Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Transkrypt

1 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011

2 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów danych i haseł wyciekło z Sony Online Entertainment, usługi oferującej gry typu MMOG. W sumie wyciekły dane ponad 100 milionów użytkowników z całego świata. Liczba incydentów zgłoszonych do CERT/CC w latach Strona 2

3 Podejścia do zapewnienia Podejście techniczne Opracowywanie i wdrażanie konkretnych rozwiązań technicznych. Pogoń za zmianami technologicznymi i rosnącą liczbą nowych rodzajów ryzyka. Podejście zarządcze Ludzie są największym źródłem zagrożenia dla informacji: Tworzenie struktur odpowiedzialnych za zarządzanie bezpieczeństwem informacji (obecnie 82% firm posiada taką scentralizowaną strukturę)* Podejście instytucjonalne Standaryzacja systemów informatycznych oraz budowa i wdrażanie systemów zarządzania bezpieczeństwem informacji poprzez wykorzystanie uznanych norm i standardów. Certyfikacja rozwiązań. Ład Bezpieczeństwo informacji jako systematyczna ochrona tych danych, które są najważniejsze z punktu widzenia ich wpływu na osiąganie celów biznesowych organizacji. Traktowanie informacji jak strategicznego aspektu egzystencji firmy. Architektura * Ernst & Young 10th Annual Global Information Security Survey Strona 3

4 Architektura Cele wdrożenia architektury w organizacji Bezpieczeństwo Architektura to spójny zestaw zasad, zaleceń, wzorców i standardów z zakresu wraz z opisem ich wzajemnych powiązań uwzględniający bieżące i przyszłe uwarunkowania biznesowe organizacji Kontrola kosztów Stan idealny (nierealny) Użyteczność Stan optymalny (docelowy) Perspektywa w nowoczesnej organizacji: Koncentracja na obszarach, które kreują wartość dodaną dla organizacji Zharmonizowanie funkcji z realizowanymi procesami biznesowymi Racjonalizacja kosztów zapewnienia W nowoczesnej organizacji rozbieżność celów wdrożenia architektury kreuje twórcze myślenie o bezpieczeństwie Strona 4

5 Architektura SABSA (1/3) Metodyka SABSA (Sherwood Applied Business Security Architecture) prezentuje biznesowe podejście do kwestii w organizacji. Kompleksowe zarządzanie usługami i architekturą. Wykorzystanie powszechnie znanych standardów jako składników architektury, które wspólnie tworzą kompleksowy model, oparty na wymaganiach biznesowych. Metodyka SABSA jest szeroko wykorzystywana w administracji publicznej na świecie, m.in.: Ministerstwo Obrony Narodowej Wielkiej Brytanii, Holenderskie Ministerstwo Sprawiedliwości, Agencje rządowe Australii, Kanady oraz Stanów Zjednoczonych Ameryki Północnej. Metodyka SABSA jest zgodna ze standardami: BS 7799, ISO / ISO 17799, ITIL / ISO 20000, CobIT, BS / AS Strona 5

6 Architektura SABSA (2/3) Całościowe podejście do zarządzania usługami i architekturą w przedsiębiorstwie opiera się na sześciu warstwach*: kontekstową, obejmującą umiejscowienie Bezpieczeństwa i jego roli w Biznesie, koncepcyjną, zawierającą wysokopoziomowy opis Bezpieczeństwa Strategię Bezpieczeństwa, logiczną, zawierającą model organizacji, model przepływu informacji i Politykę Bezpieczeństwa, fizyczną, opisującą procedury, mechanizmy, platformę i infrastrukturę sieciową, komponentową, obejmującą bezpośrednie narzędzia wdrożenia Bezpieczeństwa standardy, protokoły, certyfikaty, kontekstowa koncepcyjna logiczna fizyczna komponentowa operacyjna operacyjną, warstwę spinającą pozostałe warstwy w codziennym funkcjonowaniu organizacji Bezpieczeństwo aplikacji, sieci, pomoc techniczna. * Warstwowy model architektury opracowany został na bazie siatki Zachmana Strona 6

7 Architektura SABSA (3/3) Proces projektowania architektury polega na rozważeniu aspektów w poszczególnych warstwach macierzy SABSA. Zasoby (Co?) Motywacja (Dlaczego?) Proces (Jak?) Ludzie (Kto?) Miejsce (Gdzie?) Czas (Kiedy?) Zwiększenie poziomu szczegółowości aspektu kontekstowa koncepcyjna logiczna fizyczna komponentowa operacyjna Biznes Profil atrybutów biznesowych Model informacyjny biznesu Model danych biznesu Szczegółowe struktury danych Zapewnienie ciągłości operacyjnej Model ryzyka biznesowego Cele kontrolne Polityka Bezpieczeństwa Reguły, praktyki i procedury Standardy Zarządzanie ryzykiem operacyjnym Model procesów biznesowych Strategia Bezpieczeństwa i warstwy architektury Usługi Mechanizmy Produkty i narzędzia Zarządzanie i wsparcie usługami Organizacja biznesowa i jej powiązania Model jednostki i struktury zaufania Schemat jednostek i profile uprawnień Użytkownicy, aplikacje i interfejs użytkownika Tożsamości, funkcje, czynności i ACL Zarządzanie i wsparcie użytkowników i aplikacji Geografia biznesu Model domeny Definicje i ich powiązania Platforma i infrastruktura sieci Procesy, węzły, adresy i protokoły Bezpieczeństwo systemów, sieci i platform Zależności czasowe biznesu Czasy życia i terminy związane z bezpieczeństwem Cykl procesów Czas wykonanie struktury kontrolnej Kolejkowanie kroków Rozkład czynności Sprawdzenia uzasadnienia aspektu Strona 7

8 Praktyczne zastosowanie metodyki SABSA Profil atrybutów biznesowych danych pacjentów Standardowe podejście Zgodnie z BS-7799 / ISO bezpieczeństwo zasobów rozpatrywane jest w trzech aspektach: Integralność, Poufność, Dostępność. Podejście według metodyki SABSA Według metodyki SABSA każdy zasób może być opisany za pomocą profilu atrybutów biznesowych. Profil atrybutów biznesowych: Pełne zestawienie atrybutów biznesowych dla konkretnego zasobu, Typ metryki, Metoda pomiarowa, Miara wydajności. Atrybuty biznesowe to biznesowe przedstawienie właściwości związanych z zasobem, które powinny podlegać ochronie. Metodyka SABSA definiuje 85 najczęściej używanych atrybutów biznesowych. Profil atrybutów biznesowych umożliwia mierzenie wydajności atrybutów biznesowych z perspektywy Biznesu. Strona 8

9 Podsumowanie Dane dotyczące stanu zdrowia są danymi wrażliwymi w związku należy poświęcić szczególną uwagę właściwemu ich zabezpieczeniu. Istotne jest, aby podejść w sposób spójny i kompleksowy, a nie punktowy i wybiórczy. Idealnym rozwiązaniem jest wykorzystanie metodyki SABSA, która: opisuje model dostosowany do potrzeb biznesowych, ułatwia dialog pomiędzy organizacją Bezpieczeństwa a przedstawicielami Biznesu, jest otwartym standardem, jest bezpłatna, nie jest związana z żadnym dostawcą rozwiązań, jest skalowalna (może być wprowadzana w kolejnych obszarach i systemach), jest w sposób ciągły utrzymywana i rozwijana. Strona 9

10 Dziękujemy za uwagę: dr Aleksander Poniewierski dr inż. Mirosław Ryba