DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Transkrypt

1 DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1

2 Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie bezpieczeństwem systemów informatycznych (SI) Strategia bezpieczeństwa SI Dlaczego? Polityka bezpieczeństwa SI Co? Procedury bezpieczeństwa SI Jak? Zatwierdzenie strategii, polityki i procedur bezpieczeństwa SI Program ochrony informacji Podsumowanie Literatura 2 2

3 Informacja w firmie

4 Cechy dobrej informacji kompletna istotna terminowa właściwa wiarygodna zrozumiała 4 4

5 Forma informacji i jej rola w firmie wypowiedź rozmowa gesty dokument papierowy dokument elektroniczny kody źródłowe rysunki techniczne Zarządzanie strategiczne Zarządzanie taktyczne Zarządzanie operacyjne Przetwarzanie danych 5 5

6 Wartość informacji Informacja ma określoną wartość w danym czasie dla danych podmiotów. wartość informacji o wygrywających numerach w LOTTO na 1 godzinę przed losowaniem <= wartości wygranej, wartość informacji o numerach wylosowanych w losowaniu LOTTO dzień po losowaniu = 0 6 6

7 Bezpieczeństwo informacji w firmie

8 Obszary bezpieczeństwa informacji ADMINISTRACYJNO - ORGANIZACYJNE FORMALNO - PRAWNE TECHNICZNO - PROGRAMOWE FIZYCZNE 8 8

9 Składowe bezpieczeństwa informacji w firmie 9 9

10 Składowe systemu informatycznego w firmie WARSTWA ORGANIZACYJNA WARSTWA PROCESOWA Procesy strategiczne Procesy rozwoju Procesy utrzymania Procesy wsparcia Poziom fizyczny Poziom systemu operacyjnego Poziom bazy danych Definicja potrzeb Poziom interfejsu Poziom aplikacji Obsługa informatyczna UŻYTKOWNIK PROCES BIZNESOWY 10 10

11 Główne ryzyka związane z bezpieczeństwem SI ryzyko utraty poufności zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi, ryzyko utraty dostępności zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników, ryzyko utraty integralności zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny

12 Zarządzanie bezpieczeństwem systemów informatycznych w firmie

13 Cel zarządzania bezpieczeństwem SI Identyfikacja zagrożeń na jakie podatny jest system informatyczny. Ocena ryzyka związanego z bezpieczeństwem systemu informatycznego. WIEDZIEĆ CO REALNIE ZAGRAŻA SI Dobranie odpowiedniej metody zarządzania bezpieczeństwem Dobranie mechanizmów bezpieczeństwa (zabezpieczeń) adekwatnych do potrzeb ODPOWIEDNIO ZABEZPIECZYĆ SI Permanentne monitorowanie ryzyk. Monitorowanie wykorzystania mechanizmów bezpieczeństwa i ich efektywności STALE UTRZYMYWAĆ PRZYJETY POZIOM BEZPIECZEŃSTWA 13 13

14 Model zarządzania bezpieczeństwem SI w firmie Cele Biznesowe Strategia Bezpieczeństwa Analiza Ryzyka Organizacja, Procesy, Modele Polityka Bezpieczeństwa Klasyfikacja Systemy Informacje / informatyczne Użytkownicy Kluczowe Mierniki Sukcesu Wytyczne Procedury Standardy Techniczno-Programowe Mechanizmy Bezpieczeństwa Identyfikacja i uwierzytelnianie Autoryzacja i kontrola dostępu Połączenie z sieciami zewnętrznymi Audyt i rozliczalność Kryptograficzna ochrona danych Utrzymanie systemów informatycznych Ciągłość działalności Rozwój systemów informatycznych Ochrona przed szkodliwym oprogramowaniem Formalno-Prawne Mechanizmy Bezpieczeństwa Klauzule poufności Umowy serwisowe Upoważnienia i pełnomocnictwa Zasady kontaktu z mediami Fizyczne Mechanizmy Bezpieczeństwa Lokalizacja i bezpieczeństwo konstrukcyjne miejsc przetwarzania danych Bezpieczeństwo logiczne i ochrona miejsc przetwarzania danych Systemy zasilania Komfort pracy urządzeń Systemy kontroli dostępu Ochrona przeciwpożarowa Monitorowanie i Zarządzanie Mechanizmami Kontrolnymi Poufność 14 14

