Bezpieczeństwo informacji dla MSP w metodologii ISSA UK ISSA Polska na podstawie ISSA-UK 5173 Information Security for Small and Medium Sized Enterprises Piotr Dzwonkowski 1
MSP są jakieś inne W MSP działalność nastawiona jest na szybkie wykonanie w odpowiedzi na zmieniający się popyt bez zbędnego bagażu administracyjnego i z maksymalnie skróconym, bo bezpośrednim procesem decyzyjnym Jednocześnie brak jest wiedzy i środków aby chronić aktywa informacyjne zgodnie ze standardami przyjętymi w większych organizacjach. 2
MSP są jakieś inne Jaki więc jest odpowiedni oczekiwany poziom IT? Jaki więc jest odpowiedni poziom zabezpieczeń IT? 3
MSP są jakieś inne Rekomendacje dotyczące muszą być szybkie do wdrożenia, proste i tanie przy wdrożeniu i eksploatacji. 4
MSP są jakieś inne Mikro pojedyncze osoby dominują związki osobowe Małe kilkadziesiąt osób Średnie kilkaset osób potrzebne są formalne procesy 5
3 poziomy środków IT 3. Zarządzany System Bezpieczeństwa Polityki i Procedury 2. Zdefiniowane wymogi System zarządzania Technologia Edukacja Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 6
3 poziomy środków IT 3. Zarządzany System Bezpieczeństwa 3.1 Polityki i Procedury 2. Zdefiniowane wymogi 3.2 System zarządzania 3.3 Technologia 3.4 Edukacja 2.1 Zasady 2.1 Odpowiedzial - ność 2.3 Plan Przetrwania 2.4 Nadzór nad bezpieczeństwem 1. Podstawowe środki 1.1 Zaangażowanie właściciela / zarządu 1.2 wymogów 1.3 Ryzyka związanego z BI 1.4 Podstawowe zabezpieczenia Chcielibyśmy dla każdej z 12 w/w zasad podać przykłady akceptowalnych zachowań, wspierających technologii i konkretnych rozwiązań. Potrzebni są ludzie i firmy które opracują poszczególne. Całość musi pozostać neutralna technologicznie, ale zawierać konkretne całościowe rozwiązania gotowe do implementacji. 7
1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1. Podstawowe środki powinny być przestrzegane przez wszystkie organizacje, niezależnie od wielkości i rodzaju działalności. Jest to rodzaj podstawowych zaleceń higieny 8
Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.1a Zaangażowanie właściciela / zarządu Zaczyna się od postawy i rozwija się poprzez formę pisaną. Postawa - jeśli szef: - nie robi backupu swoich danych - składuje swoje poufne pliki bez hasła - nie zamyka drzwi gdy rozmawia o rzeczach poufnych - nie chroni swojego laptopa hasłem, - nie wie gdzie jest jego ostatni backup danych to pracownik na pewno nie będzie lepszy. 9
1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.1b Zaangażowanie właściciela / zarządu Zaczyna się od postawy i rozwija się poprzez formę pisaną. Forma pisana - jeśli szef napisze do pracowników: - że dla firmy bezpieczeństwo informacji jest ważne i dlaczego - jaką informację trzeba chronić - kto jest odpowiedzialny za BI - listy podstawowych reguł to pracownik na pewno zainteresuje się tematem BI 10
1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.2 wymogów a. Prawnych np. wymogi Rozporządzeń o przetwarzaniu danych osobowych lub o przetwarzaniu danych medycznych b. Regulacyjnych np. PCI DSS, BASEL c. Wynikających z umów np. możliwość bycia audytowanym przez Klienta 11
1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.3 ryzyka związanego z BI Na przykład ryzyka związanego z: - Nieposiadania aktualnego backupu danych poza główną lokalizacją - Niezabezpieczonego hasłem laptopa - Niezaszyfrowanego ważnego załącznika wysłanego pocztą elektroniczną - Serwera działającego bez sprawnego UPSa - Kontroli GIODO 12
1. Podstawowe środki Zaangażowanie właściciela / zarządu wymogów Ryzyka związanego z BI Podstawowe zabezpieczenia 1.4 Podstawowe zabezpieczenia: Odpowiednie zabezpieczenia muszą być wdrożone, aby chronić sprzęt i dane przed kradzieżą, nieautoryzowanym dostępem czy zniszczeniem, w szczególności zabezpieczenia można podzielić na: - Zabezpieczenia fizyczne klucze, alarmy pomieszczeń - Zabezpieczenia proceduralne odpowiednie hasła, wykluczenie współdzielenia identyfikatorów, wykonywanie regularnych kopii zapasowych, polityka czystego biurka - Środki techniczne firewall, antywirus, LOGowanie zdarzeń, systemy do robienia backupu, 13
2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2. Zdefiniowane wymogi w przypadku mieszczącym się gdzieś pomiędzy małym i średnim przedsiębiorstwem mają zapewnić że kluczowe środki działają spójnie i wydajnie, z minimalnym ryzykiem nieporozumień, błędów i powtarzających się niepotrzebnie działań. 14
