Ustanawianie SZBI. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001

Transkrypt

1 Ustanawianie SZBI Decyzję o ustanowieniu SZBI podejmuje Kierownictwo Organizacji. W wyniku tej decyzji zostaje opracowany i przedstawiony do akceptacji Kierownictwa Program Implementacji SZBI, który powinien zostać podzielony na projekty odpowiadające zaleceniom normy PN-ISO/IEC (ISO 27002): Opracowanie Polityki Bezpieczeństwa, Organizacja systemu bezpieczeństwa informacji, Zarządzanie aktywami, Zarządzanie zasobami ludzkimi, Organizacja bezpieczeństwa fizycznego i środowiskowego, Zarządzanie komunikacją i eksploatacją, Kontrola dostępu, Akwizycja, rozwój i utrzymanie systemu, Zarządzanie incydentami związanymi z bezpieczeństwem informacji, Zarządzanie ciągłością działania, Zgodność systemu z obowiązującymi przepisami prawa oraz normami. W wyniku każdego projektu zostają opracowywane dokumenty określające szczegółowe polityki oraz procedury. Powinny one odpowiadać wymaganiom normy PN-ISO/IEC Z zakresu SZBI mogą zostać wyłączone niektóre elementy opisujące określone cele np. jeśli Organizacja nie prowadzi handlu elektronicznego wyłączony zostanie cel określony w normie jako cel A.10.9 Bezpieczeństwo Handlu Elektronicznego oraz jego podpunkty A Handel elektroniczny oraz A Transakcje on-line. Wyłączenie może także nastąpić na skutek decyzji o akceptacji ryzyka szczątkowego związanego z rezygnacją ze stosowania określonych mechanizmów zabezpieczających np. ze stosowania technik kryptograficznych, o ile jest to zgodne z obowiązującymi przepisami wyższego rzędu. Niezależnie od przyczyny dokonania wyłączenia musi być ono uzasadnione pisemnie. (C) Tomasz Barbaszewski str. 1 z 8

2 Polityka bezpieczeństwa Polityka bezpieczeństwa stanowi zbiór deklaracji i zobowiązań składanych przez Kierownictwo organizacji w zakresie przestrzegania zasad bezpieczeństwa informacji. Deklaracje te powinny obejmować spełnienie wymagań prawnych, kontraktowych i technicznych związanych z zapewnieniem bezpieczeństwa informacji. Jeśli Organizacja przechowuje lub przetwarza dane podlegające ochronie prawnej z mocy aktów prawnych wyższych rzędów Ustawy o ochronie informacji niejawnych, Ustawy o ochronie danych osobowych Polityka Bezpieczeństwa itp. powinna również zawierać deklaracje przestrzegania postanowień tych ustaw (np. zgłoszenia zbiorów danych osobowych do przewidzianej prawem rejestracji) oraz deklarację o przestrzeganiu Ustawy o prawie autorskim i prawach pokrewnych oraz poszanowaniu własności intelektualnej. Polityka Bezpieczeństwa powinna jednoznacznie określać informacje, kto jest odpowiedzialny za przestrzeganie zasad bezpieczeństwa informacji i kto nadzoruje i koordynuje działania z tym związane. Polityka Bezpieczeństwa odwołuje się do związanych z nią dokumentów określających reguły postępowania w celu osiągnięcia celów związanych z zachowaniem bezpieczeństwa informacji. W Polityce Bezpieczeństwa powinna być również zawarta deklaracja, że obowiązkiem każdego pracownika Organizacji jest znajomość i przestrzeganie opracowanych w ramach ustanowionego SZBI polityk i procedur związanych z zachowaniem bezpieczeństwa informacji. Polityka Bezpieczeństwa powinna również zawierać oświadczenie kierownictwa o ciągłym doskonaleniu Systemu Zarządzania Bezpieczeństwem Informacji. Zasady sporządzania Polityki Bezpieczeństwa Przy opracowywaniu Polityki Bezpieczeństwa Informacji należy wziąć pod uwagę, że dokument ten będzie udostępniony wszystkim pracownikom Organizacji oraz zainteresowanym podmiotom zewnętrznym. Nie powinien to być dokument zbyt szczegółowy opisy wykorzystywanych zabezpieczeń powinny być umieszczane w dokumentach przeznaczonych do użytku wewnętrznego. Ogólna Polityka Bezpieczeństwa Organizacji powinna mieć charakter deklaratywny. Szczegółowe zalecenia postępowania należy umieszczać w Politykach Szczegółowych np. Polityce wykorzystywania komputerów przenośnych, polityce korzystania z przenośnych nośników danych, opisie stosowanych zabezpieczeń fizycznych itp. Opracowana Polityka Bezpieczeństwa powinna być zaakceptowana przez Kierownictwo Organizacji i przekazana do opublikowania i stosowania. (C) Tomasz Barbaszewski str. 2 z 8

