ISO nowy standard bezpieczeństwa. CryptoCon,

Transkrypt

1 ISO nowy standard bezpieczeństwa CryptoCon,

2 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS :2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

3 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS :2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

4 Liczba incydentów Procent firm deklarujących wystąpienie incydentów % >500 Liczba incydentów Źródło: CSO 2005

5 Główne typy ataków Pięć głównych typów ataku Złośliwy kod 59% Inny 26% Nieautoryzowane wejście Przeciążenie serwera poczty 21% 25% Nielegalne dane i dokumenty 15% 0% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005

6 Główne kierunki ataków Pięć głównych kierunków ataku z wirusem 68% Znana luka w systemie operacyjnym 26% Nadużycie uprawnień 21% Inne 19% Znana luka w programowaniu 16% 0% 10% 20% 30% 40% 50% 60% 70% 80% Źródło: CSO 2005

7 Główne źródła ataków Pięć głównych źródeł ataku Hakerzy 63% Pracownicy 33% Inne 25% Byli pracownicy 20% Klienci 11% 0% 10% 20% 30% 40% 50% 60% 70% Źródło: CSO 2005

8 Skąd firma dowiedziała się o ataku? Skąd firma dowiedziała się o ataku Firewall, plik Log, IDS 50% Ostrzeżenie od kolegi 39% Uszkodzenia materialne lub danych 21% Alarm od klienta Ostrzeżenie od dostawcy usług 11% 14% 0% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005

9 Kto został poinformowany o ataku W rezultacie ataku skontaktowałem się z: Nikim 55% Klientami 16% Partnerami/dostawcami 14% Konsultantami 12% 0% 10% 20% 30% 40% 50% 60% Źródło: CSO 2005

10 Bezpieczeństwo w praktyce Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ. Nie ma pewności, że dane podatników w urzędach skarbowych są całkowicie bezpieczne cytat Wojewódzkiego Sądu Administracyjnego w Warszawie. Na śmietniku znaleziono dokumenty z informacjami o osobach, które pobierały zasiłki (500 nazwisk, PESEL, adresy zamieszkania).

11 Bezpieczeństwo w praktyce Sprzedali mu nasze konta Poufne dane z Banku Millennium znalazły się na wysypisku. Bankowcy są zszokowani tą informacją. To jak mają czuć się klienci? Tysiąc numerów kart płatniczych, dane osobowe, faktury, informacje o kontach i niemal tysiąc listów od klientów Banku Millennium, wylądowało na złomowisku. Wszystko to zawierał twardy dysk komputera, który trafił przypadkiem do mieszkańca Gdańska. Super Express, 17 lutego 2005

12 Konieczność ochrony informacji Konieczność uchronienia się przed utratą reputacji, odpowiedzialnością karną czy koniecznością zapłaty kar finansowych spowodowanych przez przypadkowe oraz umyślne naruszenia bezpieczeństwa. Zagrożenia związane z coraz to nowymi zastosowaniami systemów informatycznych, przetwarzających coraz więcej informacji. Niska świadomość pracowników dotycząca zagrożeń. Stworzenie struktury zarządzania gwarantującej monitorowanie stanu bezpieczeństwa i reagującej na zmieniające się uwarunkowania w tym zakresie. Określenie odpowiedzialności związanych z bezpieczeństwem informacji. Aspekt marketingowy najlepsi inwestują w bezpieczeństwo.

