Ochrona danych i bezpieczeństwo informacji Dr inż. Janusz Dudziak Bezpieczeństwo ODBI 2 1
Bezpieczeństwo Podstawowe źródła pozyskiwania informacji do określenia przez organizację swoich wymagań bezpieczeństwa informacji: Szacowanie ryzyka dotyczącego instytucji; Zbiór wymagań prawnych, statutowych, regulacyjnych i kontraktowych; Istniejący, specyficzny dla danej organizacji zbiór zasad, celów i wymagań dotyczących przetwarzania informacji. Aspekty prawne ochrony informacji Rola środków prawnych w dziedzinie bezpieczeństwa systemów informatycznych Określenie zasad postępowania administratorów użytkowników, zdefiniowanie ich praw i obowiązków Przewidywanie sankcji za naruszenie ustalonych zasad i obowiązków. Sankcje są uruchamiane w sytuacji, gdy zawiodą zabezpieczenia (fizyczne, organizacyjne, kryptograficzne) i dojdzie do zagrożenia bezpieczeństwa lub wyrządzenia szkody. ODBI 2 2
Stan prawny w Europie Ochrona informacji Konwencje 1981 - Konwencja nr 108 o ochronie osób w związku z automatycznym przetwarzaniem danych o charakterze osobowym Protokół dodatkowy do Konwencji Rady Europy Nr 108 o Ochronie Osób w związku z automatycznym przetwarzaniem danych osobowych 1989 - Zalecenie nr R(89)9 dot. uwzględnienia w ustawodawstwie listy minimalnej przestępstw komputerowych Europejska Konwencja Bioetyczna z dnia 4 kwietnia 1997 r. w obszarze odnoszącym się do ochrony danych osobowych Rekomendacje i rezolucje 1973 - Rezolucja (73) 22. o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych w sektorze prywatnym 1974 - Rezolucja (74) 22. o ochronie życia prywatnego osób fizycznych w kontekście elektronicznych banków danych w sektorze publicznym Stan prawny w Europie 1985 The Select Committee of Experts on Computer-Related Crime of Concil of Europe. Zalecenie nr R(89)/9 Komitetu Ministrów Rady Europy Lista minimalna Oszustwo komputerowe Fałszerstwo komputerowe Włamanie do systemu komputerowego Niszczenie danych lub programów Sabotaż Piractwo Kopiowanie półprzewodników Lista fakultatywna Modyfikacja danych lub programów Szpiegostwo komputerowe Używanie komputera bez zezwolenia Używanie chronionego prawnie oprogramowania bez upoważniania ODBI 2 3
Najważniejsze akty prawne Konstytucja Rzeczpospolitej Polskiej Ustawa o rachunkowości Ustawa z dn. 29.08.1997 o ochronie danych osobowych Dz. U. z dn. 29.10.1997 Ustawa 22.01.1999 o ochronie informacji niejawnych Dz. U. z dn. 8.02.1999 Ustawa z dnia 27 lipca 2001 r., o ochronie baz danych ( Dz.U.2001.128.1402 z późniejszymi zmianami ); Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz.U. 2005.64.565); Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej (Dz.U. 2001.112.1198); Ustawa z dnia 18 lipca 2002 r., o świadczeniu usług droga elektroniczna ( Dz.U.2002.144.1204 z późniejszymi zmianami ); Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r., w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego ( Dz. U. 2005.171.1433 ); Najważniejsze akty prawne (2) Rozporządzenie MSWiA z dnia 3 czerwca 1998 r., w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych ( Dz. U. 1998.80.521, zmienione rozporządzeniem MSWiA z dnia 1 października 2001 r., (Dz. U. 2001.121.1306); Rozporządzenie Ministra Finansów z dnia 31 października 2003 r., w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia ( Dz. U. 2003.193.1889 ); Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych( Dz. U. 2004.100.1024 ); Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r., w sprawie technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych ( Dz. U. 2004.127.1323 ); ODBI 2 4
