Ryzyko systemów informatycznych Fakty

Transkrypt

1 Od bezpieczeństwa informacji do bezpiecznej firmy Metodyka SABSA Tomasz Bejm, Aleksander Poniewierski

2 Ryzyko systemów informatycznych Fakty Citigroup utracił dane i historie transakcji prawie 4 milionów swoich klientów TJX amerykańskiej firmie zostały wykradzione numery kart kredytowych ponad 96 milionów klientów według wyliczeń firmy atak kosztował ją blisko 250 milionów dolarów W 2007 roku 88% amerykańskich firm doświadczyło co najmniej jednego incydentu związanego z bezpieczeństwem* Przeciętna firma w USA pada ofiarą 140 incydentów rocznie* 93% firm, które w wyniku katastrofy tracą dane, przestaje istnieć w ciągu 5 lat** * zgodnie z badaniami CSI Computer Crime and Security Survey ** zgodnie z badaniami US Labor Dept Liczba incydentów zgłoszonych do CERT/CC w latach

3 Ryzyko systemów informatycznych Podejścia do zapewnienia bezpieczeństwa* Podejście techniczne Opracowywanie i wdraŝanie konkretnych rozwiązań technicznych Pogoń za zmianami technologicznymi i rosnącą liczbą nowych rodzajów ryzyka Podejście zarządcze Ludzie są największym źródłem zagroŝenia dla informacji sabotaŝyści pracownicy ze zbyt duŝymi uprawnieniami pracownicy nie zaznajomieni z zasadami z ochrony informacji Tworzenie struktur odpowiedzialnych za zarządzanie bezpieczeństwem informacji (obecnie 82% firm posiada taką scentralizowaną strukturę)** Podejście instytucjonalne Standaryzacja bezpieczeństwa systemów informatycznych oraz budowa i wdraŝanie systemów zarządzania bezpieczeństwem informacji poprzez wykorzystanie uznanych norm i standardów Certyfikacja rozwiązań bezpieczeństwa Promowanie kultury bezpieczeństwa informacji w obrębie firmy Ład bezpieczeństwa informacji Bezpieczeństwo informacji jako systematyczna ochrona tych danych, które są najwaŝniejsze z punktu widzenia ich wpływu na osiąganie celów biznesowych organizacji Traktowanie bezpieczeństwa informacji jak strategicznego aspektu egzystencji firmy * Prof. Basie von Solms, Information Security the third wave?, Computer and Security, 19 (2000),s ** Security Survey 2007

4 Model wdraŝania i zarządzania mechanizmami bezpieczeństwa Sprzeczne cele wdraŝania mechanizmów bezpieczeństwa Architektura bezpieczeństwa Zestaw zasad, zaleceń, wzorców i standardów z zakresu bezpieczeństwa wraz z opisem ich wzajemnego powiązania w odniesieniu do uwarunkowań biznesowych Bezpieczeństwo Cele Kontrola kosztów UŜyteczność Odejście od koncepcji standardowego podejścia analizy poszczególnych obszarów Analiza bezpieczeństwa według łańcucha wartości Analiza bezpieczeństwa z perspektywy poszczególnych procesów biznesowych Ewolucyjne podejście do przeprowadzania zmian

5 Architektura bezpieczeństwa SABSA (1/4) SABSA (Sherwood Applied Business Security Architecture) przedstawia całościowe podejście do zarządzania usługami i architekturą Bezpieczeństwa w przedsiębiorstwie SABSA jest wykorzystywana przez wiele organizacji na świecie do budowy architektury bezpieczeństwa przedsiębiorstwa i zarządzania usługami. SABSA została wykorzystana przez Ministerstwo Obrony Narodowej Wielkiej Brytanii do stworzenia Architektury Zapewnienia Informacji Bezpieczeństwa Metodyka SABSA jest zgodna z następującymi standardami: ITIL / ISO ISO / CobiT BS / AS 8018

6 Architektura bezpieczeństwa SABSA (2/4) Całościowe podejście do zarządzania usługami i architekturą bezpieczeństwa w przedsiębiorstwie opiera się na sześciu warstwach*: kontekstową, obejmującą umiejscowienie Bezpieczeństwa i jego roli w Biznesie koncepcyjną, zawierającą wysokopoziomowy opis Bezpieczeństwa Strategię Bezpieczeństwa logiczną, zawierającą model organizacji, model przepływu informacji i Politykę Bezpieczeństwa fizyczną, opisującą procedury, mechanizmy, platformę i infrastrukturę sieciową komponentową, obejmującą bezpośrednie narzędzia wdroŝenia Bezpieczeństwa standardy, protokoły, certyfikaty operacyjną, warstwę spinającą pozostałe warstwy w codziennym funkcjonowaniu organizacji Bezpieczeństwo aplikacji, sieci, pomoc techniczna Warstwa operacyjna * Warstwowy model architektury bezpieczeństwa opracowany został na bazie siatki Zachmana

7 Architektura bezpieczeństwa SABSA (3/4) Rozpatrywane aspekty architektury bezpieczeństwa według metodyki SABSA: Co próbujemy chronić? aktywa chronione przez architekturę bezpieczeństwa Dlaczego to robimy? motywacja do podejmowania działań Jak to robimy? wykonywane działania Kto to wykonuje? aspekty organizacyjne Gdzie podejmujemy działania? obszary, w których podejmowane są działania Kiedy podejmujemy działania? aspekty czasowe podejmowanych działań Te pytania i warstwowy model architektury bezpieczeństwa tworzą siatkę modelu SABSA

8 Sprawdzenia uzasadnienia aspektu bezpieczeństwa Architektura bezpieczeństwa SABSA (4/4) Proces projektowania architektury bezpieczeństwa polega na rozwaŝeniu aspektów w poszczególnych warstwach macierzy SABSA Zwiększenie poziomu szczegółowości aspektu bezpieczeństwa