Bezpieczeństwo systemów informacyjnych

Transkrypt

1 Franciszek Wołowski Janusz Zawiła-Niedêwiecki Bezpieczeństwo systemów informacyjnych Praktyczny przewodnik zgodny z normami polskimi i międzynarodowymi Poradnik jest skierowany w pierwszej kolejności do administratorów bezpieczeństwa systemów informacyjnych, ale nie tylko. Także do szeroko rozumianej kadry kierowniczej organizacji różnych branż, charakteru i wielkości oraz do specjalistów różnych profesji, którzy mogą się przyczyniać do zapewniania bezpieczeństwa w organizacjach. Rzecz bowiem w tym, że stan bezpieczeństwa budują wszyscy, a zburzyć go może nawet tylko jedna osoba.

2 edu-libri s.c Redakcja merytoryczna i korekta: edu-libri Projekt okładki i stron tytułowych: GRAFOS Wydawnictwo edu-libri ul. Zalesie 15, Kraków edu-libri@edu-libri.pl Skład i łamanie: GRAFOS Druk i oprawa: Sowa Sp. z o.o. Warszawa ISBN ISBN e-book (PDF) ISBN e-book (epub)

3 Spis treści Wstęp Wprowadzenie Co to jest bezpieczeństwo informacji? Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? Cele, strategie i polityki w zakresie bezpieczeństwa informacji Czynniki decydujące o bezpieczeństwie systemów informacyjnych Jak określać wymagania bezpieczeństwa? Zarządzanie bezpieczeństwem informacji Standardy związane z zarządzaniem bezpieczeństwem systemów informacyjnych Zarządzanie ryzykiem a zarządzanie bezpieczeństwem informacji Punkt wyjścia zapewniania bezpieczeństwa informacji Krytyczne czynniki sukcesu Zarządzanie ryzykiem systemów informacyjnych Nazewnictwo związane z zarządzaniem ryzykiem Pojęcia podstawowe Nazewnictwo modelu zarządzania ryzykiem Struktura ryzyka Ryzyko polityczne Ryzyko organizacyjne Ryzyko operacyjne Czynniki ryzyka systemów informacyjnych Ludzie Procesy i systemy Systemy teleinformatyczne Dokumentacja wewnętrzna i zewnętrzna Lokalizacja Zdarzenia zewnętrzne Zdarzenia przewidywalne i nieprzewidywalne Zlecanie czynności na zewnątrz (outsourcing) Procesy zarządzania ryzykiem systemów informacyjnych Ustalenie oczekiwań wobec zarządzania ryzykiem Podstawowe kryteria oceny ryzyka systemów informacyjnych... 65

4 Spis treści Zakres i granice procesu zarządzania ryzykiem systemów informacyjnych Organizacja zarządzania ryzykiem systemów informacyjnych Zarządzanie zasobami i aktywami systemów informacyjnych Zapewnianie zasobów i aktywów oraz odpowiedzialność za nie Inwentaryzacja zasobów i aktywów Własność zasobów Akceptowalne użycie zasobów Klasyfikacja informacji Zalecenia do klasyfikacji Oznaczanie informacji i postępowanie z informacjami Wartość biznesowa aktywów, zwłaszcza informacji Szacowanie ryzyka systemów informacyjnych Analiza ryzyka systemów informacyjnych Identyfikacja ryzyka Oszacowanie (wycena) ryzyka Ocena ryzyka systemów informacyjnych Postępowanie z ryzykiem systemów informacyjnych Unikanie ryzyka Przeniesienie ryzyka Utrzymanie/akceptowanie ryzyka Redukcja ryzyka Środki sterowania bezpieczeństwem Środki łagodzenia ryzyka (przeciwdziałanie) Strategia łagodzenia ryzyka Akceptacja ryzyka przez kierownictwo Informowanie o ryzyku Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem Zarządzanie ryzykiem w projektach systemów informacyjnych Wprowadzenie Kryteria sukcesu projektu Procesy zarządzania ryzykiem projektowym Planowanie zarządzania ryzykiem projektowym Identyfikacja zagrożeń Analiza ryzyka Szacowanie prawdopodobieństwa i skutku ryzyka Planowanie reakcji na ryzyko Sterowanie ryzykiem Monitorowanie ryzyka Zarządzanie reakcją na incydenty związane z naruszaniem bezpieczeństwa informacji Podstawowe zagadnienia i korzyści związane z zarządzaniem incydentami Przykłady incydentów związanych z naruszaniem bezpieczeństwa informacji Procedury w zarządzaniu incydentami Planowanie i przygotowanie Stosowanie wdrożenie i eksploatacja Przegląd Doskonalenie