Najważniejsze akty prawne (3) Rozporządzenie Ministra Finansów z dnia 31 pazdziernika 2003 r., w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia ( Dz. U. 2003.193.1889 ); Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r., w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych( Dz. U. 2004.100.1024 ); Rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r., w sprawie technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych ( Dz. U. 2004.127.1323 ); Najważniejsze akty prawne (4) Rozporządzenie Ministra Gospodarki, Pracy i Polityki Społecznej z dnia 29 kwietnia 2004 r., w sprawie homologacji systemów informatycznych stosowanych w urządzeniach administracji publicznej realizujących zadania w zakresie świadczeń rodzinnych. ( Dz. U. 2004.127.1323 ); Rozporządzenie Ministra Gospodarki i Pracy z dnia 30 czerwca 2004 r., w sprawie homologacji systemów informatycznych stosowanych w Urzetach Pracy. ( D.U.2004.204.2085.); Ustawa z dnia 18 września 2001 r., o podpisie elektronicznym ( Dz.U.2001.130.1450 z późniejszymi zmianami ); Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r., w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów widywanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego ( Dz. U. 2002.128.1094 ); Ustawa z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz.U. 1999.11.95) ODBI 2 5
Znowelizowany w 1998 r Kodeks Karny uwzględnia zalecenia RE i postanowienia art.. 66 Układu Europejskiego Ściganiem objęte są czyny określone w rozdziale XXXIII KK Hakerstwo (art. 267 $1) Posłuch (art. 267 $2) Naruszenie integralności zapisu informacji (art. 268) Sabotaż komputerowy (art. 269 $1 i $2) Rozpowszechnianie wirusów (art. 268 $2 oraz art. 269) w rozdziale XXXV KK Kradzież programu (art. 278 $2) Kradzież karty bankomatowej (art. 278 $5) Oszustwo telekomunikacyjne (art. 285 $1) Oszustwo komputerowe (art. 287) Nowelizacja Kodeksu Karnego dokonana ustawą z dnia 24 października 2008 r. głównie w zakresie dotyczącym przestępstw z art. 267 1 i 2 KK, a także czynu z art. 269 a KK, jest wynikiem dostosowania (implementacji) polskiego prawa karnego w tym zakresie do Decyzji Ramowej Rady Unii Europejskiej z dnia 24 lutego 2005 r., w sprawie ataków na systemy informatyczne (2005/222/WSiSW) ODBI 2 6
Wspomniana Decyzja Ramowa zobowiązała państwa członkowskie do podjęcia niezbędnych środków w celu kryminalizacji następujących zachowań: 1. nielegalnego dostępu do systemów informatycznych polegającego na umyślnym, bezprawnym dostępie do całości lub części systemu informatycznego 2. nielegalnej ingerencji w system polegającej na umyślnym, poważnym naruszeniu lub przerwaniu funkcjonowania systemu informatycznego 3. nielegalnej ingerencji w dane mającej postać umyślnego, bezprawnego usunięcia, uszkodzenia, pogorszenia, zmiany, zatajania lub uczynienia niedostępnymi danych komputerowych 4. kierowania, pomagania, podżegania oraz usiłowania w zakresie czynów określonych w art. 2, 3 i 4 Decyzji Ramowej (art. 5), Kodeks karny wybrane artykuły Art. 115. [ ] Dokumentem jest każdy przedmiot lub zapis na komputerowym nośniku informacji,. [ ] Art. 165. Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. ODBI 2 7
