Miejsce audytu teleinformatycznego i doradcy technologicznego

Transkrypt

1 Miejsce audytu teleinformatycznego i doradcy technologicznego w systemie zarządzania bezpieczeństwem informacji Marcin Majdecki Det Norske Veritas Poland

2 KIM JESTEŚMY? Jesteśmy fundacją załoŝon oną w 1864 roku Naszą misją jest: Ochrona zdrowia i Ŝycia, własnow asności i środowiska Jesteśmy obecni w 100 krajach, ach, posiadamy 300 biur,, zatrudniamy ok pracowników Nadzorujemy 17% tonaŝu u floty światowej z najniŝszym wskaźnikiem wypadkowości Jesteśmy jedną z trzech największych jednostek certyfikacyjnych świata nadzorujemy ponad systemów w zarządzania w ponad firm Posiadamy szeroką ofertę autorskich i partnerskich programów szkoleniowych z zakresu zarządzania Slide 2

3 Brak zapewnienia bezpieczeństwa informacji moŝe mieć powaŝne konsekwencje! Dane medyczne Dane dotyczące dotyczące Citi kart informuje kredytowych o utracie danych pacjentów MasterCard skradzione! prawdopodobnie dotyczących 3,9 zostały mln klientów skradzione z HSBC CNET News.com 8 kwietnia 2005 Reuters MSNBC 7 czerwca Kwietnia 2005 CitiFinancial, finansowe Pracownicy przychodni ramię Citigroup Inc., lekarskiej w San Jose skopiowali informacje Grupa HSBC poinformowało w dotyczące swoich pacjentów poinformowała z 180,000 poniedziałek, Ŝe rozpoczęło zabezpieczonych serwerów posiadaczy na swoich proces kart informowania około dwa lokalne komputery. kredytowych MasterCard 3,9 miliona swoich klientów Wczesnym rankiem o dnia moŝliwej 28 kradzieŝy o fakcie utraty taśm marca miało miejsce danych włamanie, dotyczących komputerowych tych podczas którego te kart. zawierających ich dane dwa nowe osobowe komputery zostały skradzione. Slide 3

4 Brak zapewnienia bezpieczeństwa informacji moŝe mieć powaŝne konsekwencje! Zginął laptop Kaczmarka Z samochodu Wiesława Kaczmarka skradziono laptopa. Jak powiedział Radiu ZET były minister skarbu złodziej włamał się do jego volvo, w którym był teŝ plecak i torba. Zginął jednak tylko komputer. Niewykluczone, Ŝe w skradzionym laptopie Kaczmarka były m.in. informacje dotyczące sprawy Orlenu. Do kradzieŝy doszło w centrum Warszawy. Jak podkreśla Kaczmarek, zastanawiające jest to, Ŝe włamano się do jego auta w biały dzień i Ŝe zginął tylko laptop. Slide 4

5 Brak zapewnienia bezpieczeństwa informacji moŝe mieć powaŝne konsekwencje! Kurier Lubelski ( ) KTO WYRZUCIŁ BANKOWĄ DOKUMENTACJĘ? Dokumenty bankowe wylądowały na śmietniku przy ul. Zwycięskiej w Lublinie. Jak się tu znalazły? Zagadkę wyjaśnia policja. Sprawa wyszła na jaw wczoraj przed południem. Papiery zostały wrzucone do duŝego kontenera niedaleko hipermarketu Tesco. Znalazł je pracownik osiedlowej administracji. Slide 5

6 Bezpieczeństwo Informacji System Zarządzania Bezpieczeństwem Informacji (ISMS) część ogólnego systemu zarządzania organizacją, oparta o podejście uwzględniające analizę ryzyka biznesowego, w celu ustanowienia, wdroŝenia, stosowania, monitorowania, przeglądania, utrzymywania i doskonalenia bezpieczeństwa informacji Bezpieczeństwo informacji zabezpieczenie poufności, integralności i dostępności informacji Dostępno pność zapewnienie, Ŝe osoby upowaŝnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne Poufność zapewnienie, Ŝe informacja jest dostępna jedynie osobom upowaŝnionym Integralność zapewnienie dokładności i kompletności informacji oraz metod przetwarzania Slide 6