5 Spis treści 7 5. System Zarządzania Bezpieczeństwem Informacji (SZBI) Ustanowienie SZBI Zakres i granice SZBI Polityka bezpieczeństwa i jej akceptacja przez kierownictwo Polityka bezpieczeństwa informacji Dokument polityki bezpieczeństwa informacji Przegląd polityki bezpieczeństwa informacji Strategia zarządzania ryzykiem Wdrożenie i eksploatacja SZBI Monitorowanie i przegląd SZBI Utrzymanie i doskonalenie SZBI Organizacja zapewniania bezpieczeństwa informacji Organizacja wewnętrzna Zaangażowanie kierownictwa w zapewnianie bezpieczeństwa informacji Koordynacja zarządzania zapewnianiem bezpieczeństwa informacji Przypisanie odpowiedzialności w zakresie zapewniania bezpieczeństwa informacji Proces autoryzacji środków przetwarzania informacji Umowy o zachowaniu poufności Kontakty z organami władzy Kontakty z grupami zaangażowanymi w zapewnianie bezpieczeństwa Niezależne przeglądy bezpieczeństwa informacji Strony zewnętrzne Ryzyko związane ze stronami zewnętrznymi Bezpieczeństwo w kontaktach z klientami Bezpieczeństwo w umowach ze stroną trzecią Bezpieczeństwo zasobów ludzkich Przed zatrudnieniem Role i zakresy odpowiedzialności Postępowanie sprawdzające Zasady zatrudnienia Podczas zatrudnienia Odpowiedzialność kierownictwa Uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji Postępowanie dyscyplinarne Zakończenie lub zmiana zatrudnienia Odpowiedzialność związana z zakończeniem zatrudnienia Zwrot zasobów Odebranie praw dostępu Bezpieczeństwo fizyczne i środowiskowe Obszary bezpieczne Fizyczna granica obszaru bezpiecznego Środki ochrony fizycznego wejścia Zabezpieczanie biur, pomieszczeń i urządzeń Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi Praca w obszarach bezpiecznych Obszary publicznie dostępne dla dostaw i załadunku

6 Spis treści Bezpieczeństwo wyposażenia Rozmieszczenie i ochrona wyposażenia Systemy wspomagające przetwarzanie informacji Bezpieczeństwo okablowania Bezpieczna konserwacja sprzętu Bezpieczeństwo wyposażenia znajdującego się poza siedzibą organizacji Bezpieczne usuwanie lub ponowne wykorzystanie wyposażenia Wynoszenie mienia Zarządzanie eksploatacją i komunikacją SZBI Procedury eksploatacyjne i odpowiedzialność Dokumentowanie procedur eksploatacyjnych Zarządzanie zmianami Rozdzielanie obowiązków Oddzielanie środowisk rozwojowych, testowych i eksploatacyjnych Zarządzanie usługami dostarczanymi przez strony trzecie Bezpieczne dostarczanie usług Monitorowanie i przegląd usług strony trzeciej Bezpieczne zarządzanie zmianami usług strony trzeciej Planowanie i odbiór systemów Zarządzanie pojemnością systemów Akceptacja systemu Ochrona przed kodem złośliwym i nadzór nad kodem mobilnym Środki ochrony przed kodem złośliwym Środki nadzoru nad kodem mobilnym Kopie zapasowe Zarządzanie bezpieczeństwem sieci Systemy ochrony sieci Bezpieczeństwo usług sieciowych Obsługa nośników danych i dokumentacji Zarządzanie nośnikami wymiennymi Usuwanie nośników Procedury postępowania z informacjami Bezpieczeństwo dokumentacji systemowej Wymiana informacji Polityka i procedury wymiany informacji Umowy o wymianie informacji Transportowanie fizycznych nośników informacji Wiadomości elektroniczne Systemy informacyjne organizacji Usługi handlu elektronicznego Handel elektroniczny Transakcje on-line Informacje dostępne publicznie Kontrola dostępu Wymagania biznesowe i polityka kontroli dostępu Zarządzanie dostępem użytkowników Rejestracja użytkowników

