Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

Transkrypt

1 Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole? Polski Komitet Normalizacyjny Dr Grażyna Ożarek I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole Warszawa, październik 2014

2 Informacja Jest odpowiedzią na pytanie skierowane do danych Zbiorem uporządkowanych danych wg określonego kryterium i poddanych interpretacji Cechy informacji Niepewność (ponieważ powstaje w wyniku interpretacji danych) i ograniczona w czasie trwałość (wiarygodność) 2

3 Dane Surowe fakty, liczby Brak uporządkowania Cechy danych Wiarygodność i pewność Każdej chwili mogą być weryfikowane pod względem poprawności i aktualizowane Pełnią rolę nośników przepływu informacji Szczególnym przypadkiem zorganizowanego zbioru danych jest baza danych np. osobowych, w której w sposób uporządkowany zgromadzone są dane mające podobną postać i dotyczące określonej tematyki 3

4 Prawne aspekty bezpieczeństwa informacyjnego w szkole USTAWA o ochronie danych osobowych USTAWA o finansach publicznych sprawie standardów kontroli zarządczej USTAWA o rachunkowości USTAWA o dostępie do informacji publicznej KOMUNIKAT Ministra Finansów w USTAWA o systemie informacji oświatowej ROZPORZĄDZENIE MEN w sprawie minimalnych wymagań technicznych dla sprzętu przeznaczonego do obsługi oprogramowania służącego prowadzeniu lokalnych baz danych SIO USTAWA o narodowym zasobie archiwalnym i archiwach USTAWA o prawie autorskim i prawach pokrewnych ROZPORZĄDZENIE Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych USTAWA - Kodeks karny Rozdział XXXIII kodeksu dotyczy przestępstw przeciwko ochronie informacji 4

5 Prawo nakazuje nam zrobienie czegoś ale zwykle nie wskazuje jak należy to zrobić Normy pokazują jak należy to zrobić! 5

6 Ogólny model bezpieczeństwa Z R Z RR P B P B RR Z Legenda: P podatność (luka) B zabezpieczenie R ryzyko RR ryzyko szczątkowe Z - zagrożenia B RR P ZASOBY informacyjne P B P R Z Z Źródło: PN-I

7 Przed czym chronimy zasoby informacyjne? Atrybuty zasobów informacyjnych Poufność Poufność Integralność Dostępność Rozliczalność Bezpieczeństwo informacyjne - ochrona przed utratą Niezawodność Niezaprzeczalność Autentyczność 7

8 Zagrożenia Rozmyślne Podsłuch Modyfikacja Włamanie do systemu Złośliwy kod Kradzież Płynące z wnętrza organizacji Płynące z otoczenia Przypadkowe Pomyłki Skasowanie pliku Błędne skierowanie Uszkodzenia fizyczne 8

9 Kto? Skąd? i Jak? aw arie zasilania 20% w irusy 4% hakerzy 2% przyczyny zew nętrzne Wycieki danych w instytucjach rządowych vs sektory prywatne Instytucje rządowe 34% nieuczciw ość 10% niezadow olenie 9% Pomyłki 55% 66% Sektor prywatny Rys.1 Zdecydowana większość wszystkich problemów związanych z bezpieczeństwem informacyjnym pochodzi z wnętrza tej organizacji Rys.3 Poczta tradycyjna , fax Inne nośniki 3% 3% 5% Nieznane Internet 10% 12% Inne kanały 17% Urządzenia przenośne 50% Źródło Rys. 2 i Rys. 3: Rys.2 9

10 Skąd czerpać wiedzę jak zorganizować skuteczny SZBI? Polskie Normy serii PN-ISO/IEC z zakresu zarządzania bezpieczeństwem informacji PN-ISO/IEC wymagania stawiane systemom zarządzania bezpieczeństwem informacji PN-ISO/IEC (19977) praktyczne zasady zarządzania bezpieczeństwem informacji Zawiera wzorcowy wykaz celów stosowania zabezpieczeń oraz wykaz 166 zabezpieczeń w 14 obszarach kontrolnych (bezpieczeństwa) PN-ISO/IEC Zarządzanie ryzykiem w bezpieczeństwie informacji Zawiera przykłady 43 typowych zagrożeń i 85 podatności w różnych obszarach bezpieczeństwa (sprzęt, oprogramowanie, sieć, personel, siedziba, organizacja) Okno korzyści szeroko otwarte 10

11 SZBI wg PN-ISO/IEC kompleksowo zapewnia bezpieczeństwo informacji poprzez ustanowienie 14 obszarów kontrolnych: 1. Polityki bezpieczeństwa informacyjnego 2. Organizacja bezpieczeństwa informacji 3. Bezpieczeństwo zasobów ludzkich 4. Zarządzanie aktywami 5. Kontrola dostępu 6. Kryptografia 7. Bezpieczeństwo fizyczne i środowiskowe 8. Bezpieczna eksploatacja 9. Bezpieczeństwo łączności 10. Pozyskiwanie, rozwój i utrzymywanie systemów 11. Relacje z dostawcami 12. Zarządzanie incydentami 13. Ciągłość działania 14. Zgodność z wymaganiami prawnymi i umownymi POLSKI KOMITET ] NORMALIZACYJNY 11

12 SZBI PN-ISO/IEC jest ufundowany na PDCA Doskonal Poprawianie, ulepszanie Kontekst organizacji Planuj Przywództwo Planowanie SZBI PN-ISO/IEC Ocena skuteczności Sprawdź Wykonaj Wspieranie Wdrażanie i eksploatacja 12

