Jak zabezpieczać infrmacje w pdmitach przetwarzający ch dane sbwe Jacek Biernacki OSOZ Kwiecień 2018 1
Jak cenne są dane przetwarzane przez rganizację Bardz cenne jeżeli mżna je wykrzystać w celach bizneswych (i nie tylk) przez inne pdmity; Mał cenne jeżeli są pwszechnie dstępne, lub ich ujawnienie nie wywła negatywnych skutków dla zaintereswanych; Mżliwe d wyceny w ramach np. analizy ryzyka; Trudne d wyceny (bezcenne), np. utrata skutkuje utratą reputacji rganizacji i zaprzestaniem działalnści; OSOZ Kwiecień 2018 2
Jakie rdzaje / zakres infrmacji są przetwarzane przez rganizację Bizneswe / strategiczne, plany rzwju, inwestycji, ekspansji; Operacyjne / bieżące, finanswe, rganizacyjne, persnalne dt. pracwników rganizacji; Dane sbwe dtyczące klientów, dane sbwe charakterze wrażliwym; Dane grmadzne i przetwarzane na fizycznych nśnikach danych, przetwarzane i składwane lkalnie lub w zewnętrznych pdmitach; Dane grmadzne w pstaci elektrnicznej, przetwarzane lkalnie lub zdalnie, składwane lkalnie lub zewnętrznie w systemie upważnineg pdmitu; OSOZ Kwiecień 2018 3
C t jest bezpieczeństw infrmacji bezpieczeństw infrmacji (zgdnie z ISO 27001) t zachwanie pufnści, integralnści i dstępnści infrmacji. Ddatkw, mgą być brane pd uwagę inne własnści, takie jak autentycznść, rzliczalnść, niezaprzeczalnść i niezawdnść Infrmacja jest bezpieczna, jeżeli zachwana jest c najmniej : pufnść właściwść plegająca na tym, że infrmacja nie jest udstępniana lub wyjawiana nieupważninym sbm, pdmitm lub prcesm, integralnść właściwść plegająca na zapewnieniu dkładnści i kmpletnści aktywów, dstępnść właściwść bycia dstępnym i użytecznym na żądanie upważnineg pdmitu. OSOZ Kwiecień 2018 4
System Zarządzania Bezpieczeństwem Infrmacji (SZBI) Zaintereswane strny Wymagania, czekiwania dt. bezpieczeństwa infrmacji wyknaj Wdrżenie i eksplatacja SZBI planuj Ustanwienie SZBI sprawdzaj Mnitrwanie i przegląd SZBI Utrzymanie i dsknalenie SZBI działaj Zaintereswane strny Zarządzanie bezpieczeństwe m infrmacji wg ISO OSOZ Kwiecień 2018 5
Zakres zagadnień SZBI Wynikający z nrmy ISO 27001 W sumie pnad 120 zagadnień szczegółwych w kilkunastu bszarach tematycznych Plityki bezpieczeństwa infrmacji,organizacja bezpieczeństwa infrmacji Bezpieczeństw zasbów ludzkich, Zarządzanie aktywami Kntrla dstępu, Kryptgrafia Bezpieczeństw fizyczne i śrdwiskwe, Bezpieczna eksplatacja Bezpieczeństw kmunikacji, Pzyskiwanie, rzwój i utrzymanie systemów Relacje z dstawcami, Zarządzanie incydentami związanymi z bezpieczeństwem infrmacji, Aspekty bezpieczeństwa infrmacji w zarządzaniu ciągłścią działania Zgdnść OSOZ Kwiecień 2018 6
Składwe systemu zarządzania bezpieczeństwem infrmacji Wymagania frmaln prawne Rzwiązania rganizacyjne Rzwiązania techniczne OSOZ Kwiecień 2018 7
Zakres frmaln- prawny Dyrektywy, Rzprządzenia EU, Ustawy Dyrektywa 95/46/WE Parlamentu Eurpejskieg i Rady z dnia 24 października 1995 r. w sprawie chrny sób fizycznych w zakresie przetwarzania danych sbwych i swbdneg przepływu tych danych Rzprządzenie Parlamentu Eurpejskieg i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie chrny sób fizycznych w związku z przetwarzaniem danych sbwych i w sprawie swbdneg przepływu takich danych raz uchylenia dyrektywy 95/46/WE (gólne rzprządzenie chrnie danych) (Tekst mający znaczenie dla EOG) Prjekt ustawy chrnie danych sbwych (skierwany d Sejmu 04.2018); Nrmy, Standardy Dtyczące bezpieczeństwa infrmacji / systemów infrmatycznych, ISO,seria 27000, COBIT; Plityki i regulaminy Plityka bezpieczeństwa infrmacji, Kdeks pstępwania; Prcedury Prcedury peracyjne dtyczące zarządzania/ użytkwania systemów; OSOZ Kwiecień 2018 8
Zakres rganizacyjny Osby / rle wymagane w zakresie zarządzani bezpieczeństwem infrmacji Inspektra chrny danych, Inspektr bezpieczeństwa infrmacji, Audytr, Administratr; Właściciele zasbów Kierwnicy kmórek rganizacyjnych, sby wyznaczne za kreślny zakres przetwarzania danych; Zespły Zespół ds. wdrżenia (nwych rzwiązań), Zespół reagwania kryzysweg; OSOZ Kwiecień 2018 9
