Zarządzanie Jakością Teoria i praktyka ochrony informacji Dr Mariusz Maciejczak
Informacja Informacja jest czynnikiem, który zwiększa naszą wiedzę o otaczającej nas rzeczywistości W. Flakiewicz Bez materii nie ma nic, bez energii wszystko jest nieruchome, bez informacji jest chaos E. Niedzielska Informacja to taki rodzaj zasobów, który pozwala na zwiększenie naszej wiedzy o nas i otaczającym nas świecie J. Kisielnicki i H. Sroka
Piramida Mądrości
Przetworzone dane podstawą podejmowania decyzji
To właśnie konieczność dzielenia się fragmentaryczną wiedzą z innymi w grupie, niezbędna dla osiągnięcia założonych (ukrytych przed innymi członkami populacji) celów, wywołała potrzebę ochrony informacji, stworzyła formy i metody niezbędne do jej realizacji. Informacja a wiedza Człowiek od zarania dziejów wykorzystywał wiedzę dla siebie, ukrywał przed innymi i manipulował nią dla własnych (osobistych, plemiennych czy też narodowych) celów.
Ochrona informacji Rozwijała się różnymi drogami (od szyfru Cezara po steganografię), ale zawsze chodziło przede wszystkim o ogólnie rozumianą ochronę istotnych wartości dotyczących ludzi (pieniądza Fenicjanie, tajemnic wiary templariusze, tajemnic grupy loże masońskie itd.) na poziomie maksymalnego, możliwego do osiągnięcia bezpieczeństwa. Czy pojedynczy człowiek, sam z siebie, jest w stanie na tyle opanować swoje świadome i nieświadome (mowa ciała) reakcje, aby nie poddać się bezpośredniej ocenie i odczytowi własnych emocji (kod werbalny, werbalne zachowania maskujące wokalne i wizualne sygnały stanu) w odniesieniu do chronionych przezeń informacji?
Ochrona informacji jako dziedzina nauki SECURITOLOGIA Pierwsze publikacje podejmujące próbę wyodrębnienia nauki o zarządzaniu bezpieczeństwem życia człowieka securitologii jako dyscypliny naukowej pochodzą z lat 90. ubiegłego wieku. Samego określenia securitologia (Секюритология ) z propozycją jego definicji użył w 1989 roku w Rosji W.I. Jaroczkin, który w sposób nowatorski wskazał na wyodrębniającą się wśród innych dyscyplin naukowych nową naukę o bezpieczeństwie życia człowieka. Szerzej informują o samym problemie i sposobach jego badania, liczne prace polskich naukowców z tej dziedziny: Janusza Świniarskiego, Stanisława Piochy, Leszka Korzeniowskiego, Jana Maciejewskiego i innych.
Tekst jawny IP L 0 R 0 f K 1 L1 R 0 L2 R 1 f R R 1 L0 K f ( R0, 1) 2 L1 K f ( R1, 2 ) K 2 NP. Schemat szyfrowania algorytmem DES L15 R 14 R 15 L14 K f ( R14, 15) K 16 R 15 L14 K f ( R14, 15) IP Szyfrogram
Społeczeństwo informacyjne a bezpieczeństwo informacji W bezpiecznym społeczeństwie informacyjnym ( trzeciej fali wg A. H. Tofflerów*) wszelkie działania muszą i powinny opierać się na świadomym kontrolowaniu bezpieczeństwa ogólnego przez nadzorowanie bezpieczeństwa informacji tej, którą gromadzimy, wykorzystujemy i udostępniamy otoczeniu. Inżynieria bezpieczeństwa informacji to przede wszystkim umiejętność analizowania otoczenia pod względem zbierania i wykorzystywania każdej z wielu dostępnych danych i jego analizy na potrzeby bieżące bezpieczeństwa instytucji/organizacji/grupy społecznej. * Alvin i Heidi Toffler: Trzecia fala (1980, wyd. polskie: 1989).
