Normalizacja dla bezpieczeństwa informacyjnego

Transkrypt

1 Normalizacja dla bezpieczeństwa informacyjnego J. Krawiec, G. Ożarek Kwiecień, 2010

2 Plan wystąpienia Ogólny model bezpieczeństwa Jak należy przygotować organizację do wdrożenia systemu zarządzania bezpieczeństwem informacji (SZBI) Jak wdrożyć SZBI w organizacji Certyfikować czy nie certyfikować SZBI Jak przygotować się do audytu strony drugiej lub trzeciej

3 Ogólny model bezpieczeństwa Z R Z RR P B P B RR Z B P ZASOBY P P R Legenda: P podatność B zabezpieczenie R ryzyko RR ryzyko szczątkowe Z - zagrożenia RR Z B Z 3

4 Rozmyślne Podsłuch Modyfikacja Włamanie do systemu Złośliwy kod Kradzież Zagrożenia Przypadkowe Pomyłki Skasowanie pliku Błędne skierowanie Uszkodzenia fizyczne 4

5 Klasy bezpieczeństwa A System zweryfikowany B B3 Obszary poufne B2 Zabezpieczenie strukturalne B1 Etykietowany poziom zabezpieczeń C C2 Dostęp p kontrolowany C1 Dobrowolna kontrola dostępu D Ochrona minimalna

6 Podstawowe atrybuty danych i informacji

7 Rozliczalność

8 Oparty na podejściu wynikającym z ryzyka biznesowego SZBI Ustanawianie Wdrażanie anie Eksploatacja Monitorowanie Utrzymywanie Doskonalenie

9 Procesy zarządzania bezpieczeństwem systemów informacyjnych Zarządzanie zmianami Zarządzanie konfiguracjami Zarządzanie ryzykiem Monitorowanie Uświadamianie Analiza ryzyka

10 Działaj zgodnie z PDCA

11 Schemat wdrożenia enia SZBI oparty na modelu PDCA 4. Użytkowanie, utrzymywanie i usprawnianie SZBI 1 1. Planowanie m.in. ustanowienie PBI oraz opracowanie procedur Sprawdzanie, monitorowanie działania, przeglądy SZBI 3 2. Wdrożenie zabezpieczeń, procedur oraz wykorzystywanie w praktyce SZBI

12 Planuj

13 Planuj

14

15 Planuj Dokonaj analizy ekonomicznej: kosztów wdrożenia systemu i kosztów ewentualnych strat z tytułu jego braku Podejmij strategiczną decyzję dotyczącą ustanowienia SZBI

16 Planuj Opracuj harmonogram działań wdrażających Przygotuj plan postępowania z ryzykiem Dokument planu postępowania z ryzykiem przedstawia zabezpieczenia, które będą zastosowane w celu ograniczenia zidentyfikowanego ryzyka

17 Struktura dokumentów w SZBI Polityka SZBI Deklaracja najwyższego kierownictwa Zakres SZBI Deklaracja Stosowania Procedury i procesy Gdzie, kiedy, jak i przez kogo Instrukcje, formularze, listy kontrolne Opis realizacji konkretnych działań Zapisy Dowody na zgodność działań z wymogami SZBI

18 Wykonuj Wdrażaj zabezpieczenia zgodnie z celami stosowania zabezpieczeń zapisanymi w Deklaracji stosowania Cele stosowania zabezpieczeń i zabezpieczenia (załącznik A)

19 Wykonuj Wdrażaj procedury: Działań zapobiegawczych Działań korygujących Nadzoru nad dokumentami Prowadzenia audytów wewnętrznych Wdrażaj programy uświadamiania personelu!