Kodeks karny wybrane artykuły Art. 267. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do Kodeks karny - pełny tekst ustawy. Stan prawny na 6 lipca 2009 roku. której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. [ ] Kodeks karny Art. 268. 1Kto nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat 2. 2. Jeżeli czyn ten dotyczy zapisu na komputerowym nośniku informacji sprawca podlega karze pozbawienia wolności do lat 3. 3. Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. [ ] ODBI 2 8
Kodeks karny Art. 269. 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub organizacji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. 2.Tej samej karze podlega, kto dopuszcza się takiego czynu, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji. [ ] Kodeks karny Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. ODBI 2 9
Kodeks karny Art. 269b. 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 1 pkt 4, art. 267 3, art. 268a 1 albo 2 w związku z 1, art. 269 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. [ ] Kodeks karny Art. 270. 1. Kto, w celu użycia za autentyczny, podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności od 3 miesięcy do lat 5. [ ]. ODBI 2 10
Ochrona danych osobowych Ustawa z dn. 29.08.1997 o ochronie danych osobowych Dz. U. z dn. 29.10.1997 Administrator danych osobowych jest zobowiązany zapewnić kontrolę i zabezpieczenie przepływu informacji oraz fizyczne bezpieczeństwo urządzeń i nośników służących do przechowywania danych. Musi prowadzić ewidencję osób uprawnionych do dostępu Osoba uprawniona jest zobowiązana do zachowania tajemnicy, również po ustaniu zatrudnienia. Zgodnie z Rozporządzeniem Ministra SWiA w sprawie określenia podstawowych warunków technicznych i organizacyjnych jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych (1998) powinien wyznaczyć administratora bezpieczeństwa informacji. Odpowiada on za bezpieczeństwo w systemie informatycznym Ochrona informacji niejawnych Dostęp do tego typu informacji reguluje Ustawa 22.01.1999 o ochronie informacji niejawnych Dz. U. z dn. 8.02.1999 wraz z 12 rozporządzeniami wykonawczymi informacje niejawne Mogą być udostępniane jedynie osobom upoważnionym Muszą być wytwarzane, przechowywane, przekazywane lub przetwarzane w sposób odpowiedni dla ich klauzuli tajności Muszą być chronione. Środki określa rozdz. 9. Ustawy. ODBI 2 11
Ochrona informacji niejawnych. Szczególne Wymagania Bezpieczeństwa (SWB) jest dokumentem tworzonym w celu dopuszczenia systemu lub sieci teleinformatycznej do wytwarzania, edytowania lub/i archiwizacji dokumentów niejawnych posiadających klauzulę ZASTRZEŻONE, POUFNE, TAJNE i ŚCIŚLE TAJNE. Dokument ten określa budowę, konfigurację, specyfikę pracy oraz zagrożenia systemu lub sieci teleinformatycznej, wynikające z niepowołanego dostępu do danych niejawnych. Organem zatwierdzającym SWB są służby ochrony państwa, czyli Agencja Bezpieczeństwa Wewnętrznego i Służba Kontrwywiadu Wojskowego. Szczególne Wymagania Bezpieczeństwa (SWB), Podmioty w których konieczne jest opracowanie SWB Sejm Rzeczypospolitej Polskiej; Senat Rzeczypospolitej Polskiej; prezydent Rzeczypospolitej Polskiej; organy administracji rządowej; organy jednostek samorządu terytorialnego; sądy i trybunały; organy kontroli państwowej; organy ochrony prawa; Siły Zbrojne Rzeczypospolitej Polskiej; Narodowy Bank Polski; banki państwowe; państwowe osoby prawne; państwowe jednostki organizacyjne; przedsiębiorcy; jednostki naukowe lub badawczo-rozwojowe ubiegające się o zawarcie lub wykonujące umowy związane z dostępem do informacji niejawnych, dotyczące realizacji zadań opłacanych w całości lub w części ze środków publicznych, w rozumieniu przepisów ustawy z dnia 10 czerwca 1994 r. o zamówieniach publicznych (Dz. U. z 1998 r. Nr 119, poz. 773). ODBI 2 12
