Bezpieczeństwo i Higiena Przetwarzania czyli cukierek dla najmniejszych

Transkrypt

1 Bezpieczeństwo i Higiena Przetwarzania czyli cukierek dla najmniejszych Piotr Dzwonkowski Alina Wirbel-Łuczak Paulina Turlewicz Andrzej Kasprzyk Maciej Gajewski

2 Status prac w czasie poprzedniej Konferencji SEMAFOR (VI Forum Bezpieczeństwa i Audytu)

3 Etap 0 - angielski Etap 0 ISSA UK 12 zasad BI dla MSP Wytyczne zabezpieczeń informacji dla MSP 3

4 Etap 1 ISSA Polska Mikro Małe Średnie Klasyfikacja działań - matryca Kat. Opis typu informacji I II III dane wspierające działania człowieka lub organizacji dane stanowiące podstawę działalności człowieka lub organizacji i niepodlegające osobnym regulacjom prawnym dane podlegające osobnym regulacjom: osobowe, stanu cywilnego, ubezpieczeniowe, finansowe, wymiaru sprawiedliwości, medyczne Intensywność działań IV dane wojska, policji i innych służb Wytyczne zabezpieczeń informacji dla MSP 4

5 Etap 1 ISSA Polska Wniosek etapu 1 Podział organizacji na Mikro, Małe i Średnie w kontekście całościowej działalności organizacji zamieniliśmy na podział działań organizacji na Mikro, Małe i Średnie w kontekście wycinkowej działalności organizacji Zatem: Skrót MSP nie oznacza: Małe i Średnie Przedsiębiorstwa Ale skrót MSP oznacza: Małe i Średnie Przetwarzanie Wytyczne zabezpieczeń informacji dla MSP 5

6 Etap 1 ISSA Polska Kto chroni informacje? Dla każdego obszaru podzieliliśmy zabezpieczenia według kategorii osób odpowiedzialnych: Właściciela, Administratora, Użytkownika Zalecenia dla zwykłego użytkownika powinny być przestrzegane w równym (lub w większym) stopniu przez administratora i właściciela. Wytyczne zabezpieczeń informacji dla MSP 6

7 Etap 1 ISSA Polska Wniosek etapu 1 Wytyczne dla użytkownika nie są wystarczające aby zapewnić bezpieczeństwo informacji. Dopiero zestaw wytycznych dla Właściciela i Administratora i Użytkownika ma wszelkie szanse okazać się kompletnym i zapewnić odpowiedni poziom bezpieczeństwa informacji. Wytyczne zabezpieczeń informacji dla MSP 7

8 Przedstawienie wyników prac po poprzedniej Konferencji SEMAFOR (VI Forum Bezpieczeństwa i Audytu)

9 Działania 1. Burza mózgów wyłania listę zabezpieczeń. 2. Praca z normą ISO/IEC pozwala sprawdzić kompletność listy 3. Próba analizy Critical Controls for Effective Cyber Defense (CAG 4) 4. Mapowanie do 12 zasad BI dla MSP z Etapu 0

10 Etap 2 ISSA Polska Przykładowe rekomendacje uzyskane na podstawie CAG 4 Stosuj białe listy w zakresie stosowanego oprogramowania (również dla telefonów) Sprawdzaj co jest zainstalowane (na komputerach, na telefonach) Zarządzaj sieciami bezprzewodowymi Utrzymuj standard konfiguracji -> Wymieniaj całość sprzętu raz na 3 (?) lata 10

11 Etap 2 ISSA Polska Zmiany grupowania zasad bezpieczeństwa 3. Zarządzany System Bezpieczeństwa 3.1 Polityki i Procedury 3.2 System zarządzania 3.3 Technologia bezpieczeństwa 2.4 Nadzór nad bezpieczeństwem 2. Zdefiniowane wymogi bezpieczeństwa 1.4 Podstawowe zabezpieczenia 2.1 Odpowiedzial - ność 2.3 Plan Przetrwania 3.4 Edukacja bezpieczeństwa 1. Podstawowe środki bezpieczeństwa 1.1 Zaangażowanie właściciela / zarządu 1.2 Zrozumienie wymogów 1.3 Zrozumienie Ryzyka związanego z BI 2.1 Zasady bezpieczeństwa ISSA-UK

