System Zarządzania Bezpieczeństwem Informacji Na podstawie materiałów ISO27001Security Opracował Tomasz Barbaszewski
Informacja, podobnie jak inne ważne aktywa Organizacji jest niezbędna dla jej działania oraz stanowi dla niej wartość - a więc powinna być odpowiednio chroniona! BS ISO 27002:2005
Informacja może być: Utworzona Otrzymana Składowana Usunięta Przetwarzana Transmitowana Wykorzystana (właściwie lub nie) Uszkodzona Zagubiona Skradziona
Informacja może być: Wydrukowana lub zapisana na papierze Przechowywana w pamięci masowej Transmitowana pocztą zwykłą lub elektroniczną Prezentowana na urządzeniach video Publikowana na stronach WWW Przekazana ustnie W każdym jednak przypadku, niezależnie od formy, jaką informacja przybiera oraz w jaki sposób jest przekazywana lub składowana wymaga odpowiedniej ochrony! ISO/IEC 27002 (17799)
Czym jest bezpieczeństwo informacji? Zapewnieniem odpowiedniej jakości informacji Bezpieczeństwo informacji można osiągnąć stosując różne strategie Wykorzystywane strategie powinny się wzajemnie uzupełniać Celem bezpieczeństwa informacji jest zabezpieczenie realizacji istotnych procesów przez Organizację Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu!
Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji może zapewnić jedynie architektura, w której urządzenia, systemy, programy, wykrywanie podatności i zagrożeń współpracują ze sobą. Bezpieczeństwo nie może zasypiać! Dotyczy Ludzi, Procesów, Technologii i wykorzystuje polityki i procedury Celem jest bezpieczeństwo LPT a nie sprzętu! Bezpieczeństwa nie można kupić - o bezpieczeństwo trzeba zadbać samemu!
Czym jest bezpieczeństwo informacji? Ludzie Procesy Bezpieczeństwo informacji Technologie
Ludzie czyli kim jesteśmy? Z informacją mają do czynienia: Akcjonariusze, właściciele, politycy Kadra zarządzająca Pracownicy Partnerzy Dostawcy usług Podwykonawcy Klienci, petenci, pacjenci... Prawnicy...
Procesy czyli co robimy? Procesy to zestaw praktyk i procedur, które realizujemy eksploatując system teleinformatyczny System pomocy dla użytkowników (Help Desk) Zarządzanie dostępem do usług Raportowanie incydentów i zarządzanie nimi Zarządzanie dostępem Zarządzanie tożsamością Kontrola spełnienia wymagań prawnych Szkolenia...
Technologie czyli czego używamy? Oprogramowanie Systemy operacyjne, programy komunikacyjne, użytkowe (ogólnego przeznaczenia i specjalistyczne) Oprogramowania jako usługi (SaaS) Zabezpieczenia fizyczne Elektroniczne systemy dostępu, klucze, karty, czytniki biometryczne, kamery monitorujące... Zabezpieczenia środowiskowe: systemy P-Poż, wentylacja, klimatyzacja, zasilanie awaryjne.. Urządzenia dostępowe Komputery PC, Notebooki, Netbooki, PDA, Smarfony Terminale, stacje sieciowe, stacje WWW, infokioski Aparaty cyfrowe, drukarki, skanery, kopiarki...
Bezpieczeństwo informacji: 1. Zabezpiecza informację przed zagrożeniami 2. Zapewnia ciągłość działania Organizacji 3. Minimalizuje straty finansowe 4. Wpływa na zwrot kosztów inwestycji 5. Zwiększa możliwości Organizacji Przetrwanie Organizacji zależy od zapewnienia bezpieczeństwa informacji
Bezpieczeństwo informacji powinno zapewnić: Poufność Informacja jest dostępna tylko tym użytkownikom, którzy otrzymali odpowiednie uprawnienia Integralność Informacja jest kompletna, nie została w sposób niekontrolowany zmieniona i jest wiarygodna Dostępność Uprawnieni użytkownicy mają zapewniony dostęp do informacji kiedy jej potrzebują (24x7) ISO 27002:2005
Naruszenie bezpieczeństwa informacji prowadzi do: Utraty reputacji Strat finansowych Utraty kontroli nad własnością intelektualną Problemów prawnych (dane osobowe itp.) Utraty zaufania u klientów, partnerów, petentów... Kosztów związanych z przerwami w działalności straty dobrej opinii
Bezpieczeństwo informacji to wyzwanie organizacyjne, a nie problem informatyczny Ponad 70% to zagrożenia wewnętrzne Ponad 60%winowajców dopuściło się naruszenia procedur bezpieczeństwa po raz pierwszy Największe ryzyko: Ludzie Najważniejszy kapitał: Ludzie
Zagrożenie wykorzystuje Podatność zabezpiecza zwiększa zwiększa zagraża Działanie redukuje RYZYKO Informacja wymusza określa zwiększa posiada Wymagania zabezpieczeń Wartość
Zagrożenia i ich skutki Zagrożenie: Człowiek Maszyna Natura Utrata: Poufności Integralności Dostępności Zagrożenia mogą być przypadkowe lub powodowane celowo. Jedynie zagrożenia powodowane przez ludzi Mogą być zarówno przypadkowe, jak i celowe.
