JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Transkrypt

1 JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz mechanizmy zapewnienia bezpieczeństwa, zarówno prawne, organizacyjne jak i oferowane przez rozwiązania techniczne. Podstawą podejmowanych działań jest identyfikacja procesów wykorzystujących usługi informatyczne oraz zasobów informacyjnych, wykonana pod kątem odnalezienia procesów i zasobów krytycznych, z punktu widzenia głównych atrybutów bezpieczeństwa informacyjnego - poufności, integralności i dostępności. Celem identyfikacji jest wydzielenie określonych typów procesów i zasobów, dla których można następnie stworzyć wzorcowe szablony polityki bezpieczeństwa. Dalsze prace obejmują szczegółową identyfikację wymagań bezpieczeństwa dla procesów i zasobów. Niektóre wymagania bezpieczeństwa mogą być zdefiniowane w rozmaitych dokumentach wewnętrznych przedsiębiorstwa, od rozporządzeń normatywnych wydanych przez Zarząd, poprzez przepisy wynikające z wymogów ustawowych, aż po dokumentację projektową systemów informatycznych. Zgromadzenie wszystkich wymagań bezpieczeństwa i przedstawienie ich w jednolitym formacie, stanowi punkt wyjścia do ich systematyzacji i weryfikacji oraz do opracowania polityk bezpieczeństwa dla poszczególnych systemów informatycznych. Inwentaryzacja systemów informatycznych stanowi podstawę do opracowania szczegółowych wytycznych, umożliwiających spełnienie wymagań bezpieczeństwa. Inwentaryzacja wykonywana jest na szczegółowym poziomie technicznym, w sposób automatyczny, przy pomocy narzędzi informatycznych. Celem inwentaryzacji jest, z jednej strony, dokładne poznanie środowiska systemów wykorzystywanych w przedsiębiorstwie, z drugiej zaś strony przyporządkowanie konkretnych urządzeń, oprogramowania i elementów infrastruktury, zidentyfikowanym wcześniej procesom i zasobom. Analiza ryzyka stanowi kluczowy składnik prac, pozwalający na ustalenie, na jakie niebezpieczeństwa i w jakim zakresie narażone są zasoby i procesy informatyczne. W zależności od rangi analizowanych systemów, można przeprowadzić szczegółową analizę architektury i konfiguracji badanych systemów lub analizę podstawową (baseline), opierającą się na gotowych katalogach zagrożeń. Wyniki analizy ryzyka oraz wytyczne bezpieczeństwa służą do opracowania rozwiązań, w postaci koncepcji, projektów i wdrożeń środków prawnych, organizacyjnych i technicznych, umożliwiających obniżenie ryzyka do poziomu ocenianego jako wystarczająco niski, w świetle opracowanych wcześniej wymagań bezpieczeństwa. W tym celu wykorzystywane są w zależności od potrzeb standardy generyczne (ISO/IEC 17799, IT BPM itp.), jak również standardy i zalecenia bezpieczeństwa odnoszące się do konkretnych produktów i technologii. Maciej Kaniewski (c) [1/7]