12 Etap 2 ISSA Polska Podstawowe środki bezpieczeństwa Zrozumienie wymogów Zrozumienie ryzyka związanego z bezpieczeństwem informacji Zaangażowanie właściciela / zarządu Zasady bezpieczeństwa informacji A.07.1 Działania przed zatrudnieniem A.08.1 Odpowiedzialność za aktywa A.06.1 Organizacja wewnętrzna A.06.1 Organizacja wewnętrzna A.07.2 Działania w czasie zatrudnienia Zgodność z wymogami prawnymi A.18.1 A.08.1 Odpowiedzialność za aktywa i kontraktowymi A.08.1 Odpowiedzialność za aktywa A.08.1 Odpowiedzialność za aktywa A.08.2 Klasyfikacja informacji A.08.3 Obsługa nośników Wymagania organizacji dotyczące A.12.2 Ochrona przed malware A.08.3 Obsługa nośników A.09.1 kontroli dostępów Zarządzanie słabościami A.12.6 technicznymi Zarządzanie incydentami BI i A.16.1 udoskonaleniami Zgodność z wymogami prawnymi A.18.1 i kontraktowymi A.12.3 Kopie zapasowe Bezpieczeństwo informacji w A.15.1 relacjach z dostawcami Zarządzanie incydentami BI i A.16.1 udoskonaleniami Zarządzanie dostępem A.09.2 użytkowników A.09.3 Odpowiedzialność użytkownika Kontrola dostępów do systemu i A.09.4 aplikacji Zgodność z wymogami prawnymi A.18.1 A.10.1 Zabezpieczenia kryptograficzne i kontraktowymi A.11.2 Sprzęt A.12.2 Ochrona przed malware A.12.3 Kopie zapasowe Zarządzanie incydentami BI i A.16.1 udoskonaleniami Zgodność z wymogami prawnymi A.18.1 i kontraktowymi

13 Etap 2 ISSA Polska Zdefiniowane wymogi bezpieczeństwa Podstawowe zabezpieczenia Odpowiedzialność Plan przetrwania Edukacja bezpieczeństwa informacji A.06.1 Organizacja wewnętrzna Procedury eksploatacyjne i A.12.1 odpowiedzialność A.12.3 Kopie zapasowe A.08.1 Odpowiedzialność za aktywa A.12.3 Kopie zapasowe Zarządzanie incydentami BI i A.16.1 udoskonaleniami A.08.3 Obsługa nośników Zabezpieczenie oprogramowania A.12.5 systemowego Zarządzanie dostępem A.09.2 użytkowników A.09.3 Odpowiedzialność użytkownika Kontrola dostępów do systemu i A.09.4 aplikacji Kierunek nadany przez A.05.1 kierownictwa dla bezpieczeństwa informacji A.06.1 Organizacja wewnętrzna A.07.2 Działania w czasie zatrudnienia A.08.1 Odpowiedzialność za aktywa Zarządzanie incydentami BI i A.16.1 udoskonaleniami A.10.1 Zabezpieczenia kryptograficzne Procedury eksploatacyjne i A.12.1 odpowiedzialność A.12.2 Ochrona przed malware A.12.3 Kopie zapasowe Zabezpieczenie oprogramowania A.12.5 systemowego Zarządzanie słabościami A.12.6 technicznymi Zgodność z wymogami prawnymi A.18.1 i kontraktowymi

14 Etap 2 ISSA Polska Zarządzany system bezpieczeństwa Technologia bezpieczeństwa Nadzór nad bezpieczeństwem Polityki i procedury System zarządzania informacji informacji A.08.1 Odpowiedzialność za aktywa A.07.2 Działania w czasie zatrudnienia A.05.1 Kierunek nadany przez kierownictwa dla bezpieczeństwa informacji A.06.1 Organizacja wewnętrzna A.09.3 Odpowiedzialność użytkownika A.08.1 Odpowiedzialność za aktywa A.06.1 Organizacja wewnętrzna A.08.1 Odpowiedzialność za aktywa A.09.4 A.12.1 A.12.5 A.12.6 A.16.1 Kontrola dostępów do systemu i aplikacji Procedury eksploatacyjne i odpowiedzialność Zabezpieczenie oprogramowania systemowego Zarządzanie słabościami technicznymi Zarządzanie incydentami BI i udoskonaleniami A.09.2 Zarządzanie dostępem użytkowników A.08.1 Odpowiedzialność za aktywa A.09.2 Zarządzanie dostępem użytkowników A.12.3 Kopie zapasowe A.08.3 Obsługa nośników A.12.3 Kopie zapasowe A.16.1 Zarządzanie incydentami BI i udoskonaleniami A.09.2 Zarządzanie dostępem użytkowników A.09.3 Odpowiedzialność użytkownika A.09.4 Kontrola dostępów do systemu i aplikacji A.10.1 Zabezpieczenia kryptograficzne A.16.1 A.18.1 Zarządzanie incydentami BI i udoskonaleniami Zgodność z wymogami prawnymi i kontraktowymi A.12.2 Ochrona przed malware A.12.3 Kopie zapasowe A.16.1 Zarządzanie incydentami BI i udoskonaleniami

15 Etap 2 ISSA Polska 21 obszarów kontrolnych Nr A.05.1 A.06.1 A.07.1 A.07.2 A.08.1 A.08.2 A.08.3 A.09.1 A.09.2 A.09.3 A.09.4 A.10.1 A.11.2 A.12.1 A.12.2 A.12.3 A.12.5 A.12.6 A.15.1 A.16.1 A.18.1 Nazwa Kierunek nadany przez kierownictwa dla bezpieczeństwa informacji Organizacja wewnętrzna Działania przed zatrudnieniem Działania w czasie zatrudnienia Odpowiedzialność za aktywa Klasyfikacja informacji Obsługa nośników Wymagania organizacji dotyczące kontroli dostępów Zarządzanie dostępem użytkowników Odpowiedzialność użytkownika Kontrola dostępów do systemu i aplikacji Zabezpieczenia kryptograficzne Sprzęt Procedury eksploatacyjne i odpowiedzialność Ochrona przed malware Kopie zapasowe Zabezpieczenie oprogramowania systemowego Zarządzanie słabościami technicznymi Bezpieczeństwo informacji w relacjach z dostawcami Zarządzanie incydentami BI i udoskonaleniami Zgodność z wymogami prawnymi i kontraktowymi W naszych rekomendacjach znalazło się tylko 21 obszarów kontrolnych ISO/IEC (z 34 obszarów)