3 Organizacja zarządzania bezpieczeństwem informacji Działania związane z utrzymaniem założonego poziomu bezpieczeństwa informacji muszą być prowadzone w sposób ciągły. Wiąże się to z powstawaniem nowych rodzajów zagrożeń, do których można zaliczyć pojawianie się nowych rodzajów złośliwego oprogramowania (wirusów i robaków komputerowych), nowych metod ataków sieciowych itp. oraz wykrywaniu nowych podatności. Wymaga to ciągłego monitorowania SZBI, analizy nowych, pojawiających się ryzyk oraz podejmowania odpowiednich działań zabezpieczających. Analiza ryzyka powinna być prowadzona z zastosowaniem metodyki przyjętej i zatwierdzonej przez Organizację. Opis tej metodyki powinien być załączony do dokumentacji SZBI. Wdrożenie SZBI Wdrożenie SZBI najkorzystniej jest podzielić na ciąg prostszych działań. Przykładowy zestaw tych działań może składać się z następujących kroków: sformułowanie planu postępowania z ryzykiem zawierającego zakresy odpowiedzialności oraz priorytety w zarządzaniu ryzykami związanymi z bezpieczeństwem informacji, określono sposób postępowania mający na celu skuteczne wdrażanie zabezpieczeń obejmujący sposób finansowania tych działań, wdrożenie zabezpieczeń wymaganych w Załączniku A normy ISO w sposób zapewniający osiągnięcie celów ich stosowania, opracowanie sposobów pomiaru skuteczności wybranych zabezpieczeń oraz wykorzystywania wyników tych pomiarów do obiektywnej i powtarzalnej ich oceny, Przeprowadzenie akcji uświadamiającej wśród wszystkich pracowników Organizacji. Przeprowadzenie odpowiednich szkoleń kadry zarządzającej i pracowników Organizacji, Opracowanie i wdrożenie reguł zarządzania stosowaniem SZBI oraz zasobami SZBI, Wdrożenie odpowiednich procedur oraz mechanizmów oraz innych zabezpieczeń mających na celu natychmiastowe wykrywanie i reakcję na incydenty związane z naruszeniem bezpieczeństwa informacji. Podczas wdrażania SZBI należy wziąć pod uwagę, że lista punktów kontrolnych umieszczona w normie PN-ISO/IEC dopuszcza różne postępowania z ryzykiem: wprowadzenie zabezpieczeń, zaakceptowanie ryzyka, unikanie ryzyka, przeniesienie ryzyka (np. na instytucję ubezpieczeniową). (C) Tomasz Barbaszewski str. 3 z 8