Zagrożenia i ich źródła Zagrożenie Błędy i pomyłki ludzkie Naruszenia praw autorskich Szpiegostwo lub kradzież danych Nieuprawnione korzystanie z informacji Sabotaż i wandalizm Kradzieże Ataki programistyczne Zakłócenia w dostawie usług Siły natury Defekty sprzętowe i programowe Błędy eksploatacyjne Przykłady Brak wiedzy, przeszkolenia, przypadki Piractwo, przekraczanie licencji Nieautoryzowany dostęp, kradzieże Szantaż, publikacja informacji Uszkodzenie sprzętu lub/i informacji Kradzież sprzętu, nośników z danymi Wirusy, konie trojańskie, blokada dostępu Zasilanie, transmisja danych Ogień, powódź, huragan Błędy w kodach, uszkodzenia Brak aktualizacji, kontroli baterii
Normy SZBI: PN-ISO/IEC 27001 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania PN-ISO/IEC 17799 (ISO 27002) Technika informatyczna Techniki bezpieczeństwa Praktyczne zasady zarządzania bezpieczeństwem Informacji Norma ISO 27001 obejmuje ogółem 133 punkty kontrolne podlegające sprawdzeniu podczas certyfikacji. ISO 27002 (w Polsce 17799) zalecenia obejmujące 11 obszarów.
11 obszarów SZBI: Zgodność z prawem Polityka bezpieczeństwa informacji Organizacja bezpieczeństwa informacji Planowanie ciągłości działania Poufność Integralność Zarządzanie aktywami Zarządzanie incydentami Akwizycja, eksploatacja i modernizacja INFORMACJA Dostępność Bezpieczeństwo fizyczne Zarządzanie zasobami ludzkimi Kontrola dostępu Zarządzanie operacjami i komunikacją
Polityka bezpieczeństwa Podlega zatwierdzeniu przez Zarząd Organizacji Powinna być dostępna dla pracowników Organizacji (np. opublikowana w Intranecie), Określa: - co jest przedmiotem ochrony, - metody ochrony krytycznych zasobów, - odwołuje się do polityk szczegółowych, - procedury postępowania, - deklarację stosowania.
Księga bezpieczeństwa Dokument wewnętrzny o układzie zgodnym z Załącznikiem A normy PN-ISO/IEC 27001 Jest podzielona na rozdziały odpowiadające obszarom zdefiniowanym przez normę. Określa stanowisko Organizacji, zastosowane mechanizmy zabezpieczające oraz wyłączenia. Ułatwia wewnętrzną organizację systemu zarządzania bezpieczeństwem informacji. Zawiera odwołania do dokumentów zawierających postanowienia i procedury SZBI.
Klasyfikacja informacji Klasyfikacja informacji jest niezbędna do jej ochrony Informacje poufne - o zasadniczym znaczeniu dla organizacji, dostępne tylko dla osób, którym są niezbędne do realizacji zadań. Do użytku wewnętrznego istotne dla działania organizacji, udostępniane bez ograniczeń dla pracowników Organizacji lub na podstawie porozumień o zachowaniu poufności. Publiczne udostępniane bez ograniczeń, przeznaczone do nieograniczonej publikacji.
Klasyfikacja informacji Informacja Dostępność Integralność Poufność 1 2 3 1 2 3 1 2 3 Atrybutom jakości informacji przypisujemy wartości niską, średnią i wysoką
Zarządzanie zasobami ludzkimi Ochrona informacji wymaga selektywnej dystrybucji Pracownicy Organizacji - określenie ról i odpowiedzialności Partnerzy z zawartymi porozumieniami o poufności Podwykonawcy, dostawcy, odbiorcy Klienci, petenci...
