Bezpieczeństwo danych projektowych w środowisku według ISO/IEC 27001 oraz ciągłość procesów wytwarzania i utrzymania w środowisku według BS 25999 warsztaty z wykorzystaniem specjalistycznego narzędzia do zarządzania bezpieczeństwem informacji i ciągłością działania Adam Broja, Rafał Kurianowicz Prezentacja dotyczy bezpieczeństwa danych projektowych w środowisku laboratorium SecLab EMAG według ISO/IEC 27001 oraz ciągłości procesów wytwarzania i utrzymania w środowisku według BS 25999. Do tego celu zostanie wykorzystany system OSCAD jako narzędzie specjalistyczne do zarządzania bezpieczeństwem informacji i ciągłością działania. Podczas prezentacji omówiono organizację laboratorium SecLab w ITI EMAG, jego strukturę, opisano wyróżnione procesy, rodzaje informacji oraz zasoby. W drugiej części prezentacji pokazano funkcjonalność i zalety systemu OSCAD dla wybranych kilku aspektów, takich jak: proces projektowania, wybrane zasoby (serwer SVN). Wykonano analizy dla określenia wymaganego poziomu zabezpieczenia danych projektowych i ciągłości działania. W ITI EMAG wydzielono dział laboratorium SecLab, w którym zostanie wdrożony system zarządzania bezpieczeństwem informacji i ciągłością działania dla ochrony wiedzy, danych projektowych i produktów. Laboratorium zostało wydzielone z Instytutu EMAG i podzielone jest na dwa działy: sprzętowy (hardware) i programowy (software). W każdym z działów są konkretne zakresy działań i procesy wydzielone w zależności od faz cyklu życia produktu. W SecLab EMAG można wydzielić konkretne fazy rozwoju produktu, na podstawie faz cyklu życia: pomysł / klient, model, projekt, prototyp, promocja, przekazanie. W fazy rozwoju produktu zawarte są produkcja i serwis, które ze względu na trudność prowadzenia ich w instytucie zostały wydzielone poza laboratorium, do innych firm na podstawie zawartych umów partnerskich. Na podstawie faz rozwoju produktu wyspecyfikowano główne procesy realizowane w laboratorium SecLab. Pierwszym procesem jest pomysł, który przechodzi w proces projektu. W projekcie posługujemy się modelem oraz algorytmami dla procesu oprogramowania i po procesie integracji budujemy prototyp, jako produkt finalny. Najbardziej cenioną informacją w laboratorium Seclab EMAG są dane projektowe, w których zawierają się wszystkie informacje dotyczące wykonywanych prac projektowych oraz zasoby. Zasoby w laboratorium SecLab obejmują swym zakresem wszystkie informacyjne wydzielone dla potrzeb i realizacji bezpiecznych produktów, a w szczególności:
osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp do informacji podlegających ochronie, sprzętowe narzędzia w tym nośniki danych, dokumenty papierowe, elektroniczne na których są lub będą znajdować się informacje podlegające ochronie, oprogramowanie systemy operacyjne i inne programy wymagane do pracy programisty, mogą tutaj być także zgrupowane kompilatory, programy specjalistyczne do wykonywania schematów czy płytek elektronicznych, dokumenty istniejące, wdrażane obecnie lub w przyszłości systemy informatyczne oraz papierowe, w których są, informacje podlegające ochronie, a także informacje będące własnością ITI EMAG lub klienta, przekazane na podstawie przepisów prawnych lub umów, lokalizacje budynki i pomieszczenia, w których są lub będą przetwarzane informacje podlegające ochronie. Wyposażenie laboratorium SecLab w Komputerowo wspomagany system zarządzania bezpieczeństwem informacji i ciągłością działania OSCAD, w ramach projektu CCMODE będzie traktowane jako źródło dodatkowego uzasadnionego zaufania dla naszego środowiska rozwojowego. Pozwoli to na: kompleksowe podejście do problematyki