4 Najczęstsze błędy popełniane przy wdrażaniu SZBI: koncentrowanie się na ochronie środków do przechowywania i przetwarzania informacji (np. sprzętu komputerowego), a nie samej informacji. Zarówno kadra zarządzająca, jak i pracownicy organizacji powinni być świadomi faktu, że wartość informacji dla organizacji wielokrotnie przewyższa wartość wykorzystywanego przez organizację sprzętu komputerowego. Uszkodzony w wyniku awarii lub niekorzystnego zdarzenia sprzęt może być łatwo wymieniony na nowy, zaś np. dane finansowe, projekty itp., które zostaną utracone w wyniku kradzieży lub uszkodzenia komputera mogą nie być możliwe do odzyskania lub utracić atrybut poufności. Pomijanie informacji w formie innej niż elektroniczna. Dotyczy to nie tylko dokumentów w postaci papierowej ale również np. rozmów telefonicznych lub informacji dystrybuowanej w formie ogłoszeń umieszczanych na terenie firmy/urzędu. Informacje zapisywane na tablicach lub innych środkach wykorzystywanych w pomieszczeniach przeznaczonych do spotkań biznesowych bardzo często nie są usuwane natychmiast po zakończeniu spotkania. Wielu konsultantów i audytorów nie przykłada należytej wagi do konieczności zarządzania wszystkimi kopiami informacji niezależnie od formy, w jakiej te kopie są tworzone. Liczba wykonanych kopii powinna być monitorowana. Kopii nie należy tworzyć bez potrzeby! Jeśli informacja traci ważność, jest usuwana lub zastępowana przez nową wersję wszystkie jej kopie powinny być również usunięte (za wyjątkiem kopii archiwalnej, o ile archiwizacja informacji jest przewidziana). Kolejnym, często spotykanym błędem jest niedocenianie znaczenia opracowania obiektywnych oraz powtarzalnych metod pomiaru skuteczności wdrożonych zabezpieczeń. Nie mogą być one zastąpione testami penetracyjnymi, lecz powinny być realizowane według następującego schematu: co testujemy (np. czy informacje są przesyłane jedynie w postaci zaszyfrowanej)? jakie jest znaczenie testowanego zabezpieczenia lub właściwości dla bezpieczeństwa informacji? Jaka jest metodyka testowania oraz jakie narzędzia zostały wykorzystane? Czy wynik testowania odpowiada założeniom, jakie powinny być spełnione? Wartość aktywów informacyjnych jest określana za pomocą trzech atrybutów dostępność, integralność oraz poufność. Metoda pomiaru powinna umożliwiać zachowanie tych atrybutów na oczekiwanym poziomie np. czasu dostępu do wybranych danych lub programu użytkowego lub kontrolę, czy pakiety sieciowe są zaszyfrowane lub czy dokumenty są opatrywane właściwymi podpisami elektronicznymi. Aby uzyskać wiarygodne wyniki najczęściej konieczne jest stosowanie specjalistycznego oprogramowania. (C) Tomasz Barbaszewski str. 4 z 8

5 Monitorowanie i przegląd SZBI Podstawowe cele monitorowania SZBI są następujące: Jak najszybszego wykrycia błędów pojawiających się w wynikach przetwarzania, a w konsekwencji jak najszybsze wdrożenie odpowiednich środków zapobiegawczych, Natychmiastowego identyfikowania naruszeń bezpieczeństwa informacji oraz incydentów zakończonych sukcesem, lecz również prób zakończonych niepowodzeniem. Sprawdzenie przez kierownictwo, czy działania podjęte w związku z bezpieczeństwem informacji są wykonywane zgodnie z oczekiwaniami. Umożliwienie podjęcia działań w celu rozwiązania problemów związanych z naruszeniemi bezpieczeństwa, Sprawdzenie, czy podjęte działania są skuteczne. Monitorowanie SZBI jest warunkiem jego ciągłego ulepszania. Ustanawiając SZBI należy przewidzieć instalację odpowiednich narzędzi do tego celu. W najprostszych systemach mogą to być rozwiązania ograniczone do analizy logów systemowych. Bardziej zaawansowane realizują automatyczne przekazywanie alertów w przypadku prób naruszeń zabezpieczeń bezpieczeństwa, a nawet mogą automatycznie podejmować zaprogramowane wcześniej działania ograniczające możliwe skutki incydentu. W szczególnie uzasadnionych przypadkach można zastosować systemy umożliwiające zapis zdarzeń w dłuższych okresach w celu ich późniejszej analizy wyposażone w wiele punktów testowania oraz analizę korelacji zdarzeń. Monitorowanie SZBI powinno mieć charakter ciągły i powinno obejmować wszystkie rodzaje informacji oraz postępowania z nią. Na zauważone błędy powinno się natychmiast reagować, a przede wszystkim próbować dotrzeć do przyczyn ich powstawania, które niekiedy mogą być ukryte. W dochodzeniu przyczyn powstawania błędów mogą pomóc metody wykorzystywane z zarządzaniu jakością np. metoda 5-why. Naruszenia zasad bezpieczeństwa informacji może mieć bardzo różne przyczyny w jednym analizowanym przypadku do ujawnienia poufnych informacji doszło z powodu chęci zaoszczędzenia papieru przez jedną z pracownic. Używała ona starych wydruków komputerowych do sporządzania na ich odwrocie podręcznych notatek. Zazwyczaj pamiętała o tym, aby po zakończeniu pracy zniszczyć te wydruki (zawierały one wrażliwe dane osobowe), lecz pewnego razu pracująca z nią koleżanka po prostu wyrzuciła zbędne papiery po prostu do kosza. W Polsce kilka lat temu głośny był przypadek odsprzedaży starych twardych dysków wykorzystywanych w Ministerstwie Spraw Zagranicznych (uznanych za zbędny zapas) i rozpoczęcie publikacji ich zawartości przez tygodnik NIE. Za przyczynę tego przypadku należy uznać brak poziomych połączeń w strukturze organizacyjnej oraz brak ciągłości w przekazywaniu informacji. Monitorowanie SZBI może także doprowadzić do wykrycia nowych problemów technicznych. Ostatnio firma CISCO i jej partnerzy donieśli o wykryciu w bardzo szybkich sieciach efektu nazwanego microburst. Polega ono na bardzo krótkim (milisekundowym!) przeciążeniu pracy sieci komputerowej i w konsekwencji utratą dostępu do informacji. W klasycznych, stosunkowo wolnych sieciach efekt ten nie ma znaczenia, ponieważ zostanie utracona niewielka ilość informacji (C) Tomasz Barbaszewski str. 5 z 8

