PROCEDURA ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI 1. CEL PROCEDURY

Transkrypt

1 Załącznik do Zarządzenia Prezydenta Miasta Jastrzębie-Zdrój Nr Or.IV z dnia 23 listopada 2015 w sprawie wprowadzenia w Urzędzie Miasta w Jastrzębiu-Zdroju Procedury analizy ryzyka bezpieczeństwa informacji PROCEDURA ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI 1. CEL PROCEDURY Celem procedury jest zapewnienie że: 1) proces szacowania ryzyka, daje szczegółowe, porównywalne i odtwarzalne rezultaty; 2) organizacja zidentyfikowała aktywa informacyjne, ich lokalizację, właścicieli oraz zabezpieczenia; 3) dokumentacja inwentaryzacji aktywów zwana dalej analizą ryzyka jest zawsze aktualna i uwzględnia wszelkie zmiany. 2. PRZEDMIOT PROCEDURY Przedmiotem procedury jest ustalenie metodyki analizy ryzyka bezpieczeństwa informacji z uwzględnieniem odpowiedzialności oraz zasad wprowadzania zmian i aktualizacji w dokumentacji inwentaryzacji aktywów informacyjnych. Na proces analizy ryzyka składa się: a) zidentyfikowanie aktywów i przypisanie do odpowiednich grup b) zidentyfikowanie właścicieli aktywów; c) określenie lokalizacji, zabezpieczeń oraz miejsca przetwarzania informacji. d) subiektywne i racjonalne wskazanie przez właściciela wartości aktywów dla organizacji lub samego procesu. Procedura swoim zakresem obejmuje wszystkie wydziały Urzędu Miasta za wyjątkiem Jastrzębskiego Centrum Organizacji Pozarządowych, Urzędu Stany Cywilnego i Wydziału Świadczeń Rodzinnych i Alimentacyjnych, w których przetwarzane są dane o znaczeniu prawnym, strategicznym oraz biznesowym. 3. KOMPETENCJE I ODPOWIEDZIALNOŚĆ 1) Pełnomocnik ds. Bezpieczeństwa Informacji jest kompetentny i odpowiedzialny za merytoryczne przygotowanie, rozpowszechnianie, analizowanie, zatwierdzanie oraz przechowywanie oryginałów dokumentów szacowania ryzyka. 2) Naczelnicy wydziałów odpowiadają za zapewnienie aktualności oraz nadzorowanie wprowadzania zmian w analizie ryzyka, uwzględniających: zmiany w przepisach prawa i w wewnętrznych aktach normatywnych, wpływających na zabezpieczenia, zmiany lokalizacji, miejsce, właściciela lub zidentyfikowanego

2 zagrożenia. Ponadto wyznaczają wagę aktywów, w celu wskazania istotności dokumentu dla funkcjonowania danego procesu. 4. TRYB POSTĘPOWANIA 4.1 Analiza ryzyka Proces analizy ryzyka jest inicjowany przez Pełnomocnika. Analiza ryzyka prowadzona jest przez osoby wyznaczone i ma zapewnić, iż zapisy te są aktualne, kompletne i identyfikowalne. Inwentaryzacja aktywów wyznacza zakres i granice szacowania ryzyka, jest elementem analizy ryzyka i stanowi dane wejściowe do uruchomienia procedury Oceny Ryzyka Bezpieczeństwa Informacji. Identyfikacja i oznaczanie aktywów prowadzone jest zgodnie z Instrukcją Kancelaryjną Inwentaryzacja aktywów informacyjnych W wyniku inwentaryzacji aktywów informacyjnych powstaje baza danych zawierająca wszystkie zidentyfikowane grupy zbiorów informacji utrzymywanych w formie tradycyjnej papierowej lub elektronicznej, ustanowionych i nie ustanowionych wewnętrznymi aktami normatywnymi, które noszą znamiona zapisów. Inwentaryzacje aktywów informacyjnych prowadzi się w formularzu stanowiącym zał.1 do procedury. do sporządzenia analizy ryzyka aktywów informacyjnych zgodnie z Załącznikiem do procedury zamieszczono w Tabeli nr 1. Tabela nr 1 do sporządzenia inwentaryzacji aktywów informacyjnych, Grupa informacji Opis zbioru Miejsce Nośnik Zidentyfikowane w jednostce organizacyjnej informacje wg numerów z Jednolitego Rzeczowego Wykazu Akt. (Teczka zbiorcza zbiór dokumentów potrzebnych pracownikowi do wykonywania obowiązków służbowych). Zidentyfikowane w jednostce organizacyjnej informacje zgodnie z przypisaną grupą i nazwą według Załącznika nr 1do procedury. W przypadku gdy te same zbiory dokumentów, przechowywane są w wielu egzemplarzach, w tej samej lokalizacji, miejscu oraz należą do jednego właściciela, zaleca się zapisać go pod jedną nazwą. Wymagane jest szczegółowe określenie gdzie znajduje się pomieszczenie, w tym celu należy wskazać: numer pokoju/ budynek. Forma w jakiej aktywa informacyjne są utrzymywane i utrwalane. Wyróżniamy formę tradycyjną papierową (P) lub elektroniczną (E). Zabezpieczenia Określić w jaki sposób zabezpieczone są pomieszczenia, serwery gdzie przetwarzane są zbiory informacji, np.: Szafa zamykana na klucz, Pokój zamykany na zamek patentowy, instalacja alarmowa. W przypadku nośników elektronicznych indywidualne zabezpieczenia stanowią hasła, zbiory przechowywane na serwerach, oraz dostęp do samego komputera. Właściciel Naczelnik Wydziału lub pracownik, który w ramach przypisanych obowiązków ponosi odpowiedzialność za przetwarzane aktywa