Kontrola dostępu - - ochrona fizyczna Przestrzegaj ustalonych procedur dostępu Zawsze noś identyfikator lub kartę dostępu Zwracaj uwagę na osoby bez identyfikatorów Przyjmuj gości i interesantów jedynie w wyznaczonych pomieszczeniach Nie wprowadzaj obcych osób do chronionych pomieszczeń bez istotnej potrzeby i zezwolenia Nie wynoś nośników z informacją poza strefy chronione Nie rób zbędnych kopii informacji na wszelki wypadek Nie wnoś do stref chronionych nośników danych pamięci USB, przenośnych dysków twardych itp.
Kontrola dostępu - - ochrona haseł Stosuj hasła zawierające znaki specjalne - @,$,&,~ itp. Używaj haseł, które możesz łatwo zapamiętać Zmieniaj hasła dostępu zgodnie z zaleceniami Przy zmianie hasła nie używaj haseł, których używałeś poprzednio. Nie używaj haseł słownikowych lub łatwych do odgadnięcia przez osoby, które Cię znają Nigdy nie zapisuj haseł oraz nie przechowuj ich bez zachowania reguł bezpieczeństwa (np. w telefonie komórkowym) Nie przekazuj haseł w żaden sposób. Dla potrzeb serwisowych używaj haseł tymczasowych. Nie używaj haseł odrzuconych przez system podczas weryfikacji ich złożoności.
Kontrola dostępu - - korzystanie z Internetu Korzystaj z Internetu wyłącznie do celów służbowych Nie zestawiaj dodatkowych połączeń z Internetem (np. telefonicznych połączeń modemowych) Nie korzystaj z materiałów obscenicznych itp. Nie korzystaj z serwisów aukcyjnych jeśli nie należy to do Twoich obowiązków służbowych Nie używaj Internetu w celu uzyskania nieuprawnionego dostępu do innych komputerów Nie kopiuj z sieci żadnych programów, nie instaluj ich na swoim komputerze. Czynności te może realizować jedynie dział IT.
Korzystanie z E-mail: Służbowe konto E-mail może być używane wyłącznie do celów służbowych Przechowuj pocztę elektroniczną zgodnie z procedurami W przypadku otrzymania niechcianej poczty poinformuj o tym administratora serwera oraz bezpieczeństwa Nie używaj służbowego konta E-mail do celów prywatnych Nie wysyłaj korespondencji seryjnej bez polecenia przełożonych Nie wysyłaj poczty elektronicznej do klientów jeśli nie należy to do Twoich obowiązków Nie otwieraj żadnych załączników poczty otrzymanej od nieznanych nadawców Nie wysyłaj poczty bez informacji o jej przeznaczeniu lub bez stosowania odpowiednich zabezpieczeń (podpisu elektronicznego, szyfrowania itp.).
Zarządzanie incydentami: Incydenty powinny być zgłaszane: Pocztą elektroniczną na specjalny adres Telefonicznie na określony numer Anonimowo (skrzynki uwag) Zgłaszane powinny być zarówno incydenty związane z IT atak wirusowy, spam, hacking jak i nie związane bezpośrednio z IT np. ruch nieznanych osób, blokada samozamykaczy drzwi, wykorzystywanie nośników przenośnych... Informacji o incydentach nie należy upowszechniać W żadnym przypadku nie wolno zapobiegać zgłoszeniu incydentu
Odpowiedzialność użytkownika Dbałość o aktualność oprogramowania zabezpieczającego Zabezpieczenie systemu podczas nieobecności przy stanowisku Przechowywanie komputera przenośnego i nośników danych w zamykanych szafach Zachowanie najwyższej ostrożności podczas korzystania z komputera przenośnego poza Organizacją Zabezpieczenie komputera przenośnego przed utratą lub kradzieżą Zabezpieczenie ekranu komputera przez możliwością odczytania informacji (np. podczas pracy w pociągu lub samolocie) Upewnienie się, że istotne aktywa informacyjne są należycie chronione Znajomość prawa związanego z ochroną informacji, własności intelektualnej, danych osobowych itp. Weryfikowanie autentyczności poczty elektronicznej otrzymywanej z nieznanych adresów sieciowych Wyłączanie zasilania komputera po zakończeniu pracy, Doskonalenie własnej wiedzy o ochronie informacji
Przeszkoleni i świadomi użytkownicy gwarantują skuteczniejszą ochronę informacji niż najlepsze programy zabezpieczające!