7 Spis treści Zarządzanie przywilejami Zarządzanie hasłami użytkowników Przeglądy praw dostępu użytkowników Odpowiedzialność użytkowników Używanie haseł Pozostawianie sprzętu użytkownika bez opieki Polityka czystego biurka i czystego ekranu Kontrola dostępu do sieci Zasady korzystania z usług sieciowych Uwierzytelnianie użytkowników przy połączeniach zewnętrznych Identyfikacja urządzeń w sieciach Ochrona zdalnych portów diagnostycznych i konfiguracyjnych Rozdzielanie sieci Kontrola połączeń sieciowych Kontrola rutingu w sieciach Kontrola dostępu do systemów operacyjnych Procedury bezpiecznego logowania się Identyfikacja i uwierzytelnianie użytkowników System zarządzania hasłami Użycie systemowych programów narzędziowych Zamykanie sesji po określonym czasie Ograniczanie czasu trwania połączenia Kontrola dostępu do informacji i aplikacji Ograniczanie dostępu do informacji Izolowanie systemów wrażliwych Przetwarzanie mobilne i praca na odległość Przetwarzanie i komunikacja mobilna Praca zdalna Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych Wymagania bezpieczeństwa systemów informacyjnych Poprawne przetwarzanie w aplikacjach Potwierdzanie poprawności danych wejściowych Kontrola przetwarzania wewnętrznego Integralność wiadomości Potwierdzanie poprawności danych wyjściowych Zabezpieczenia kryptograficzne Zasady korzystania z zabezpieczeń kryptograficznych Zarządzanie kluczami Bezpieczeństwo plików systemowych Zabezpieczanie eksploatowanego oprogramowania Ochrona systemowych danych testowych Kontrola dostępu do kodów źródłowych programów Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej Procedury kontroli zmian Techniczny przegląd aplikacji po zmianach w systemie operacyjnym

8 Spis treści Ograniczenia dotyczące zmian w pakietach oprogramowania Wyciek informacji Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej Wymagania dotyczące dokumentacji Nadzór nad dokumentami Nadzór nad zapisami Zarządzanie zapewnianiem ciągłości działania Osadzenie zapewniania ciągłości działania w kulturze organizacji Zrozumienie istoty działania organizacji Wprowadzenie procesu systematycznego zarządzania zapewnianiem ciągłości działania Generalna analiza wpływu zakłóceń na działalność Identyfikacja, analiza i ocena ryzyka ogólnego Bezpieczeństwo informacji i ciągłość działania systemów informatycznych a zapewnianie ciągłości działania organizacji Określanie strategii zarządzania zapewnianiem ciągłości działania Opracowywanie i wdrażanie rozwiązań zapewniania ciągłości działania Analiza ryzyka operacyjnego i mapa zakłóceń Opracowywanie regulaminów, procedur, instrukcji Projektowanie scenariuszy awaryjnych Wdrażanie przyjętego postępowania z zakłóceniami Testowanie, utrzymywanie i audyt rozwiązań zapewniania ciągłości działania Testowanie Utrzymywanie Audyt Odpowiedzialność kierownictwa organizacji Zaangażowanie kierownictwa Szkolenie, uświadamianie i kompetencje pracowników Monitorowanie bezpieczeństwa Monitorowanie i przeglądy SZBI Niezależne przeglądy bezpieczeństwa informacji Dzienniki zdarzeń Monitorowanie wykorzystywania systemu Ochrona informacji zawartych w dziennikach zdarzeń Dzienniki zdarzeń administratora i operatora Rejestrowanie błędów Synchronizacja zegarów Monitorowanie i przegląd usług strony trzeciej Zgodność przeglądów z politykami bezpieczeństwa i standardami oraz zgodność techniczna Przeglądy realizowane przez kierownictwo Dane wejściowe do przeglądu Wyniki przeglądu Audyty SZBI Audyty systemów informacyjnych

9 Spis treści Bezpieczne prowadzenie audytu Ochrona narzędzi audytu Audyty wewnętrzne SZBI Procesy audytowe Etap przygotowawczy audytu Spotkanie wstępne Seminarium dla gremiów kierowniczych organizacji Etap wykonawczy audytu Ścieżka formalna audytu Ścieżka techniczna audytu Etap sprawozdawczy audytu Opracowanie dokumentu końcowego Przekazanie zleceniodawcy zbioru dokumentów audytowych Doskonalenie SZBI Ciągłe doskonalenie Działania korygujące Działania zapobiegawcze Zgodność z przepisami prawa Ustalenie odpowiednich przepisów prawa Prawo do własności intelektualnej Ochrona zapisów w organizacji Ochrona danych osobowych i prywatność informacji dotyczących osób fizycznych Zapobieganie nadużywaniu środków przetwarzania informacji Regulacje dotyczące zabezpieczeń kryptograficznych Sprawdzanie zgodności technicznej Terminologia Pojęcia i definicje Akronimy Bibliografia

10 ZARZĄDZANIE ZARZĄDZANIE Franciszek Wołowski absolwent Politechniki Śląskiej (1968) oraz Studium Podyplo - mowego Ekonometrii i Programowania Matematycznego Wyższej Szkoły Ekonomicznej w Katowicach. Zajmuje się zarządzaniem bezpieczeństwem systemów informacyjnych, ryzykiem oraz zastosowaniami biometrii i kryptografii klucza publicznego (podpisu elektronicznego). Wykładowca na studiach podyplomowych w Politechnice Warszawskiej, Politechnice Lubel - skiej oraz w Instytucie Orgmasz, jak również na szkoleniach organizowanych przez insty - tucje administracji publicznej. Prelegent na wielu konferencjach zawodowych poświęconych ryzyku i bezpieczeństwu oraz autor szeregu publikacji w specjalistycznych wydawnictwach, w tym współautor książki Podpis elektroniczny w administracji i zarządzaniu (2005). Janusz Zawiła-Niedźwiecki od kilkunastu lat pracownik naukowy Wydziału Zarządzania Politechniki Warszawskiej, wykładowca Collegium Civitas, członek Polskiej Komisji Akre - dytacyjnej. Redaktor naukowy książek Informatyka gospodarcza (4 tomy, 2010) i Zarzą - dzanie ryzykiem operacyjnym (2008). Autor książki Ciągłość działania organizacji (2008) oraz kilkudziesięciu artykułów i referatów konferencyjnych naukowych i zawodowych z za - kresu zarządzania ryzykiem, bezpieczeństwem i ciągłością działania. Równocześnie menedżer praktyk, w przeszłości m.in. w NBP, Pol-Mot, Giełdzie Papierów Wartościowych, Fund Services, Grupie PZU, Komisji Nadzoru Finansowego, Urzędzie Ko - munikacji Elektronicznej. Obecnie doradca biznesowy w firmie Casus Unicus. W roku 1998 jako dyrektor IT Giełdy laureat nagrody Lider Informatyki przyznawanej przez Computerworld. Członek założyciel polskiego oddziału stowarzyszenia ISACA, przewod ni - czący Rady Fundacji im. Prof. Kazimierza Bartla. Wydawnictwo edu-libri jest nowoczesną oficyną wydawniczą e-publikacji naukowych i edukacyjnych. Współpracujemy z doświadczonymi redaktorami merytorycznymi oraz technicznymi specja - lizującymi się w przygotowywaniu publikacji naukowych i edukacyjnych. Stawiamy na ja kość i profesjonalizm łączone z nowoczesnością, a najważniejsze dla nas są przyjemność współ - tworzenia i satysfakcja z dobrze wykonanego zadania. Nasze publikacje są dostępne w księgarniach internetowych związanych z platformą cyfrową iformat oraz w czytelni on-line ibuk.pl (dystrybucja realizowana przez działający w obrę - bie grupy PWN OSDW Azymut). Na życzenie drukujemy dowolną liczbę egzemplarzy papierowych książek.