bezpieczeństwa, wspomaganie komputerowe procesów utrzymania bezpieczeństwa w środowisku rozwojowym, zapewnienie wymaganego poziomu dokumentowania, wspomaganie zarządzaniem dokumentacją, poprawienie jakości produktów o podwyższonych wymaganiach bezpieczeństwa. Drugą częścią prezentacji był pokaz wykorzystania systemu OSCAD do oceny zabezpieczenia i zaplanowania wdrożenia zabezpieczeń danych projektowych w laboratorium SecLab EMAG. Podczas prezentacji dokonano zamodelowania w systemie OSCAD struktury laboratorium SecLab na wybranych przykładowych danych (wybrane procesy i zasoby), a następnie dokonano, za pomocą analizatora ryzyka, analizy ochrony danych projektowych przetwarzanych w SecLab. Przed prezentacją dokonano wstępnego wypełnienia systemu danymi. W ramach tej operacji dokonano operacji: wprowadzenie danych organizacji, zdefiniowanie i wypełnienie matrycy strat biznesowych, określenie algorytmu analiz ryzyka oraz wyznaczenie akceptowalnych poziomów ryzyka, uzupełnienie słowników systemu w zakresie: lokalizacji, stanowisk, grup informacyjnych, wskaźników, wprowadzenie przykładowych procesów i zasobów. Scenariusz prezentacji obejmował również zmodelowanie w systemie wybranych zasobów z grup opisanych powyżej. Wprowadzono następujące zasoby: projektant (zasób osobowy), kierownik projektu (zasób osobowy), administrator serwera (zasób osobowy spoza laboratorium SecLab), budynek w Katowicach przy ul. Leopolda (zasób typu lokalizacja), budynek w Chorzowie przy ul. Długiej (zasób typu lokalizacja),
serwerownia w budynku w Katowicach (zasób typu lokalizacja), serwer SVN (zasób techniczny). Wszystkie wybrane zasoby powiązano z grupą informacji "dane projektowe" gdyż wskazane osoby mają dostęp do tych danych a w opisanych lokalizacjach dane te są przechowywane. Podczas prezentacji szczegółowo przedstawiono wprowadzenie zasobu "Server SVN", aby pokazać kilka istotnych faktów i tym samym możliwości systemu OSCAD. Podczas wprowadzania tego zasobu zwrócono uwagę na: wybór odpowiedniego typu zasobu zasób techniczny, wprowadzenie danych opisowych zasobu, wybranie osób odpowiedzialnych za zasób właściciela, administratora i użytkownika, wskazanie lokalizacji zasobu, oznaczenia, że zasób ten interesuje nas z punktu widzenia ciągłości (BCM) działania jak i ochrony informacji (ISM), przypisanie do zasobu grupy informacyjnej "dane projektowe" informującej system o tym, że serwer przetwarza interesujące nas i podlegające ochronie dane projektowe. Kolejnym etapem modelowania laboratorium w systemie OSCAD było wprowadzenie informacji o procesach. W tym przypadku zamodelowano trzy wybrane procesy: pomysł, projektowanie, oprogramowanie. Ostatni z procesów wprowadzono podczas prezentacji aby zapoznać widzów z modułem "procesy biznesowe" i szczegółowo pokazać jakie informacje o procesie powinny znaleźć się w systemie. Do najistotniejszych informacji o procesie zaliczamy: nazwę, identyfikator i dane opisowe procesu, właściciela procesu, informacje o krytyczności procesu, jednostki zaangażowane w procesie, lokalizacje w jakich proces jest realizowany, wskaźniki i mirniki opisujące proces, zasoby wykorzystywane w procesie, powiązanie procesu z innymi procesami. Po zamodelowaniu fragmentu organizacji możliwe było przejście do najważniejszej części pokazu przeprowadzenia analiz ryzyka. Ocenę ryzyka w prezentacji dokonano dwuetapowo. Pierwszą wykonaną analizą była analiza BIA (Business Impact Analysis), której celem była ocena ryzyka wynikająca z utraty atrybutów bezpieczeństwa (poufności integralności i dostępności) dla wybranego przykładowego procesu "Projektowanie". Analiza ta jest