Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Transkrypt

1 Zarządzanie ryzykiem Klasyfikacja Edukacja Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

2 Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.4. Zapewnienie bezpieczeństwa informacji przetwarzanych w środowisku teleinformatycznym nie jest wyłącznie domeną komórek odpowiedzialnych za obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, ale w dużej mierze zależy od właściwego postępowania bezpośrednich użytkowników systemów informatycznych i danych. W związku z tym, każdy pracownik banku powinien byćświadomy, że jego obowiązkiem jest dbanie o bezpieczeństwo informacji przetwarzanych w środowisku teleinformatycznym. W tym celu bank powinien podejmowaćdziałania mające na celu tworzenie tzw. kultury bezpieczeństwa informacji, edukowaćpracowników w zakresie bezpieczeństwa środowiska teleinformatycznego oraz uzyskaćpisemne zobowiązania do przestrzegania regulacji wewnętrznych dotyczących tego obszaru.

3 Organizacja obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego 5.8. Bank nie powinien wprowadzaćdo użytku nowych technologii informatycznych bez posiadania wiedzy i kompetencji umożliwiających właściwe zarządzanie związanym z nimi ryzykiem. W związku z tym, bank każdorazowo powinien oceniać adekwatnośćtych kompetencji, zaśw przypadku stwierdzenia, że sąone niewystarczające podjąćdziałania mające na celu ich uzupełnienie (np. szkolenia pracowników, zatrudnienie nowych pracowników, podjęcie współpracy z zewnętrznymi dostawcami usług itp.).

4 Rozwój systemów informatycznych 7.4. Wprowadzenie nowego systemu informatycznego, jak równieżznacznej zmiany do jużistniejącego systemu, powinno byćpoprzedzone przeprowadzeniem analizy ryzyka wynikającego z zastosowanych technologii informatycznych oraz dokonaniem oceny wpływu wprowadzanych zmian na środowisko teleinformatyczne i procesy biznesowe banku, ze szczególnym uwzględnieniem aspektów bezpieczeństwa.

5 System zarządzania bezpieczeństwem środowiska teleinformatycznego W banku powinien funkcjonowaćsformalizowany, skuteczny system zarządzania bezpieczeństwem środowiska teleinformatycznego, obejmujący działania związane z identyfikacją, szacowaniem, kontrolą, przeciwdziałaniem, monitorowaniem i raportowaniem ryzyka w tym zakresie, zintegrowany z całościowym systemem zarządzania ryzykiem i bezpieczeństwem informacji w banku.

6 Bądź zgodny z własnymi zasadami Bądźkrok przed zagrożeniami Skoncentruj sięna priorytetach Zbuduj program walki z ryzykiem Połącz IT z biznesem

7 Postrzeganie kadry kierowniczej Zaufanie do bezpieczeństwa jest niskie NIE MAJĄZAUFANIA I PRZEKONANIA, ich personel może poradzićsobie z nowymi i 57%Menedżerowie powstającymi zagrożeniami Dlaczego? 45%Brak PEŁNEGO OBRAZU w całej infrastrukturze 7

8 Agregacja ryzyka Ryzyko bazowe Szacowanie prawdopodobieństwa wystąpienia Podatności, kontrole techniczne, ankiety, incydenty itp.. Charakterystyka zasobów Zrozumienie ważności na różnych warstwach klasyfikacji Kontrola efektywności Rzeczywiste modelowanie ryzyka Waga zasobów przełożona na mechanizmy kontrolne Ryzyko zarządzane Ryzyko Zrozumienie zależności i wpływów na ryzyko CCS 11 Technical Field Enablement

9 Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Identyfikacja ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego powinna byćdokonywana systematycznie i opierać się na: identyfikacji ryzyka związanego z potencjalnym naruszeniem bezpieczeństwa środowiska teleinformatycznego przed zmaterializowaniem się danych zagrożeń, identyfikacji ryzyka związanego z naruszeniami bezpieczeństwa środowiska teleinformatycznego po zmaterializowaniu się zagrożeń.

10 Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Szacowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego ma na celu określenie prawdopodobieństwa i potencjalnego wpływu zmaterializowania się zagrożeń związanych z tym ryzykiem na instytucjęoraz na tej podstawie dokonanie oceny tego ryzyka.

