drogą elektroniczną Ustawa o statystyce publicznej Ustawa o podpisie elektronicznym Ustawy: kodeks cywilny, kodeks karny, kodeks pracy inne

7 Standardy Politykę Bezpieczeństwa opracowuje się w oparciu o następujące normy: PN-ISO/IEC oraz rodzina norm: ISO/IEC ISO/IEC TR RFC Site Security Handbook FIPS PUB Federal Information Processing Standards Publication Standard for: Guideline for the Analysis of Local Area Network Security Publikacje fachowe poświęcone zagadnieniom bezpieczeństwa danych

8 ... w tym - tajemnice: tajemnica państwowa tajemnica służbowa tajemnica pracodawcy tajemnica statystyczna tajemnica ubezpieczeniowa tajemnica skarbowa tajemnica lekarska tajemnica handlowa i inne

9 Klasyfikacja wartości informacji Zgodnie z przepisami Ustawy z dnia 22 stycznia 1999 roku O OCHRONIE INFORMACJI NIEJAWNYCH, ważność informacji klasyfikujemy jako: Ściśle tajne Tajne Poufne Zastrzeżone

10 Klasyfikacja wartości informacji Na wewnętrzne potrzeby organizacji możemy informacje podzielić na: Zastrzeżone Niesklasyfikowane (niepublikowane) Niesklasyfikowane (publikowane)

11 Klasyfikacja wartości informacji Szacowanie wartości posiadanych informacji jest w każdym przypadku ryzykowne!

12 Podział systemu informatycznego na domeny Nieklasyfikowane Zastrzeżone Poufne

13 Analiza ryzyka Podział zagrożeń i środków im przeciwdziałających Co może się stać i jak temu zapobiec? Prawdopodobieństw o wystąpienia Plan działania Na ile realne jest zagrożenie? Stało się... co robić?

14 Formularz analizy ryzyka Opis ryzyka Potencjalny skutek Potencjalny koszt Prawdopodobieństwo wystąpienia Względny priorytet Opis działań zapobiegawczych Koszt niezbędnych zabezpieczeń

15 Źródła zagrożeń systemów informatycznych Błędy i przeoczenia Nieetyczni użytkownicy Zagrożenia fizyczne Hackerzy i wirusy Na podstawie analiz: Gartner/DataPro

16 Najsłabszy element systemu Najsłabszym elementem systemu bezpieczeństwa zawsze jest... człowiek!

17 Działania nieetycznych użytkowników - jak zapobiegać? Właściwa struktura uprawnień nadawanych użytkownikom Monitoring działań wykonywanych przez użytkowników (dzienniki systemowe, programy śledzące, analiza dostępu do pomieszczeń itd.) Egzekwowanie przestrzegania ustalonych procedur

18 Metodyka ochrony informacji Punkt wyjściowy - zdefiniowanie podstawowych poziomów ochrony: Proceduralny Fizyczny Logiczny

19 Środki bezpieczeństwa Administracyjne Fizyczne Techniczne Prawne

20 Dokument Zasad Bezpieczeństwa Formalna podstawa przyjętej przez organizację Polityki Bezpieczeństwa Główne cele opracowywania DZB: zdefiniowanie reguł ochrony informacji, określenie zasad ich wdrożenia, opis zagrożeń, procedury unikania zagrożeń.

21 Udział kadr kierowniczych w procesie tworzenia DZB Kierownictwo: zapoznanie się z problematyką bezpieczeństwa SI, przyjęcie i akceptacja Polityki Bezpieczeństwa, ogólne ustalenia dotyczące klasyfikacji informacji. Szef pionu IT: wytypowanie osoby bezpośrednio odpowiedzialnej za bezpieczeństwo systemu - Oficera Bezpieczeństwa, nadzór nad tworzeniem dokumentu.

22 Oficer Bezpieczeństwa Specjalista - informatyk odpowiedzialny bezpośrednio przed kierownictwem organizacji - nie będący administratorem systemu/sieci Zadania: tworzenie zespołu informatyków, nadzór nad procesem tworzenia systemu zabezpieczeń, opracowywanie procedur, definiowanie zdarzeń podlegających audytowi, kontrola dzienników systemowych.

23 Wdrażanie systemu zabezpieczeń Konieczny jest aktywny udział kierownictwa! Inne czynniki warunkujące powodzenie wdrożenia: pozyskanie i instalacja odpowiedniej jakości sprzętu i oprogramowania, szkolenie przyszłych użytkowników systemu, opracowanie prostych i skutecznych zasad użytkowania systemu zabezpieczeń, przeprowadzenie wszystkich niezbędnych testów i symulacji przed ostatecznym wdrożeniem.

24 Przeszkolenie pracowników - podstawą sukcesu! Jednym z najważniejszych celów przeprowadzanych szkoleń powinno być przekonanie użytkowników o konieczności ochrony informacji

25 Pozytywne efekty szkoleń Zmiana mentalności pracowników - użytkowników systemu i wynikający z niej wyższy poziom bezpieczeństwa całości systemu Wzrost kwalifikacji użytkowników Mniejsza ilość problemów organizacyjnych podczas rozpoczęcia pracy z nowym systemem zabezpieczeń Optymalizacja wykorzystania nowych narzędzi programowych i sprzętowych

26 Ekonomiczne aspekty stosowania systemu zabezpieczeń Koszty: planowanie i projektowanie, zakup sprzętu, oprogramowania i technologii, szkolenia, nowa, szczegółowa dokumentacja całego systemu, problemy organizacyjne związane z nowymi narzędziami i zasadami pracy, konieczność zatrudnienia nowych pracowników

27 Ekonomiczne aspekty stosowania systemu zabezpieczeń Jaki otrzymujemy zysk: Gdy mówimy o bezpieczeństwie danych, zyskiem możemy nazwać brak lub wymierne obniżenie potencjalnych strat.

28 Zarządzanie bezpieczeństwem systemu informatycznego Zarządzanie bezpieczeństwem systemu informatycznego jest procesem ciągłym. Jeżeli decydujemy się na opracowanie i wdrożenie Polityki Bezpieczeńsgtwa, to musimy pamiętać, że będzie ona spełniała swoje zadanie wyłącznie jeśli będziemy stale dopasowywali jej założenia do aktualnego kształtu systemu informatycznego.

29 Serdecznie dziękuję za uwagę! Q&A Bardzo proszę o zadawanie pytań - teraz lub w terminie późniejszym: Krzysztof.Mlynarski@security.pl