niezbędna dla oceny krytyczności procesu i jej wykonanie umożliwia lub wymusza wykonanie kolejnych analiz. Kolejną możliwą do przeprowadzenia w systemie OSCAD analiza jest analiza szczegółowa BCM (dla ciągłości działania proces). W trakcie prezentacji analizę tę pominięto, ze względu na fakt, że nie jest ona związana z tematem prezentacji. Najistotniejszą z punktu widzenia tematu prezentacji była w pełni przeprowadzona i omówiona analiza ISM dla zadeklarowanej i omawianej grupy informacyjnej "dane projektowe". W ramach tej analizy zaprezentowano wykonanie następujących zadań:
Zaplanowano wykonanie analizy ISM dla grupy informacyjnej "dane projektowe" - określono termin realizacji oraz osobę odpowiedzialną Przeprowadzono, zgodnie z zadeklarowanymi w matrycy strat biznesowych kategoriami strat biznesowych, analizę atrybutów bezpieczeństwa: o poufność oceniono skutki ewentualnego wycieku danych projektowych, o integralność oceniono skutki ewentualnego uszkodzenia (utraty integralności) danych projektowych, o dostępność oceniono skutki braku dostępu do danych projektowych w zależności od czasu braku dostępu, Przeprowadzono przykładowe obliczanie poziomu ryzyka dla wybranej w scenariuszu pokazu pary podatność-zagrożenie: o w przykładowym scenariuszu przyjęto, że z powodu braku odpowiednich szkoleń pracownik pracujący zdalnie może nieprawidłowo posługiwać się narzędziami (klient SVN i VPN) i spowodować uszkodzenie lub wyciek danych projektowych; o wybrano przykładowe zagrożenie "Błędy pracowników"; o wybrano przykładową podatność "brak szkoleń pracowników"; o dokonano oceny ryzyka stanu obecnego - określono wartość zagrożenia i jego podatność; o stwierdzono, że w tym przypadku poziom ryzyka przekracza akceptowalny poziom ryzyka i należy wprowadzić dodatkowe zabezpieczenie; o wprowadzono zabezpieczenie w postaci opracowania planu szkoleń pracowników (oceniono jego koszt, termin realizacji i przydzielono osobę odpowiedzialną); o dokonano ponownej oceny ryzyka (wartość zagrożenia, podatność, poziom wdrożenia zabezpieczenia, poziom zaawansowania technicznego zabezpieczenia); o w wyniku zaplanowania wdrożenia zabezpieczenia oceniono, że poziom ryzyka będzie poniżej akceptowalnego można więc było zakończyć analizę i przesłać do zatwierdzenia; o osoba odpowiedzialna zatwierdziła analizę; Ostatnim etapem prezentacji było pokazanie efektów jakie w systemie wywołały nasze działania a mianowicie: o pojawianie się zadań u osób odpowiedzialnych za przeprowadzenia analizy, zatwierdzanie analizy oraz odpowiedzialnych za wdrożenie zabezpieczenia, o zaprezentowano raporty systemu w których pojawiły się informacje o stanie analiz, stanie wdrożenia zabezpieczeń, o możliwości wygenerowania (na podstawie szablonów) raportów z przeprowadzonych analiz oraz opisujących elementu organizacji. Na zakończenie prezentacji, w celu pełnej prezentacji możliwości systemu OSCAD przedstawiono krótko informacje o pozostałych modułach systemu w tym takich jak: o moduł zadań, o moduły planowania i realizacji audytów, przeglądów i szkoleń, o moduł zgłaszania i obsług incydentów w tym planowanie procedur testowych i planów awaryjnych,
o moduły komunikacyjne - powiadamianie i komunikacja z innymi systemami w tym z innymi systemami OSCAD oraz systemem OSCAD-STAT. Podsumowując pokaz systemu OSCAD można stwierdzić, że narzędzie to może być pomocne w funkcjonowaniu laboratorium SecLab, w szczególności, dzięki rozwiniętemu raportowaniu, na etapie przygotowywania materiałów dowodowych związanych z funkcjonowaniem organizacyjnym laboratorium (ochrona danych, ciągłość działania, wymagane audyty i przeglądy systemu).