7 Bezpieczeństwo Informacji zarządzanie bezpieczeństwem informacji =/ zarządzanie bezpieczeństwem systemów w informatycznych Slide 7

8 System zarządzania bezpieczeństwem informacji system informacyjny =/ system informatyczny Slide 8

9 Co to za normy? 1995 BS zainicjowana przez brytyjskie Ministerstwo Handlu i Przemysłu 1998 BS nowa edycja BS i BS ISO (= BS ) 2002 BS PN-ISO PN-I ISO ISO PN-ISO Slide 9

10 Norma podlegająca audytowaniu vs. wytyczne Normatywna specyfikacja, według której moŝna przeprowadzać audyty i oceniać zgodność z wymaganiami lub jej brak - ISO/IEC 27001:2005 jest normą podlegającą audytowaniu Wytycznymi są najlepsze dostępne praktyki osiągania danego celu - ISO/IEC 17799:2005 jest kodeksem postępowania zawierającym wskazówki i zalecenia, określającym najlepsze praktyki dotyczące procesów zarządzania bezpieczeństwem informacji Slide 10

11 Jak zabezpieczać? ISO 27001:2005? Slide 11

12 Wymagania normy ale czy tylko te? A NiezaleŜny przegląd bezpieczeństwa informacji A Zgodność z politykami bezpieczeństwa i normami A Sprawdzanie zgodności technicznej A Zabezpieczenia audytu systemów informacyjnych A Ochrona narzędzi audytu systemów informacyjnych Slide 12

13 Zgodność A.15 Zgodność A.15.1 Zgodność z przepisami prawa A Określenie odpowiednich przepisów prawnych A Prawo do własności intelektualnej A Ochrona zapisów Organizacji A Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych A Zapobieganie naduŝywaniu środków przetwarzania informacji A Regulacje dotyczące zabezpieczeń kryptograficznych A.15.2 Zgodność z politykami bezpieczeństwa i normami oraz zgodność techniczna A Zgodność z politykami bezpieczeństwa i normami A Sprawdzanie zgodności technicznej A.15.3 Rozwiązania dotyczące audytu systemów informacyjnych A Zabezpieczenia audytu systemów informacyjnych A Ochrona narzędzi audytu systemów informacyjnych Slide 13

14 Zarządzanie ciągłością działania A.14 Zarządzanie ciągłością działania A.14.1 Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania A Włączanie bezpieczeństwa informacji do procesu zarządzania ciągłością działania A Ciągłość działania i szacowanie ryzyka A Opracowanie i wdroŝenie planów ciągłości uwzględniających bezpieczeństwo informacji A Struktura planowania ciągłości działania A Testowanie, utrzymanie i ponowna ocena planów ciągłości działania Slide 14

15 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji i słabości A Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji A Zgłaszanie słabości systemu bezpieczeństwa A.13.2 Zarządzanie incydentami związanymi z bezpieczeństwem informacji i udoskonalenia A Odpowiedzialność i procedury A Wyciąganie wniosków z incydentów A Gromadzenie materiału dowodowego Slide 15

16 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12.1 Wymagania bezpieczeństwa systemów informacyjnych A Analiza i opis wymagań bezpieczeństwa A.12.2 Poprawne przetwarzanie w aplikacjach A Potwierdzenie poprawności danych wejściowych A Kontrola przetwarzania wewnętrznego A Integralność wiadomości A Potwierdzenie poprawności danych wyjściowych A.12.3 Zabezpieczenia kryptograficzne A Polityka korzystania z zabezpieczeń kryptograficznych A Zarządzanie kluczami Slide 16

