MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich.

Transkrypt

1 MSP - czyli jak tłumaczyć wymogi bezpieczeństwa informacji trudne dla Wielkich na potrzeby Maluczkich. Prezenterzy: Andrzej Kasprzyk i Piotr Dzwonkowski 1

2 Information Systems Security Association Międzynarodowa organizacja typu not-for-profit Zrzesza ponad osób z ponad 70 krajów zawodowo zajmujących się bezpieczeństwem Systemów Informatycznych Obecna w 70 krajach ( ponad 150 oddziałów) Oferuje edukację, fora dyskusyjne i możliwość wymiany informacji i doświadczeń Pozwala swoim członkom na poszerzenie umiejętności, wiedzy i doświadczenia Aktywnie współpracuje z ISC2, OWASP i ISACA w celu zapewnienia pełnej ochrony aktywów informacyjnych 2

3 Cel prezentacji: Przedstawić rezultaty pracy w projekcie ISSA Polska MSP Cel projektu MSP: Nauczyć się opisywać wymagania bezpieczeństwa informacji w zrozumiały dla laika sposób 3

4 Autorzy Grupa MSP w składzie: Alina Wirbel-Łuczak Piotr Bratkowski Maciej Gajewski Andrzej Kasprzyk Piotr Dzwonkowski 4

5 Etap 0 - angielski Podział finansowy na MSP Podstawowe czynniki decydujące o tym, czy dana firma może zostać uznana za MŚP: liczba pracowników oraz roczny obrót albo całkowity bilans roczny. Kategoria przedsiębiorstwa Liczba pracowników Roczny obrót albo Całkowity bilans roczny Średnie < mln euro 43 mln euro Małe < mln euro 10 mln euro Mikro < 10 2 mln euro 2 mln euro 5

6 Etap 0 - angielski Zasady BI dla MSP Wytyczne zabezpieczeń informacji dla MSP 6

7 Etap 1 ISSA Polska Klasyfikacje działalności Stworzyliśmy klasyfikację działań opartą na ryzyku tzn. na: Typach informacji aby zabezpieczając organizację wziąć pod uwagę WARTOŚĆ Intensywności przetwarzania aby zabezpieczając organizację wziąć pod uwagę ILOŚĆ zabezpieczanej informacji Przyjęliśmy założenie, że im więcej danych tym większe prawdopodobieństwo niepomyślnych zdarzeń 7

8 Etap 1 ISSA Polska Typy informacji Typ I - dane wspierające działania człowieka lub organizacji Typ II - dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym Typ III - dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne Typ IV - dane wojska, policji i innych służb Wytyczne zabezpieczeń informacji dla MSP 8

9 Etap 1 ISSA Polska Intensywność przetwarzania mała (do 100 rekordów) intensywność 2=LOG(100) średnia (do rekordów) - intensywność 4 duża ( rekordów) intensywność 6 Wytyczne zabezpieczeń informacji dla MSP 9

10 Etap 1 ISSA Polska Przykład 4 - Punkt analiz Kat. Opis typu informacji I II III IV dane wspierające działania człowieka lub organizacji dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne dane wojska, policji i innych służb medycznych Intensywność działań 1. Zatrudnienie 10 pracowników [III, 1] 2. Zarządzanie bazą informacyjną 1000 ludzi [III, 3] 3. Zarządzanie 10 klientami (szpital, poradnia zdrowia) [I, 1] Wytyczne zabezpieczeń informacji dla MSP 10

11 Etap 1 ISSA Polska? Gdzie w tym wszystkim są MSP? Wytyczne zabezpieczeń informacji dla MSP 11

12 Etap 1 ISSA Polska Mikro Małe Średnie Klasyfikacja działań - matryca Intensywność działań Kat. Opis typu informacji I II III dane wspierające działania człowieka lub organizacji dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne IV dane wojska, policji i innych służb Wytyczne zabezpieczeń informacji dla MSP 12

13 Etap 1 ISSA Polska Wniosek etapu 1 Podział organizacji na Mikro, Małe i Średnie w kontekście całościowej działalności organizacji zamieniliśmy na podział działań organizacji na Mikro, Małe i Średnie w kontekście wycinkowej działalności organizacji Wytyczne zabezpieczeń informacji dla MSP 13

14 Etap 1 ISSA Polska Kto chroni informacje? Dla każdego obszaru podzieliliśmy zabezpieczenia według kategorii osób odpowiedzialnych: Właściciela, Administratora, Użytkownika Wytyczne zabezpieczeń informacji dla MSP 14

15 Etap 1 ISSA Polska Odpowiedzialność Zadania Właściciela to przeprowadzenie analizy ryzyka aby zapewnić odpowiednie środki niezbędne dla wdrożenia i funkcjonowania zabezpieczeń, nadzorowanie spraw kontraktowych i zapewnienie żeby: użytkownik wypełniał zalecenia/wytyczne dotyczące sposobów zabezpieczeń informacji administrator tak skonfigurował systemy aby zabezpieczenia użytkownika były efektywne Wytyczne zabezpieczeń informacji dla MSP 15

16 Etap 1 ISSA Polska Przykład Zalecenia dla zwykłego użytkownika powinny być przestrzegane w równym (lub w większym) stopniu przez administratora i właściciela. Wytyczne zabezpieczeń informacji dla MSP 16

17 Etap 2 ISSA Polska 1. Praca z Normą 17

18 Etap 2 ISSA Polska 2. praca nad tekstem i odpowiedzialnością 18

19 Etap 2 ISSA Polska 3. Przegląd Critical Controls for Effective Cyber Defense 19

20 Etap 2 ISSA Polska 3. Przegląd Critical Controls for Effective Cyber Defense 20

21 Etap 2 ISSA Polska 3. Przegląd Critical Controls for Effective Cyber Defense 21

22 Etap 2 ISSA Polska Przykład Rekomendacje do Critical control 3 punkt 1: Wymieniaj całość sprzętu raz na 3 (?) lata. Używaj systemów Professional a nie Home. 22

23 Plany Naszym Planem jest zakończyć etap 2 prac do konferencji SEMAFOR Etap kolejny będzie polegał na przygotowaniu krótkich dokumentów tematycznych. 23

24 Dziękujemy za uwagę. Zapraszamy do współpracy Kontakt: