Bezpieczeństwo informacji. jak i co chronimy

Transkrypt

1 Bezpieczeństwo informacji jak i co chronimy Warszawa, 26 stycznia 2017

2 Bezpieczeństwo informacji Bezpieczeństwo stan, proces Szacowanie ryzyka Normy System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC 27001

3 Bezpieczeństwo informacji Big Data Do lat dziewięćdziesiątych XX w. ludzkość wytworzyła 1 zettabajt danych. Do 2020 r. stworzymy 32 zettabajty Luciano Floridi profesor filozofii i etyki informacji na Uniwersytecie w Oksfordzie (Doradca Google a w sporze o prawo bycia zapomnianym)

4 Bezpieczeństwo informacji Big Data "Obecnie aż 5 proc. globalnej produkcji energii elektrycznej jest pochłaniane przez takie centra IT, a wkrótce wzrośnie to do 7 proc." - informuje kierownik badań dr hab. Andrzej Stupakiewicz z Wydziału Fizyki UwB. Zwraca uwagę, że przy zapisie wydzielają się spore ilości ciepła - na tyle duże, że aby chronić dane, trzeba zużywać dodatkową energię na chłodzenie urządzeń. /PAP Nauka w Polsce/

5 Bezpieczeństwo informacji Wg PwC: udział wydatków na zabezpieczenia w budżecie IT wyniósł w 2015 r. 19% (w Polsce 10%) 91% firm na świecie przyjęło jakiekolwiek sformalizowane zasady bezpieczeństwa (w Polsce 46%) 5% polskich firm straciło łącznie min. 1 mln zł z powodu cyberataków w 2015 r. GW z r.

6 Bezpieczeństwo informacji Big Data? Bug data?

7 Bezpieczeństwo informacji Skąd wiemy, czy bezpieczeństwo informacji jest zapewnione przez naszego kontrahenta, podwykonawcę, itp.?

8 Bezpieczeństwo informacji Bezpieczeństwo informacji (2.19) to zachowanie poufności (2.9), integralności (2.25) i dostępności (2.7) informacji Dodatkowo można brać pod uwagę inne własności, takie jak: autentyczność (2.6), rozliczalność (2.2), niezaprzeczalność (2.27) niezawodność (2.33) (ISO/IEC 27000:2012)

9 Bezpieczeństwo informacji 2.3 aktywa wszystko, co ma wartość dla organizacji 2.18 aktywa informacyjne wiedza lub dane, które posiadają wartość dla organizacji (PN-ISO/IEC 27000:2012)

10 Bezpieczeństwo informacji 2.26 system zarządzania struktura polityk (2.28), procedur (2.30), wytycznych (2.16) i związanych zasobów służących do osiągnięcia celów organizacji (ISO/IEC 27000:2012)

11 Bezpieczeństwo informacji Bezpieczeństwo informacji Bezpieczeństwo informacji obejmuje trzy główne atrybuty: poufność, dostępność i integralność. Biorąc pod uwagę cel, jakim jest zapewnienie nieprzerwanego sukcesu i ciągłości biznesu oraz minimalizacja skutków, bezpieczeństwo informacji polega na zastosowaniu i zarządzaniu właściwymi środkami zabezpieczeń, co z kolei polega na rozpatrzeniu szerokiej gamy zagrożeń. (ISO/IEC 27000:2012)

12 Bezpieczeństwo informacji Bezpieczeństwo informacji (c.d.) Bezpieczeństwo informacji jest osiągalne poprzez wdrożenie właściwego zbioru zabezpieczeń, wyselekcjonowanych w trakcie wybranego procesu zarządzania ryzykiem i zarządzanego poprzez SZBI, włączając w to polityki, procesy, procedury, struktury organizacyjne, oprogramowanie i sprzęt do ochrony zidentyfikowanych aktywów informacyjnych. Te zabezpieczenia powinny być określone, wdrożone, monitorowane, przeglądane i doskonalone, tam gdzie jest to konieczne, w celu zapewnienia, że określone cele biznesowe i cele bezpieczeństwa organizacji zostaną osiągnięte (ISO/IEC 27000:2012)

13 Bezpieczeństwo informacji 2.23 system zarządzania bezpieczeństwem informacji SZBI część całościowego systemu zarządzania (2.26), oparta na podejściu wynikającym z ryzyka biznesowego, odnosząca się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji (2.19) (ISO/IEC 27000:2012)

