Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Transkrypt

1 Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania mobilne? Skąd wynikają problemy? Wymagania normy ISO/IEC oraz BS powiązane z wykorzystaniem rozwiązań mobilnych Podsumowanie najczęściej spotykane błędy w zakresie wdrażania i eksploatacji systemów bezpieczeństwa informacji oraz systemów zarządzania ciągłością działania 1

2 Dlaczego rozwiązania mobilne? łatwość użycia wysoka dostępność silna integracja urządzeń z życiem codziennym oczekiwania biznesu (szybki dostęp do informacji, mobilność, wielodostępność) ogromny potencjał rozwoju dobra infrastruktura wystarczający poziom technologiczny ograniczenia rozwiązań tradycyjnych Skąd wynikają problemy? złożoność zagadnień bezpieczeństwa, niska świadomość zagrożeń przez użytkowników, przyjęcie założenia, że systemy mobilne pozbawione są wad i zagrożeń typowych dla systemów informatycznych, błędne wartościowanie zasobów informacji, 2

3 Skąd wynikają problemy? brak systemowego podejścia i błędy w zarządzaniu bezpieczeństwem, zbyt niski priorytet aspektu bezpieczeństwa informacji i ciągłości działania, luki w systemie prawnym, koszty zabezpieczeń, niestosowanie lub nieznajomość dobrych praktyk i norm. ISO/IEC Ustanowienie SZBI b) Zdefiniować politykę SZBI, uwzględniającą charakterystykę prowadzonej działalności, organizacji, jej lokalizacji, aktywów i technologii d) Określić ryzyka f) Zidentyfikować i ocenić warianty postępowania z ryzykiem. g) Wybrać zabezpieczenia jako środki postępowania z ryzykiem. h) Uzyskać akceptację kierownictwa dla proponowanych ryzyk szczątkowych. 3

4 ISO/IEC Wdrożenie i eksploatacja SZBI Organizacja powinna: c) Wdrożyć zabezpieczenia e) Wdrożyć programy uświadamiania i szkolenia f) Zarządzać eksploatacją SZBI g) Zarządzać zasobami SZBI h) Wdrożyć zabezpieczenia zdolne do zapewnienia natychmiastowego wykrycia i reakcji na incydenty ISO/IEC Monitorowanie i przegląd SZBI Organizacja powinna: e) Przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu. h) Rejestrować działania i zdarzenia, które mogą mieć wpływ na skuteczność lub wydajność realizacji SZBI. 4

5 ISO/IEC Przeglądy SZBI 7.3 Wyniki przeglądu powinny zawierać zapisy co do: b) Uaktualnienia planu szacowania ryzyka i postępowania z ryzykiem. c) Modyfikacji procedur i zabezpieczeń dotyczących bezpieczeństwa informacji,, które mogą mieć konsekwencje dla SZBI, e) Udoskonalenia metod pomiaru skuteczności zabezpieczeń. A Przypisanie odpowiedzialności A Autoryzacja środków przetwarzania informacji A Umowy o zachowaniu poufności A Określenie ryzyk dla stron zewnętrzny A Bezpieczeństwo w kontaktach z klientami A Inwentaryzacja aktywów A Własność aktywów A Akceptowalne użycie aktywów 5

6 A Uświadamianie, kształcenie i szkolenia A Postępowanie dyscyplinarne A Zwrot aktywów A Odebranie praw dostępu A Bezpieczeństwo sprzętu poza siedzibą A Bezpieczne zbywanie sprzętu lub przekazywanie do ponownego użycia A Zarządzanie zmianami A Oddzielanie urządzeń rozwojowych, testowych i produkcyjnych A Dostarczanie usług (w umowach serwisowych ze stronami trzecimi) A Monitorowanie i przegląd usług strony trzeciej A Odbiór systemu A Zabezpieczenia przed kodem złośliwym A Zabezpieczenia przed kodem mobilnym Jeśli korzystanie z kodu mobilnego jest autoryzowane, to konfiguracja systemu powinna zapewnić, aby uprawniony kod działał zgodnie z jasno określoną polityką bezpieczeństwa, natomiast nieuprawniony kod nie mógł się uruchomić. 6