Kodeks Pracy Art.100 2. Pracownik jest obowiązany w szczególności: 1) przestrzegać czasu pracy ustalonego w zakładzie pracy, 2) przestrzegać regulaminu pracy i ustalonego w zakładzie pracy porządku, 3) przestrzegać przepisów oraz zasad bezpieczeństwa i higieny pracy, a także przepisów przeciwpożarowych, 4) dbać o dobro zakładu pracy, chronić jego mienie oraz zachować w tajemnicy informacje, których ujawnienie mogłoby narazić pracodawcę na szkodę, 5) przestrzegać tajemnicy określonej w odrębnych przepisach, 6) przestrzegać w zakładzie pracy zasad współżycia społecznego Ustawa o zwalczaniu nieuczciwej konkurencji: Art.11 ust.4: Przez tajemnicę przedsiębiorstwa rozumie się nieujawnione do wiadomości publicznej informacje techniczne, technologiczne, organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności. ODBI 2 13
Źródła dobrych praktyk normy polskie i międzynarodowe metody projektowania rozwiązań rekomendacje branżowe Źródła dobrych praktyk ODBI 2 14
Źródła dobrych praktyk PN-I-13335 Technika informatyczna.-wytyczne do zarządzania bezpieczeństwem systemów informatycznych. PN-I-13335-1: 1999 Pojęcia i modele bezpieczeństwa systemów informatycznych ISO/IEC TR 13335-2:1997 Zarządzanie i planowanie bezpieczeństwa systemów informatycznych ISO/IEC TR 13335-3:1998 Techniki zarządzania bezpieczeństwem systemów informatycznych ISO/IEC TR 13335-4:2000 Dobór zabezpieczeń ISO/IEC TR 13335-5:2001 Zabezpieczenia połączeń zewnętrznych PN ISO/IEC 15408 Technika informatyczna - Techniki zabezpieczeń - Kryteria oceny zabezpieczeń informatycznych PNISO/IEC 15408-1 : 2002 Kryteria oceny zabezpieczeń. Model ogólny PNISO/IEC 15408-2: 2005 Wymagania bezpieczeństwa funkcjonalnego PNISO/IEC 15408-3: 2005 Wymagania uzasadnienia zaufania do zabezpieczeń PN ISO/IEC 17799: 2003 Praktyczne zasady zarządzania bezpieczeństwem informacji PN ISO27001: 2006 Wytyczne do stosowania Źródła dobrych praktyk metoda COBIT (www.isaca.org.pl) (Control Objectives for Information and related Technology) - standard opracowany przez ISACA oraz IT Governance Institute, zbiór dobrych praktyk z zakresu IT Governance, które mogą być wykorzystywane w szczególności przez audytorów systemów informatycznych. COBIT 4.1 opisuje 34 wysokopoziomowe procesy, które obejmują 210 celów kontrolnych pogrupowanych w czterech domenach: planowanie i organizacja nabywanie i wdrażanie, dostarczanie i wsparcie, monitorowanie i ocena COBIT został wskazany w Rekomendacji D, dotyczącej zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki, wydanej przez Generalny Inspektorat Nadzoru Bankowego, jako jeden z uznanych standardów międzynarodowych, dotyczących badania i oceny bezpieczeństwa informacji w systemach informatycznych. ODBI 2 15
Źródła dobrych praktyk metodyka TISM (www.ensi.net) (Total Information Security Management) metodyka opracowana przez European Network Security Institute wspierająca określenie wymagań bezpieczeństwa; uszczegółowienie wymagań dla grup informacji; spełnienie wymagań bezpieczeństwa przez systemy Krajowy odpowiednik normy ISO/IEC 17799, która jest odpowiednikiem brytyjskiego standardu BS7799-1 Zalecenia pozwalające określić wymagania przedsiębiorstwa co do bezpieczeństwa informacji oraz wybrać konieczne środki standardowy kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji ODBI 2 16