15 Strategia bezpieczeństwa systemów informatycznych Dlaczego

16 Strategia bezpieczeństwa systemów informatycznych Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 16 16

17 Perspektywy strategii bezpieczeństwa SI Strategia Bezpieczeństwa SI STRATEGIA FIRMY UDZIAŁOWCY PRACOWNICY REGULATOR -USTAWODAWCA BRANŻA -RYNEK KLIENT 17 17

18 Części składowe strategii bezpieczeństwa SI PODSUMOWANIE Główny cel strategii bezpieczeństwa systemów informatycznych Ogólny harmonogram realizacji (długoterminowy) STRATEGIA BEZPIECZEŃSTWA Identyfikacja potrzeby zapewnienia bezpieczeństwa systemów informatycznych Identyfikacja perspektyw strategii bezpieczeństwa systemów informatycznych Określenie głównego celu nadrzędnego bezpieczeństwa systemów informatycznych Określenie celów cząstkowych składowych bezpieczeństwa systemów informatycznych SPOSÓB REALIZACJI STRATEGII Określenie odpowiedzialności i narzędzi sposobu realizacji celów strategicznych Wyznaczenie etapów realizacji strategii (kamieni milowych) Określenie czynników sukcesu realizacji strategii 18 18

19 Polityka bezpieczeństwa systemów informatycznych Co

20 Polityka bezpieczeństwa systemów informatycznych Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 20 20

21 Części składowe polityki bezpieczeństwa SI 1/2 PODSUMOWANIE Troska Zarządu firmy o bezpieczeństwo informacji Klasyfikacja informacji i systemów informatycznych REGUŁY BEZPIECZEŃSTWA odpowiedzialność każda informacja przetwarzana w instytucji posiada swojego właściciela, który jest odpowiedzialny za zapewnienie odpowiedniego poziomu bezpieczeństwa informacji szczególności jej poufności, integralności i dostępności kontrola dostępu do informacji -dostęp do informacji mogą posiadać jedynie upoważnieni do tego użytkownicy, którzy są jednoznacznie identyfikowani, uwierzytelnieni i rozpoznawalni w systemie informatycznym bezpieczeństwo systemów informatycznych -każdy system informatyczny powinien zapewniać odpowiedni poziom bezpieczeństwa, wynikający z zasad i reguł Polityki Bezpieczeństwa, wymagań prawa, standardów i dobrych praktyk (ang. Best Practice) bezpieczeństwo kanałów wymiany informacji -kanały wymiany informacji muszą zapewniać odpowiedni poziom bezpieczeństwa informacji w nich przesyłanych, zmiany w systemach informatycznych -rozwój systemu informatycznego instytucji nie powinien obniżać określonego poziomu jego bezpieczeństwa 21 21

22 Części składowe polityki bezpieczeństwa SI 2/2 ochrona przed czynnikami szkodliwymi -informacje przetwarzane w systemach informatycznych instytucji muszą być chronione przed działaniem czynników szkodliwych utrzymanie ciągłości działania systemu informatycznego -wszystkie czynności zmierzające do utrzymania ciągłości działania systemu informatycznego muszą być planowane i realizowane w taki sposób, aby minimalizować skutki awarii lub kryzysu bezpieczeństwo fizyczne -pomieszczenia techniczne oraz obiekty o szczególnym znaczeniu dla instytucji muszą być odpowiednio chronione naruszenie bezpieczeństwa systemów informatycznych -każde naruszenie bezpieczeństwa informacji przetwarzanych przez systemy informatyczne będzie karane, a sprawca naruszenia będzie odpowiadał za nie zgodnie z obowiązującymi w instytucji regulacjami lub przepisami prawa obowiązującymi w Rzeczypospolitej Polskiej bezpieczeństwo formalno prawne - mechanizmy bezpieczeństwa muszą być zgodne z obowiązującymi w Rzeczypospolitej Polskiej przepisami prawa zarządzanie ryzykiem związanym z bezpieczeństwem systemów informatycznych -instytucja w sposób ciągły zarządza ryzykiem związanym z bezpieczeństwem systemów informatycznych, podejmując działania zmierzające do identyfikacji i minimalizowania ryzyka związanego z bezpieczeństwem systemów informatycznych 22 22