Bezpieczeństwo informacji obrona informacyjna, która polega na uniemożliwieniu i utrudnieniu zdobywania danych o fizycznej naturze aktualnego i planowanego stanu rzeczy i zjawisk we własnej przestrzeni funkcjonowania oraz utrudnianiu wnoszenia entropii informacyjnej do komunikatów i destrukcji fizycznej do nośników danych Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003.
Poczucie bezpieczeństwa W odniesieniu do postrzegania i poszukiwania poczucia bezpieczeństwa warto wziąć pod uwagę model zaprezentowany przez D. Frei a, który uwzględnia cztery elementy: stan braku bezpieczeństwa w którym występuje rzeczywiste i istotne zagrożenie zewnętrzne, którego postrzeganie jest adekwatne, stan obsesji w którym niewielkie zagrożenie postrzega się jako duże, stan fałszywego bezpieczeństwa w którym istotne zagrożenie postrzegane jest jako niewielkie, stan bezpieczeństwa w którym zagrożenie zewnętrzne jest niewielkie, a jego postrzeganie prawidłowe.
Podział zagrożeń informacyjnych
Składowe bezpieczeństwa informacji
Trzeba pamiętać, że przyczyną kryzysu jest zawsze najsłabiej chroniony element 9 8 10 6 7 1 5 2 3 4
Analiza funkcjonalna w kontekście metod biometrycznych
Podejście praktyczne do SZBI Istotnym, żeby nie powiedzieć głównym, elementem budowania warunków bezpieczeństwa i przeciwstawiania się zagrożeniom jest wiedza menedżera o charakterze samych zagrożeń oraz jego sposób komunikowania się z personelem zarządczym średniego szczebla i pracownikami otwarty, bezpośredni (o ile to możliwe), na poziomie ich percepcji, co w dobie rozwoju współczesnych środków przekazu zapewnia nieosiągalną w innym układzie pełnię porozumienia (werbalny i niewerbalny kontakt osobisty). Uzupełnieniem jest wnikliwa strategiczna analiza systemowa wdrożonej polityki bezpieczeństwa, znajomość jej zasad i umiejętność skutecznego odwołania się do jej ustaleń na każdym (polityki cząstkowe/procedury) poziomie działania
Sposoby budowy wysokiego poziomu systemu bezpieczeństwa informacji Polityka Standardy DLACZEGO CO Procedury Wytyczne i Plany JAK
Współzależności biznesu i systemu IT
Bezpieczeństwo informacji to nie tylko bezpieczeństwo IT System kontroli bezpieczeństwa informatycznego dużej firmy w USA
Klasyfikacja stopnia poufności danych Informacja publiczna Informacja do użytku wewnętrznego Informacja prywatna Własność zastrzeżona firmy Informacja poufna firmy Tajemnica Przedsiębiorstwa Tajemnica Państwowa
ol i vet t i oliv eti Ta sama osoba może mieć wtedy dostęp do jednych zasobów i brak dostępu do innych zasobów Dostęp Udzielony Program Sterujący Komputer PC Brak Dostępu Drzwi 1 Drzwi 2
Sposób automatycznej analizy odcisku palca
Identyfikacja typu coś co masz tokeny Sprawdzanie kart magnetycznych lub chipowych
Bezpieczeństwo systemu komputerowego stan systemu komputerowego, w którym ryzyko urzeczywistnienia się zagrożeń związanych z jego funkcjonowaniem jest ograniczone do akceptowalnego poziomu.