13 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS :2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

14 Historia standardów 1993 BS PD0003:1993 WYTYCZNE WYMAGANIA 1995 BS : BS :1998 BS :1999 BS :1999 Standardy: Polskie Brytyjskie Międzynarodowe ISO/IEC 17799:2000 BS :2002 PN-ISO 17799:2003 ISO/IEC 17799:2005 BS :2002 PN-I :2005 ISO/IEC 27001:2005 Rodzina standardów ISO/IEC 27000

15 ISO/IEC a ISO/IEC Norma ISO/IEC służy do certyfikacji Norma ISO/IEC jest kodeksem, zawiera wytyczne, a nie wymagania Wymagania Wytyczne System zarządzania bezpieczeństwem informacji

16 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS :2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

17 Norma ISO/IEC 27001:2005 Mając na uwadze postępujący rozwój na rynku bezpieczeństwa informacji organizacja ISO (International Organization for Standardization) w listopadzie ubiegłego roku zakończyła prace nad nową normą, której zamierzeniem jest zapewnienie bezpieczeństwa informacji we wszystkich jego aspektach. Norma ta wprowadza udoskonalenia w stosunku do poprzednio obowiązującego standardu, czyli normy BS :2002.

18 Zmiany wprowadzone w ISO/IEC 27001:2005 Wymagania dotyczące zarządzaniu incydentami bezpieczeństwa zebrano w jeden nowy punkt normy. Rozszerzone zostały kwestie dotyczące identyfikacji sprzętu w sieciach, jak również zarządzania i nadzoru nad technicznymi podatnościami. Dodano kryteria oceny nowych technologii takich jak: transakcje on-line, mobilny kod.

19 Zmiany wprowadzone w ISO/IEC 27001:2005 Wprowadzono wymaganie dotyczące pomiaru skuteczności wdrożonych zabezpieczeń. Wprowadzono wymaganie ukierunkowania planów ciągłości działania na aspekt bezpieczeństwa informacji. Rozszerzone zostały kwestie dotyczące między innymi bezpieczeństwa w kontaktach z klientami.

20 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS :2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

21 Systemowe podejście do bezpieczeństwa informacji Ludzie Bezpieczeństwo osobowe Usługi Bezpieczeństwo fizyczne ISO Bezpieczeństwo informatyczne Informacje Bezpieczeństwo prawne Technologia

22 Norma ISO/IEC 27001:2005 Norma definiuje poszczególne elementy kontroli i zarządzania bezpieczeństwem informacji, podporządkowanych 11 grupom wymagań. Pozwala przedsiębiorstwu na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Szczególny nacisk położony jest na zarządzanie ryzykiem utraty ważnych informacji. Norma dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Norma uwzględnia najnowsze formy działalności gospodarczej, np. e-biznes, internet, outsourcing, teleworking, mobile computing.

23 Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji. OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU MINIMALIZACJI RYZYKA MONITOROWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI WDROŻENIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI

24 ISO/IEC Spis treści Wymagania 0 Wstęp 1 Zakres normy 2 Odwołania normatywne 3 Terminy i definicje 4 System zarządzania bezpieczeństwem informacji 5 Odpowiedzialność kierownictwa 6 Audyty wewnętrzne 7 Przegląd kierownictwa SZBI 8 Udoskonalanie SZBI 9 Załącznik A (ISO/IEC 17799) ISO/IEC 27001

25 ISO/IEC Spis treści ISO/IEC Polityka bezpieczeństwa 2. Organizacja bezpieczeństwa 3. Klasyfikacja i kontrola zasobów 4. Bezpieczeństwo osobowe Wymagania 5. Zarządzanie systemami i sieciami 6. Bezpieczeństwo fizyczne i środowiskowe 7. Kontrola dostępu do systemu 8. Pozyskiwanie, rozwój i utrzymanie systemu 9. Zarządzanie incydentami bezpieczeństwa 10. Zarządzanie ciągłością działania 11. Zgodność z wymaganiami prawa i własnymi standardami A.5 Polityka bezpieczeństwa A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.8 Bezpieczeństwo osobowe A.9 Bezpieczeństwo fizyczne i środowiskowe A.10 Zarządzanie systemami i sieciami A.11 Kontrola dostępu do systemów A.12 Pozyskanie, rozwój i utrzymanie systemów A.13 Zarządzanie incydentami bezpieczeństwa A.14 Zarządzanie ciągłością działania A.15 Zgodność (z wymaganiami prawa i własnymi standardami)