16 Etap 2 ISSA Polska 38 zabezpieczeń Nr A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A A Tekst Polityki BI Kontakt z grupami zainteresowania BI Screening Regulamin zatrudnienia Odpowiedzialność kierownictwa Świadomość, edukacja i szkolenia BI Inwentarz aktywów Akceptowalne użycie aktywów Zwrot aktywów Oznaczanie informacji Zarządzanie nośnikami Wycofywanie nośników Polityka kontroli dostępów Rejestrowanie i wyrejestrowanie użytkowników Przydzielanie dostępów użytkownikom Zarządzanie uprzywilejowanymi prawami dostępów Zarządzanie poufnymi informacjami uwierzytelniającymi użytkowników Przegląd praw dostępu użytkowników Użycie poufnych informacji uwierzytelniających Ograniczenia w dostępie do informacji Procedury bezpiecznego logowania się System zarządzanie hasłami Użycie programów uprzywilejowanych Polityka użycia zabezpieczeń kryptograficznych Bezpieczeństwo sprzętu i aktywów poza siedzibą Bezpieczne zbywanie albo przekazywanie do ponownego użycia Polityka czystego biurka i ekranu Zarządzanie zmianą Zabezpieczenie przed malware Backup informacji Instalowanie oprogramowania w systemie operacyjnym Ograniczenie instalowania oprogramowania Uwzględnienie bezpieczeństwa w Umowach z dostawcami Raportowanie zdarzeń związanych z BI Raportowanie o słabościach BI Ocena zdarzeń związanych z BI i decyzja Uczenie się z incydentów BI Prawa własności intelektualnej W naszych rekomendacjach znalazło się tylko 38 zabezpieczeń ISO/IEC (z 114)

17 Etap 2 ISSA Polska # e W A U Przykład 1 Zaangażowanie właściciela 1.1 Rekomendacje dla Właściciela Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy Zadbaj o własność intelektualną (trwałość dorobku) innych firm Podpisz umowę o zachowaniu poufności z pracownikiem Znajdź dobrego trenera może to być ktoś z pracowników albo ty sam. Ale najlepiej jednak zdaj się na specjalistów. Bardzo cenne są warsztaty lub scenki sytuacyjne pokazujące skutki pewnych zachować o których na co dzień nikt nie myśli. Przykładowe linki: (Clico) Powtarzaj cyklicznie szkolenia (nawet w formie przypominających quizów, albo Zabezpieczenie ISO/EIC 27001:2013 Tekst A Inwentarz aktywów Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy A Prawa własności intelektualnej Zadbaj o własność intelektualną (trwałość dorobku) innych firm A Screening Podpisz umowę o zachowaniu poufności z pracownikiem A Regulamin zatrudnienia Podpisz umowę o zachowaniu poufności z pracownikiem A Odpowiedzialność kierownictwa Podpisz umowę o zachowaniu poufności z pracownikiem A Świadomość, edukacja i szkolenia BI Podpisz umowę o zachowaniu poufności z pracownikiem Określ parametry bezpieczenej konfiguracji urządzeń (np. czas nieaktywności po A Akceptowalne użycie aktywów którym wymagane jest użycie hasła) lub procesów (np. częstotliwość backupów) Ograniczenie zabawnych instalowania historyjek) A Określ kto może instalować oprogramowanie oprogramowania Znajdź dobrego trenera może to być ktoś z pracowników albo ty sam. Ale najlepiej jednak zdaj się na specjalistów. Bardzo cenne są warsztaty lub scenki sytuacyjne A Świadomość, edukacja i szkolenia BI Bądź dobrym wzorcem pokazujące dla pracowników skutki pewnych - zachować sam stosuj o których się na do co dzień zasad nikt nie myśli. Przykładowe linki: (Clico) Nowi pracownicy powinni być przeszkoleni i od samego początku uwrażliwieni na Powtarzaj cyklicznie szkolenia (nawet w formie przypominających quizów, albo A Świadomość, edukacja i szkolenia BI zabawnych historyjek) A Świadomość, edukacja i szkolenia BI Podkreślaj w codziennych sytuacjach istotność dbania o bezpieczeństwo informacji Podkreślaj w codziennych sytuacjach istotność dbania o bezpieczeństwo informacji istotność bezpieczeństwa informacji, powinni poznać zasady panujące w organizacji, do czego mają prawo i co jest zabronione. Nawet najmniejsza organizacja powinna mieć zaplanowane podejście do tego w jaki sposób postępuje w przypadku zdarzeń. W szczególnym przypadku może to być oczywiście : nic nie robię, ale powinna to być decyzja świadoma konsekwencji i przemyślana. Na drugim biegunie jest rozbudowana organizacja i zespół ludzi zajmujący się gromadzeniem, oceną, analizą i reagowaniem na incydenty Wymieniaj sprzęt na nowszy (co za tym idzie system operacyjny) oraz oprogramowanie w miarę możliwości regularnie bo tendencja dotychczasowa wskazuje, że nowsze wersje zwykle są bezpieczniejsze. A Świadomość, edukacja i szkolenia BI Bądź dobrym wzorcem dla pracowników - sam stosuj się do zasad A Świadomość, edukacja i szkolenia BI A Raportowanie zdarzeń związanych z BI A Zabezpieczenie przed malware Nowi pracownicy powinni być przeszkoleni i od samego początku uwrażliwieni na istotność bezpieczeństwa informacji, powinni poznać zasady panujące w organizacji, do czego mają prawo i co jest zabronione. Nawet najmniejsza organizacja powinna mieć zaplanowane podejście do tego w jaki sposób postępuje w przypadku zdarzeń. W szczególnym przypadku może to być oczywiście : nic nie robię, ale powinna to być decyzja świadoma konsekwencji i przemyślana. Na drugim biegunie jest rozbudowana organizacja i zespół ludzi zajmujący się gromadzeniem, oceną, analizą i reagowaniem na incydenty wymieniaj sprzęt na nowszy (co za tym idzie system operacyjny) oraz oprogramowanie w miarę możliwości regularnie bo tendencja dotychczasowa wskazuje, że nowsze wersje zwykle są bezpieczniejsze.