Słabe punkty sieci komputerowych
Klasyfikacja zagrożeń 1: ze względu na charakter przyczyny: świadoma i celowa działalność człowieka - chęć rewanżu, szpiegostwo, wandalizm, terroryzm, chęć zaspokojenia własnych ambicji wydarzenie losowe - błędy i zaniedbania ludzkie, awarie sprzętu i oprogramowania, temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia w zasilaniu, klęski żywiołowe, wyładowania atmosferyczne, katastrofy
Klasyfikacja zagrożeń 2: ze względu na umiejscowienie źródła zagrożenia: wewnętrzne - mające swoje źródło wewnątrz organizacji użytkującej system informacyjny zewnętrzne - mające swoje źródło na zewnątrz organizacji (poprzez sieć komputerową, za pośrednictwem wirusów komputerowych)
Typy najczęściej spotykanych zagrożeń w sieci komputerowej fałszerstwo komputerowe, włamanie do systemu, czyli tzw. hacking, oszustwo, a w szczególności manipulacja danymi, manipulacja programami, oszustwa, jakim są manipulacje wynikami, sabotaż komputerowy, piractwo, podsłuch, niszczenie danych oraz programów komputerowych
Najwygodniejsze dla konstruktorów systemów informatycznych są metody oparte na hasłach lub PIN Wadą jest ryzyko, że użytkownik zapomni hasło lub że intruz wejdzie nielegalnie w posiadanie hasła
Opracowano z wykorzystaniem artykułów: Blim M.: 2007. Teoria ochrony informacji. Cz. 1, 2, 3. Magazyn Zabezpieczenia. Blim M.: 2009. Normalizacja w zarządzaniu bezpieczeństwem - nowe spojrzenie. Magazyn Zabezpieczenia. Jabłoński M., Mielus M.: 2009: Zagrożenia bezpieczeństwa informacji w przedsiębiorstwie. Magazyn Zabezpieczenia
Zarządzanie Jakością System Zarządzania Bezpieczeństwem Informacji - NORMALIZACJA Dr Mariusz Maciejczak
Bezpieczeństwo Informacji Norma PN-ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji - Wymagania.
Historia normy
Norma PN-ISO/IEC 27001: 2007 Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC 27001 Zastępuje normę PN-I-07799-2:2005 Obejmuje: Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji
Norma PN-ISO/IEC 27001: 2007
Norma ISO/IEC 27001:2007 Międzynarodowa norma ISO 27001 określa wymagania związane z: ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, Utrzymaniem, doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji.
Norma PN-ISO/IEC 27001: 2007 Norma ISO 27001 oparta jest na podejściu procesowym i wykorzystuje model Planuj Wykonuj Sprawdzaj Działaj (PDCA tj. Plan Do Check - Act ), który jest stosowany dla całej struktury procesów SZBI.
Zgodność z innymi systemami NORMY ZWIĄZANE: BS 7799-2:2002 standard brytyjski na podstawie którego opracowana została norma ISO/IEC 27001:2005 PN-ISO/IEC 27001:2007 polskie tłumaczenie normy ISO/IEC 27001:2005 ISO/IEC 17799:2005 norma zawierająca wytyczne, określające w jaki sposób spełnić poszczególne wymagania normy ISO/IEC 27001:2005 NORMY SPÓJNE: Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzania, np. dostosowana do ISO 9001:2000 i ISO 14001:2004 Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi systemami
ISO 27001 a ISO 1779
Zawartość normy Norma składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI oraz ciągłym doskonaleniem SZBI. Wszystkie wymagania zdefiniowane w części podstawowej powinny być spełnione. Podstawą ustanowienia oraz utrzymania SZBI jest określenie metody oraz przeprowadzenie analizy ryzyka.
