Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa Główne punkty polityki bezpieczeństwa w oparciu o normę ISO/IEC 17799 Obowiązujące akty prawne i dostępne metodologie Charakterystyka metodologii OCTAVE Rola metodologii OCTAVE w polityce bezpieczeństwa Źródła
OBECNA SYTUACJA
CHAREAKTERYSTYKA ZAGROŻEŃ: Statystyki 23,6% Malware 51,9% Gromadzenie informacji 11,2% 0,7% 0,1% 4,6% 1,2% 1,2% 5,5% Częstość występowania typowych zagrożeń w 2005r wg. Raportu CERT Polska Atak na bezpieczeństwo informacji [0,1%] Włamania [0,7%] Atak na dostępność zasobów [1,2%] Inne [1,2%] Próby włamań Oszustwa komputerowe Obraźliwe i nielegalne treści
CHAREAKTERYSTYKA ZABEZPIECZEŃ I ZAGROŻEŃ ZASOBY ORGANIZACJI Zasoby w ujęciu ogólnym to: informacje i systemy, które te informacje przetwarzają (wraz z aplikacjami wspomagającymi) aktywa, środki trwałe pracownicy firmy ZABEZPIECZENIA (Model Defense In-depth ) Podejście metodyczne i organizacyjne do ochrony informacji!
DEFINICJE UŻYTE W ARTYKULE: Polityka bezpieczeństwa Termin POLITYKA BEZPIECZEŃSTWA używany jest w znaczeniu: Ogólnym odnosi się do ogólnie pojętego bezpieczeństwa firmy Szczegółowym odnosi się do bezpieczeństwa teleinformatycznego Opracowanie POLITYKI BEZPIECZEŃSTWA dzieli się na 5 etapów: Określenie niezbędności systemów teleinformatycznych w wypełnianiu zadań służbowych Oszacowanie pożądanego poziomu bezpieczeństwa informacji Utworzenie dokumentu polityki bezpieczeństwa Oszacowanie wysokości strat w przypadku utraty poufności, integralności, dostępności danych Określenie celów, które chce się osiągnąć dzięki wdrożeniu polityki bezpieczeństwa
DEFINICJE UŻYTE W ARTYKULE: Polityka bezpieczeństwa Aby POLITYKA BEZPIECZEŃSTWA przyniosła zamierzony skutek należy zastosować się do poniższych zasad: Polityka bezpieczeństwa musi być dobrze zaplanowana Wdrożenie polityki bezpieczeństwa powinno być usystematyzowanym, dokładnym i przemyślanym procesem Utrzymywanie polityki bezpieczeństwa nie powinno być traktowane jako zbędne generowanie kosztów. Polityka powinna być aktualizowana i okresowo sprawdzana. POUFNOŚĆ DOSTĘPNOŚĆ Planowanie INTEGRALNOŚĆ Polityka bezpieczeństwa Utrzymywanie AUTENTYCZNOŚĆ Wdrożenie ROZLICZALNOŚĆ NIEZAWODNOŚĆ
PN ISO/IEC 17799: Główne punkty polityki bezpieczeństwa Punkty o najwyższym stopniu istotności: Organizacja bezpieczeństwa (m.in. Infrastruktura bezpieczeństwa informacji, dostęp osób trzecich) Klasyfikacja i kontrola aktywów Bezpieczeństwo osobowe (m.in. Szkolenie użytkowników) Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami (m.in. Postępowanie z nośnikami, ochrona przed szkodliwym oprogramowaniem) Kontrola dostępu do systemu (m.in. Komputery przenośne, monitorowanie) Rozwój i utrzymanie systemu (m.in. Zabezpieczenia kryptograficzne, wymagania bezpieczeństwa) Zarządzanie ciągłością działania Zgodność
AKTY PRAWNE I METODOLOGIE: Informacje AKTY PRAWNE Ustawa o ochronie informacji niejawnych z 22 stycznia 1999 r. z późniejszymi zmianami (Dz.U.1999 Nr 11, poz.95) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.1997 Nr 101, poz. 926) Ustawa z dnia 27 lipca 2001 r. o ochronie baz danych z późniejszymi zmianami (Dz.U.2001 Nr 128, poz.1402) Rozporządzenia Ministrów Spraw Wewnętrznych i Administracji oraz Obrony Narodowej Dostępne metodologie TISM (Total Information Security Management) MSF (Microsoft Solution Framework) MOF (Microsoft Operating Framework)