23 Procedury bezpieczeństwa systemów informatycznych Jak

24 Polityki szczegółowe i procedury bezpieczeństwa SI Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 24 24

25 Polityki szczegółowe i procedury bezpieczeństwa SI Polityka szczegółowa Procedura bezpieczeństwa Instrukcja Instrukcja Polityki bezpieczeństwa określające reguły dotyczące poszczególnych systemów (w szczególności wyjątki) Procedury określające sposób postępowania w zakresie bezpieczeństwa dla poszczególnych systemów informatycznych lub zagadnień operacyjnych Instrukcje postępowania listy kontrolne 25 25

26 Części składowe procedury bezpieczeństwa SI FORMALNA Symbol Data powstania / rewizji / zatwierdzenia Opracowujący / sprawdzający / zatwierdzający MERYTORYCZNA Przedmiot / cel Zakres procedury Kompetencje i odpowiedzialności Postępowanie / Opis Definicje i terminologia Dokumenty odniesienia Lista kontrolna Załączniki 26 26

27 Program Ochrony Informacji Zatwierdzanie dokumentów

28 Program Ochrony Informacji Program Ochrony Informacji to całokształt zaplanowanych i spriorytetyzowanych działań podejmowanych w celu realizacji Strategii Bezpieczeństwa Informacji Program Ochrony Informacji służy: Zapewnieniu kompletności i spójności prowadzonych działań w zakresie zarządzania bezpieczeństwem informacji Optymalizacji kosztów ponoszonych na zapewnienie bezpieczeństwa informacji 28 28

29 Zatwierdzenie i wdrożenie Wszystkie dokumenty normalizujące zagadnienia bezpieczeństwa informacji i systemów informatycznych muszą być formalnie zatwierdzone i stale aktualizowane

30 Podsumowanie

31 Podsumowanie Należy wiedzieć jaką informację przetwarza instytucja Należy wycenić wartość informacji Należy dokonać analizy ryzyka związanego z bezpieczeństwem informacji Należy przygotować Strategie jej ochrony Należy opracować politykę jej zabezpieczenia (informacji systemów informatycznych) Należy zaakceptować strategie i politykę Należy opracować i wdrożyć program ochrony Odpowiedzialności Plan Mechanizmy (w tym procedury) Należy aktualizować strategie i politykę bezpieczeństwa (w miarę zmieniającego się środowiska i potrzeb instytucji) oraz mechanizmy bezpieczeństwa Należy monitorować przestrzeganie zasad i działanie mechanizmów bezpieczeństwa 31 31

32 Literatura British Standard BS (Information Security Management), Part 1: Code of practice for information security management Bundesamt Für Sicherheit in der Informationstechnik (BSI) IT Baseline Protection Manual (Recommended Measures to meet Medium-Level Protection Requirements) Commission of European Communities Information Technology Security Evaluation Criteria (ITSEC), Provisional Harmonized Criteria, Version 1.2. Brussels, Belgium: Commission of European Communities, Directorate General XIII (June). Gleim I. N., CIA Review Part I The Internal Audit Activity s Role in Governance, Risk and Control, Certified Internal Auditor Gleim Publications Inc., Gainesville FL, Holbrook, P., Reynolds, J Site Security Handbook. Request for Comments (RFC) Nr 1244, Wznowienie, 1997 RFC 2196 Information Systems Audit And Control Association, Control Objectives for Information and related Technology (CobiT) Technika Informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji PN- ISO/IEC U.S. Department of Defense Trusted Computer Systems Evaluation Criteria. DOD STD