7 A Bezpieczeństwo dokumentacji systemowej A Biznesowe systemy informacyjne Należy opracować i wdrożyć polityki i procedury dla ochrony informacji związanych z połączeniami między biznesowymi systemami informacyjnymi. A Usługi handlu elektronicznego A Transakcje on-line A Monitorowanie użycia systemu A Rejestrowanie błędów A.11.2 Zarządzanie dostępem użytkowników (zarządzanie przywilejami, hasłami, przegląd praw dostępu) A.11.3 Odpowiedzialność użytkowników A.11.4 Kontrola dostępu do sieci (z zewnątrz organizacji usługi sieciowe, uwierzytelnienie użytkowników, identyfikacja urządzeń) A Ochrona zdalnych portów diagnostycznych i konfiguracyjnych A.11.7 Przetwarzanie mobilne i praca na odległość 7

8 A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych (wymagania bezpieczeństwa oraz poprawność przetwarzania danych w aplikacjach) A.12.3 Zabezpieczenia kryptograficzne A.12.4 Bezpieczeństwo plików systemowych A Zabezpieczenie eksploatowanego oprogramowania A Ochrona danych testowych A Kontrola dostępu do kodów źródłowych programów A.12.6 Zarządzanie podatnościami technicznymi A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.15.1 Zgodność z przepisami prawa (m.in. własność intelektualna, ochrona danych osobowych) A.15.2 Zgodność z politykami bezpieczeństwa i standardami oraz zgodność techniczna A.15.3 Audyt systemów informacyjnych 8

9 BS Organizacja zdefiniuje zakres systemu BCM oraz zespół celów dotyczących ciągłości działania z uwzględnieniem:., możliwego do przyjęcia poziomu ryzyka, obowiązków statutowych, regulujących i umownych, oraz interesów swoich kluczowych interesariuszy W systemie BCM organizacja zdefiniuje kluczowe produkty i usługi. BS Organizacja wdroży odpowiednie sposoby ograniczenia ryzyka dla każdego działania krytycznego zgodnie z poziomem dopuszczalności ryzyka dla tego działania Wyniki przeglądu przeprowadzonego przez kierownictwo powinny zawierać decyzje i działania dotyczące: c) modyfikacji strategii i procedur BCM, tak by zapewniały reakcję na wydarzenia wewnętrzne i zewnętrzne mogące mieć wpływ na system ciągłości działania, 9

10 Błędy w zakresie ISO/IEC brak świadomości wpływu stosowanych rozwiązań mobilnych na bezpieczeństwo informacji (nieświadomość skutków) błędy w ocenie zagrożeń związanych z wykorzystaniem rozwiązań mobilnych błędy na poziomie zarządzania urządzeniami mobilnymi w warstwie systemowej i aplikacyjnej błędy na poziomie kodu aplikacji w zakresie szybkości wymiany danych (dostępność) oraz bezpieczeństwa (integralność i poufność) brak odporności aplikacji na zamierzone i niezamierzone błędy użytkownika Błędy w zakresie ISO/IEC błędy związane z wdrażaniem rozwiązań mobilnych brak ograniczeń w transferze danych brak jednoznacznego przejścia pomiędzy fazą testową wdrożenia a produkcyjną błędy związane z zarządzaniem zasobami brak szkoleń dla pracowników korzystających z rozwiązań mobilnych brak dokumentacji aplikacji brak właściwego nadzoru nad wersjonowaniem brak niezależnych testów 10

11 Błędy w zakresie normy BS brak świadomości wpływu stosowanych rozwiązań mobilnych na ciągłość biznesu pomijanie urządzeń i rozwiązań mobilnych w planach ciągłości działania brak uwzględnienia rozwiązań mobilnych jako istotnych zasobów w procesie zarządzania ciągłością działania brak szkoleń dla pracowników korzystających z rozwiązań mobilnych w planach ciągłości działania brak testów planów ciągłości działania Dziękuję za uwagę Krzysztof Wertejuk kwertejuk@isoqar.com.pl 11