PN-ISO/IEC 27001:2007 Krajowy odpowiednik normy ISO/IEC 27001, która z kolei jest kontynentalnym odpowiednikiem brytyjskiego standardu BS 7799-2 Zalecenia związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem systemu zarządzania bezpieczeństwem informacji Podstawa dla rozwijania wewnętrznych standardów bezpieczeństwa Uzupełnienie odpowiednich regulacji i przepisów prawnych dotyczących ochrony informacji PN-ISO/IEC 27001:2007 Bezpieczeństwo informacji oznacza jej ochronę przed szerokim spektrum zagrożeń w celu zapewnienia Ciągłości działania Minimalizacji ryzyka Maksymalizacji zwrotu z inwestycji Maksymalizacji możliwości biznesowych ODBI 2 17
PN-ISO/IEC 27001:2007 jedenaście obszarów, mających wpływ na bezpieczeństwo informacji w organizacji: Polityka bezpieczeństwa; Organizacja bezpieczeństwa informacji; Zarządzanie aktywami; Bezpieczeństwo zasobów ludzkich; Bezpieczeństwo fizyczne i środowiskowe; Zarządzanie systemami i sieciami; Kontrola dostępu; Zarządzanie ciągłością działania; Pozyskiwanie, rozwój i utrzymanie systemów informatycznych; Zarządzanie incydentami związanymi z bezpieczeństwem informacji; Zgodność z wymaganiami prawnymi i własnymi standardami. PN-ISO/IEC 27001:2007 Zabezpieczenia uznawane za powszechną praktykę obejmują Dokument polityki bezpieczeństwa informacji Przypisanie odpowiedzialności w zakresie bezpieczeństwa informacji Uświadamianie, kształcenie i szkolenie w zakresie bezpieczeństwa informacji Zarządzanie podatnościami technicznymi Zarządzanie ciągłością działania Zarządzanie incydentami związanymi z bezpieczeństwem informacji ODBI 2 18
PN-ISO/IEC 27001:2007 Krytyczne czynniki sukcesu (Plan-Do-Check-Act) Planuj Ustanowienie polityki bezpieczeństwa, cele, zakres stosowania, procesy i procedury odpowiadające zarządzaniu ryzykiem oraz zwiększające bezpieczeństwo informacji tak, aby uzyskać wyniki zgodne z ogólnymi zasadami i celami instytucji. Wykonuj Wdrożenie i eksploatacja polityki bezpieczeństwa, zabezpieczeń, procesów i procedur. Sprawdź Szacowanie oraz tam, gdzie ma to zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, cele i praktyczne doświadczenia oraz przekazywanie kierownictwu wyników przeglądu. Działaj Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo, tak aby osiągnąć stałe doskonalenie ISMS PN-ISO/IEC 27001:2007 Poszczególne etapy modelu Planuj-Wykonuj-Sprawdź-Działaj są opisane w drugiej części normy (PN-I-07799-2) w rozdziale 4.2 (Ustanawianie i zarządzanie ISMS). Opisane są działania jakie instytucja musi podjąć na każdym z tych etapów. Każde z tych działań jest bezwzględnie wymagane przez normę. Norma zawiera opis zabezpieczeń, jakie należy stosować w celu minimalizacji ryzyka (Załącznik A). Stosowanie jest obligatoryjne. ODBI 2 19
Związki w zarządzaniu ryzykiem WYKORZYSTUJĄ ZAGROŻENIA VULNERABILITIES PODATNOŚCI CHRONIĄ ZWIĘKSZAJĄ ZWIĘKSZAJĄ PRZED ZABEZPIECZENIA ZMNIEJSZAJĄ RYZYKO RYZYKA NARAŻAJĄ ZASOBY REALIZOWANE PRZEZ ANALIZA WSKAZUJE ZWIĘKSZAJĄ WAGĘ POSIADAJĄ WYMAGANIA bezpieczeństwa WARTOŚCI STĄD Potencjalne NASTĘPSTWA skutki DLA TP Zarządzanie ryzykiem Accept Acknowledge that the risk exists, but apply no safeguard Transfer Shift responsibility for the risk to a third party (ISP, Insurance, etc.) Risk Mitigate Change the asset s risk exposure (apply safeguard) Avoid Eliminate the asset s exposure to risk, or eliminate the asset altogether ODBI 2 20