2 Rozwiązania w postaci zbioru zabezpieczeń (konkretnych środków ochrony), wraz z mechanizmami zarządczymi, muszą stanowić spójny system bezpieczeństwa. O jakości zbudowanego w ten sposób systemu bezpieczeństwa decydują okresowe oceny sprawdzające jego rzeczywistą sprawność i przydatności, umożliwiającą porównanie planowanej sytuacji w zakresie bezpieczeństwa IT ze stanem rzeczywistym. Osiągnięcie tego celu wspomaga dodatkowy pakiet usług analitycznych i audytorskich, które możemy wykonać w sposób całościowy (kompleksowy) jak i fragmentaryczny (jednostkowy). OPIS USŁUG SZCZEGÓŁOWYCH 1. Analiza potrzeb Analiza potrzeb bezpieczeństwa IT obejmuje następujące usługi: 1.1. Analiza i klasyfikacja procesów i zasobów informatycznych Identyfikacja i analiza procesów wykorzystujących usługi informatyczne Identyfikacja procesów krytycznych dla funkcjonowania przedsiębiorstwa z punktu widzenia atrybutów bezpieczeństwa informacyjnego Identyfikacja i analiza zasobów informacyjnych Identyfikacja krytycznych zasobów informacyjnych Klasyfikacja procesów i zasobów informacyjnych z punktu widzenia nadrzędnych wymagań bezpieczeństwa 1.2. Identyfikacja wymagań bezpieczeństwa Identyfikacja i kwantyfikacja wymagań bezpieczeństwa dla poszczególnych procesów i kategorii informacji w zakresie poufności, integralności i dostępności 1.3. Inwentaryzacja systemów informatycznych Inwentaryzacja i klasyfikacja systemów informatycznych Przyporządkowanie zanalizowanych procesów i zasobów informatycznych do systemów Określenie wytycznych bezpieczeństwa na podstawie zidentyfikowanych wymagań 1.4. Analiza ryzyka Klasyfikacja zagrożeń i podatności dla poszczególnych typów systemów informatycznych Analiza scenariuszy zagrożeń uwzględniająca prawdopodobieństwo wystąpienia Ewaluacja konsekwencji zagrożeń (Business Impact Analysis) z uwzględnieniem efektów kumulatywnych Sformułowanie szczegółowych wytycznych dla tworzonego systemu bezpieczeństwa 2. Inżynieria bezpieczeństwa informatycznego Maciej Kaniewski (c) [2/7]

3 W ramach opracowywania systemu bezpieczeństwa informatycznego przewidujemy następujące usługi: 2.1. Opracowanie mechanizmów zarządzania bezpieczeństwem IT Odpowiedzialność za bezpieczeństwo IT w świetle ustaw i wewnętrznych regulaminów przedsiębiorstwa Propozycja struktury zarządzania bezpieczeństwem IT Zasady zarządzania bezpieczeństwem IT (IT Security Governance) Zakres uprawnień i obowiązków administratorów System dystrybucji wiedzy o bezpieczeństwie System uświadamiania i szkolenia pracowników Zasady wewnętrznego i zewnętrznego audytu bezpieczeństwa IT Możliwości outsourcingu poszczególnych procesów bezpieczeństwa IT 2.2. Zaprojektowanie systemu bezpieczeństwa IT Opracowanie koncepcji ochrony informacji i procesów IT Opracowanie polityki (polityk) bezpieczeństwa IT Opracowanie regulaminów i instrukcji bezpieczeństwa IT Oszacowanie kosztów systemu bezpieczeństwa IT Dobór rozwiązań informatycznych (szczegółowe usługi z rozdz. 3) Mechanizm tworzenia bazy wiedzy o zagrożeniach, podatnościach i incydentach Narzędzia ciągłego monitorowania ryzyka Wykorzystanie standardów PN-ISO/IEC 17799, IT BPM (Grundschutz) i innych 2.3. Integracja systemu bezpieczeństwa IT z ISO 9001 Usługa ma zastosowanie w przypadku istniejącego bądź wdrażanego systemu zarządzania jakością opartego na standardzie ISO 9001:2000. Zgodnie z intencją twórców standardu, system zarządzania jakością powinien stanowić całościowe rozwiązanie, umożliwiające stałe osiąganie przez przedsiębiorstwo swoich celów biznesowych. Ponieważ zarządzanie bezpieczeństwem jest jednym z kluczowych czynników w tym zakresie, zasadne jest objęcie procesów związanych z bezpieczeństwem IT ISO O zalecie takiego podejścia stanowi nie tylko jednolity system dokumentacji, ale także zastosowanie do procesów zarządzania bezpieczeństwem IT mechanizmów rewizyjnych i optymalizacyjnych przewidzianych w standardzie. Usługa polega na zdefiniowaniu i opisaniu procesów zarządzania bezpieczeństwem zgodnie z zaleceniami i logiką ISO 9001 przy wsparciu standardów ISO oraz BS 7799: Zapewnienie ciągłości działania Zaprojektowanie centrum zapasowego Zarządzanie dostępnością zasobów systemowych Dostępność infrastruktury sieciowej Opracowanie planów ciągłości działania 2.5. Plany awaryjne Struktura zarządzania w sytuacji kryzysu infrastruktury IT Zasady komunikacji wewnątrz przedsiębiorstwa Maciej Kaniewski (c) [3/7]