6 i mechanizmy retransmisji naprawią problem, który zazwyczaj pozostanie niezauważony. Jednak w bardzo szybkich sieciach (10 Gbps) szybkość transmisji jest tak duża, że w bardzo krótkim czasie może być przesłane tyle informacji, że nie będzie możliwe ich automatyczne odtworzenie (skuteczna retransmisja). Zjawisko dało znać już o sobie w praktyce w silnie obciążonych sieciach pracujących dla potrzeb systemów finansowych i spowodowało wymierne straty. Wykrycie tego efektu jest dość trudne, ponieważ wymaga analizatorów transmisji sieciowych o bardzo dużej (nanosekundowej) rozdzielczości czasowej. Skuteczne monitorowanie SZBI może być znacznie ułatwione jeśli wśród pracowników Organizacji uda się pobudzić postawy automotywacyjne związane z ochroną aktywów informacyjnych: Szczegółowo znaczenie kształtowania motywacji wewnętrznej w nowoczesnym zarządzaniu przez jakość omawia A.J.Blikle w swej pracy Doktryna Jakości. O ile monitorowanie SZBI powinno być procesem ciągłym to przeglądy SZBI mają charakter okresowy. W czasie przeglądów SZBI wykorzystuje się szereg danych wejściowych: rezultaty i wnioski z monitorowania SZBI, wyniki audytów oraz poprzednich przeglądów SZBI, informacje od zainteresowanych stron, dane o nowych podatnościach i zagrożeniach, których nie brano pod uwagę przy poprzednim oszacowywaniu ryzyka, dostępność nowych technik, produktów i procedur, rezultaty pomiarów skuteczności, ocenę skuteczności działań podjętych w rezultacie poprzednich przeglądów SZBI, otrzymanych zaleceń, sugestii i uwag dotyczących funkcjonowania SZBI. (C) Tomasz Barbaszewski str. 6 z 8

