Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Transkrypt

1 Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji Katowice 25 czerwiec 2013

2 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

3 INTEGRALNOŚĆ POUFNOŚĆ Bezpieczeństwo informacji DOSTĘPNOŚĆ

4 Zarządzanie ryzykiem Głównym celem systemu zarządzania bezpieczeństwem informacji (SZBI) jest minimalizacja ryzyka utraty najważniejszych informacji organizacji OCENA RYZYKA UTRATY INFORMACJI OPRACOWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI MONITOROWANIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI WDROŻENIE PLANU MINIMALIZACJI RYZYKA UTRATY INFORMACJI

5 Czego należy się obawiać?

6 Ludzie Bezpieczeństwo osobowe Usługi Systemowe podejście do bezpieczeństwa informacji Bezpieczeństwo fizyczne ISO Bezpieczeństwo informatyczne

7 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

8 Realizacja projektu Weryfikacja stanu obecnego Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie planu Opracowanie dokumentacji Podnoszenie świadomości pracowników ISO Monitorowanie Systemu Zarządzania Certyfikacja systemu

9 Krok 1: Badanie stanu obecnego Weryfikacja stanu obecnego Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie śwoadomości Monitorowanie Planu Certyfikacja systemu Określenie zakresu i szczegółowego planu badania Przeprowadzenie audytu zgodnie z listą kontrolną (1000 punktów bezpieczeństwa) analiza organizacji analiza bezpieczeństwa prawnego analiza bezpieczeństwa teleinformatycznego poziom podstawowy analiza bezpieczeństwa fizycznego analiza elementów ciągłości działania analiza zarządzania zasobami Opracowanie koncepcji SZBI Walidacja metody analizy ryzyka

10 Krok 2: Działania uświadamiające Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Przeprowadzenie szkolenia dla kadry zarządzającej wyniki diagnozy wstępnej dalsze prace w zakresie bezpieczeństwa informacji zadania najwyższego kierownictwa Przeprowadzenie szkolenia grupy roboczej wymagania ISO/IEC tworzenie dokumentacji Zintegrowanego Systemu Zarządzania(ZSZ) szczegółowy plan działań w zakresie bezpieczeństwa informacji Informacja dla pracowników

11 Diagnoza systemu Szkolenia wstępne Krok 3: Identyfikacja zagrożeń oraz skutków wystąpienia Przeprowadzenie klasyfikacji informacji (możliwość wykorzystania narzędzi informatycznych) Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Identyfikacja sprzętu, informacji oprogramowania oraz miejsc przetwarzania Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Analiza zagrożeń oraz podatności na podstawie wyników z audytu Przeprowadzenie analizy ryzyka z (możliwość wykorzystania narzędzi informatycznych Przeprowadzenie analizy ciągłości działania organizacji (możliwość wykorzystania narzędzi informatycznych)

12 Krok 4: Planowanie działań doskonalących Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Identyfikacja działań niezbędnych do zminimalizowania określonego ryzyka działania inwestycyjne działania organizacyjne identyfikacja niezbędnych do określenia regulacji Określenie układu Polityki Bezpieczeństwa Informacji określenie hierarchicznego układu dokumentacji (polityki, procedury, instrukcje, zasady) stworzenie listy dokumentacji niezbędnej do stworzenia Stworzenie harmonogramu wdrożenia SZBI

13 Krok 5: Tworzenie zasad postępowania Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Powołanie grup roboczych do tworzenia projektów dokumentów Tworzenie dokumentów polityki procedury Instrukcje Plany awaryjne zasady, etc. Weryfikacja i zatwierdzenie dokumentów

14 Przykładowa struktury dokumentacji koncepcja DGA POLITYKA BEZPIECZEŃSTWA INFORMACJI ZASADY POSTĘPOWANIA Z INFORMACJĄ ZASADY ZARZĄDZANIA RYZYKIEM STRATEGIA CIĄGŁOŚCI DZIAŁANIA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA ZASOBAMI LUDZKIMI WYMAGANIA ZWIĄZANE Z ZARZĄDZANIEM INCYDENTAMI BEZPIECZEŃSTWA WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI WYMAGANIA ZWIĄZANE Z BEZPIECZEŃSTWEM FIZYCZNYM DOKUMENTY NIŻSZEGO RZĘDU PROCEDURY I INSTRUKCJE