26 ISO/IEC wymagania Wymagania dotyczące ce dokumentacji Zakres dokumentacji SZBI Polityka Bezpieczeństwa Informacji Zakres SZBI Raport z procesu szacowania ryzyka Plan minimalizacji ryzyka Udokumentowane procedury służące eksploatacji SZBI Metodyka szacowania skuteczności wdrożonych zabezpieczeń Zapisy wymagane przez normę Deklaracja stosowania Nadzór nad dokumentami Nadzór nad zapisami

27 ISO/IEC wymagania Odpowiedzialność kierownictwa Zaangażowanie kierownictwa Zapewnienie zasobów Zapewnienie kompetencji osób odpowiedzialnych za bezpieczeństwo Szkolenia i uświadamianie pracowników

28 ISO/IEC wymagania Audyty wewnętrzne SZBI Badające spełnienie wymagań prawnych i normy Badające spełnienie wymagań SZBI Udokumentowane Przeprowadzane planowo

29 ISO/IEC wymagania Przegląd d SZBI realizowany przez kierownictwo Przeprowadzane planowo Zapewniające stosowność, adekwatność i efektywność SZBI Udokumentowane Dane wejściowe przeglądu Dane wyjściowe przeglądu

30 ISO/IEC wymagania Doskonalenie SZBI Ciągłe doskonalenie Działania korygujące Działania prewencyjne

31 ISO/IEC wymagania A.5 Polityka bezpieczeństwa Polityka bezpieczeństwa informacji Ukazanie wsparcia kierownictwa dla bezpieczeństwa informacji.

32 ISO/IEC wymagania A.6 Organizacja bezpieczeństwa informacji Infrastruktura wewnątrz organizacji Określenie odpowiedzialności i zasad zarządzania bezpieczeństwem informacji. Strony trzecie Ryzyka związane z dostępem stron trzecich do aktywów organizacji.

33 ISO/IEC wymagania A.7 Zarządzanie aktywami Odpowiedzialność za aktywa Określenie odpowiedzialności za aktywa organizacji. Klasyfikacja informacji Zdefiniowanie klasyfikacji informacji i określenie właściwych poziomów ochrony.

34 ISO/IEC wymagania A.8 Bezpieczeństwo osobowe Bezpieczeństwo procesu rekrutacji Zapewnienie bezpieczeństwa procesu rekrutacji (określenie odpowiedzialności, przypisanie ról, redukcja ryzyka kradzieży, oszustwa lub nadużycia). Obsługa zatrudnienia Kreowanie świadomości pracowników w odniesieniu do zagrożeń dla informacji organizacji, odpowiedzialności i obowiązków. Derekrutacja lub ruchy kadrowe Zapewnienie prawidłowości procesu derekrutacji (odpowiedzialności za derekrutację, zwrot aktywów, odebranie praw dostępu).

35 ISO/IEC wymagania A.9 Bezpieczeństwo fizyczne i środowiskowe Obszary bezpieczne Zapobieganie nieautoryzowanemu wtargnięciu lub zakłóceniu działania organizacji. Bezpieczeństwo wyposażenia Zapobieganie utracie, uszkodzeniu, kradzieży wyposażenia.

36 ISO/IEC wymagania A.10 Zarządzanie systemami i sieciami Procedury operacyjne i odpowiedzialność Zapewnienie bezpieczeństwa dla działania urządzeń przetwarzających informacje. Zarządzanie realizacją usług przez strony trzecie Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie. Planowanie systemu i akceptacja Minimalizowanie ryzyka wystąpienia awarii systemu.

37 ISO/IEC wymagania A.10 Zarządzanie systemami i sieciami c.d. Ochrona przed złośliwym oprogramowaniem Zapewnienie integralności oprogramowania i informacji. Kopie zapasowe Zapewnienie integralności i dostępności informacji oraz zabezpieczenie miejsc ich przetwarzania. Zarządzanie bezpieczeństwem sieciowym Zapewnienie bezpieczeństwa informacji w sieci teleinformatycznej.

