DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM Strategia i Polityka Bezpieczeństwa Systemów Informatycznych Wykład Aleksander Poniewierski 1
Plan wykładu Informacja w firmie Bezpieczeństwo w firmie Zarządzanie bezpieczeństwem systemów informatycznych (SI) Strategia bezpieczeństwa SI Dlaczego? Polityka bezpieczeństwa SI Co? Procedury bezpieczeństwa SI Jak? Zatwierdzenie strategii, polityki i procedur bezpieczeństwa SI Program ochrony informacji Podsumowanie Literatura 2 2
Informacja w firmie
Cechy dobrej informacji kompletna istotna terminowa właściwa wiarygodna zrozumiała 4 4
Forma informacji i jej rola w firmie wypowiedź rozmowa gesty dokument papierowy dokument elektroniczny kody źródłowe rysunki techniczne Zarządzanie strategiczne Zarządzanie taktyczne Zarządzanie operacyjne Przetwarzanie danych 5 5
Wartość informacji Informacja ma określoną wartość w danym czasie dla danych podmiotów. wartość informacji o wygrywających numerach w LOTTO na 1 godzinę przed losowaniem <= wartości wygranej, wartość informacji o numerach wylosowanych w losowaniu LOTTO dzień po losowaniu = 0 6 6
Bezpieczeństwo informacji w firmie
Obszary bezpieczeństwa informacji ADMINISTRACYJNO - ORGANIZACYJNE FORMALNO - PRAWNE TECHNICZNO - PROGRAMOWE FIZYCZNE 8 8
Składowe bezpieczeństwa informacji w firmie 9 9
Składowe systemu informatycznego w firmie WARSTWA ORGANIZACYJNA WARSTWA PROCESOWA Procesy strategiczne Procesy rozwoju Procesy utrzymania Procesy wsparcia Poziom fizyczny Poziom systemu operacyjnego Poziom bazy danych Definicja potrzeb Poziom interfejsu Poziom aplikacji Obsługa informatyczna UŻYTKOWNIK PROCES BIZNESOWY 10 10
Główne ryzyka związane z bezpieczeństwem SI ryzyko utraty poufności zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi, ryzyko utraty dostępności zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników, ryzyko utraty integralności zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny. 11 11
Zarządzanie bezpieczeństwem systemów informatycznych w firmie
Cel zarządzania bezpieczeństwem SI Identyfikacja zagrożeń na jakie podatny jest system informatyczny. Ocena ryzyka związanego z bezpieczeństwem systemu informatycznego. WIEDZIEĆ CO REALNIE ZAGRAŻA SI Dobranie odpowiedniej metody zarządzania bezpieczeństwem Dobranie mechanizmów bezpieczeństwa (zabezpieczeń) adekwatnych do potrzeb ODPOWIEDNIO ZABEZPIECZYĆ SI Permanentne monitorowanie ryzyk. Monitorowanie wykorzystania mechanizmów bezpieczeństwa i ich efektywności STALE UTRZYMYWAĆ PRZYJETY POZIOM BEZPIECZEŃSTWA 13 13
Model zarządzania bezpieczeństwem SI w firmie Cele Biznesowe Strategia Bezpieczeństwa Analiza Ryzyka Organizacja, Procesy, Modele Polityka Bezpieczeństwa Klasyfikacja Systemy Informacje / informatyczne Użytkownicy Kluczowe Mierniki Sukcesu Wytyczne Procedury Standardy Techniczno-Programowe Mechanizmy Bezpieczeństwa Identyfikacja i uwierzytelnianie Autoryzacja i kontrola dostępu Połączenie z sieciami zewnętrznymi Audyt i rozliczalność Kryptograficzna ochrona danych Utrzymanie systemów informatycznych Ciągłość działalności Rozwój systemów informatycznych Ochrona przed szkodliwym oprogramowaniem Formalno-Prawne Mechanizmy Bezpieczeństwa Klauzule poufności Umowy serwisowe Upoważnienia i pełnomocnictwa Zasady kontaktu z mediami Fizyczne Mechanizmy Bezpieczeństwa Lokalizacja i bezpieczeństwo konstrukcyjne miejsc przetwarzania danych Bezpieczeństwo logiczne i ochrona miejsc przetwarzania danych Systemy zasilania Komfort pracy urządzeń Systemy kontroli dostępu Ochrona przeciwpożarowa Monitorowanie i Zarządzanie Mechanizmami Kontrolnymi Poufność 14 14