2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.1 Zasady Zasady powinny być wyrażone przez proste listy Zrób - nie zrób. Na przykład: - Nie pokazuj listy klientów osobom spoza organizacji - Zamykaj laptop i dane wrażliwe w szafie gdy opuszczasz biuro - Rób codzienny backup swoich danych Listy te powinny być regularnie przeglądane i ulepszane 15
2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.2 Odpowiedzialność Trzeba przydzielić indywidualną odpowiedzialność: - za zabezpieczenie ważnych aktywów włączając w to pomieszczenia, wyposażenie, systemy i dane - za wykonywanie działań związanych z bezpieczeństwem informacji takich jak: tworzenie backupów, zarządzania prawami dostępów do systemów biznesowych i danych. Zastępcy muszą być wyznaczeni na wypadek absencji. Odpowiedzialność partnerów i dostawców musi być jasno wyrażona w kontraktach 16
2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.3 Plan Przetrwania Należy stworzyć krótki i schematyczny Plan Przetrwania na wypadek zdarzeń zmuszających do opuszczenia normalnego miejsca pracy (ogień, woda) lub uniemożliwiających normalną pracę (awaria serwera, utrata, przejęcie kontroli nad danymi). Plan powinien określić miejsce podjęcia pracy i sposoby działania organizacji w czasie kryzysu. Plan powinien ustanowić odpowiednie przygotowania na wypadek kryzysu na przykład działania mające na celu trzymania aktualnych danych i oprogramowania w innej lokacji. Trzeba odpowiedzieć też na krótkie pytania: w jaki sposób wystawię fakturę? w jaki sposób wypiszę zamówienie i zapłacę za towar?. 17
2. Zdefiniowane wymogi Zasady Odpowiedzial - ność Plan Przetrwania Nadzór nad bezpieczeństwem 2.4 Nadzór nad bezpieczeństwem Doświadczenie pokazuje, że w aktywnym środowisku pracy, wymogi mogą być łatwo przeoczone np.: - zapomnienie o przeprowadzeniu backupu, - zapomnienie o zainstalowaniu ważnych poprawek oprogramowania. Trzeba więc wprowadzić zestaw weryfikacji (działań kontrolnych) aby zapewnić, że najważniejsze działania związane z zapewnieniem BI są prowadzone. 18
3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3. Zarządzany System Bezpieczeństwa wprowadza dodatkowe środki zarządcze, właściwe dla większych PME (albo też dla tych z większym ryzykiem) aby wydajniej zarządzać pełnym zestawem środków. Zarządzany System Bezpieczeństwa daje większy stopień pewności, że wymagania dotyczące i kontrole zostały wdrożone. 19
3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.1 Polityki i procedury W coraz większych MSP ilość i skomplikowanie informacji w listach zrób nie zrób i w innych wskazówkach do działań dotyczących IT wzrasta i potrzebne jest wprowadzenie porządku i struktury poprzez wprowadzenie procedur i postawienie celów przed osobami odpowiedzialnymi za konkretne działania. Niezbędne są procedury dla kluczowych procesów takich jak: - zarządzanie prawami dostępu, - wydawanie sprzętu, - tworzenie kopii zapasowych wraz ze zdefiniowaniem odpowiedzialności za kontrolę tych procesów. 20
3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.2 System zarządzania Doświadczenie większych organizacji pokazało, że większość najefektywniejszych i najwydajniejszych sposobów zarządzania bezpieczeństwem polega na zarządzaniu procesami w sposób zbliżony to używanego dla ulepszania procesów. Ten sposób działania zachęca do planowania, wdrażania, weryfikacji i ciągłego ulepszania procesów jako proaktywną realizację podstawowej strategii. Ten sposób wymaga ustanowienia przejrzystych celów działań związanych z BI, stworzenia programu działań związanych z BI i stworzenia Rady kontrolującej stopień osiągania zamierzonych celów. 21
3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.3 Technologia MSP powinno rozważać użycie specjalistycznych rozwiązań technologicznych w celu: - ochrony najważniejszych danych - ochrony krytycznych systemów - urealnienia procesów prewencji i detekcji incydentów BI Przykładami takich technologii mogą być: - urządzenia do silnej identyfikacji osób pracujących z domu - szyfrowanie dysków laptopów - Intrusion Detection Systems 22
3. Zarządzany System Bezpieczeństwa Polityki i Procedury System zarządzania Technologia Edukacja 3.4 Edukacja Wszyscy członkowie współczesnej organizacji są odpowiedzialni za BI. Oznacza to, że wszystkim trzeba regularnie przypominać o tej odpowiedzialności, o potrzebie zmniejszania ryzyka do akceptowalnego poziomu, a także informować o nowych zagrożeniach dla prowadzenia biznesu. Edukacja powinna zaczynać się podczas przyjęcia do pracy i być kontynuowana w czasie trwania zatrudnienia. 23