18 Etap 2 ISSA Polska Przykład 2 Zrozumienie wymogów 1.2 # Zabezpieczenie ISO/EIC Zabezpiec 27001:2013 zenie A A Inwentarz aktywów Inwentarz aktywów Tekst W A U Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). A Inwentarz aktywów Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy A Prawa własności intelektualnej Zadbaj o własność intelektualną (trwałość dorobku) innych firm Rekomendacje dla Właściciela Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy

19 Etap 2 ISSA Polska W A U A A A A Przykład 3 Zasady bezpieczeństwa (2.1) Zarządzanie dostępem użytkowników A.09.2 # Zabezpieczenie ISO/EIC 27001:2013 Tekst Rejestrowanie i wyrejestrowanie użytkowników Przydzielanie dostępów użytkownikom Zarządzanie uprzywilejowanymi prawami dostępów Rekomendacje dla Właściciela Zarządzanie poufnymi informacjami uwierzytelniającymi użytkowników Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia do informacji, które są minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia do informacji, które są minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia takie do informacji, uprawnienia które są minimalnymi dla do informacji, które są wykonywania danej czynności i pełnienia danej roli. Zawsze powinno się nadawać użytkownikom tylko takie uprawnienia do informacji, które są minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Zarządzanie uprzywilejowanymi prawami Regularnie przeglądaj kto ma dostęp do informacji za które odpowiadasz. Zarządzaj i ogranicz dostępy A dostępów administratorskie. Jeśli łączysz się z organizacją poprzez Zarządzanie poufnymi informacjami Regularnie przeglądaj kto ma dostęp do informacji za które odpowiadasz. Zarządzaj i ogranicz dostępy A uwierzytelniającymi użytkowników Internet rozważ możliwość administratorskie. które odpowiadasz. Zarządzaj i ogranicz dostępy Regularnie przeglądaj kto ma dostęp do informacji za które odpowiadasz. Zarządzaj i ogranicz dostępy A Przegląd praw dostępu użytkowników administratorskie. dwuskładnikowego uwierzytelnienia A Rejestrowanie i wyrejestrowanie użytkowników Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, zmienić klucze zamka drzwi, szafy itp.) Jeśli ktoś przestaje pełnić daną role, lub opuszcza Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba Zarządzanie uprzywilejowanymi prawami A nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, dostępów zmienić klucze zamka drzwi, szafy itp.) Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba Zarządzanie poufnymi informacjami A nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, Rekomendacje uwierzytelniającymi użytkowników dla Użytkownika zmienić klucze zamka drzwi, szafy itp.) nie będzie potrzebować (usunąć konto w systemie, Jeśli ktoś przestaje pełnić daną role, lub opuszcza dane stanowisko pracy powinno się zadbać o to, aby ta osoba A Przegląd praw dostępu użytkowników nie miała dostępu do informacji których nie będzie potrzebować (usunąć konto w systemie, zmienić hasło, zmienić klucze zamka drzwi, szafy itp.) Używaj haseł, które trudno odgadnąć, które Zarządzanie poufnymi informacjami Używaj haseł, które trudno odgadnąć, które nie występują w słowniku i są odpowiednio długie np. dłuższe niż 12 nie występują A uwierzytelniającymi w słowniku użytkowników znaków. i są odpowiednio długie np. dłuższe niż 12 znaków. A Przydzielanie dostępów użytkownikom Nie udzielaj dostępu do informacji komuś kto jej naprawdę nie potrzebuje. Rejestrowanie i wyrejestrowanie Nie udostępniaj aplikacji, dostępu do informacji w SI dla użytkowników bez wcześniejszego sprawdzenia ich Sprawdź A jakie parametry prywatności możesz użytkowników tożsamości (każdy użytkownik ma indywidualne konto i hasło) sam zdefiniować, Zarządzanie poufnymi naucz informacjami się to robić i zrób to A uwierzytelniającymi użytkowników świadomie A Jeśli łączysz się z organizacją poprzez Internet rozważ możliwość dwuskładnikowego uwierzytelnienia Zarządzanie uprzywilejowanymi prawami Konta administratorskiego używaj tylko w przypadku uzasadnionej potrzeby, na co dzień używaj konta zwykłego dostępów użytkownika. Ogranicz dostęp do Twojego profilu Rekomendacje dla Administratora A Przydzielanie dostępów użytkownikom Sprawdź jakie parametry prywatności możesz sam zdefiniować, naucz się to robić i zrób to świadomie A Przydzielanie dostępów użytkownikom Ogranicz dostęp do Twojego profilu Zawsze powinno się nadawać użytkownikom tylko minimalnymi dla wykonywania danej czynności i pełnienia danej roli. Regularnie przeglądaj kto ma dostęp do informacji za administratorskie. dane stanowisko pracy powinno się zadbać o to, aby ta osoba nie miała dostępu do informacji których zmienić hasło, zmienić klucze zamka drzwi, szafy itp.) Nie udzielaj dostępu do informacji komuś kto jej naprawdę nie potrzebuje. Nie udostępniaj aplikacji, dostępu do informacji w SI dla użytkowników bez wcześniejszego sprawdzenia ich tożsamości (każdy użytkownik ma indywidualne konto i hasło) Jeśli łączysz się z organizacją poprzez Internet rozważ możliwość dwuskładnikowego uwierzytelnienia Konta administratorskiego używaj tylko w przypadku uzasadnionej potrzeby, na co dzień używaj konta zwykłego użytkownika.