Strategia bezpieczeństwa systemów informatycznych Dlaczego
Strategia bezpieczeństwa systemów informatycznych Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 16 16
Perspektywy strategii bezpieczeństwa SI Strategia Bezpieczeństwa SI STRATEGIA FIRMY UDZIAŁOWCY PRACOWNICY REGULATOR -USTAWODAWCA BRANŻA -RYNEK KLIENT 17 17
Części składowe strategii bezpieczeństwa SI PODSUMOWANIE Główny cel strategii bezpieczeństwa systemów informatycznych Ogólny harmonogram realizacji (długoterminowy) STRATEGIA BEZPIECZEŃSTWA Identyfikacja potrzeby zapewnienia bezpieczeństwa systemów informatycznych Identyfikacja perspektyw strategii bezpieczeństwa systemów informatycznych Określenie głównego celu nadrzędnego bezpieczeństwa systemów informatycznych Określenie celów cząstkowych składowych bezpieczeństwa systemów informatycznych SPOSÓB REALIZACJI STRATEGII Określenie odpowiedzialności i narzędzi sposobu realizacji celów strategicznych Wyznaczenie etapów realizacji strategii (kamieni milowych) Określenie czynników sukcesu realizacji strategii 18 18
Polityka bezpieczeństwa systemów informatycznych Co
Polityka bezpieczeństwa systemów informatycznych Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 20 20
Części składowe polityki bezpieczeństwa SI 1/2 PODSUMOWANIE Troska Zarządu firmy o bezpieczeństwo informacji Klasyfikacja informacji i systemów informatycznych REGUŁY BEZPIECZEŃSTWA odpowiedzialność każda informacja przetwarzana w instytucji posiada swojego właściciela, który jest odpowiedzialny za zapewnienie odpowiedniego poziomu bezpieczeństwa informacji szczególności jej poufności, integralności i dostępności kontrola dostępu do informacji -dostęp do informacji mogą posiadać jedynie upoważnieni do tego użytkownicy, którzy są jednoznacznie identyfikowani, uwierzytelnieni i rozpoznawalni w systemie informatycznym bezpieczeństwo systemów informatycznych -każdy system informatyczny powinien zapewniać odpowiedni poziom bezpieczeństwa, wynikający z zasad i reguł Polityki Bezpieczeństwa, wymagań prawa, standardów i dobrych praktyk (ang. Best Practice) bezpieczeństwo kanałów wymiany informacji -kanały wymiany informacji muszą zapewniać odpowiedni poziom bezpieczeństwa informacji w nich przesyłanych, zmiany w systemach informatycznych -rozwój systemu informatycznego instytucji nie powinien obniżać określonego poziomu jego bezpieczeństwa 21 21
Części składowe polityki bezpieczeństwa SI 2/2 ochrona przed czynnikami szkodliwymi -informacje przetwarzane w systemach informatycznych instytucji muszą być chronione przed działaniem czynników szkodliwych utrzymanie ciągłości działania systemu informatycznego -wszystkie czynności zmierzające do utrzymania ciągłości działania systemu informatycznego muszą być planowane i realizowane w taki sposób, aby minimalizować skutki awarii lub kryzysu bezpieczeństwo fizyczne -pomieszczenia techniczne oraz obiekty o szczególnym znaczeniu dla instytucji muszą być odpowiednio chronione naruszenie bezpieczeństwa systemów informatycznych -każde naruszenie bezpieczeństwa informacji przetwarzanych przez systemy informatyczne będzie karane, a sprawca naruszenia będzie odpowiadał za nie zgodnie z obowiązującymi w instytucji regulacjami lub przepisami prawa obowiązującymi w Rzeczypospolitej Polskiej bezpieczeństwo formalno prawne - mechanizmy bezpieczeństwa muszą być zgodne z obowiązującymi w Rzeczypospolitej Polskiej przepisami prawa zarządzanie ryzykiem związanym z bezpieczeństwem systemów informatycznych -instytucja w sposób ciągły zarządza ryzykiem związanym z bezpieczeństwem systemów informatycznych, podejmując działania zmierzające do identyfikacji i minimalizowania ryzyka związanego z bezpieczeństwem systemów informatycznych 22 22