15 Krok 6: Działania uświadamiające Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Stworzenie planu podnoszenia świadomości pracowników Zapoznanie z obowiązującymi zasadami bezpieczeństwa Szkolenie dla pracowników Szkolenie dla audytorów wewnętrznych Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu

16 Weryfikacja skuteczności SZBI Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Podnoszenie świadomości Monitorowanie Planu Certyfikacja systemu Audity wewnętrzne wspólne audyty praktyczne weryfikacja stosowania stworzonych zasad bezpieczeństwa Działania korygujące i zapobiegawcze identyfikacja zagrożeń i niezgodności identyfikacja działań doskonalących Przegląd najwyższego kierownictwa prezentacja działania SZBI przed najwyższym kierownictwem wyznaczenie celów długofalowych

17 Krok 7: Niezależne potwierdzenie skuteczności SZBI Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Opracowanie dokumentacji Proces niezależnej oceny dokonanej przez jednostkę certyfikacyjną zalecamy audyt Zintegrowanego Systemu Zarządzania Certyfikat ważny jest 3 lata raz w roku jednostka certyfikacyjna dokonuje auditu nadzoru Po 3 latach funkcjonowania konieczność poddania się procesowi recertyfikacji(przedłużenie ważności certyfikatu na kolejne 3 lata) Podnoszenie świadomości Wdrożenie Audit certyfikacyjny Recertyfikacja Monitorowanie Planu Certyfikacja systemu Ocena wstępna Audit nadzoru

18 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Jak przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

19 Bezpieczeństwo informacji nie jest potrzebne!!! Opinie menadżerów Zło konieczne! Zawracanie głowy! Przecież mamy firmę ochroniarską, kancelarię tajną i drogie IT! Każdy wie, że nie można paplać na lewo i prawo. Od czasu do czasu robimy audyty. Opinie pracowników Ministerstwo Wojny. Szukają dziury w całym. Każdy chce mieć jakieś zajęcie. Utrudniają. Kosmici

20 Bezpieczeństwo informacji nie jest potrzebne!!! DLACZEGO? Trudno być zwolennikiem czegoś, czego się nie rozumie i co w dodatku nakłada nowe zadania i obowiązki TO UTRUDNIA PRACE!!!

21 Agenda Na czym oprzeć System Zarządzania Bezpieczeństwem Informacji (SZBI) Ja przeprowadzić projekt wdrożenia SZBI Dlaczego wdrożenie SZBI jest takie trudne Co zrobić żeby SZBI był skuteczny

22 Jak edukować? Poziom Średni Partycypacja Angażowanie pracowników w: Budowę systemu Wdrażanie systemu Doskonalenie Dokumentacja Przejrzysta Czytelna Dedykowana Analiza ryzyka Zrozumiała Nakierowana na działania Angażująca szerokie grono ludzi POLITYKA BEZPIECZEŃSTWA INFORMACJI ZASADY POSTĘPOWANIA Z INFORMACJĄ WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA ZASOBAMI LUDZKIMI WYMAGANIA ZWIĄZANE Z ZARZĄDZANIEM INCYDENTAMI BEZPIECZEŃST WA ZASADY ZARZĄDZANIA RYZYKIEM WYMAGANIA BEZPIECZEŃSTWA W ZAKRESIE ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI STRATEGIA CIĄGŁOŚCI DZIAŁANIA DOKUMENTY NIŻSZEGO RZĘDU PROCEDURY I INSTRUKCJE WYMAGANIA ZWIĄZANE Z BEZPIECZEŃSTW EM FIZYCZNYM

23 Jak edukować? Poziom Zaawansowany Samokształcąca się organizacja Planujemy Wdrażamy Oceniami i weryfikujemy Identyfikujemy zmianę FBI Rola doradztwa wewnętrznego Bezpieczeństwo informacji narzędziem zarządzania Zrozumianym Wykorzystywanym Skutecznym Bazującym na realnych problemach np. SCADA

24 Podsumowanie Z bezpieczeństwem informacji jest jak z koszeniem trawy! Systematycznie! Nie za mocno! Czego nie możesz przyciąć wyrwij!

25 KONIEC Dziękuję za uwagę! Dziękujemy za udział w spotkaniu Michał Borucki Prezes Zarządu Blue Energy Sp. z o.o Michal.borucki@grupablue.pl