17 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.12.4 Bezpieczeństwo plików systemowych A.12.5 Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej A.12.6 Zarządzanie podatnościami technicznymi A Zabezpieczeni oprogramowania produkcyjnego A Ochrona systemowych danych testowych A Kontrola dostępu do kodu źródłowego A Procedury kontroli zmian A Techniczny przegląd aplikacji po zmianach w systemie operacyjnym A Ograniczenia dotyczące zmian w pakietach oprogramowania A Wyciek informacji A Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej A Nadzór nad podatnościami technicznymi Slide 17

18 Kontrola dostępu A.11 Kontrola dostępu A.11.1 Wymagania biznesowe wobec kontroli dostępu A.11.2 Zarządzanie dostępem uŝytkowników A.11.3 Odpowiedzialność uŝytkowników A.11.4 Kontrola dostępu do sieci A Polityka kontroli dostępu A Rejestracja uŝytkowników A Zarządzanie przywilejami A Zarządzanie hasłami uŝytkowników A Przegląd praw dostępu uŝytkowników A UŜywanie haseł A Pozostawianie sprzętu uŝytkownika bez opieki A Polityka czystego biurka i czystego ekranu A Polityka korzystania z usług sieciowych A Uwierzytelnianie uŝytkowników przy połączeniach zewnętrznych A Identyfikacja urządzeń w sieciach A Ochrona zdalnych portów diagnostycznych i konfiguracyjnych A Rozdzielanie sieci A Kontrola połączeń sieciowych A Kontrola rutingu w sieciach Slide 18

19 Kontrola dostępu A.11 Kontrola dostępu A.11.5 Kontrola dostępu do systemów operacyjnych A Procedury bezpiecznego logowania się A Identyfikacja i uwierzytelnianie uŝytkowników A System zarządzania hasłami A UŜycie systemowych programów narzędziowych A Kończenie sesji po określonym czasie A Ograniczenie czasu trwania połączenia A.11.6 Kontrola dostępu do aplikacji A Ograniczenie dostępu do informacji A Izolowanie systemów wraŝliwych A.11.7 Przetwarzanie mobilne i praca na odległość A Przetwarzanie i komunikacja mobilna A Praca na odległość Slide 19

20 Zarządzanie systemami i sieciami A.10 Zarządzanie systemami i sieciami A.10.1 Procedury eksploatacyjne i zakresy odpowiedzialności A.10.2 Zarządzanie usługami dostarczanymi przez strony trzecie A.10.3 Planowanie i odbiór systemów A.10.4 Ochrona przed kodem złośliwym i kodem mobilnym A Dokumentowanie procedur eksploatacyjnych A Zarządzanie zmianami A Rozdzielenie obowiązków A Oddzielenie urządzeń rozwojowych, testowych i produkcyjnych A Dostarczanie usług A Monitorowanie i przegląd usług strony trzeciej A Zarządzanie zmianami strony trzeciej A Zarządzanie pojemnością systemów A Odbiór systemu A Zabezpieczenia przed kodem złośliwym A Zabezpieczenia przed kodem mobilnym Slide 20

21 Zarządzanie systemami i sieciami A.10 Zarządzanie systemami i sieciami A.10.5 Kopie zapasowe A Zapasowe kopie informacji A.10.6 Zarządzanie bezpieczeństwem sieci A Zabezpieczenia sieci A Bezpieczeństwo usług sieciowych A.10.7 Posługiwanie się nośnikami A Zarządzanie nośnikami wymiennymi A Niszczenie nośników A Procedury postępowania z informacjami A Bezpieczeństwo dokumentacji systemowej Slide 21

22 Zarządzanie systemami i sieciami A.10 Zarządzanie systemami i sieciami A.10.8 Wymiana informacji A.10.9 Usługi handlu elektronicznego A Polityki i procedury wymiany informacji A Umowy o wymianie informacji A Transport nośników fizycznych A Wiadomości elektroniczne A Biznesowe systemy informacyjne A Handel elektroniczny A Transakcje on-line A Informacje publicznie dostępne A Monitorowanie A Dzienniki audytu A Monitorowanie uŝycia systemu A Ochrona informacji zawartych w dziennikach A Dzienniki administratora i operatora A Rejestrowanie błędów A Synchronizacja zegarów Slide 22