11 Ryzyka Zagrożenia dla zasobów w biznesowych, które powinny być ograniczone Wymagania Zewnętrzne wymagania, regulacje itp. Platforma zarządzaj dzająca Sprawdzenia Ustawienia i konfiguracje, porównywane z wymaganymi standardami Podatności Zagrożenia dla systemów, korygowane przez poprawki i rekonfiguracje Ankiety Ocena stanu wiedzy pracowników Polityki Wewnętrzne polityki, mające na celu ochronę zasobów w firmy Dane z zewnątrz Dane importowane z rozwiąza zań firm trzecich CCS 11 Advanced Risk 11

12 Kontrola i przeciwdziałanie ryzyku w zakresie bezpieczeństwa środowiska teleinformatycznego Bank powinien zapewnić, aby wszystkie wyjątki od obowiązujących w banku regulacji oraz stosowanych mechanizmów kontrolnych były ewidencjonowane i kontrolowane zgodnie ze sformalizowaną procedurą, określającą m.in. sytuacje, w jakich dopuszcza sięudzielenie zgody na odstępstwo, zasady składania i akceptacji wniosku o udzielenie takiej zgody (z zapewnieniem, że wniosek zawiera uzasadnienie potrzeby zastosowania wyjątku), osoby upoważnione do udzielenia zgody, akceptowalny czas obowiązywania odstępstw oraz zasady raportowania w tym zakresie. Bank powinien również systematycznie analizować ryzyko związane z ww. odstępstwami.

13 Monitorowanie i raportowanie ryzyka w zakresie bezpieczeństwa środowiska teleinformatycznego Wyniki identyfikacji i szacowania ryzyka w zakresie środowiska teleinformatycznego oraz rezultaty badania efektywności wprowadzonych mechanizmów kontrolnych powinny byćmonitorowane (w tym pod kątem występujących trendów), jak równieżprezentowane kierownictwu banku i radzie nadzorczej w ramach funkcjonującego w banku systemu informacji zarządczej. Informacje te powinny byćprzekazywane regularnie, zaś ich częstotliwość i zakres powinny uwzględniać profil ryzyka banku oraz dawaćmożliwośćpodjęcia odpowiedniej reakcji.

14 Zdefiniuj zasoby biznesowe do zarządzania Usługa xyz Pokażi komunikuj ryzyko dla zasobów biznesowych Ustal priorytety dla biznesu, nie dla IT Monitoruj trendy ryzyka w czasie Plan Status Obecny Docelowy A Completed Submitted B Submitted Completed C Completed Submitted

15

16

17

18 Metrics View Toi Session 18

19 Incident View 19

20 Rola audytu wewnętrznego i zewnętrznego Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien byćprzeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąćna poziom bezpieczeństwa środowiska teleinformatycznego. Częstotliwośći zakres audytów powinny wynikaćz poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów.

21 Klasyfikacja informacji Bank powinien opracowaćzasady klasyfikacji informacji zapewniające, że każda informacja przetwarzana w środowisku teleinformatycznym banku zostanie objęta odpowiednim dla niej poziomem ochrony. W tym celu niezbędne jest ustanowienie takiego systemu klasyfikacji informacji, który będzie obejmował wszystkie dane przetwarzane w systemach informatycznych banku, jak równieżzapewnienie, że klasyfikacja każdej informacji jest adekwatna do aktualnych uwarunkowańwewnętrznych i zewnętrznych banku.

22 Klasyfikacja systemów informatycznych Bank powinien opracowaćzasady klasyfikacji systemów informatycznych, uwzględniające w szczególności: klasyfikacjęinformacji przetwarzanych w obrębie danego systemu, znaczenie danego systemu dla działalności banku, istotnośćinnych systemów informatycznych, których funkcjonowanie zależy od danego systemu.

23 Rozwiązanie... Potrzebujemy więcej niż rozwiązania technologicznego. Gdzie znajdują się poufne dane? Jak są wykorzystywane? Jak najlepiej zapobiec ich utracie? IDENTYFIKACJA ŚLEDZENIE OCHRONA 23

24 Jak to działa? Polityka chroniąca przed wyciekiem danych Detekcja Odpowiedź Zawartość Kontekst Akcja Powiadomienie Karty kredytowe PESEL Własność intelektualna Kto? Co? Gdzie? Poinformuj Uzasadnij Zaszyfruj Zapobiegnij Użytkownik Manager Bezpieczeństwo Eskaluj Znajdźto. Napraw to. 24

25 Edukacja pracowników Bank powinien podejmowaćskuteczne działania mające na celu osiągnięcie i utrzymanie odpowiedniego poziomu kwalifikacji pracowników w zakresie środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w tym środowisku.

26 Questoionaires 26

27 Podsumowanie Identyfikacja, szacowanie i zarządzanie ryzykiem Klasyfikacja informacji i systemów Edukacja pracowników 27