Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl

Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena wartości informacji Analiza ryzyka Źródła zagrożeń systemów informatycznych Metodyka ochrony Środki bezpieczeństwa Dokument Zasad Bezpieczeństwa Wdrażanie systemu zabezpieczeń Aspekty ekonomiczne Zarządzanie bezpieczeństwem SI

Pojęcie Polityki Bezpieczeństwa Pod pojęciem Polityki Bezpieczeństwa rozumiemy zbiór reguł rządzących zachowaniem użytkowników, które mają na celu zabezpieczanie integralności systemu informatycznego i przetwarzanych w nim danych. Polityka Bezpieczeństwa dotyczy całego procesu korzystania z informacji niezależnie od sposobów jej gromadzenia i przetwarzania.

Akceptacja Akceptacja i zrozumienie potrzeby stworzenia i utrzymania Polityki bezpieczeństwa przez kierownictwo organizacji ma fundamentalne znaczenie.

Wartość informacji Informacja - dobro szczególne Które informacje należy chronić? Ile warte są poszczególne informacje? Może powinniśmy chronić wszystkie?

Obowiązujące prawo... Ustawa o ochronie informacji niejawnych Ustawa o ochronie danych osobowych Ustawa o ochronie baz danych Ustawa o świadczeniu usług drogą elektroniczną Ustawa o statystyce publicznej Ustawa o podpisie elektronicznym Ustawy: kodeks cywilny, kodeks karny, kodeks pracy inne

Standardy Politykę Bezpieczeństwa opracowuje się w oparciu o następujące normy: PN-ISO/IEC 17799 oraz rodzina norm: ISO/IEC 27000 ISO/IEC TR 13335 RFC 2196 - Site Security Handbook FIPS PUB 191 - Federal Information Processing Standards Publication 191 - Standard for: Guideline for the Analysis of Local Area Network Security Publikacje fachowe poświęcone zagadnieniom bezpieczeństwa danych

... w tym - tajemnice: tajemnica państwowa tajemnica służbowa tajemnica pracodawcy tajemnica statystyczna tajemnica ubezpieczeniowa tajemnica skarbowa tajemnica lekarska tajemnica handlowa i inne

Klasyfikacja wartości informacji Zgodnie z przepisami Ustawy z dnia 22 stycznia 1999 roku O OCHRONIE INFORMACJI NIEJAWNYCH, ważność informacji klasyfikujemy jako: Ściśle tajne Tajne Poufne Zastrzeżone

Klasyfikacja wartości informacji Na wewnętrzne potrzeby organizacji możemy informacje podzielić na: Zastrzeżone Niesklasyfikowane (niepublikowane) Niesklasyfikowane (publikowane)

Klasyfikacja wartości informacji Szacowanie wartości posiadanych informacji jest w każdym przypadku ryzykowne!

Podział systemu informatycznego na domeny Nieklasyfikowane Zastrzeżone Poufne

Analiza ryzyka Podział zagrożeń i środków im przeciwdziałających Co może się stać i jak temu zapobiec? Prawdopodobieństw o wystąpienia Plan działania Na ile realne jest zagrożenie? Stało się... co robić?

Formularz analizy ryzyka Opis ryzyka Potencjalny skutek Potencjalny koszt Prawdopodobieństwo wystąpienia Względny priorytet Opis działań zapobiegawczych Koszt niezbędnych zabezpieczeń

Źródła zagrożeń systemów informatycznych Błędy i przeoczenia Nieetyczni użytkownicy Zagrożenia fizyczne Hackerzy i wirusy Na podstawie analiz: Gartner/DataPro

Najsłabszy element systemu Najsłabszym elementem systemu bezpieczeństwa zawsze jest... człowiek!