3 Użytkownik Informacji Pracownik, który w ramach zakresu obowiązków służbowych przetwarza aktywa. W przypadku gdy z aktywa korzysta grupa pracowników, można podać nazwę tej grupy lub pełnione stanowisko np.: Kierownik referatu., Wszyscy pracownicy itp. Wagę informacji określa Właściciel aktywów informacyjnych, pod kątem istotności informacji dla funkcjonowania organizacji i/lub procesu, ze względu na przepisy prawa, wartość biznesową, wg podanych kryteriów: 3 duża dla informacji, których wypłynięcie, zniszczenie czy też uszkodzenie mogło by przynieść negatywne następstwa dla Urzędu Miasta, szczególnie ze względu na przepisy prawa (dane osobowe, poufne dane biznesowe, informacje niejawne); 2 średnia - dla aktywów istotnych i kluczowych dla funkcjonowania danego procesu i/lub Urzędu Miasta, ponadto ich brak mógłby w sposób poważny zagrozić zachowaniu dostępności, poufności i/lub integralności. 1 mała - informacja nie ma bezpośredniego wpływu na ocenę ryzyka, niemniej pośrednio przyczynia się do jej oszacowania oraz wyznaczenia priorytetów i chronologii w przypadku podjętych działań korygujących i zapobiegawczych Inwentaryzacja aktywów fizycznych Inwentaryzacja aktywów fizycznych obejmuje swoim zakresem: sprzęt komputerowy, urządzenia komunikacyjne typu telefon fax, nośniki wymienne oraz sprzęt kopiujący, kserujący i/lub drukujący dokumenty. Dodatkowo dostarcza informacji na temat zainstalowanego na stacjach roboczych oprogramowania, aplikacji, systemów, oraz zabezpieczeń. do sporządzenia analizy ryzyka aktywów fizycznych zgodnie z Załącznikiem do procedury zamieszczono w Tabeli nr 2. Tabela nr 2 do sporządzania analizy ryzyka aktywów fizycznych Stacja robocza Użytkownik Stacjonarny/ Przenośny własna danego komputera (ulokowaną zwykle w prawym dolnym rogu ekranu monitora). W przypadku nie ustanowionej drogą elektroniczną nazwy stacji roboczej należy powołać się na numer inwentarzowy zapisany na obudowie urządzenia. Określić pracownika, który w ramach przypisanych obowiązków ponosi bezpośrednią odpowiedzialność za użytkowanie bądź administrowanie danego urządzenia i zamieszczonego na nim oprogramowania. Za urządzenie przenośne należy rozumieć urządzenie elektroniczne pozwalające na przetwarzanie, odbieranie oraz wysyłanie danych bez konieczności utrzymywania przewodowego połączenia z siecią elektryczną: mobilne dyski twarde, skanery, drukarki jak również pendriv y.

