BSI wykład 4. Dr inż. Małgorzata Langer

Transkrypt

1 BSI wykład 4 Dr inż. Małgorzata Langer

2 Co to jest bezpieczeństwo? System komputerowy jest bezpieczny, jeżeli zainstalowane oprogramowanie działa zgodnie ze specyfikacją, wprowadzone na stałe dane nie zostaną utracone, zniekształcone i nie będą pozyskane przez nikogo nieuprawnionego, system jest odporny na awarie, bezpieczny dla otoczenia i przyjazny dla środowiska

3 Digital Security Risk Management for Economic and Social Prosperity OECD 2015 Istnieje potrzeba przyjęcia podejścia opartego o zarządzanie ryzykiem zamiast traktowania problemu bezpieczeństwa sieci wyłącznie jako przyjmowanie kolejnych rozwiązań technicznych Ryzyko cyfrowe musi być traktowane w identyczny sposób, jak ryzyko ekonomiczne i dlatego musi stanowić integralną część całościowego zarządzania ryzykiem w każdej organizacji i procesie podejmowania decyzji. Ryzyko dotyczące bezpieczeństwa informatycznego powinno zostać zredukowane do poziomu uważanego za akceptowalny w stosunku do spodziewanych na obecnym etapie korzyści ekonomicznych.

4 Osiem ogólnych zasad 1. Świadomość, umiejętności, szkolenia 2. Odpowiedzialność 3. Zachowanie praw osobowych i fundamentalnych wartości 4. Współpraca 5. Badanie ryzyka i proces jego przetwarzania 6. Podejmowane środki ostrożności 7. Innowacje 8. Przygotowanie i wdrożenie planu ciągłego zabezpieczania bezpieczeństwa

5 Zapewnienie bezpieczeństwa W praktyce jest to ZARZĄDZANIE RYZYKIEM - Wskazywane są potencjalne zagrożenia -Szacowane prawdopodobieństwo ich wystąpienia - Oceniany potencjał strat -Podejmowane kroki zaradcze (zapobiegawcze) W RACJONALNYM ZAKRESIE

6 Nowe wyzwania Powszechność stosowania systemów komunikacji elektronicznej w zastosowaniach administracji publicznej, przedsiębiorczości, finansach, oświacie, itp. Planowany rozwój i wdrażanie systemów, np. e-administracja, rozwój ofert usług sieciowych i dodanych

7 Nowe wyzwania c.d. Systemy informatyczne i teleinformatyczne obejmują coraz większe obszary działalności i powinny być dostępne przez cały czas Wzrost udziału sieci radiodostępowych w technologiach dostępowych Rozwiązania techniczne są coraz bardziej złożone i różnorodne

8 Nowe wyzwania c.d. Wzrost zagrożeń (cyberterroryzm, szpiegostwo, przestępstwa bankowe, dotyczące praw własności intelektualnej, itp. ) Konieczność funkcjonowania usług Konieczność funkcjonowania usług w sytuacjach szczególnych zagrożeń (np. klęsk żywiołowych), przynajmniej dla wybranych użytkowników

9 Bezpieczeństwo strategiczne Ochrona danych wrażliwych i osobowych Przełamanie utrwalonego przez lata monopolu Telekomunikacji; pojawienie się nowych operatorów i dostawców usług; powstanie warunków konkurencyjności Realizacja usług z uwzględnieniem suwerenności państwa

10 NEUTRALNOŚĆ TECHNOLOGICZNA Tworzenie warunków do uczciwej konkurencji i rozwoju, na podstawie obiektywnych kryteriów, wszystkich rozwiązań technologicznych i standardów oraz zakaz dyskryminowania lub wspierania konkretnych rozwiązań technologicznych lub standardów, chyba że zgodnie z przepisami odrębnymi podejmowane są uzasadnione, proporcjonalne środki dla promowania niektórych specyficznych usług [Ustawa Prawo Telekomunikacyjne weszła w życie ]

11 Neutralność technologiczna państwa oznacza, iż władze publiczne nie mogą tworzyć prawa, a podmioty publiczne nie mogą konstruować systemów teleinformatycznych mających realizować zadania publiczne w taki sposób, by preferować (lub wręcz wskazywać) konkretne rozwiązania technologiczne pochodzące od konkretnych producentów, albo konkretne rozwiązanie rynkowe

12 Zagrożenia płynące z neutralności technologicznej Nieznany sposób budowy sieci Nieznane trasowanie i sposób przełączania Możliwość wykorzystania różnorodnych mediów, operatorów i technologii jednocześnie Dostawca infrastruktury może nie być dostawcą usługi

13 Zagrożenia płynące z neutralności technologicznej c.d. BOK (Biuro Obsługi Klienta) może być poza granicami kraju (dane osobowe wychodzą poza granice państwa) Centrum Zarządzania Siecią może być poza krajem, co implikuje inne przepisy dot. Audytu, poziomu bezpieczeństwa, nadzoru