OCTAVE: Informacje wstępne Utworzone przez: Carnegie Mellon University w 2001 r. Pełna nazwa: Operationally Critical Threat, Asset and Vulnerability Evaluation Cel: Analiza zasobów i ocena zagrożeń Ustalenie wymagań bezpieczeństwa systemów teleinformatycznych Określenie zadań i poziomu odpowiedzialności Usystematyzowane podejście do oceny ryzyka bezpieczeństwa informacji Krótka charakterystyka: Forma warsztatowa Ocena ryzyka bazuje na: poufności, integralności i dostępności Za pomocą klasyfikacji krytycznych informacji otrzymuje się plan, który daje wytyczne do ochrony informacji
OCTAVE: Podział na fazy Przygotowania: Faza 3: Budowa planów i strategii bezpieczeństwa Uwzględniają czynniki, które warunkują sukces Faza 1: Budowanie profili zagrożenia w oparciu o aktywa Faza 2: Identyfikacja słabości infrastruktury
OCTAVE: Przygotowania Czynniki, które należy wziąć pod uwagę w przygotowaniach: Wsparcie kierownictwa (ang. Getting senior management sponsorship) Wybór grupy analizującej (ang. Selecting the analysis team) Wyznaczenie zakresu stosowania metodologii OCTAVE (ang. Setting the appropriate scope of the OCTAVE Method) Wybór uczestników warsztatów (ang. Selecting participants) Koordynacja logistyki (ang. Logistics Coordination)
OCTAVE: Budowanie profilu zagrożenia w oparciu o aktywa Seria ćwiczeń Seria ćwiczeń Seria ćwiczeń Ogólny profil zagrożenia Faza 1: Spojrzenie na organizację Proces 1: Ustalenie poziomu wiedzy kierownictwa wyższego szczebla Proces 2: Ustalenie poziomu wiedzy kierownictwa niższego szczebla Proces 3: Ustalenie poziomu wiedzy personelu Proces 4: Utworzenie profilu zagrożenia Spojrzenie z punktu widzenia kierownictwa wyższego szczebla: Zasoby i związane z nimi ważne zagadnienia Wymagania bezpieczeństwa Obecne strategie bezpieczeństwa Obecne słabości organizacyjne Spojrzenie z punktu widzenia kierownictwa niższego szczebla: Zasoby i związane z nimi ważne zagadnienia Wymagania bezpieczeństwa Obecne strategie bezpieczeństwa Obecne słabości organizacyjne Spojrzenie z punktu widzenia personelu: Zasoby i związane z nimi ważne zagadnienia Wymagania bezpieczeństwa Obecne strategie bezpieczeństwa Obecne słabości organizacyjne Krytyczne zasoby Wymagania bezpieczeństwa dla krytycznych zasobów Zagrożenia dla krytycznych zasobów Rys. Faza 1 procesu OCTAVE
OCTAVE: Identyfikacja słabości infrastruktury Rys. Faza 2 procesu OCTAVE
OCTAVE: Budowa planów i strategii bezpieczeństwa Rys. Faza 3 procesu OCTAVE
OCTAVE: Kolejne kroki Strategia bezpieczeństwa Dyskusje o wyborze strategii i możliwości poprawy bezpieczeństwa organizacji Rozwój strategii ochrony i planów minimalizowania ryzyka Wprowadzenie strategii w życie Polityka bezpieczeństwa i audyt Utworzenie dokumentu polityki bezpieczeństwa w oparciu o uzyskane informacje z OCTAVE Audyt bezpieczeństwa przed lub po wdrożeniu polityki bezpieczeństwa Okresowa kontrola Przeprowadzanie okresowych audytów bezpieczeństwa Aktualizacja polityki bezpieczeństwa każdorazowo po istotnych zmianach infrastrukturalnych Sprawdzenie kompletności dokumentacji
OCTAVE: Rola w budowaniu polityki bezpieczeństwa Lepsza ocena ryzyka i zasobów organizacji Poprzez usystematyzowane podejście do oceny ryzyka możliwa jest lepsza identyfikacja słabości Infrastruktury organizacji oraz typów informacji, jakie organizacja przetwarza. OCTAVE minimalizuje stopień zagrożenia, jak i szansę jego wystąpienia. Budowanie świadomości wśród pracowników Podłoże do utworzenia kompletnej polityki bezpieczeństwa Umożliwia wszystkim członkom zespołu wykorzystanie swojego potencjału wiedzy o procedurach wytwarzania i przetwarzania informacji w przedsiębiorstwie. Owocuje to świadomym wypracowaniem zasad i procedur. Stosując metodologię OCTAVE zwiększamy szanse prawidłowej oceny ryzyka, gdyż posiadamy dokładną wiedzę o przetwarzanych informacjach. Wiedza personelu pozwala na wypracowanie zakresów odpowiedzialności dla pracowników.