23 Bezpieczeństwo fizyczne i środowiskowe A.9 Bezpieczeństwo fizyczne i środowiskowe A.9.1 Obszary bezpieczne A Fizyczna granica obszaru bezpiecznego A Fizyczne zabezpieczenie wejścia A Zabezpieczenie biur, pomieszczeń i urządzeń A Ochrona przed zagroŝeniami zewnętrznymi i środowiskowymi A Praca w obszarach bezpiecznych A Obszary publicznie dostępne, dostaw i załadunku A.9.2 Bezpieczeństwo sprzętu A Lokalizacja i ochrona sprzętu A Systemy wspomagające A Bezpieczeństwo okablowania A Konserwacja sprzętu A Bezpieczeństwo sprzętu poza siedzibą A Bezpieczne zbywanie lub przekazywanie do ponownego uŝycia A Wynoszenie mienia Slide 23

24 Bezpieczeństwo zasobów ludzkich A.8 Bezpieczeństwo zasobów ludzkich A.8.1 Przed zatrudnieniem A Role i zakresy odpowiedzialności A Postępowanie sprawdzające A Zasady i warunki zatrudnienia A.8.2 Podczas zatrudnienia A Odpowiedzialność kierownictwa A Uświadomienie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji A Postępowanie dyscyplinarne A.8.3 Zakończenie lub zmiana zatrudnienia A Odpowiedzialność związana z zakończeniem zatrudnienia A Zwrot aktywów A Odebranie praw dostępu Slide 24

25 Zarządzanie aktywami A.7 Zarządzanie aktywami A.7.1 Odpowiedzialność za aktywa A A A Inwentaryzacja aktywów Własność aktywów Akceptowalne uŝycie aktywów A.7.2 Klasyfikacja informacji A A Zalecenia do klasyfikacji Oznaczanie informacji i postępowanie z informacjami Slide 25

26 Organizacja bezpieczeństwa informacji A.6 Organizacja bezpieczeństwa informacji A.6.1 Organizacja wewnętrzna A ZaangaŜowanie kierownictwa w bezpieczeństwo informacji A Koordynacja bezpieczeństwa informacji A Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji A Proces autoryzacji środków przetwarzania informacji A Umowy o zachowaniu poufności A Kontakty z organami władzy A Kontakty z grupami zainteresowania bezpieczeństwem A NiezaleŜny przegląd bezpieczeństwa informacji A.6.2 Strony zewnętrzne A Określenie ryzyk związanych ze stronami zewnętrznymi A Bezpieczeństwo w kontaktach z klientami A Bezpieczeństwo w umowach ze stroną trzecią Slide 26

27 Polityka bezpieczeństwa informacji A.5 Polityka bezpieczeństwa A.5.1 Polityka bezpieczeństwa informacji A Dokument polityki bezpieczeństwa informacji A Przegląd polityki bezpieczeństwa informacji Slide 27

28 ISO/IEC Slide 28

29 D.2.2 Column System testing System testing means direct review of systems (e.g. review of system settings or configuration). The auditor s questions could be answered at the system console or by evaluation of the results of testing tools. If the client organization has a computer-based tool in use that is known to the auditor, this can be used to support the audit, or the results of an evaluation performed by the client organization (or their sub-contractors) can be reviewed. There are two categories for the review of technical controls: possible : system testing is possible for the evaluation of control implementation, but usually not necessary; recommended : system testing is usually necessary. Slide 29

30 KONTAKT Certyfikacja Marcin Majdecki Sopot ul. 3 Maja Tel. (58) Fax (58) Szkolenia Anna Pawliszcze Warszawa ul. Skrzetuskiego 16A Tel. (22) Fax (22) Slide 30

31 Slide 31