Analiza ryzyka Mehari: metoda zarządzania i analizy ryzyka rozwijana przez CLUSIF - Club de la Sécurité de l'information Francis. CRAMM: "CCTA Risk Assessment and Management Methodology" metodyka pierwotnie opracowana na potrzeby rządu Wielkiej Brytani, w okresie późniejszym skomercjalizowana. W chwili obecnej jest własnością Insight Consulting, będącego częścią światowej grupy Siemens. OCTAVE: Operationally Critical Threat, Asset and Vulnerability Evaluation metodologia analizy ryzyka, będąca własnością CERT i przez nią utrzymywana. CiticusOne: komercyjne oprogramowanie stworzone przez Citicus, bazujące na jednej z najbardziej znanych metodyk analizy ryzyka zwanej FIRM, opracowanej przez Information Security Forum. ISO TR 13335: ten wielostronicowy raport techniczny opracowany przez ISO określany jako wytyczne do zarządzania bezpieczeństwem systemów informatycznych, będzie podstawą opracowywanego standardu ISO 27005 związanego z procesem zarządzania ryzykiem. AS/NZS 4360:2004: uznany standard, dotyczący zarządzania ryzykiem, opublikowany wspólnie z Australia Standards oraz New Zealand Standards. HB 436:2004: wytyczne do zarządzania ryzykiem rozszerzające standard AS/NZS 4360. NIST SP 800-30: wytyczne do zarządzania ryzykiem w systemach IT stworzone przez NIST. Proteus Enterprise: narzędzie przeznaczone do zarządzania ryzykiem w obszarze bezpieczeństwa, opracowane przez Veridion, a dystrybuowane przez BSI. ISO 31000: jest to nowy standard ISO, obecnie na etapie projektu, zawierający wytyczne w zakresie ogólnego implementowania procesu zarządzania ryzykiem. Standard nie jest opracowywany z myślą o IT czy bezpieczeństwie informacji.
Część podstawowa 39 obszarów wymagających kontroli 133 punkty kontrolne bezwzględnie wymagane przez normę
Zawartość normy 0. wprowadzenie 1. Zakres normy 2. Powołania 3. Terminologia i definicje 4. System zarządzania bezpieczeństwem informacji 5. Odpowiedzialność kierownictwa 6. Wewnętrzne audity SZBI 7. Przegląd dokonywany przez kierownictwo 8. Doskonalenie ISMS Zał. A. Cele sterowania i sterowanie (controls) Zał. B. Przewodnik do stosowania normy Zał. C. Korespondencja z ISO 9001 i ISO 14001 Zał. D. Różnice w numeracji
System Zarządzania Bezpieczeństwem Informacji 4.1. Wymagania podstawowe 4.2. Tworzenie i zarządzanie SZBI 4.2.1. Tworzenie SZBI 4.2.2. Wdrożenie i funkcjonowanie SZBI 4.2.3. Monitorowanie i przeglądy SZBI 4.2.4. Obsługa i doskonalenie SZBI 4.3 Wymagania dotyczące dokumentacji 4.3.1 Założenia 4.3.2. Nadzór nad dokumentami 4.3.3. Nadzór nad zapisami
Odpowiedzialność kierownictwa 5.1. Zaangażowanie kierownictwa 5.2. Zarządzanie zasobami 5.2.1 Dostępność zasobów 5.2.2. Szkolenie, uświadomienie i kompetencje
Przeglądy dokonywane przez kierownictwo 6.1. Założenia 6.2. Dane wejściowe 6.3. Dane wyjściowe 6.4. Audyty wewnętrzne
Doskonalenie 7.1. Ciągłe doskonalenie 7.2. Działania korygujące 7.3. Działania zapobiegawcze
Ciągłe doskonalenie
Ciągłe doskonalenie Planuj (ustanowienie ISMS) Opracuj politykę bezpieczeństwa, zadania, cele, procesy i procedury odpowiednie do określonego ryzyka i rosnącego bezpieczeństwa aby otrzymać wyniki zgodne zadaniami i polityką organizacji. Wykonaj (wdrożenie i stosowanie ISMS) Zastosuj i spowoduj rozpoczęcie funkcjonowania polityki bezpieczeństwa informacji, procesów i sterowania ISMS) Sprawdź (monitorowanie i przegląd ISMS) Sprawdzaj a gdzie to możliwe mierz wydajność procesów w stosunku do polityki bezpieczeństwa, zadań i doświadczeń praktycznych oraz raportuj wyniki zarządowi w celu dokonywania przeglądu Popraw (utrzymanie i doskonalenie ISMS) Wprowadzaj działania korygujące i zapobiegawcze w oparciu o wyniki przeglądów kierownictwa aby ciągle doskonalić ISMS.