13 SZBI PN-ISO/IEC jest ufundowany na zarządzaniu ryzykiem Zarządzanie ryzykiem SZBI 13

14 Związki w zarządzaniu ryzykiem Zagrożenia wykorzystują Podatności Zabezpieczenia Ryzyko Zasoby Wymagania bezpieczeństwa Wartość Źródło: opr. wł. na podst. PN-I

15 Ustanowienie polityki SZBI, cele zakres Klasyfikacja informacji i inwentaryzacja aktywów Organizowanie SZBI wg PN-ISO/IEC Rozpoznanie kontekstu organizacji Ustalenie wartości aktywów i poziomów ochrony; analiza ryzyka Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady) Podnoszenie poziomu świadomości pracowników Monitorowanie SZBI Doskonalenie SZBI

16 Ustanowienie polityki SZBI, cele i zakres Krok 1: Szkolenie dla kadry kierowniczej i grupy wdrażającej SZBI Poznanie wymagań PN-ISO/IEC oraz porad zawartych w innych normach z serii Ustalenie celu i zakresu SZBI Plan działań w zakresie budowy SZBI 16

17 Klasyfikacja informacji i inwentaryzacja aktywów Krok 2: Identyfikacja wszystkich danych i informacji przetwarzanych w szkole (w obszarze nauczania i administracji)oraz form ich występowania (w postaci elektronicznej, papierowej i innej) Inwentaryzacja urządzeń i miejsc przetwarzania 17

18 Rozpoznanie kontekstu organizacji Krok 3: Zbadanie kontekstu wewnętrznego i zewnętrznego szkoły Zewnętrzny: wymagania prawne, kulturowe, technicznotechnologiczne, ekonomiczne, etyczne, społeczne Wewnętrzny: wewnętrzne uregulowania, dostępne środki finansowe, kultura organizacyjna, poziom świadomości, poziom edukacyjny 18

19 Ustalenie wartości aktywów i poziomów ochrony, analiza ryzyka Krok 4: Ustalenie wartości zasobów informacyjnych Przydzielenie do odpowiednich grup ochrony (np. III, II, I poziomu ochrony) Analiza zagrożeń i podatności aktywów (na postawie listy znajdującej się w normie PN-ISO/IEC 27005) Analiza ryzyka Ranking ryzyka 19

20 Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka Krok 5: Identyfikacja funkcjonujących zabezpieczeń na podstawie listy zabezpieczeń z normy PN-ISO/IEC (w obszarze fizycznym, informatycznym, osobowym i prawnym) Weryfikacja ryzyka po uwzględnieniu istniejących zabezpieczeń Plan redukcji ryzyka wg wybranej metody (np. działania inwestycyjne, organizacyjne i uświadamiające) Akceptacja ryzyka szczątkowego 20

21 Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady) Krok 6: Opracowywanie dokumentów Polityka bezpieczeństwa informacyjnego Polityki szczegółowe np. polityka ochrony danych osobowych Procedury Instrukcje Plany ciągłości działania, Plany awaryjne Zasady Weryfikacja i zatwierdzanie dokumentów 21

22 Podnoszenie poziomu świadomości, nauczycieli pracowników i uczniów Krok 7: Opracowanie planu podnoszenia poziomu świadomości, w celu zbudowania kultury bezpieczeństwa informacyjnego w szkole Zapoznanie z obwiązującymi zasadami bezpieczeństwa Nauczycieli Pracowników administracji i obsługi Uczniów i ich rodziców 22

23 Monitorowanie SZBI Krok 8: Audyty wewnętrzne, weryfikacja wdrożonych zasad i zabezpieczeń Przeglądy kierownictwa, weryfikacja dotychczasowych celów bezpieczeństwa i wyznaczanie nowych Zgłaszanie incydentów i reakcja na incydenty 23

24 Doskonalenie SZBI Krok 9: Działania korygujące, identyfikacja zagrożeń i niezgodności w odniesieniu do wymagań normy, wewnętrznych zasad, incydentów oraz wyników audytu Aktualizacja dokumentacji Weryfikacja zabezpieczeń (obniżenie lub podwyższenie poziomu ochrony dla danej grupy informacji) na skutek np. zmian w przepisach prawa, pojawienia się nowych zagrożeń, wymagań ze strony interesariuszy 24

25 Korzyści Korzyści Skutecznie chronimy wszystkie zasoby informacyjne Solidnie wypełniamy wymagania prawne Właściwie reagujemy na ewentualne incydenty bezpieczeństwa Odpowiedzialnie wychowujemy do życia w społeczeństwie informacyjnym Postrzegani jesteśmy jako bezpieczna godna zaufania szkoła (placówka) 25

26 Czego możemy się spodziewać! Po co nam to? Nauczyciele Mało to mamy roboty! Ciekawe kiedy mamy uczyć! Przecież wiemy, że nie wolno paplać gdzie popadnie. Administracja i obsługa Pewnie to wszystko na nas spadnie! Przecież u nas jest bezpiecznie Znowu coś wymyślili! 26

27 Jest to normalne! Dlaczego? Nikt nie będzie sprzymierzeńcem czegoś, czego nie zrozumie a będzie zmuszony w tym aktywnie uczestniczyć! 27

28 Pokazać drugą stronę życia w społeczeństwie informacyjnym i Co zrobić? Zaangażować w budowę, wdrażanie i doskonalenie SZBI Opracować Zrozumiałą, dostępną i rozwiązującą problemy dokumentację Analizować ryzyko najprostszą metodą i włączyć do tego zadania wszystkich pracowników (a może i uczniów) 28

29 Podsumowanie A na koniec Z bezpieczeństwem informacyjnym jest jak z koszeniem trawy! Systematycznie! Nie za mocno! Czego nie możesz przyciąć, wyrwij! Źródło: Blueenergy, 29

30 Dziękuję za uwagę Pytania?