OCTAVE: Rola w budowaniu polityki bezpieczeństwa Polityka bezpieczeństwa Polityka bezpieczeństwa w oparciu o OCTAVE Pełniejsze dane o sposobie organizacji bezpieczeństwa, m.in.: O Infrastrukturze bezpieczeństwa informacji i o sposobie ich przetwarzania Dostępie osób trzecich PROFIL ZAGROŻENIA! Klasyfikacja i kontrola aktywów uzupełniona o informacje uzyskane bezpośrednio od pracowników różnego szczebla. Dzięki temu jest możliwe określenie wrażliwości informacji indywidualnie dla każdej organizacji. Ataki oparte na typowym zachowaniu Dobrze przeanalizowane bezpieczeństwo fizyczne i środowiskowe. Pełniejsze dane, np. o postępowaniu z nośnikami danych, czy korzystaniu z komputerów przenośnych, gdyż informacje uzyskiwane są od wielu działów, które jednocześnie korzystają z tych samych usług. Wypracowuje się bezpieczne sposoby zarządzanie systemami i sieciami. Owocuje to powstaniem instrukcji i procedur. Metodologia OCTAVE Fazy OCTAVE w polityce bezpieczeństwa Przygotowanie Na tym etapie trwają przygotowania do przeprowadzenia OCTAVE. Przygotowania wpływają na rezultaty metodologii, a więc i na jakość polityki bezpieczeństwa. Faza 1 Na tym etapie zdobywa się informacje o infrastrukturze bezpieczeństwa informacji, metodach zabezpieczeń czy dostępie do informacji. Faza 2 Na tym etapie bada się słabości obecnych technologii zabezpieczeń oraz kontrolę dostępu do systemów i sieci, Ustala się wymagania bezpieczeństwa. Faza 3 Etap ten wypracowuje plany i strategie, które pokrywają się w znacznym stopniu z polityką bezpieczeństwa, określa m.in. rozwój systemów oraz zarządzanie ciągłością działania.
PODSUMOWANIE: Wnioski Warto budować i wdrażać dobrą politykę bezpieczeństwa, ponieważ: Ryzyko utraty krytycznych danych zostanie zminimalizowane. Bezpieczeństwo przetwarzanych informacji zapewnia dobrą markę firmy na rynku. Organizacja będzie posiadała dobrze opracowany plan zabezpieczający ciągłość pracy. Dział IT oraz kierownictwo będą wiedzieli jaki jest poziom bezpieczeństwa systemów teleinformatycznych w firmie łatwiej jest przeprowadzić kosztorys zakupów dodatkowych środków zabezpieczeń. Pracownicy będą mieli świadomość, że bezpieczeństwo teleinformatyczne nie jest w polityce przedsiębiorstwa pomijane.
PODSUMOWANIE: Wnioski Warto stosować metodologię OCTAVE w budowaniu polityki bezpieczeństwa, ponieważ: Zarządzanie ryzykiem odbywa się w sposób usystematyzowany. Dostarczane są kompletne informacje dla polityki bezpieczeństwa. Identyfikacja zasobów i ustalenie ich wartości jest zrealizowane bardzo dokładnie i szczegółowo. Tworzy się strategię bezpieczeństwa w oparciu o wiedzę pracowników i osób przeprowadzających proces, dzięki temu jest ona indywidualnie dostosowana do potrzeb organizacji. Utworzona polityka bezpieczeństwa jest zgodna z normą ISO/IEC 17799, ale i uzupełniona o dodatkowe informacje podnoszące poziom bezpieczeństwa w organizacji. Przedsiębiorstwo zaznajamia się ze słabościami stosowanych obecnie technologii oraz zna kluczowe elementy sieci i systemów teleinformatycznych.
PODSUMOWANIE: Źródła, Pytania i Odpowiedzi Informacje o OCTAVE i OCTAVE-S http://www.cert.org/octave/ http://www.cert.org/octave/osig.html Praktyczne wskazówki, jak zarządzać bezpieczeństwem http://www.governmentsecurity.org/ Materiały Normatywne PN ISO/IEC 17799:2003 oraz PN-I-07799-2:2005 Ogólne informacje Stokłosa J., Bilski T., Pankowski T.: Bezpieczeństwo danych w systemach informatycznych. Warszawa 2001 - Wydawnictwo Naukowe PWN Liderman K.: Podręcznik administratora bezpieczeństwa teleinformatycznego. Warszawa 2003 - MIKOM
Marek Pyka mpyka@wsb.edu.pl Paulina Januszkiewicz paula.januszkiewicz@wp.pl