20 Etap 2 ISSA Polska Przykład 4 Podstawowe zabezpieczenia (1.4) Akceptowalne użycie aktywów (A.08.1) W A U # A Zabezpieczenie ISO/EIC 27001:2013 Tekst Inwentarz aktywów Rekomendacje dla A Właściciela Inwentarz aktywów Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). Żeby chronić musisz formalnie zadecydować co powinno być chronione (PROTECT WHAT MATTERS) Zrób burzę mózgów, przeglądnij wszystko co dla Twojej firmy jest najcenniejsze i wymaga ochrony (informacje, usługi, urządzenia): -przed ujawnieniem (np. dane osobowe twoich pracowników, warunki kontraktów z twoimi klientami i dostawcami), -przed zmianą (np. ceny w twoim sklepie internetowym) - przed zniszczeniem/unieruchomieniem (np. twój sklep internetowy, twój komputer). Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy Wyobraź sobie sytuację kiedy tracisz swój telefon co jest na nim dla Ciebie najważniejsze, czy masz na nim jakieś unikalne informacje których nie ma gdzieś indziej, co się stanie kiedy ktoś będzie próbował wykorzystać dane na Twoim telefonie, w twojej skrzynce pocztowej, albo wykorzystać Twoje konto pocztowe w sposób nieuprawniony (np. wysłać maila w Twoim imieniu) lub inne konta do których Twój telefon ma dostęp (facebook, linkedin itp.) Rozważ uruchomienie aplikacji która po kradzieży usunie dane z pamięci telefonu Zadbaj o bezpieczeństwo fizyczne (instalacja alarmowa, zamki, bezpieczne przechowywanie nośników, kopii zapasowych, serwerów) określ parametry bezpieczenej konfiguracji urządzeń Określ czy pracownicy mogą korzystać z komunikatorów. Jeśli im na to pozwalasz to określ czy mogą wypowiadać się na tematy związane z firmą A Inwentarz aktywów Zadbaj o własność intelektualną (trwałość dorobku) twojej firmy Należy chronić przed kradzieżą wszystkie przedmioty, które przetwarzają informacje np.: Rekomendacje dla Administratora Następujące przedmioty należy chronić przed kradzieżą: pendrivy Po zakupie telefonu zachowaj jego numer IMEI; w telefony Akceptowalne użycie modemy przypadku kradzieży wymaga go policja. Dopiero na A aktywów przenośne dyski komputery tablety wydruki z drukarek korespondencję od klientów, z banków, od kontrahentów, Zmień hasła inne dostępu do sieci/systemów/aplikacji w dokumenty papierowe itp Wyobraź sobie sytuację kiedy tracisz swój telefon co jest na nim A dla Ciebie najważniejsze, czy masz na nim jakieś unikalne informacje utraconym komputerze/tablecie/telefonie których nie ma gdzieś indziej, co się stanie kiedy ktoś będzie Akceptowalne użycie próbował wykorzystać dane na Twoim telefonie, w twojej skrzynce aktywów Zainstaluj oprogramowania antywirusowe jeśli jest pocztowej, albo wykorzystać Twoje konto pocztowe w sposób nieuprawniony (np. wysłać maila w Twoim imieniu) dostępne lub inne konta na dane urządzenie do których Twój telefon ma dostęp (facebook, linkedin itp.) A Akceptowalne użycie Szyfruj dane na komputerach i nośnikach szczególnie te wrażliwe; aktywów możesz skorzystać z darmowego oprogramowania, A Akceptowalne użycie aktywów Ogranicz wykonywania wydruków A Akceptowalne użycie aktywów Niszcz dokumenty papierowych w niszczarkach Akceptowalne użycie A Stosuj politykę pustego biurka szczególnie po zakończeniu pracy aktywów Usun konfigurację uwierzytelnianie do sieci, kont Akceptowalne użycie Utrudnij życie złodziejowi - ustaw hasło do uruchamiania A aktywów komputera A Po zakupie telefonu zachowaj jego numer IMEI; w przypadku Akceptowalne użycie kradzieży wymaga go policja. Dopiero na podstawie pozbywasz protokołu aktywów kradzieży można zablokować telefon u operatora. Akceptowalne użycie Zapoznaj się z funkcjami jakie udostępnia dany model telefonu i A aktywów aktywuj je ( np. w obszarze ochrony antykradzieżowej) z publicznie dostępnego komputera Akceptowalne użycie Rozważ uruchomienie aplikacji która po kradzieży usunie dane z A aktywów pamięci telefonu A Zadbaj o bezpieczeństwo fizyczne (instalacja alarmowa, zamki, Akceptowalne użycie bezpieczne przechowywanie nośników, kopii zapasowych, aktywów serwerów) Nie pozostawiaj sprzętu bez opieki (np.cw samochodzie, w środkach A z zewnątrz) Akceptowalne użycie komunikacji (pociąg) i innych miejscach publicznych, w biurze w aktywów przypadku gdy do pomieszczeń mają dostęp osoby nieupoważnione, A A A Akceptowalne użycie aktywów Akceptowalne użycie aktywów Akceptowalne użycie Zmień hasła dostępu do wszystkich portali i usług dla których dane uwierzytelniające znajdowały się w Twoim komputerze/telefonie/ tablecie (konto pocztowe, portale społecznościowe itp.) Zmień hasła dostępu do sieci/systemów/aplikacji w organizacji jeśli dane uwierzytelniające znajdowały się na utraconym komputerze/tablecie/telefonie Jeśli masz taką możliwość uruchom zdalne usuwanie danych z podstawie protokołu kradzieży można zablokować telefon u operatora. organizacji jeśli dane uwierzytelniające znajdowały się na określ parametry bezpieczenej konfiguracji urządzeń Usuń wszystkie dane z urządzenia przed przekazaniem o innej osobie (szczególnie poza organizację). Jeśli nie jesteś pewnien czy usunąłeś wszystko zapytaj fachowca mailowych, bankowych i innych z urządzenia którego się Zmień hasło dostępu do systemu do którego logowałeś się