4 System operacyjny Oprogramowanie zarządzającego sprzętem komputerowym dotyczy wyłącznie komputerów. Oprogramowanie Wszystkie programy oraz aplikacje zainstalowane na komputerze poza tymi które udostępnia system operacyjny ulokowany na danej stacji roboczej. Informacje przetwarzane Lokalizacja Zabezpieczenia Informacji Określenie kluczowych informacji przetwarzanych na danej stacji roboczej dotyczy wyłącznie komputerów. Należy wskazać: nr pokoju/ piętro. Określić w jaki sposób zabezpieczone są pomieszczenia, serwery gdzie przetwarzane są zbiory informacji, np.: Szafa zamykana na klucz, Pokój zamykany na zamek patentowy, instalacja alarmowa. W przypadku nośników elektronicznych indywidualne zabezpieczenia stanowią hasła, zbiory przechowywane na serwerach oraz dostęp do samego komputera. Istotności danego aktywa fizycznego dla funkcjonowania Urzędu Miasta i/lub procesu, właściciel aktywa zobligowany jest obiektywnie i racjonalnie oszacować ważność urządzenia wg żądanych kryteriów: 3 duża - dla urządzenia podatnego na wypłynięcie, zniszczenie czy też uszkodzenie, którego brak mógłby przynieść negatywne następstwa dla Urzędu Miasta lub danego procesu np. wstrzymanie procesu produkcji. Szczególnie należy uwzględnić urządzenia, które utrwalają informacje, szczególnie istotne ze względu na przepisy prawa (dane osobowe, poufne dane biznesowe, informacje niejawne); 2 średnia - obejmuje urządzenia istotne z punktu funkcjonowania danego procesu i/lub organizacji, ich unieruchomienie nie wpływa znacząco i długotrwale na cykl funkcjonowania Urzędu Miasta 1 mała - tyczy się urządzeń o niewielkim znaczeniu dla danego procesu lub organizacji. Ich unieruchomienia zagrożenia dla integralności, poufności oraz dostępności Inwentaryzacja instalacji i infrastruktury Inwentaryzacja instalacji i infrastruktury obejmuje swoim zakresem urządzenia podtrzymujące zasilanie - typu UPS, sieci przesyłające dane oraz energię elektryczną, urządzenia chłodzące oraz instalacje przeciwpożarowe mające bezpośredni lub pośredni jak również pozytywny lub negatywny wpływ na bezpieczeństwo fizyczne oraz teleinformatyczne przetwarzanych informacji. Spisu aktywów należy dokonać w Załączniku do procedury z uwzględnieniem wytycznych przedstawionych w Tabeli nr 3. Tabela nr 3 do sporządzania analizy ryzyka instalacji i infrastruktury aktywa W celu późniejszej weryfikacji aktywa należy podać jego identyfikowalną nazwę.

5 Znaczenie dla bezp. informacji Dokumentacja (miejsce przechowywania) Właściciel Należy dokonać krótkiego opisu aktywa mając na względzie pozytywne oraz negatywne czynniki oddziałujące na bezpieczeństwo informacji. Zaleca się w tym miejscu uwzględnić podatność danego urządzenia, sieci lub instalacji w kontekście zagrożeń mogących przyczynić się do naruszenia bezpieczeństwa informacji. Określić miejsce (wydział) przechowywania dokumentacji Wskazać właściciela lub podmiot, który ma przypisane kompetencje do sprawowania nadzoru nad aktywem. Lokalizacja Sporządzić zapis zgodnie z zasadami określonymi w Tabeli nr 1 i 2 Ocena wagi zidentyfikowanych urządzeń, sieci oraz instalacji dokonywana jest przez właściciela bezpośrednio użytkującego dane aktywa według zadanych kryteriów: 3 - duża dotyczy sprzętu od którego oczekuje się najwyższej sprawności i niezawodności ze względu na ważność przetwarzanych oraz utrwalanych informacji. Ich awaria spowoduje poważną dezorganizację pracy. 2 średnia - dla aktywów od których oczekuje się sprawności i niezawodności jednak ich niesprawność nie spowoduje poważnych konsekwencji dla Urzędu Miasta lub danego procesu. 1 mała - dla aktywów, które nie mają znaczącego wpływu na zachowanie dostępności, poufności oraz integralności. Czasowa niesprawność nie spowoduje znaczącej dezorganizacji pracy Ewidencja pracowników przetwarzających aktywa informacyjne Analiza ryzyka bezpieczeństwa informacji w zakresie dotyczącym pracowników przetwarzających aktywa informacyjne obejmuje sporządzenie ewidencji pracowników oraz zakresu wykonywanych przez nich zadań w nadzorowanym obszarze, z jednoczesnym określeniem odpowiedzialności i wpływu jaki ponosi pracownik w zakresie bezpieczeństwa przetwarzanych informacji. Ewidencję opracowuje się wg Załącznika procedury z uwzględnieniem wytycznych przedstawionych w Tabeli nr.4 Tabela nr 4 do ewidencji pracowników przetwarzających aktywa informacyjne Stanowisko Dostęp do informacji stanowiska pracy - z którym związany jest zakres zadań/ operacji wykonywanych na aktywach informacyjnych. Określić do jakich grup informacji wg JRWA ma dostęp pracownik.