14 Bezpieczeństwo informacji Kodeks pracy - art pkt 4 - każdy pracownik ma obowiązek zachowania tajemnicy pracodawcy z mocy prawa niezależnie od zapisów umowy o pracę, regulaminu pracy itd. Ustawa o zwalczaniu nieuczciwej konkurencji Kodeks karny - art

15 PN-I

16 Strategia bezpieczeństwa Jakie zasoby chronić? Identyfikacja zasobów krytycznych Przed jakimi zagrożeniami? Identyfikacja zagrożeń Jakie nakłady możemy ponieść na ochronę (czas, koszty finansowe, ) Zapewnienie zasobów finansowych, ludzkich, (oszacowanie ryzyka, analiza kosztów i zysków)

17 Szacowanie ryzyka Niezbędne dokumenty Katalog aktywów (w tym informacyjnych) Katalog podatności Katalog zagrożeń Katalog zabezpieczeń Katalog procesów No i oczywiście metodyka szacowania ryzyka PN-ISO/IEC 27005: (PN-ISO 31000:2012 Zarządzanie ryzykiem Zasady i wytyczne)

18 Szacowanie ryzyka Wybór zabezpieczeń zależy od decyzji organizacji opartych na kryteriach akceptowania ryzyka, wariantów postępowania z ryzykiem oraz od ogólnego podejścia do zarządzania ryzykiem wprowadzonego w organizacji. Zaleca się, aby uwzględniał on wszystkie odpowiednie krajowe i międzynarodowe przepisy prawne i regulacje. Wybór zabezpieczeń zależy również od sposobu, w jaki one współdziałają dla zapewnienia głębokiej ochrony. PN-ISO/IEC 27002:

19 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI Numer normy Tytuł Zawartość PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem Informacji. Wymagania. Prezentuje model oraz metodę ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia SZBI. PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. Zawiera wytyczne do zarządzania ryzykiem dotyczącym bezpieczeństwa informacyjnego. Stanowi rozwinięcie ogólnych koncepcji opisanych w PN- ISO/IEC

20 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI Numer normy Tytuł Zawartość PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Systemy zarządzania bezpieczeństwem Informacji. Wymagania. Przewodnik umożliwiający opracowanie skutecznego SZBI. Omawia cele stosowania zabezpieczeń oraz opisuje metody wdrażania zabezpieczeń na podstawie oszacowanego ryzyka. (133 zasady dot. BI) PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. Wymagania i wytyczne dla jednostek prowadzących audyt i certyfikację SZBI. Może być stosowana do celów audytu wewnętrznego SZBI. ISO/IEC Information technology Security techniques Information security management - Measurement Wytyczne dotyczące rozwoju i wykorzystywania środków pomiaru w celu oceny skuteczności wdrożenia SZBI

21 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI Numer normy Tytuł Zawartość PN-ISO/IEC Technika informatyczna. Techniki bezpieczeństwa. Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie. Dostarcza wytyczne w zakresie usług odtwarzania techniki teleinformatycznej po katastrofie. Obejmuje aspekty wdrożenia, testowania i realizacji odtwarzania po katastrofie. Nie obejmuje innych aspektów zarządzania ciągłością działania. (BS 25999, ISO 22301, Rekomendacja D GINB /UKNF/

22 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI Numer normy Tytuł Zawartość ISO/IEC 27018:2014 Information technology- Security techniques-code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processor. Dotyczy bezpieczeństwa danych osobowych w chmurze.

23 Inne normy warte uwagi przy budowie, wyborze data center/serwerowni, i in. PN-EN Technika informatyczna Wyposażenie i infrastruktura centrów przetwarzania danych PN-EN Urządzenia techniki informatycznej Bezpieczeństwo ISO/IEC TR Information technology-security techniques-information security incident management PN-ISO/IEC TR Technika informatyczna-techniki zabezpieczeń-struktura wykrywania włamań w systemach teleinformatycznych ISO/IEC TR (WD) Information technology-security techniques-security assessment of operational systems