21 Etap 2 ISSA Polska Przykład 4 Podstawowe zabezpieczenia (1.4) Akceptowalne użycie aktywów (A.08.1) Rekomendacje dla Użytkownika Należy chronić przed kradzieżą wszystkie przedmioty, które przetwarzają informacje np.: pendrivy, telefony, modemy, przenośne dyski, komputery, tablety wydruki z drukarek, korespondencję od klientów, z banków, od kontrahentów, inne dokumenty papierowe itp. Wyobraź sobie sytuację kiedy tracisz swój telefon co jest na nim dla Ciebie najważniejsze, czy masz na nim jakieś unikalne informacje których nie ma gdzieś indziej, co się stanie kiedy ktoś będzie próbował wykorzystać dane na Twoim telefonie, w twojej skrzynce pocztowej, albo wykorzystać Twoje konto pocztowe w sposób nieuprawniony (np. wysłać maila w Twoim imieniu) lub inne konta do których Twój telefon ma dostęp (facebook, linkedin itp.) Szyfruj dane na komputerach i nośnikach szczególnie te wrażliwe; możesz skorzystać z darmowego oprogramowania, Ogranicz wykonywania wydruków Niszcz dokumenty papierowych w niszczarkach Stosuj politykę pustego biurka szczególnie po zakończeniu pracy Utrudnij życie złodziejowi - ustaw hasło do uruchamiania komputera Zapoznaj się z funkcjami jakie udostępnia dany model telefonu i aktywuj je ( np. w obszarze ochrony antykradzieżowej) Nie pozostawiaj sprzętu bez opieki (np.cw samochodzie, w środkach komunikacji (pociąg) i innych miejscach publicznych, w biurze w przypadku gdy do pomieszczeń mają dostęp osoby nieupoważnione, z zewnątrz) Zmień hasła dostępu do wszystkich portali i usług dla których dane uwierzytelniające znajdowały się w utraconym komputerze/telefonie/ tablecie (konto pocztowe, portale społecznościowe itp.) Jeśli masz taką możliwość uruchom zdalne usuwanie danych z telefonu ustaw hasło wymagane do uruchomienia urządzenia lub wzbudzenia go po okresie bezczynności Skonfiguruj blokowanie się komputera po pewnym czasie nieużywania Skonfiguruj blokowanie się telefonu po pewnym czasie nieużywania Zainstaluj oprogramowania antywirusowe jeśli jest dostępne na dane urządzenie Kiedy instalujesz nową aplikację na telefonie/ tablecie (lub aktualizację już istniejącej) uważnie przeczytaj jakich uprawnień wymaga dana aplikacja i upewnij się czy rzeczywiście jej funkjcjonalność wymaga takich uprawnień (np. aplikacji typu kalkulator nie powinny być potrzebne uprawnienia do nawiązywania połączeń lub modyfikacji książki telefonicznej telefonu) Szyfruj wrażliwe dane przechowywane na urządzeniu Szyfruj komunikację kiedy przesyłasz ważne informacje (poczta, załączniki) Podczas synchronizacji danych do/z urządzenia - włącz szyfrowanie jeśli jest taka opcja dostępna Bądź ostrożny podczas podłączanie się do publicznie dostępnych sieci bezprzewodowych, unikaj transmisji poufnych danych podczas takiego połączenia Wyłącz komunikację bezprzewodową jeśli nie jest w danym momencie używana Wyłącz usługi lokalizacji (GPRS) jeśli nie wymagają jej aktualnie wykorzystyane aplikacje Nie ściągaj aplikacji z nieznanych źródeł, nie uruchamiaj łączy do stron których pochodzenia nie znasz Nie instaluj i nie uruchamiaj aplikacji, której źródła i działania nie znasz Nie włączaj jednocześnie karty sieciowej LAN i karty bezprzewodowej. Jeśli jesteś jednocześnie podłączony do dwóch różnych sieci Twój komputer może być użyty do włamania się pomiędzy nimi. należy korzystać z niszczarki do dokumentów i niszczarki do nośników (np. płyt cd) nie należy kopiować wrażliwych danych na nieszyfrowane pendrivy, płyty CD nie należy wysyłać takich informacji prywatną pocztą elektroniczną, nie należy przechowywać w/w informacji na prywatnych komputerach Jako pracownik upewnij się, czy można korzystać z komunikatorów w organizacji jeśli tak jakich Unikaj korzystania z publicznie dostępnych komputerów Zmień hasło dostępu do systemu do którego logowałeś się z publicznie dostępnego komputera