Rzwiązania techniczne System infrmatyczny własny Zbudwany i zarządzany wewnętrznymi zasbami Organizacji / zewnętrznymi utsurcing sbwy Własna infrastruktura i licencjnwane prgramwanie Usługi świadczne na zewnątrz Organizacji w pstaci serwisów Wewnętrzne służby dpwiedzialne za utrzymanie i chrnę danych (w tym sbwych) Wewnętrzne uregulwania dtyczące wszystkich bszarów bezpieczeństwa infrmacji; System infrmatyczny/ usługa d zewnętrzneg dstawcy System udstępniany zewnętrznie przez zewnętrzneg dstawcę jak usługa (zwykle na zdefiniwany kres czasu), dane pwierzne pdmitwi przetwarzającemu dane Zewnętrzna infrastruktura i prgramwanie / wewnętrznie stacje rbcze, peryferia Usługi świadczne na zewnątrz Organizacji w pstaci serwisów udstępnianych przez pdmit przetwarzający dane sbwe Wewnętrzne graniczne służby dpwiedzialne za utrzymanie i chrnę danych (w tym sbwych) Uregulwania wewnętrzne i zewnętrzne dtyczące bszarów bezpieczeństwa infrmacji / przetwarzania danych sbwych ( Kdeks pstępwania); OSOZ Kwiecień 2018 10
Wewnętrzne Zagrżenia Mające swe źródł wewnątrz rganizacji pracwnicy, rzwiązania prgramwe, infrastruktura, przepisy; Zewnętrzne Mające swe źródł na zewnątrz rganizacji użytkwnicy/ intruzi zewnętrzni, próby penetracji systemu, destabilizacji lub graniczenia dstępu; Osbwe Pracwnicy Organizacji, pracwnicy rganizacji współpracujących / zewnętrznych psiadający dstęp d systemów; Techniczne Pdatnści sprzętu i prgramwania, awaria części zasbów uniemżliwiająca dalszą pracę, pjedynczy punkt awarii; Śrdwiskwe Zagrżenia fizyczne, anmalie pgdwe; Wynikające z zakresu ptencjalneg naruszenia bezp. danych Naruszenie bezpieczeństwa pjedynczeg rekrdu, dużeg zakresu danych; OSOZ Kwiecień 2018 11
Dkumenty - uwarunkwania Mżliwie krótkie, zapisane językiem zrzumiałym dla dbirców Adekwatne dla kreślnej grupy dbirców w swjej treści i zakresie ( użytkwnicy, administratrzy, inspektrzy itd.) Zatwierdzne przez Kierwnictw rganizacji i zarządzane przez uprawnine sby Aktualne i dstępne dla wymaganych grup dbirców OSOZ Kwiecień 2018 12
Persnel - uwarunkwania W zakresie wykrzystania systemów / użytkwnicy Przeszkleni w zakresie chrny infrmacji Zapznani z wymaganymi dkumentami dtyczącymi ich zakresu działania Wypsażeni w dpwiednie narzędzia, (identyfikacja i uwierzytelnienie, pdpis elektrniczny) Psiadający dstęp d dpwiednich narzędzi zgłaszania i eskalacji prblemów / incydentów; W zakresie zarządzania systemami / persnel zarządzający Przeszklny w zakresie chrny infrmacji, technlgii i systemów którymi zarządzają Zapznany z wymaganymi dkumentami dtyczącymi ich zakresu działania Przyprządkwany d kreślnych ról ze wskazanym zakresem bwiązków/uprawnień Psiadający dpwiednie zastępstw na wypadek absencji Wypsażny w dpwiednie narzędzia, zarządzanie, mnitring, audyt systemów, (ale również identyfikacja i uwierzytelnienie, pdpis elektrniczny) Psiadający dstęp d dpwiednich narzędzi zgłaszania i eskalacji prblemów / incydentów, rzwiązywania prblemów OSOZ Kwiecień 2018 13
Technlgia - uwarunkwania Pufnść infrmacji Uprawnienia, mechanizm pdwójnej kntrli (dwóch par czu) w wybranych zakresach Silne mechanizmy identyfikacji i uwierzytelnienia Lgwanie zdarzeń / audyt zdarzeń / aktywnści użytkwników / systemów Ochrna wewnętrzna / zewnętrzna, pdsieci, strefy, firewall, ips; Integralnść infrmacji Pdpis elektrniczny Ograniczenia w zakresie mdyfikacji / usuwania danych Kntrla integralnści danych; Dstępnść infrmacji Redundancja infrastruktury / system bez pjedynczeg punktu awarii Redundancja łączy Kpie zapaswe, zarządzanie kpiami, przechwywanie; OSOZ Kwiecień 2018 14
Utrata bezpieczeństwa danych przypadki / knsekwencje Hlenderska firma DigiNtar ( upadłść2011), wydawca certyfikatów SSL, Atak wykryty p 1,5 miesiącu d ataku hakerów. Z DigiNtar skradzin pnad 500 certyfikatów SSL, w tym wystawine dla CIA, MI6 i Mssadu Rząd Królestwa Szwecji, utrata kntrli nad wrażliwymi danymi (2017) Wyciekły szwedzkie dane dtyczące persnelu wjskweg, sób w plicyjnych bazach danych, sób w prgramie chrny świadków raz infrmacje dtyczące wjskweg sprzętu. Infrmacje zstały myłkw przesłane d sób w Czechach raz Serbii pdczas chatycznej próby przeniesienia rządwych baz danych w ramach usług utsurcingwych NSA, ujawnienie tysięcy tajnych dkumentów (2013) Edward Snwden były pracwnik CIA i zlecenibirca zatrudniny przez firmy Dell raz Bz Allen Hamiltn na umwach dla NSA, ujawnił na łamach prasy kilkaset tysięcy pufnych, tajnych i ściśle tajnych dkumentów NSA; OSOZ Kwiecień 2018 15
Dziękuję za uwagę OSOZ Kwiecień 2018 16