14 Jerzy Paczocha, 2007r.

15 System zarządzania bezpieczeństwem informacji operatora (SZBI) Część całościowego systemu zarządzania, opartego na podejściu wynikającym z ryzyka zintegrowanej infrastruktury teleinformatycznej, odnoszący się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji Struktura organizacyjna, polityka, planowane działania, zakresy odpowiedzialności, zasady, procedury, procesy i zasoby PN-ISO/IEC Systemy zarządzania bezpieczeństwem informacji - Wymagania

16 Składowe bezpieczeństwa informacji Bezpieczeństwo teleinformatyczne Bezpieczeństwo fizyczne BT BF Bezpieczeństwo prawne BP BO-O Bezpieczeństwo osobowoorganizacyjne

17 Zagrożenia informacyjne Nieuprawnione ujawnienie informacji -pomyłkowe -celowe Szpiegostwo; podsłuch; piractwo Niszczenie informacji Brak kontroli nad stosowaniem nowoczesnych technologii Naruszenie praw do poufności Naruszanie prywatności i dobrego imienia

18 FCAPS Rekomendacja ITU-TM3400 Fault Management (zarządzanie usterkami) ConfigurationManagement (zarządzanie konfigurac ją) AccountingManagement (zarządzanie rozliczeniami lub administrowanie) PerformanceManagement (zarządzanie wydajnością) SecurityManagement (zarządzanie bezpieczeństwem)

19 ZARZĄDZANIE Ustalenie odpowiedzialności -poziomu zarządzania przy podejmowaniu decyzji dot. bezpieczeństwa cyfrowego (zależnie od poziomu ryzyka) Audyt, testy zgodności, Narzędzia pomocne w zarządzaniu Inwentaryzacja

20 Inwentaryzacja zapewnienia bezpieczeństwa cyfrowego Polityki, standardy, przepisy Wymagania Raporty monitoring poprawa Narzędzia, procesy, procedury

21 Inwentaryzacja musi odpowiedzieć na pytania strategiczne: Kto? -role i odpowiedzialności za przeprowadzanie audytów, analiz itd. Co? środki i procesy krytyczne/niekrytyczne Kiedy? -jak często przeprowadzać testy zgodności i audyty Jak? -co zamieszczać w raporcie, komu przekazywać raporty, lista priorytetów, plany naprawy

22 Przy każdym aktywie (materialnym i niematerialnym) należy odpowiedzieć na pytania: Kto ma prawo korzystania? Po co potrzebne jest użytkownikowi (jaką on spełnia misję)? Po co potrzebne jest organizacji? Jak ważne jest dla organizacji, dla jej misji, dla użytkowników? Jakie są wymagania dot. dostępności (np. maksymalny czas naprawy )? Jaka informacja wymagana jest o aktywie przez organizację? Jaką informację dana pozycja wytwarza, używa, przetwarza lub przechowuje albo odzyskuje? Ważność tej informacji dla misji organizacji? Ścieżki przepływu informacji?

23 c.d. Rodzaj i zakres przechowywanej informacji (kadry, sprzedaż. Marketing, finanse, badania, dane produkcyjne, planowanie, )? Poziom klasyfikacji informacji (np. poufna, tylko do użytku wewnętrznego, zastrzeżona, z prawem autorskim, dane klienta, tajemnica handlowa, informacja publiczna)? Gdzie dana informacja jest przetwarzana lub przechowywana? Rodzaje używanych pamięci? Potencjalny wpływ na organizację po ujawnieniu informacji? Efekt na misję organizacji, jeżeli informacja nie jest wiarygodna?

24 Utrata lub uszkodzenie aktywów fizycznych może zdegradować lub nawet zlikwidować możliwość organizacji do prowadzenia biznesu, dostarczenia produktów i świadczenia usług, które dają dochód. Utrata lub uszkodzenie aktywów niematerialnych może zdegradować lub nawet zlikwidować możliwość organizacji do prowadzenia biznesu, dostarczenia produktów i świadczenia usług, które dają dochód.