22 Zachowania higieniczne Nie wymagają dodatkowych nakładów finansowych Nie wymagają dodatkowych technologii Proste do realizacji Prosta profilaktyka Obowiązują każdego użytkownika Powinny stać się nawykiem, o którym się nie myśli tylko go realizuje Nie dają gwarancji 100% skuteczności Część z nich może chronić Twoją własną prywatność 22

23 Zachowania higieniczne Obszary: Zarządzanie Hasłami Szyfrowanie Identyfikacja Separacja Szukaj Pomocy Instancje informacji Narzędzia 23

24 Zachowania higieniczne Zarządzanie Hasłami Utrudnij życie złodziejowi - ustaw hasło do uruchamiania komputera Zmień hasła dostępu do wszystkich portali i usług dla których dane uwierzytelniające znajdowały się w utraconym komputerze/telefonie/ tablecie (konto pocztowe, portale społecznościowe itp.) Ustaw hasło wymagane do uruchomienia urządzenia lub wzbudzenia go po okresie bezczynności Używaj haseł, które trudno odgadnąć, które nie występują w słowniku i są odpowiednio długie np. dłuższe niż 12 znaków. Stosuj raczej dłuższe (> 12) niż skomplikowane hasła dostępu do Twoich kont Załóż, że hasło przechowywane w systemie informatycznym nie jest dostatecznie zabezpieczone (być może nawet pisane otwartym tekstem), więc używaj różnych haseł do różnych systemów Zmień hasło dostępu do systemu do którego logowałeś się z publicznie dostępnego komputera 24

25 Zachowania higieniczne Szyfrowanie Szyfruj dane na komputerach i nośnikach szczególnie te wrażliwe; możesz skorzystać z darmowego oprogramowania Szyfruj wrażliwe dane przechowywane na urządzeniu Szyfruj komunikację kiedy przesyłasz ważne informacje (poczta, załączniki) Podczas synchronizacji danych do/z urządzenia - włącz szyfrowanie jeśli jest taka opcja dostępna Nie wysyłaj wrażliwych danych bez uprzedniego szyfrowania 25

26 Zachowania higieniczne Identyfikacja Nie ściągaj aplikacji z nieznanych źródeł Nie instaluj i nie uruchamiaj aplikacji, której źródła i działania nie znasz Nie udzielaj informacji komuś, kto jej naprawdę nie potrzebuje Nie odwiedzaj podejrzanych stron internetowych Nie otwieraj i nie przekazuj dalej załączników maili od nieznanych nadawców, otwieraj te załączniki, których potrzebujesz do wykonania pracy Nie uruchamiaj linków w mailach od nieznanych nadawców, uruchamiaj tylko te linki, których potrzebujesz do wykonania pracy Nie odpowiadaj na maile od nieznanych nadawców Nie akceptuj nieznanych kontaktów Chroń się przed phishingiem:- Nie klikaj na linki przesłane z niezaufanych źródeł- Otwieraj załączniki z dużą ostrożnością, nie otwieraj załączników z rozszerzeniami:.ee,.bat,.vbs Każdorazowo identyfikuj osobę której udzielasz informacji (zwłaszcza telefonicznie lub osobę, którą pierwszy raz widzisz) 26