Załącznik A Załącznik A - normatywny; Cele stosowania zabezpieczeń i zabezpieczenia Lista celów i zabezpieczeń podana w tym załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna rozważyć zastosowanie innych
Załącznik A zawiera wymagane zabezpieczenia podzielone na 11 obszarów: 1. A.5 Polityka bezpieczeństwa 2. A.6 Organizacja bezpieczeństwa informacji 3. A.7 Zarządzanie aktywami 4. A.8 Bezpieczeństwo zasobów ludzkich 5. A.9 Bezpieczeństwo fizyczne i środowiskowe 6. A.10 Zarządzanie systemami i sieciami 7. A.11 Kontrola dostępu 8. A.12 Pozyskiwanie, rozwój i utrzymanie systemów informatycznych 9. A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji 10.A.14 Zarządzanie ciągłością działania 11.A.15 Zgodność
Załączniki B i C Załącznik B - informacyjny Zasady OECD i Norma Międzynarodowa Wytyczne OECD dotyczące bezpieczeństwa systemów informacyjnych i sieci Załącznik C - informacyjny Opisuje powiązania z normami ISO 9001:2000 ISO 14001:2004
Zalety normy PN-ISO/IEC 27001: 2007 Dużą zaletą normy jest kompleksowe podejście do bezpieczeństwa informacji. Norma porusza obszary bezpieczeństwa fizycznego, osobowego, teleinformatycznego oraz prawnego. Jednocześnie norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na obszary, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma może być podstawą budowy SZBI w organizacjach małych jak i wielkich koncernach oraz może dotyczyć różnych sektorów branżowych.
Zalety normy PN-ISO/IEC 27001: 2007
Zasady kodeksowe normy ISO 17799
Przyszłość czy już konieczność dzisiaj? ISO/IEC 20000 Systemu zarządzania usługami informatycznymi BS 25999 Wytyczne do zarządzania ciągłością działania
ISO/IEC 20000 Fundamentem standardu jest pojęcie usługi informatycznej, z której korzysta organizacja a której dostarczeniem zajmuje się dział informatyki. Dostarczanie usług podlega zarządzaniu poprzez wymienione w normie procesy.
ISO/IEC 20000 Część pierwsza- określa wymagania zarządzania usługami IT i jest skierowana do osób odpowiedzialnych za zainicjowanie, wdrożenie i utrzymanie zarządzania usługami IT w organizacji. Część druga - najlepsze praktyki, prezentuje wytyczne dla audytorów oraz dostawców usług, którzy planują doskonalenie usług lub przeprowadzenie audytów.
ISO/IEC 20000 Wyróżniono 5 obszarów i 13 procesów: 1. Procesy dostarczania usług Zarządzanie poziomem usług Raportowanie poziomu usług Zarządzanie pojemnością Zarządzanie dostępnością i ciągłością działania Budżetowanie i rozliczanie usług Zarządzanie bezpieczeństwem informacji 2. Procesy relacji Zarządzanie relacjami z biznesem Zarządzanie relacjami z dostawcą 3. Procesy kontroli Zarządzanie konfiguracją Zarządzanie zmianą 4. Procesy naprawy Zarządzanie incydentem Zarządzanie problemem 5. Proces wersji Zarządzanie wersją
BS 25999 Seria BS 25999 dotyczy obszaru zarządzania ciągłością działania. BS 25999 został opracowany przez specjalistów pracujących w organizacjach z różnych krajów w oparciu o doświadczenie akademickie, techniczne i praktyczne w zarządzaniu ciągłością działania. Standard wprowadza systemowe podejście do zarządzania ciągłością działania w oparciu o dobre praktyki. Celem tego standardu jest zbudowanie pojedynczego źródła informacji pozwalającego zidentyfikować środki kontroli, które zgodnie z praktyką są niezbędne do zarządzania ciągłością działania. Standard może być wykorzystywany przez organizacje każdej wielkości w sektorach przemysłowym, handlowym, publicznym i non-profit.