25 Standardy i protokoły ISO/IEC (ITU-T X.200) zarządzanie aplikacje, systemy, warstwa protokołów ISO/IEC (ITU-TX.700) zarządzanie bezpieczeństwem ITU-TX.800 architektura bezpieczeństwa, usługi bezpieczeństwa (autentyfikacja, dostęp, poufność, integralność ); mechanizmy zabezpieczające (podpis cyfrowy, szyfrowanie, integralność danych, kontrola rutingu ) ISO/IEC (polityka bezpieczeństwa, zarządzanie )

26 ISO/IEC (Standard Zarządzania Bezpieczeństwem Informacji) Do używania przez: -managerów do określania stanu działań zarządzania InfoSec - wewnętrzny i zewnętrzny audyt -organizacje zbierające informacje, procedury w stosunku do partnerów, klientów, itd

27 Zarządzanie InfoSecpowinno: Zidentyfikować wrażliwość wszystkich aktywów pod względem zabezpieczenia informacji (publiczne, własność zastrzeżona, prawo autorskie, poufna..) Zidentyfikować grupy personelu pod względem dostępu do know-how, uprawnień do pozyskiwania i posiadania informacji itd. Zidentyfikować własność poszczególnych aktywów Umożliwić opracowanie, aktualizację i działanie programu bezpieczeństwa

28 Zarządzanie ryzykiem Zarządzanie ryzykiem: zapewnienie, że zostały w firmie wdrożone praktyki zarządzania ryzykiem IT - ustalenie i utrzymywanie procedur -ustalenie progów powodujących uruchomienie poszczególnych działań - promocja kultury bezpieczeństwa - integracja z ogólnymi działaniami firmy dot. Bezpieczeństwa -koordynacja strategii bezpieczeństwa IT z całościową strategią firmy - zabezpieczenie finansowe - podejmowanie decyzji biznesowych ze świadomością zagrożeń

29 Zarządzanie ryzykiem Ocena ryzyka: -identyfikacja, analiza, umieszczenie ryzyka w procedurach warunkujących codzienną działalność - zbieranie danych - identyfikacja czynników ryzyka - informacje o naruszeniach - analiza ryzyka - analiza możliwych opcji reakcji - regularne przeglądy analizy ryzyka IT - mapa zasobów IT w procesach biznesowych - określenie punktów i parametrów krytycznych - aktualizacja

30 Zarządzanie ryzykiem Odpowiedź na zidentyfikowane ryzyko zapewnienie, że związane z ryzykiem IT kwestie, wydarzenia i okoliczności są właściwie, efektywnie pod względem kosztów i zgodnie z priorytetami biznesowymi firmy załatwione - powiadomienie o rezultatach analizy ryzyka - interpretacja audytu - kontrola inwentaryzacji; wdrażanie kontroli i raporty - monitorowanie i przestrzeganie ustalonych progów ryzyka - reakcja na wydarzenia i odrobienie lekcji na przyszłość

31 Elementy krytyczne (przykładowa identyfikacja) Programy antywirusowe Serwery aplikacji Zarządzanie konfiguracją oprogramowania Malware Aplikacje na desktopach Dostęp do zasobów Usługi w katalogach Serwery DNS Serwery Programy szyfrujące Aplikacje firmowe Serwery ogólnego przeznaczenia Urządzenia z ręczną obsługą Zarządzanie identyfikacją osób i urządzeń Systemy zarządzania bazami danych Przełączniki sieciowe Rutery sieciowe Urządzenia peryferyjne Platformy aplikacji biurowych Systemy operacyjne Wirtualizacja Serwery bezpieczeństwa Firewall Poczta bezprzewodowa Przeglądarki i strony Sieci bezprzewodowe Serwery web

32 Polityka Info-Sec(przykładowa) Zarządzanie infrastrukturą komputerową i siecią Kontrola systemu dostępu Rozwój i konserwacja systemu Zabezpieczanie poczty elektronicznej Programy antywirusowe i malware Akceptowalne używanie internetu Komunikacja elektroniczna Zabezpieczenie internetu Przetwarzanie zdalne i na urządzeniach mobilnych

33 Polityka Info-Sec c.d. Kontrola dostępu do aplikacji Wymiana danych i oprogramowania Kontrola dostępu do sieci Operacje w systemie informatycznym Dostęp użytkowników Dostęp klientów Hasła i autentyfikacja Infrastruktura kluczy publicznych i certyfikaty cyfrowe Firewall i prewencja przed intruzami Inne zabezpieczenia dostępu do internetu

34 Polityka Info-Sec c.d. Każdy punkt z polityki Info-Secmusi zostać rozpisany na szczegółowe wymagania Szczegółowe wymagania będą przydatne (i przestrzegane!) np. przy zakupie nowych systemów, sprzętu itd. Szczegółowe wymagania muszą być weryfikowalne (inspekcja, testy, analiza, dokumentacja)

35 Procedury logowania Procedury logowania muszą ujawniać możliwie jak najmniej informacji o systemie, aplikacji lub usłudze Nie podpowiadać hasła i nie pokazywać przy wpisywaniu Mieć ustalone dozwolone ilości prób logowania i wdrażać określone procedury po ich przekroczeniu

36 Bezpieczeństwo fizyczne Czy nasz system i dane nie są zagrożone? Czy nasz system nie zagraża innym? Jak zabezpieczony jest przed zagrożeniami losowymi? Czy jest prawidłowo konserwowany? Czy posiadamy procedury na wypadek awarii?