Działania nieetycznych użytkowników - jak zapobiegać? Właściwa struktura uprawnień nadawanych użytkownikom Monitoring działań wykonywanych przez użytkowników (dzienniki systemowe, programy śledzące, analiza dostępu do pomieszczeń itd.) Egzekwowanie przestrzegania ustalonych procedur

Metodyka ochrony informacji Punkt wyjściowy - zdefiniowanie podstawowych poziomów ochrony: Proceduralny Fizyczny Logiczny

Środki bezpieczeństwa Administracyjne Fizyczne Techniczne Prawne

Dokument Zasad Bezpieczeństwa Formalna podstawa przyjętej przez organizację Polityki Bezpieczeństwa Główne cele opracowywania DZB: zdefiniowanie reguł ochrony informacji, określenie zasad ich wdrożenia, opis zagrożeń, procedury unikania zagrożeń.

Udział kadr kierowniczych w procesie tworzenia DZB Kierownictwo: zapoznanie się z problematyką bezpieczeństwa SI, przyjęcie i akceptacja Polityki Bezpieczeństwa, ogólne ustalenia dotyczące klasyfikacji informacji. Szef pionu IT: wytypowanie osoby bezpośrednio odpowiedzialnej za bezpieczeństwo systemu - Oficera Bezpieczeństwa, nadzór nad tworzeniem dokumentu.

Oficer Bezpieczeństwa Specjalista - informatyk odpowiedzialny bezpośrednio przed kierownictwem organizacji - nie będący administratorem systemu/sieci Zadania: tworzenie zespołu informatyków, nadzór nad procesem tworzenia systemu zabezpieczeń, opracowywanie procedur, definiowanie zdarzeń podlegających audytowi, kontrola dzienników systemowych.

Wdrażanie systemu zabezpieczeń Konieczny jest aktywny udział kierownictwa! Inne czynniki warunkujące powodzenie wdrożenia: pozyskanie i instalacja odpowiedniej jakości sprzętu i oprogramowania, szkolenie przyszłych użytkowników systemu, opracowanie prostych i skutecznych zasad użytkowania systemu zabezpieczeń, przeprowadzenie wszystkich niezbędnych testów i symulacji przed ostatecznym wdrożeniem.

Przeszkolenie pracowników - podstawą sukcesu! Jednym z najważniejszych celów przeprowadzanych szkoleń powinno być przekonanie użytkowników o konieczności ochrony informacji

Pozytywne efekty szkoleń Zmiana mentalności pracowników - użytkowników systemu i wynikający z niej wyższy poziom bezpieczeństwa całości systemu Wzrost kwalifikacji użytkowników Mniejsza ilość problemów organizacyjnych podczas rozpoczęcia pracy z nowym systemem zabezpieczeń Optymalizacja wykorzystania nowych narzędzi programowych i sprzętowych

Ekonomiczne aspekty stosowania systemu zabezpieczeń Koszty: planowanie i projektowanie, zakup sprzętu, oprogramowania i technologii, szkolenia, nowa, szczegółowa dokumentacja całego systemu, problemy organizacyjne związane z nowymi narzędziami i zasadami pracy, konieczność zatrudnienia nowych pracowników

Ekonomiczne aspekty stosowania systemu zabezpieczeń Jaki otrzymujemy zysk: Gdy mówimy o bezpieczeństwie danych, zyskiem możemy nazwać brak lub wymierne obniżenie potencjalnych strat.

Zarządzanie bezpieczeństwem systemu informatycznego Zarządzanie bezpieczeństwem systemu informatycznego jest procesem ciągłym. Jeżeli decydujemy się na opracowanie i wdrożenie Polityki Bezpieczeńsgtwa, to musimy pamiętać, że będzie ona spełniała swoje zadanie wyłącznie jeśli będziemy stale dopasowywali jej założenia do aktualnego kształtu systemu informatycznego.

Serdecznie dziękuję za uwagę! Q&A Bardzo proszę o zadawanie pytań - teraz lub w terminie późniejszym: Krzysztof.Mlynarski@security.pl