Procedury bezpieczeństwa systemów informatycznych Jak
Polityki szczegółowe i procedury bezpieczeństwa SI Strategia Biznesowa Firmy Strategia Informatyzacji Strategia Bezpieczeństwa Analiza Ryzyka Polityka Bezpieczeństwa IT Polityki Szczegółowe Procedury Bezpieczeństwa 24 24
Polityki szczegółowe i procedury bezpieczeństwa SI Polityka szczegółowa Procedura bezpieczeństwa Instrukcja Instrukcja Polityki bezpieczeństwa określające reguły dotyczące poszczególnych systemów (w szczególności wyjątki) Procedury określające sposób postępowania w zakresie bezpieczeństwa dla poszczególnych systemów informatycznych lub zagadnień operacyjnych Instrukcje postępowania listy kontrolne 25 25
Części składowe procedury bezpieczeństwa SI FORMALNA Symbol Data powstania / rewizji / zatwierdzenia Opracowujący / sprawdzający / zatwierdzający MERYTORYCZNA Przedmiot / cel Zakres procedury Kompetencje i odpowiedzialności Postępowanie / Opis Definicje i terminologia Dokumenty odniesienia Lista kontrolna Załączniki 26 26
Program Ochrony Informacji Zatwierdzanie dokumentów
Program Ochrony Informacji Program Ochrony Informacji to całokształt zaplanowanych i spriorytetyzowanych działań podejmowanych w celu realizacji Strategii Bezpieczeństwa Informacji Program Ochrony Informacji służy: Zapewnieniu kompletności i spójności prowadzonych działań w zakresie zarządzania bezpieczeństwem informacji Optymalizacji kosztów ponoszonych na zapewnienie bezpieczeństwa informacji 28 28
Zatwierdzenie i wdrożenie Wszystkie dokumenty normalizujące zagadnienia bezpieczeństwa informacji i systemów informatycznych muszą być formalnie zatwierdzone i stale aktualizowane. 29 29
Podsumowanie
Podsumowanie Należy wiedzieć jaką informację przetwarza instytucja Należy wycenić wartość informacji Należy dokonać analizy ryzyka związanego z bezpieczeństwem informacji Należy przygotować Strategie jej ochrony Należy opracować politykę jej zabezpieczenia (informacji systemów informatycznych) Należy zaakceptować strategie i politykę Należy opracować i wdrożyć program ochrony Odpowiedzialności Plan Mechanizmy (w tym procedury) Należy aktualizować strategie i politykę bezpieczeństwa (w miarę zmieniającego się środowiska i potrzeb instytucji) oraz mechanizmy bezpieczeństwa Należy monitorować przestrzeganie zasad i działanie mechanizmów bezpieczeństwa 31 31
Literatura British Standard BS 7799. 1995. (Information Security Management), Part 1: Code of practice for information security management Bundesamt Für Sicherheit in der Informationstechnik (BSI) 1997. IT Baseline Protection Manual (Recommended Measures to meet Medium-Level Protection Requirements) Commission of European Communities 1990. Information Technology Security Evaluation Criteria (ITSEC), Provisional Harmonized Criteria, Version 1.2. Brussels, Belgium: Commission of European Communities, Directorate General XIII (June). Gleim I. N., CIA Review Part I The Internal Audit Activity s Role in Governance, Risk and Control, Certified Internal Auditor Gleim Publications Inc., Gainesville FL, 2004. Holbrook, P., Reynolds, J. 1991. Site Security Handbook. Request for Comments (RFC) Nr 1244, Wznowienie, 1997 RFC 2196 Information Systems Audit And Control Association, Control Objectives for Information and related Technology (CobiT) Technika Informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji. 2000. PN- ISO/IEC 17799. U.S. Department of Defense 1985. Trusted Computer Systems Evaluation Criteria. DOD 5200.28 STD. 32 32