Seria BS 25999 składa się z dwóch standardów Pierwszy BS 25999-1:2006 jest zbiorem wytycznych, które wprowadzają procesy, zasady i terminologię. Drugi BS 25999-2 jest standardem, w oparciu o który może być przyznany certyfikat zgodności. Określa on wymagania do wdrożenia środków kontroli ciągłości działania.
BS 25999-2 Jest to brytyjski standard opracowany przez BSI i opublikowany 20 listopada 2007 roku. Definiuje on wymagania związane z funkcjonowaniem systemu zarządzania ciągłością działania w organizacji. Wymagania zostały określone w stosunku do ustanowienia, wdrożenia, eksploatacji, przeglądu, testowania, utrzymania i doskonalenia systemu zarządzania ciągłością działania (Business Continuity Management System - BCMS). Standard pozwala utworzyć system zarządzania ciągłością działania, który może funkcjonować w ramach kompleksowego zarządzania ryzykiem działalności.
Inne standardy ISO/PAS 22399:2007, Societal security Guidelines for incident preparedness and operational continuity management (including the best of five documents), TR 19:2005: Technical reference for business continuity management (Singapore), CSA Z1600 Standard on emergency management and continuity programs (draft standard from Canadian Standards Association,) All Hazards Risk Management Systems Best Practices Standard: Requirements with Guidance for Use: A practical management systems approach to security, preparedness, response, business/operational continuity and recovery for disruptive incidents resulting in an emergency, crisis, or disaster (draft standard from ASIS International). inne
Certyfikat ISO/IEC 27001:2007
Certyfikat ISO/IEC 27001 w Polsce na tle innych krajów w 2006r.
Certyfikat ISO/IEC 27001 w Polsce w 2009r. ok. 100 certyfikatów Pełna lista podmiotów na stronie http://www.iso27000.pl/index.php?page=rejestr&page_num=all
Certyfikat ISO/IEC 27001 w Polsce w 2009r. podział wg. jednostek certyfikacyjnych http://www.iso27000.pl/index.php?page=statystyki&stat=3
Rejestr certyfikatów BS 7799-2 oraz ISO/IEC 27001 przyznanych organizacjom w Polsce w 2009r. Data cert. Organizacja Jednost ka 2009-09-15 home.pl sp.j. BSI 2009-09-14 CWW sp. k. TUV Nord 2009-07-20 PKP Cargo S.A. ZSJZ 2009-06-16 Polskie Górnictwo Naftowe i Gazownictwo SA TUV Nord 2009-04-10 Elektrotim S.A. ZSJZ Źródło: http://www.iso27000.pl/index.php?page=najnowsze, 04.12.2009r.
Przykład: Bank Zachodni WBK S.A. Branża: Usługi Data przyznania certyfikatu: 2009-02-18 Akredytacja: Tak Bank Zachodni WBK S.A. Wielkość organizacji: 1000-5000 pracowników Numer certyfikatu: HU09/3782 Jednostka certyfikująca: SGS Group Standard: ISO/IEC 27001:2005 Zakres systemu: Certyfikowany System Zarządzania Bezpieczeństwem Informacji obejmuje: - zarządzanie bezpieczeństwem informacji w banku, - obsługę systemów internetowej bankowości elektronicznej BZWBK24, - obsługę autoryzacji i rozliczeń kart kredytowych, - personalizację kart płatniczych.
Sposoby budowy wysokiego poziomu systemu bezpieczeństwa informacji Polityka Standardy DLACZEGO CO Procedury Wytyczne i Plany JAK