20 Wykonuj Zdefiniuj pomiar skuteczności zabezpieczeń Wykorzystuj w praktyce SZBI

21 Sprawdzaj Monitoruj system w celu identyfikowania naruszeń bezpieczeństwa, wykrywania błędów przetwarzania, wykrywania incydentów Wykonuj pomiar skuteczności zabezpieczeń Wykonuj przeglądy szacowania ryzyka

22 Sprawdzaj Badaj działanie systemu jego wydajność, efektywność

23 Składowe kompetencji audytorów Jakość Ogólna wiedza i umiejętno tności Środowisko Wykształcenie Doświadczenie w pracy Szkolenie audytorów Doświadczenie w audytowaniu Cechy osobowości

24 Etapy oceny audytora Nabywanie kompetencji Kryteria niespełnione nione Ocena wstępna Kryteria spełnione Ciągła a ocena dokonań Audytor Kryteria niespełnione nione Nie wybrany Wyznaczenie zespołu audytującego Utrzymanie i doskonalenie kompetencji Audytowanie

25 Standardowy proces audytu Inicjowanie audytu - wyznaczenie audytora wiodącego - określenie celów, zakresu i kryteriów w audytu - określenie wykonalności audytu - wyznaczenie zespołu audytującego - ustalenie początkowego kontaktu z audytowanym Przegląd d dokumentów przegląd d dokumentów w systemu zarządzania oraz określenie ich adekwatności w odniesieniu do kryteriów w audytu Przygotowanie działań audytowych na miejscu - przygotowanie planu audytu - przydzielenie zadań zespołowi owi audytującemu - przygotowanie dokumentów w roboczych Prowadzenie działań audytowych na miejscu - spotkanie otwierające - komunikowanie się podczas audytu - rola i odpowiedzialność przewodników w i obserwatorów - zbieranie i weryfikowanie informacji - opracowanie ustaleń z audytu - przygotowanie wniosków w z audytu - spotkanie zamykające Zakończenie audytu Działania ania poaudytowe

26 Proces zarządzania programem audytu Uprawnienia do zarządzania programem audytów Działaj aj D Doskonalenie programów audytów Ustalenia programu audytów 1) ) cele i zakres 2) odpowiedzialność 3) zasoby 4) procedury Wdrożenie programu audytów 1) harmonogram audytów 2) ocena audytorów 3) dobór r zespołów audytujących 4) kierowanie działaniami aniami audytowymi 5) utrzymywanie zapisów Monitorowanie i przeglądy programu audytów 1) monitorowanie i przeglądy 2) identyfikowanie potrzeb w zakresie działań korygujących i zapobiegawczych 3) identyfikowanie możliwo liwości doskonalenia Planuj Kompetencje i ocena audytorów Wykonaj Działania ania audytowe Sprawdź

27 Działaj Konserwuj i usprawniaj funkcjonowanie systemu Wdrażaj zidentyfikowane udoskonalenia Podejmuj stosowne działania korygujące lub zapobiegawcze

28 Uwaga! Norma PN-ISO/IEC nie jest typową normą IT Jest sui generis przewodnikiem ukazującym tworzenie kultury bezpieczeństwa informacyjnego

29 Certyfikować czy nie certyfikować SZBI? Certyfikat to świadectwo dojrzałości

30 Przygotowanie do audytu zewnętrznego - jakie dokumenty? Polityka bezpieczeństwa informacyjnego Dokumenty wymagane przez PN-ISO/IEC oraz opis SZBI Deklaracja stosowania Opis metody i raport z szacowania ryzyka Udokumentowane procedury Plan postępowania z ryzykiem Zapisy z realizacji procesów, incydentów Opis skuteczności zabezpieczeń

31 Co interesuje audytorów? Zgodność dokumentacji z wymaganiami Dostępność dokumentacji Zarządzanie dokumentacją Wdrożenie zapisów dla wybranych zabezpieczeń

32 Korzyści Straty Czas Nakłady finansowe Mniejsze Usługi wykonywane w warunkach bezpieczeństwa informacyjnego Uświadomienie zagrożeń i przeciwdziałanie Przewaga konkurencyjna Zapewnienie ciągłości działania ania Zgodność z przepisami prawa Wrażliwe dane są skutecznie chronione

33 Źródło: PN-ISO/IEC 27001:2007 PN-ISO/IEC 27006:2009 PN-I :1999 Krawiec J., Ożarek G.: Certyfikacja w informatyce. Wyd. PKN, Warszawa,