38 ISO/IEC wymagania A.10 Zarządzanie systemami i sieciami c.d. Bezpieczeństwo nośników informacji Zapobieganie nieuprawnionemu ujawnieniu, modyfikacji, usunięciu lub zniszczeniu informacji zawartych na nośnikach. Wymiana informacji Zapewnienie bezpieczeństwa informacji przesyłanych wewnątrz oraz na zewnątrz organizacji. Usługi handlu elektronicznego Zapewnienie bezpieczeństwa usług handlu elektronicznego. Monitorowanie użycia systemów Zapewnienie możliwości wykrycia nieuprawnionego przetwarzania informacji.

39 ISO/IEC wymagania A.11 Kontrola dostępu do systemów Wymagania biznesowe w dostępie do informacji Określenie polityki kontroli dostępu do informacji. Zarządzanie dostępem użytkowników Zapewnienie kontroli dostępu do systemów informacyjnych. Odpowiedzialność użytkowników Zapobieganie nieuprawnionemu dostępowi do informacji i systemów informacyjnych, jak również ich zniszczeniu, modyfikacji oraz kradzieży.

40 ISO/IEC wymagania A.11 Kontrola dostępu do systemów w c.d. Kontrola dostępu do sieci Zapobieganie nieuprawnionemu dostępowi do usług sieciowych. Kontrola dostępu do systemów operacyjnych Zapobieganie nieuprawnionemu dostępowi do systemów operacyjnych. Kontrola dostępu do aplikacji i informacji Zapobieganie nieuprawnionemu dostępowi do aplikacji i zawartych w nich informacji. Stosowanie komputerów przenośnych i praca zdalna Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.

41 ISO/IEC wymagania A.12 Pozyskanie, rozwój j i utrzymanie systemów Wymagania dotyczące bezpieczeństwa systemów Zapewnienie, że bezpieczeństwo jest integralną częścią systemów informacyjnych. Poprawność przetwarzania w aplikacjach Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach. Kryptograficzne środki nadzoru Zapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii.

42 ISO/IEC wymagania A.12 Pozyskanie, rozwój j i utrzymanie systemów w c.d. Bezpieczeństwo plików systemowych Zapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem. Bezpieczeństwo procesu tworzenia oprogramowania i pomocy technicznej Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji. Zarządzanie podatnościami technicznymi Zapewnienie ograniczania ryzyka wynikającego z wykorzystania wykrytych podatności technicznych.

43 ISO/IEC wymagania A.13 Zarządzanie incydentami bezpieczeństwa Raportowanie incydentów bezpieczeństwa i słabości Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podjęcie na czas stosownych działań. Zarządzanie incydentami bezpieczeństwa i doskonalenie Zapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.

44 ISO/IEC wymagania A.14 Zarządzanie ciągłości cią działania ania Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności.

45 ISO/IEC wymagania A.15 Zgodność (z wymaganiami prawa i własnymi w standardami) Zgodność z przepisami prawnymi Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą organizacji (w tym wymagań bezpieczeństwa). Zgodność z politykami bezpieczeństwa i zgodność techniczna Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji. Rozważania dotyczące audytu systemów Zapewnienie maksymalizacji efektywności audytów i minimalizacji ich negatywnego wpływu na działalność biznesową (zajętość zasobów).

46 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS :2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005 Wdrażanie anie Systemu Zarządzania Bezpieczeństwem Informacji w firmie

47 Wdrożenie i certyfikacja systemu Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Minimalizacji Ryzyka Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Minimalizacji Ryzyka Certyfikacja systemu

48 Liczba akredytowanych certyfikatów na świecie czerwiec Japonia Wlk. Bryt. Indie Tajwan Niemcy Włochy USA Korea Węgry Chiny Holandia Hong Kong Australia Finlandia Polska Norwegia Szwajcaria Źródło: ISMS International User Group

49 Tomasz Szała tel. (61) Dziękuję za uwagę Krzysztof Maćkowiak tel. (61)