4 Zasady komunikacji ze służbami zewnętrznymi Metody i procedury postępowania 2.6. Procedury bezpiecznej eksploatacji Opracowanie procedur bezpiecznej eksploatacji dla systemów informatycznych, obejmujących m.in.: pracę użytkownika o standardowych uprawnieniach, pracę użytkownika o podwyższonych uprawnieniach, zasady postępowania z informacją, posługiwanie się nośnikami danych, pozostawianie sprzętu użytkownika bez opieki, zasady postępowania w przypadku podejrzenia naruszenia systemu Szczegółowe rozwiązania bezpieczeństwa Niniejszy rozdział obejmuje usługi polegające na opracowaniu rozwiązań bezpieczeństwa dotyczących poszczególnych technologii lub grup produktów Bezpieczeństwo poczty elektronicznej Opracowanie regulaminu w zakresie korzystania z poczty elektronicznej Zapewnienie bezpieczeństwa serwerów pocztowych Usługi szyfrujące i infrastruktura klucza publicznego Filtrowanie poczty, alerty Rozwiązania antyspamowe Infrastruktura klucza publicznego Zdefiniowanie funkcji pełnionych przez PKI Definicja wymagań dla PKI Wybór architektury Zaprojektowanie rozwiązania Wdrożenie rozwiązania Bezpieczne sieci LAN Bezpieczeństwo infrastruktury sieci LAN Bezpieczna topologia sieci Wybór usług i protokołów dostępnych w sieci Bezpieczna konfiguracja urządzeń aktywnych Uwierzytelnienie urządzeń w sieci Zabezpieczenie przed sniffingiem Dobór systemu zarządzania siecią Bezpieczeństwo informacji o sieci Ciągłość dostępu Bezpieczeństwo sieci bezprzewodowych Bezpieczne rozwiązania WAN i VPN Bezpieczna architektura sieci korporacyjnej Maciej Kaniewski (c) [4/7]

5 Bezpieczeństwo integracji z sieciami zewnętrznymi (np. Internet) na poziomie perymetru dobór zapór ogniowych, routerów, systemów IDS Bezpieczeństwo na poziomie stacji roboczej Zapewnienie dostępności usług Wybór metod zabezpieczenia i urządzeń w oparciu o technologię komercyjną bądź Open Source Rozwiązania kryptograficzne Bezpieczna konfiguracja urządzeń sieciowych Bezpieczne systemy składowania danych Dobór systemów składowania danych w oparciu o potrzeby przedsiębiorstwa Systemy archiwizacji oparte o sieci SAN Archiwizacja w ośrodkach zdalnych Outsourcing składowania danych Bezpieczeństwo systemów opartych na Oracle Bezpieczeństwo architektury rozwiązania opartego na Oracle Bezpieczeństwo konfiguracji serwera RDBMS Oracle Bezpieczna konfiguracja SQL*Net (Net8) Szyfrowanie komunikacji Bezpieczeństwo struktur bazodanowych Bezpieczeństwo modelu uprawnień Bezpieczeństwo kodu PL/SQL i Java Szyfrowanie danych w bazie Bezpieczeństwo rozwiązań opartych na Oracle Application Server Analogiczne usługi są dostępne dla systemów opartych o inny standard RDBMS Bezpieczeństwo sieci opartej na Windows 2000/XP/2003 Bezpieczna konfiguracja serwerów Bezpieczeństwo usług ActiveDirectory Zarządzanie polityką kontroli dostępu do zasobów (policy) Bezpieczna konfiguracja stacji roboczych Mechanizmy monitorowania działalności użytkowników Bezpieczeństwo serwisów WWW i usług sieciowych Opracowanie wymagań bezpieczeństwa serwisu Zaprojektowanie bezpiecznej architektury serwisu Bezpieczeństwo konfiguracji systemów IT Opracowanie repozytorium konfiguracji Zasady zarządzania bezpieczną konfiguracją systemów Izolacja środowisk developerskich i eksperymentalnych Maciej Kaniewski (c) [5/7]

