Jak zbudować standard (bezpieczeństwa) doskonały?

1 Jak zbudować standard (bezpieczeństwa) doskonały? Konferencja IT Security Trends Kliknij, aby edytować styl wzorca 28 listopada Warszawa

Plan wystąpienia 2 Standard bezpieczeństwa co to takiego? Dojrzałość organizacji vs podejście do bezpieczeństwa Ryzyko ustalenie kontekstu dlaczego jest ważne? Siatka bezpieczeństwa w organizacji bezpieczeństwa

Standard bezpieczeństwa 3 Zbiór wymagań odnoszących się do bezpieczeństwa i wskazujący działania niezbędne do podjęcia, w celu uzyskania i utrzymania założonego poziomu bezpieczeństwa. Przykłady standardów: BS 25999 standard zarządzania ciągłością działania (obecnie zastępowany przez ISO 22301); ISO 27001 standard bezpieczeństwa informacji; Rozporządzenie MSWIA w sprawie dokumentacji

Standardy organizacji 4 Polityka bezpieczeństwa danych osobowych; Instrukcja bezpieczeństwa pożarowego; Plan ochrony (ochrona fizyczna); Zasady wykonywania prac szczególnie niebezpiecznych (BHP); Plan ciągłości działania; System oceny i szacowania ryzyka; Systemy zarządzania zgodne z ISO;

5 Dojrzałość organizacji

Niemowlę 6 Wiodące podejście: jakoś to będzie ; Szacowanie i ocena ryzyka: w locie ; Kontekst szacowania i oceny ryzyka czy mi się opłaca? (o dpow ie dź brzm i je s zc ze nie ); Odsetek firm: Bardzo dużo; Wypełniane standardy: ZYSK (utrzymanie się).

Dziecko 7 Wiodące podejście: aby się nie przyczepili ; Szacowanie i ocena ryzyka: w locie ; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź brzmi na dwoje babka wróżyła); Odsetek firm: Dużo; Wypełniane standardy: ZYSK ze spełnieniem minimum wymagań z przepisów prawa.

Młodzież 8 Wiodące podejście: bezpieczeństwo elementem walki konkurencyjnej ; Szacowanie i ocena ryzyka: mechaniczne ; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź tak, jakaś wartość dodana będzie). Odsetek firm: Średnio; Wypełniane standardy: ZYSK, ze spełnieniem wymagań klientów (łańcuch dostaw), wymagania prawne w pełni.

Dorosły 9 Wiodące podejście: WIEM że mi się opłaca ; Szacowanie i ocena ryzyka: organiczne (każdy dział, pojawia się CRO); Kontekst szacowania ryzyka: jak jeszcze mogę oszczędzić zapobiegając stratom (czasem jako jednostka biznesowa); Odsetek firm: Mało; Wypełniane standardy: liczymy koszty (rachunkowość zarządcza, ROI, NPV). Realizacja przepisów, standardów (ISO, BS)

10 Ryzyko kontekst wewnętrzny

Ryzyko przez atrybuty 11 Podejście Instytutu Bezpieczeństwa i Informacji oparte o atrybuty bezpieczeństwa. Założenia: Każdy zasób może być opisany przez atrybuty (cechy inherentne); Podatności jako słabości możliwe do wykorzystania przez zagrożenie są atrybutami które są tracone (niszczone) w wyniku kontaktu z zagrożeniem;

Procesowa analiza ryzyka 12 Diagram rybiej ości (ISHIKAWA), Zasoby z opisanymi atrybutami; Wskazanie atrybutów krytycznych dla zasobów, niezbędnych do utrzymania w danym etapie procesu; Ryzyko jako kombinacja prawdopodobieństwa utraty niezbędnego lub krytycznego atrybutu (atrybutów) zasobu w wyniku oddziaływania zagrożenia;

Diagram ISHIKAWA 13 Ludzie Kwalifikacj e Technika/Ciepł o Informacje Do s tę pn o ś ć Inte g ra ln o ś ć Temperatu ra Do s tę pn o ś ć Poufno ść Do s ta rc ze nie s urow c a Wstępne mieszanie B a za do pro dukc ji

Analiza zagrożeń 14 Analiza Od źródła skutku od źródła skutku typowanie potencjalnych skutków przyczyn wystąpienia (zagrożeń) zagrożenia skutkujących w utratą kontekście atrybutów zasobów. utraty atrybutów zasobów;

Kto i za co, czyli siatka bezpieczeństwa IT ADM LOG SUR Powódź P P P P Awaria systemu IT Awaria maszyny Kradzież W P P P W W

Kto i za co, czyli siatka bezpieczeństwa IT ADM LOG PRO Etap I P P W Etap II P P P W Etap III P P P W Etap IV P P W

S ta nda r d be zpie c z e ńs tw a IB II ze s pó ł za be zpie c ze ń, dzia ła ją c yc h łą c znie Standard IBII 17

18 Dziękuję za uwagę Grzegorz Krzemiński