27 Zachowania higieniczne Szukanie pomocy Pracownicy powinni zgłaszać wszystkie zauważone słabości i nieprawidłowości: Wyłączony firewall na komputerze Wyłączony program antywirusowy na komputerze Wszelkiego rodzaju nietypowe zachowanie komputera i telefonu (np. program działa dłużej niż zwykle, nagle zabrakło pamięci lub miejsca na dysku, pojawiły się nowe aplikacje lub pliki, nagłe restarty komputera itp.) Komunikaty błędów świadczące np. o tym że nie wykonały się prawidłowe kopie zapasowe danych, informacje świadczące o niewłaściwym certyfikacie przy szyfrowanym połączeniu, informacje o błędach aplikacji i systemów Nieznane osoby poruszające się bez nadzoru na terenie siedziby Nie bój się zgłaszać zdarzeń związanych z bezpieczeństwem 27

28 Zachowania higieniczne Separacja Używaj osobnych kont pocztowych do celów prywatnych, do celów służbowych oraz do identyfikacji w serwisach społecznościowych Unikaj korzystania z publicznie dostępnych komputerów Zmień hasło dostępu do systemu do którego logowałeś się z publicznie dostępnego komputera Nie informuj o sprawach organizacji na portalu społecznościowym Nie wykorzystuj służbowego maila do prywatnych celów Do działań w internetowych serwisach bankowych używaj oddzielnego środowiska przetwarzania. 28

29 Zachowania higieniczne Instancje informacji Ogranicz wykonywania wydruków Stosuj politykę czystego biurka szczególnie po zakończeniu pracy Wykonuj regularnie kopie zapasowe danych znajdujących się na komputerach przenośnych, tabletach, telefonach. Wykonuj regularnie kopie zapasowe dokumentów, kontaktów telefonicznych do kontrahentów Nie pozostawiaj sprzętu bez opieki (np. w samochodzie, w środkach komunikacji (pociąg) i innych miejscach publicznych, w biurze w przypadku gdy do pomieszczeń mają dostęp osoby nieupoważnione, z zewnątrz) Należy korzystać z niszczarki do dokumentów i niszczarki do nośników (np. płyt cd) Nie należy wynosić z biura dokumentów, które zawierają informacje wrażliwe, Nie należy wysyłać firmowych informacji prywatną pocztą elektroniczną, Nie należy przechowywać firmowych informacji na prywatnych komputerach Nie wyrzucaj sprzętu komputerowego, telefonów po prostu do śmietnika. Zapytaj w jaki sposób Twoja organizacja pozbywa się niepotrzebnego sprzętu. Przekaż go do bezpiecznego zniszczenia. Sprawdź jakie parametry prywatności profili społecznościowych możesz sam zdefiniować, naucz się to robić i zrób to świadomie Ogranicz dostęp do Twojego profilu społecznościowego Nie pozwalaj na publikowanie informacji, których nie chcesz publikować Nie podawaj danych osobowych, adresu, numeru telefonu Nikomu nie ufaj bo nigdy do końca nie wiesz kto będzie miał dostęp do twoich informacji i co z nimi zrobi Bądź ostrożny podczas podłączanie się do publicznie dostępnych sieci bezprzewodowych, unikaj transmisji poufnych danych podczas takiego połączenia W miejscach publicznych korzystaj z komputera, tabletu w taki sposób aby ekran urządzenia nie był narażony na "podglądanie" przez osoby postronne 29

30 Zachowania higieniczne Narzędzia Zapoznaj się z funkcjami, jakie udostępnia dany model telefonu i aktywuj je ( np. w obszarze ochrony antykradzieżowej) Zainstaluj oprogramowania antywirusowe, jeśli jest dostępne na dane urządzenie Kiedy instalujesz nową aplikację na telefonie/ tablecie (lub aktualizację już istniejącej) uważnie przeczytaj jakich uprawnień wymaga dana aplikacja i upewnij się czy rzeczywiście jej funkcjonalność wymaga takich uprawnień (np. aplikacji typu kalkulator nie powinny być potrzebne uprawnienia do nawiązywania połączeń lub modyfikacji książki telefonicznej telefonu) Wyłącz komunikację bezprzewodową, jeśli nie jest w danym momencie używana Wyłącz usługi lokalizacji (GPRS), jeśli nie wymagają jej aktualnie wykorzystywane aplikacje Nie instaluj samowolnie oprogramowania z nieznanych źródeł, potwierdź źródło pochodzenia oprogramowania które chcesz zainstalować Nie informuj o konfiguracji komputera 30

31 Etap 2 ISSA Polska Wnioski etapu 2 Zmiana priorytetów i grupowania zasad bezpieczeństwa w stosunku do angielskiej wersji Opracowanie listy rekomendacji dla każdego z obszarów bezpieczeństwa Opracowanie listy zachowań higienicznych

32 Plany: Etap 3 ISSA Polska Etap 3 pracy będzie polegał na przygotowaniu krótkich dokumentów tematycznych lub na dokumentowaniu dyskusji dokumentów już istniejących. W realizacji tego etapu wykorzystane zostaną zalecenia dokumentu opracowanego przez instytut SANS Consensus Audit Guidelines (CAG, od wersji 5. także Top 20 Security Controls). 32

33