24 Dlaczego SZBI? Trzy źródła wymagań związanych z bezpieczeństwem szacowanie ryzyka dotyczącego organizacji, z uwzględnieniem całościowej strategii biznesowej i celów organizacji. Dzięki szacowaniu ryzyka można zidentyfikować zagrożenia dla aktywów, ocenić podatność na zagrożenia i prawdopodobieństwo ich wystąpienia oraz estymować potencjalne skutki; przepisy prawne, regulacje, zobowiązania umowne, jakie organizacja, jej partnerzy handlowi, kontrahenci oraz dostawcy usług mają wypełnić, oraz środowisko społeczno-kulturowe, w jakim funkcjonują; zbiór zasad, celów i wymagań dotyczących przetwarzania informacji, które organizacja wypracowała dla wsparcia swojej działalności. PN-ISO/IEC 27002:

25 Dlaczego SZBI? Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

26 Kompleksowe podejście do bezpieczeństwa informacji Usługi Bezpieczeń stwo osobowe Bezpieczeństwo informatyczne Ludzie ISO Technologie Bezpieczeństwo prawne Bezpieczeństwo fizyczne Informacje

27 Wymagania PN-ISO/IEC 27001: Kontekst organizacji (pkt 4 normy) Zrozumienie organizacji i jej kontekstu ISO 31000:2009, rozdz, 5.3 Zrozumienie potrzeb i oczekiwań stron zainteresowanych Wymagania stron zainteresowanych (np. organ nadzorujący, KE) Określenie zakresu SZBI Udokumentowana informacja. System Zarządzania Bezpieczeństwem Informacji

28 Wymagania PN-ISO/IEC 27001: Przywództwo (pkt 5 normy) Zapewnienie dostępności zasobów potrzebnych w SZBI. Ustanowienie PBI Udokumentowanie celów lub ram do ustanowienia bezpieczeństwa informacji, zapewnienie ciągłego doskonalenia. Przydzielenie odpowiedzialności i uprawnień KSBI, IBSI, ABI, szef IT, szef administracji, pion bezpieczeństwa?

29 Wymagania PN-ISO/IEC 27001: Planowanie (pkt 6 normy) Szacowanie ryzyka Kryteria akceptacji, identyfikacja ryzyk, porównywalność Postępowanie z ryzykiem Wybór opcji postępowania z ryzykiem (unikanie, akceptacja, minimalizacja, transfer, itd ) - PPR Deklaracja Stosowania (Załącznik A) ISO 31000:2009

30 Wymagania PN-ISO/IEC 27001: Wsparcie (pkt 7 normy) Zapewnienie zasobów i kompetencji wykonujących czynności mogące mieć wpływ na b.i. Szkolenia, mentoring, wsparcie specjalistów z zewnątrz Uświadamianie Świadomość PBI, konsekwencji niezgodności z wymaganiami SZBI, Komunikacja Formaty dokumentów, wersjonowanie, zatwierdzenie, nadzór

31 Wymagania PN-ISO/IEC 27001: Działania operacyjne (pkt 8 normy) Planowanie i nadzorowanie procesów potrzebnych do spełnienia wymagań bezpieczeństwa informacji w oparciu o szacowanie ryzyka

32 Wymagania PN-ISO/IEC 27001: Ocena wyników i Doskonalenie (pkt 9 i 10 normy) Ocena wyników Monitoringi, audyt wewnętrzny, przegląd zarządzania (tak jak w normie PN-EN ISO 9001), pomiary skuteczności zabezpieczeń (ISO/IEC 27004) Doskonalenie Reagowanie na niezgodności, działania korygujące, ciągłe doskonalenie

33 Dokumenty Polityka Bezpieczeństwa Informacji Procedury, polityki dziedzinowe, wytyczne Deklaracja Stosowania Procedury, polityki dziedzinowe, wytyczne System pomiaru (oceny) skuteczności zabezpieczeń (ISO/IEC 27004) Rejestr Incydentów Bezpieczeństwa Informacji Dokumentacja planów ciągłości działania

34 System Zarządzania Bezpieczeństwem Informacji Praktyka codzienna Instruktaże wstępne dla nowozatrudnionych, szkolenia okresowe Okresowe sprawdziany wiedzy pracowników Monitorowanie przestrzegania zasad przez pracowników Monitoringi serwerowni: CP i CZ Analiza raportów z systemów bezpieczeństwa IT Monitoringi umów z dostawcami produktów i usług Monitoringi zarządzania podatnościami technicznymi Analiza incydentów Audyty SZBI Przeglądy zarządzania