6 3. Analizy i audyty bezpieczeństwa Ocena jakości i skuteczności mechanizmów bezpieczeństwa wdrożonych w instytucji, zarówno z punktu widzenia technicznego jak i organizacyjnego. Niektóre z wyszczególnionych poniżej usług korespondują z usługami wykonywanymi w fazie analizy potrzeb Audyt zarządzania bezpieczeństwem informatycznym według standardu COBiT Wybór procesów do analizy Identyfikacja celów biznesowych Identyfikacja kluczowych wskaźników wydajności Identyfikacja kluczowych czynników sukcesu Ocena stopnia realizacji celów biznesowych 3.2. Audyt bezpieczeństwa na podstawie standardu IT BPM (IT- Grundschutz) Analiza struktury i metod zarządzania bezpieczeństwem Inwentaryzacja i klasyfikacja systemów informatycznych zgodnie z IT BPM Inwentaryzacja i klasyfikacja zabezpieczeń Ocena stanu zabezpieczeń Sformułowanie wniosków pokontrolnych 3.3. Ocena bezpieczeństwa IT na podstawie PN-ISO/IEC Analiza struktury i metod zarządzania bezpieczeństwem Inwentaryzacja i klasyfikacja systemów informatycznych Inwentaryzacja i klasyfikacja zabezpieczeń Ocena stanu zabezpieczeń Sformułowanie wniosków pokontrolnych 3.4. Audyt bezpieczeństwa IT połączony z testami zabezpieczeń Testy penetracyjne sieci zorientowane na możliwość uzyskania niepowołanego dostępu Testy penetracyjne systemów bazodanowych Testy zorientowane na możliwość blokady dostępu (denial of service) 3.5. Audyt bezpieczeństwa sieci LAN i WAN Bezpieczna struktura i topologia sieci (sprawdzanie dostępności i poufności) Bezpieczeństwo wersji firmware'u i konfiguracji urządzeń aktywnych Bezpieczeństwo sieci bezprzewodowych Protokoły i usługi sieciowe 3.6. Audyt ochrony danych osobowych Identyfikacja zbiorów danych osobowych Analiza struktury danych osobowych Analiza procedur ochrony danych Maciej Kaniewski (c) [6/7]

7 3.7. Audyt legalności oprogramowania Inwentaryzacja oprogramowania zainstalowanego w systemach informatycznych Inwentaryzacja licencji i umów licencyjnych Sformułowanie wniosków pokontrolnych 3.8. Analiza bezpieczeństwa projektowanych rozwiązań informatycznych Zakres usługi zależy od stanu zaawansowania projektowanego rozwiązania informatycznego i może obejmować następujące elementy usług: Analiza wymagań bezpieczeństwa sformułowanych w dokumentach projektowych (kompletność i precyzyjność wymagań) Doprecyzowanie wymagań bezpieczeństwa (uwzględnienie wszystkich kryteriów informacyjnych, uwzględnienie wszystkich poziomów architektury, zdefiniowanie mierzalnych celów, określenie kryteriów testowania) Opracowanie wytycznych projektowych Analiza zaproponowanych rozwiązań 4. Szkolenia z bezpieczeństwa informatycznego Przygotowanie personelu do reakcji na istotne zagrożenia bezpieczeństwa prezentacja przypadków testowych Zapoznanie z obowiązującą polityką bezpieczeństwa i innymi dokumentami normatywnymi, regulującymi zagadnienia bezpieczeństwa w przedsiębiorstwie. Przygotowanie wytypowanych osób i struktur organizacyjnych przedsiębiorstwa do spełnienia wymagań ustaw i rozporządzeń, dotyczących spraw bezpieczeństwa przedsiębiorstwa Uświadomienie zakresu indywidualnych obowiązków w zakresie bezpieczeństwa Przeszkolenie w zakresie typowych procedur eksploatacyjnych, biurowych itp. Przeszkolenie w zakresie sytuacji kryzysowych 5. Bezpieczeństwo projektów informatycznych Opracowanie systemu zarządzania projektami informatycznymi uwzględniające następujące obszary bezpieczeństwa: uwzględnienie zasad tworzenia bezpiecznych systemów informatycznych w metodyce projektowej (np. SSE-CMM) zapewnienie bezpieczeństwa dokumentacji projektowej i innych danych podlegających ochronie efektywna i bezpieczna struktura komunikacji w projekcie (dobór właściwych mediów, metod i odbiorców transmisji) bezpieczeństwo współpracy z partnerami i podwykonawcami bezpieczeństwo danych testowych i innych materiałów klienckich w trakcie trwania projektu metodyka zarządzania ryzykiem w projekcie Maciej Kaniewski (c) [7/7]