Zarządzanie ryzykiem Zarządzanie ryzykiem Identyfikacja ryzyka Jakościowa analiza ryzyka Ilościowa analiza ryzyka Planowanie reakcji na ryzyko Monitorowanie i kontrolowanie ryzyka Polityka bezpieczeństwa Polityka bezpieczeństwa stanowi element polityki biznesowej firmy. Jest to formalny dokument opisujący strategię bezpieczeństwa. Realizacja polityki bezpieczeństwa podlega oczywistym etapom: zaprojektowanie, zaimplementowanie, zarządzanie (w tym monitorowanie i okresowe audyty bezpieczeństwa). ODBI 2 21
Polityka bezpieczeństwa Zakres tematyczny polityki bezpieczeństwa: definicja celu i misji polityki bezpieczeństwa, standardy i wytyczne, których przestrzegania wymagamy, kluczowe zadania do wykonania, zakresy odpowiedzialności. Polityka bezpieczeństwa Polityka bezpieczeństwa powinna określać środki jej realizacji takie jak: ochrona fizyczna, polityka proceduralno-kadrowa (odpowiedzialność personalna), Środki techniczne. ODBI 2 22
Polityka bezpieczeństwa Podstawowe zasady opracowywania polityki bezpieczeństwa: inicjatywa w zakresie bezpieczeństwa informacji musi wyjść ze strony kierownictwa, ostateczną odpowiedzialność za bezpieczeństwo informacji ponosi kierownictwo, tylko, gdy kierownictwo jest zainteresowane bezpieczeństwem, zadania w tym zakresie są traktowane poważnie, wszystkie strategie i procedury powinny odzwierciedlać potrzeby ochrony dane powinny być chronione niezależnie od nośnika, na którym występują, w skład zespołu d/s zarządzania bezpieczeństwem muszą wejść przedstawiciele praktycznie wszystkich komórek organizacyjnych, każdy powinien sobie uświadomić sobie własną odpowiedzialność za utrzymywanie bezpieczeństwa. (konieczność szkoleń i motywacji) Polityka bezpieczeństwa Schemat postępowania przy opracowywaniu polityki bezpieczeństwa Planowanie zaprojektowanie polityki bezpieczeństwa, określenie pożądanego poziomu bezpieczeństwa, powołanie zespołu d/s zarządzania bezpieczeństwem, opracowanie polityki bezpieczeństwa; opracowanie koncepcji bezpieczeństwa. Realizacja wdrożenie zaplanowanych przedsięwzięć bezpieczeństwa, szkolenie personelu w zakresie bezpieczeństwa. Eksploatacja -utrzymywanie bezpieczeństwa (proces ciągły) Okresowe audyty Wprowadzanie zmian ODBI 2 23
Strategia bezpieczeństwa Polityka bezpieczeństwa Dokumenty tworzone w trakcie budowy polityki bezpieczeństwa informacji zgodnie z metodologią TISM 1. Polityka Bezpieczeństwa Informacji, 2. Zasady Zarządzania Bezpieczeństwem Informacji, Polityki bezpieczeństwa dla poszczególnych grup informacji, 3. Polityki bezpieczeństwa dla wszystkich systemów przetwarzania informacji chronionych 4. szczegółowe procedury i instrukcje, regulaminy dla wszystkich użytkowników i administratorów oraz 5. standardy bezpieczeństwa dla systemów przetwarzania. ODBI 2 24