6 Znaczenie dla bezpieczeństwa informacji Dodatkowe ryzyka Podlega Współpracuje Określić jakie znaczenie dla bezpieczeństwa informacji posiada pracownik lub grupa pracowników. Znaczenie wysokie oznacza dostęp do informacji wrażliwych, znaczenie średnie do informacji istotnych i kluczowych dla funkcjonowania organizacji w tym danych osobowych, znaczenie małe określa dostęp do informacji nie mających bezpośrednio wpływu na ocenę ryzyka. Należy określić czy pracownik jest narażony na dodatkowe ryzyka związane np. z utratą informacji tj. praca w terenie Określić komu bezpośrednio podlega dany pracownik lub grupa pracowników Wpisać wydziały, jednostki, podmioty zewnętrzne z którymi pracownik lub grupa pracowników współpracuje. Ocenić odpowiedzialności pracownika przetwarzającego aktywa informacyjne 3 - duża pracownik przetwarza aktywa informacyjne bardzo istotne dla działalności Urzędu Miasta ze względu na przepisy prawa, cele strategiczne i biznesowe, posiada uprawnienia do ich zatwierdzania, wysyłania na zewnątrz do jednostek współpracujących, kontrolnych itp. 2 średnia pracownik przetwarza aktywa informacyjne istotne dla realizacji procesów w ramach funkcjonowania Urzędu Miasta. Posiada uprawnienia do ich akceptowania i zatwierdzania oraz wysyłania wewnątrz przedsiębiorstwa lub na zewnątrz po zatwierdzeniu przełożonych. 1 mała pracownik przetwarza aktywa informacyjne o mniejszym znaczeniu dla działalności Urzędu Miasta, nie posiada uprawnień rozpowszechniania wewnątrz przedsiębiorstwa lub na zewnątrz. Przetwarzane dokumenty wymagają zatwierdzenia przełożonych. 4.2 Aktualizacja dokumentacji inwentaryzacyjnej i wprowadzanie zmian Dokumentacja inwentaryzacji aktywów ma charakter dynamiczny, dlatego w celu utrzymania jej kompletności i autentyczności należy cyklicznie ją aktualizować. Za aktualny stan inwentaryzacji odpowiadają naczelnicy poszczególnych wydziałów. Korekty w niniejszej dokumentacji należy wprowadzać w przypadku. 1) utworzenia nowego aktywa; 2) wprowadzenia jakiejkolwiek zmiany w zinwentaryzowanych aktywach informacyjnych; 3) likwidacji danego aktywa. Zmiany powinny być dokonywane natychmiast po zaistnieniu jednego z powyższych przypadków. W przypadku zmian dokonywanych w zabezpieczeniach przyjmuje się, iż dane zabezpieczenie jest aktywne z dniem jego odbioru przez uprawnione służby Urzędu Miasta. Naczelnik wydziału lub osoba przez niego wyznaczona dokonuje aktualizacji tabel inwentaryzacyjnych i przesyła je niezwłocznie drogą elektroniczną do Pełnomocnika ds. Bezpieczeństwa Informacji. Pełnomocnik zaktualizowaną tabelę inwentaryzacyjną

7 danego wydziału wprowadza niezwłocznie do dokumentacji inwentaryzacyjnej Urzędu Miasta. Raz w roku, w trakcie przeglądu zintegrowanego systemu zarządzania jakością dokumentacja inwentaryzacyjna zostaje sporządzona w wersji papierowej przez każdy z wydziałów. Dokument w wersji papierowej podpisany przez naczelnika wydziału trafia do Pełnomocnika ds. Bezpieczeństwa Informacji. Termin do kiedy wydziały powinny złożyć aktualną wersję papierową inwentaryzacji określa Pełnomocnik. Sporządzenie wersji papierowej w ramach przeglądu systemu obowiązywać będzie od 2015 roku. 5. WYMAGANIA NORMATYWNE Norma ISO/IEC 27001: DOKUMENTACJA ZWIĄZANA Procedura - Ocena Ryzyka Bezpieczeństwa Informacji 7. ZAŁĄCZNIKI Załącznik nr 1 Inwentaryzacja aktywów informacyjnych Załącznik nr 2 Inwentaryzacja aktywów fizycznych Załącznik nr 3 Inwentaryzacja instalacji i infrastruktury Załącznik nr 4 Ewidencja pracowników przetwarzających aktywa informacyjne.