7 Przegląd SZBI jest wykonywany na polecenie Kierownictwa Organizacji. Przeglądy powinny być realizowane w zaplanowanych odstępach czasu. Ich celem jest dokonanie kompleksowej oceny funkcjonowania SZBI i dokonanie odpowiednich korekt w samym systemie. W wyniku przeglądu SZBI powstaje dokument, który obejmuje zestawienie propozycje działań mających na celu: doskonalenie skuteczności SZBI. aktualizację planu szacowania ryzyka i postępowania z ryzykiem, dokonanie niezbędnych modyfikacji i korekt obowiązujących procedur oraz w razie konieczności opracowanie nowych, uwzględnienie zmian wynikających ze zmian w działalności biznesowej Organizacji, uwzględnienie zmian prawnych i umownych, analizę dostępności niezbędnych zasobów, doskonalenie metod pomiarów skuteczności stosowanych zabezpieczeń. Sprawozdanie z przeglądu SZBI jest przedkładane Kierownictwu Organizacji, które dokonuje analizy stanu SZBI oraz podejmuje odpowiednie decyzje z nim związane. Koordynacja działań związanych z utrzymywaniem SZBI W celu zapewnienia sprawnej realizacji działań związanych z ustanowieniem, wdrożeniem oraz utrzymywaniem SZBI Kierownictwo Organizacji powołuje Zespół ds. SZBI. Zespół ten może się składać z pracowników Organizacji oraz Konsultantów zewnętrznych. Zadania Zespołu są następujące: opracowywanie planów działań związanych z wprowadzaniem SZBI, przeprowadzenie inwentaryzacji aktywów informacyjnych Organizacji oraz dokonanie wyceny ich wartości dla Organizacji, opracowanie Polityki klasyfikowania informacji, przeprowadzenie analizy ryzyka oraz postępowania z ryzykiem, opracowanie i wdrożenie procedur wynikających z SZBI, zorganizowanie szkoleń z zakresu bezpieczeństwa informacji dla pracowników Organizacji, wybór zabezpieczeń oraz ich wdrożenie i sprawdzenie skuteczności, opracowanie Polityki Bezpieczeństwa wraz z politykami szczegółowymi, zorganizowanie audytów - przedcertyfikacyjnego i certyfikującego, zapewnienie utrzymywania oraz skutecznego funkcjonowania SZBI. Zespół ds. SZBI dokumentuje swoje działania w sposób odpowiadający wymaganiom normatywnym. (C) Tomasz Barbaszewski str. 7 z 8

8 Odpowiedzialność pracowników Organizacji Zakres odpowiedzialności związanej z zachowaniem bezpieczństwa informacji obowiązujący pracowników Organizacji jest uzależniony od stanowiska zajmowanego przez pracownika i jego autoryzacji do wykorzystywania oraz przetwarzania informacji o określonej kwalifikacji. Pracownik powinien potwierdzić przyjęcie tej odpowiedzialności podpisem na odpowiednim dokumencie. Jeśli informacja jest chroniona z mocy prawa (np. dane osobowe, informacje niejawne) forma dokumentu musi być zgodna z wymaganiami aktu wyższego rzędu. Urządzenia do przechowywania i przetwarzania informacji Urządzenia wykorzystywane do przechowywania i przetwarzania informacji powinny być sprawdzone przez Zespół ds. SZBI. Podczas sprawdzenia weryfikacji podlegają: zabezpieczenia fizyczne (np. obecność i poprawność założenia plomb na obudowach komputerów), poprawność instalacji sprzętu (ustawienie, zabezpieczenie okablowania, rozwiązanie zasilania, zamocowanie wszelkich przyłączy, zabezpieczenie przed kradzieżą oraz warunki środowiskowe), czy sprzęt posiada atesty bezpieczeństwa (np. skuteczność niszczenia dokumentów, ograniczenie emisji ujawniającej itp.), czy zainstalowane oprogramowanie posiada wymagane licencje na użytkowanie (dotyczy także oprogramowania licencjonowanego nieodpłatnie np. GPL) i w jaki sposób jest dostępny dokument licencyjny, wersja oraz aktualność oprogramowania, rodzaj wykorzystywanych nośników przenośnych (o ile jest to dozwolone) oraz wymagania, którym powinny odpowiadać te nośniki (np. Gwarantowany czas dostępności zapisu), zabezpieczenia dostępu administracyjnego do urządzeń teleinformatycznych (hasła, szyfrowanie transmisji, konfiguracja SNMP tp.), poziom zabezpieczenia sieci bezprzewodowych, o ile takie są wykorzystywane, wszelkie inne właściwości mogące mieć znaczenie dla bezpieczeństwa informacji. Zespół ds. SZBI określa wymagania dla sprzętu w zależności od kwalifikacji informacji oraz nadzoruje zakup sprzętu i oprogramowania mających związek ze składowaniem i przetwarzaniem informacji. Ewentualne odstępstwa od tych wymagań powinny być uzasadnione i zaakceptowane. Współpraca z podmiotami zewnętrznymi Jeśli współpraca z podmiotami zewnętrznymi jest związana z wymianą informacji należy opracować i stosować pisemne klauzule poufności. (C) Tomasz Barbaszewski str. 8 z 8