Polityka bezpieczeństwa Zawartość dokumentu (grupa 2) wg metodologii TISM Polityka Bezpieczeństwa Grupy Informacji chronionych. 1. Cel Należy podać, że dokument jest wypełnieniem założeń Polityki Bezpieczeństwa Informacji w stosunku do danej grupy informacji chronionych 2. Zakres Definicja zakresu informacji należących do danej grupy. 3. Dostęp do informacji kryteria uzyskania dostępu (role) do informacji, wymogi prawne, co do osób 4. Zarządzanie informacją lista: Administratora Informacji oraz Administratora Bezpieczeństwa Informacji. 5. Przetwarzanie informacji wymogi bezpieczeństwa dla systemów przetwarzania informacji danej grupy 6. Archiwizowanie informacji zasady archiwizacji informacji z grupy, system, procedura 7. Postępowanie w sytuacjach kryzysowych zasady postępowania, priorytety w sytuacji kryzysowej Polityka bezpieczeństwa Przykład dokumentu (grupa 4) wg metodologii TISM procedura zakładania/modyfikacji/usuwania konta dostępu w systemie przetwarzania informacji chronionych. 1. CEL PROCEDURY warunki i sposób zakładania/ modyfikacji/usuwania konta w systemie. 2. WYMAGANIA Istnienie ról Główny Administrator Bezpieczeństwa Informacji (GABI), Administratorzy Informacji (AI) dla wszystkich grup informacji Administratorzy Bezpieczeństwa Informacji (ABI) Administrator Bezpieczeństwa Systemu (ABS) Administratorzy Systemu danego systemu przetwarzania. 3. ZAKRES STOSOWANIA kogo obowiązuje procedura: stanowiska i nazwa jednostki organizacyjnej. 4. OPIS Procedura ma zapewnić, że zakładanie/modyfikacja/usuwanie konta w systemie przetwarzania (nazwa) odbywać się będzie w sposób zgodny z Polityką Bezpieczeństwa Informacji. ODBI 2 25
Polityka bezpieczeństwa Przykład dokumentu (grupa 4) wg metodologii TISM procedura zakładania/modyfikacji/usuwania konta dostępu w systemie przetwarzania informacji chronionych. cd. 5. WEJŚCIE co stanowi początek (wniosek) 6. WYJŚCIE co stanowi zakończenie procesu.: Założone/zmodyfikowane/usunięte konto w systemie przetwarzania (nazwa). 7. STANDARD standardy postępowania oraz dokumenty Formularz wniosku o założenie/modyfikację/usuniecie Wykaz praw dostępu do informacji danego użytkownika rola dostępu Standard Przesyłania Haseł do użytkownika Rejestr Użytkowników Grupy Informacji Rejestr Użytkowników Systemu Przetwarzania Księga podpisów i pieczęci osób wnioskujących i zatwierdzających Standard Komunikacji miedzy rolami AI, ABI, ABS, AS, GABI 8. PROCES szczegółowy opis procesu zakładania/modyfikacji/usunięcia konta 9. Lista kontaktów kontakty do osób odpowiedzialnych za procedurę 10. KONIEC PROCEDURY Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 0 - Brak świadomości Brak zdefiniowania wymagań bezpieczeństwa bezpieczeństwo traktowane jako problem poszczególnych użytkowników ODBI 2 26
Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 1 - Początkowy świadomość potrzeby Kierownictwo uważa to za problem IT (typu: prawa dostępu, ochrona antywirusowa) Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 2 - Intuicyjny Próby tworzenia zabezpieczeń Brak jednolitego podejścia Efekty zależne od zaangażowania osób zainteresowanych ODBI 2 27
Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 3 - Zdefiniowany Zdefiniowane zasady (w tym Polityka bezpieczeństwa) w całej organizacji Procedury bezpieczeństwa są utrzymywane i komunikowane Brak kontroli stosowania Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 4 - Zarządzany Jednolite podejście dla wszystkich komórek i wszystkich rozwiązań obowiązuje perspektywa biznesu Funkcjonuje mechanizm kontroli stosowania ODBI 2 28
Stopnie dojrzałości zarządzania bezpieczeństwem informacji Stopień 5 - Optymalizowany świadome zarządzanie ryzykiem zgodność strategii bezpieczeństwa ze strategią biznesową Zapewnianie bezpieczeństwa jako proces (wiedza, doskonalenie) ODBI 2 29