NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO



Podobne dokumenty
Krzysztof Świtała WPiA UKSW

Normalizacja dla bezpieczeństwa informacyjnego

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Promotor: dr inż. Krzysztof Różanowski

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

ISO bezpieczeństwo informacji w organizacji

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Bezpieczeństwo informacji. jak i co chronimy

Szkolenie otwarte 2016 r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

SZCZEGÓŁOWY HARMONOGRAM KURSU

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Maciej Byczkowski ENSI 2017 ENSI 2017

Grzegorz Pieniążek Hubert Szczepaniuk

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Kompleksowe Przygotowanie do Egzaminu CISMP

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

PRELEGENT Przemek Frańczak Członek SIODO

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Reforma ochrony danych osobowych RODO/GDPR

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA ZARZĄDZANIA RYZYKIEM

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

System Zarządzania Bezpieczeństwem Informacji - czy stać nas na to ryzyko?

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Zarządzanie ryzykiem w bezpieczeostwie IT

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

Zdrowe podejście do informacji

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

I. O P I S S Z K O L E N I A

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Zarządzanie ryzykiem w bezpieczeństwie informacji

Imed El Fray Włodzimierz Chocianowicz

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Polityka Bezpieczeństwa Informacji. w Publicznym Przedszkolu Nr 7. im. Pszczółki Mai w Pile

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Informatyka w kontroli i audycie

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Opis Systemu Kontroli Wewnętrznej funkcjonującego w Santander Consumer Bank S.A.

Opis systemu kontroli wewnętrznej w Polskim Banku Apeksowym S.A.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

HARMONOGRAM SZKOLENIA

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Regulamin zarządzania ryzykiem. Założenia ogólne

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

ISO w Banku Spółdzielczym - od decyzji do realizacji

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Usprawnienia zarządzania organizacjami (normy zarzadzania)

Standard ISO 9001:2015

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

POLITYKA ZARZĄDZANIA RYZYKIEM

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Akademia Młodego Ekonomisty

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

Klasyfikacja informacji

Bezpieczeństwo dziś i jutro Security InsideOut

Transkrypt:

Grażyna Ożarek 1 NORMALIZACYJNE ASPEKTY BEZPIECZEŃSTWA INFORMACYJNEGO Celem referatu jest wskazanie, że powszechnie stosowane doraźne, spontaniczne działania w zakresie ochrony aktywów informacyjnych nie przynoszą spodziewanych korzyści. Brak systemowego podejścia do bezpieczeństwa informacyjnego - to wysokie nakłady i niskie efekty. Informacje w trudzie się produkuje ale łatwo reprodukuje. Zatem może warto sięgnąć po dokumenty normalizacyjne, które wskażą jak zbudować kompleksowy a zatem skuteczny system zarządzania bezpieczeństwem informacyjnym (SZBI). Dzięki nim poznamy własne zasoby informacyjne i ich wartość dla organizacji, zidentyfikujemy zagrożenia i oszacujemy ryzyko, zastosujemy adekwatne do zagrożeń zabezpieczenia, przygotujemy harmonogram wdrożeń zabezpieczeń oraz audytów oceniających stan ochrony, wyznaczymy osoby odpowiedzialne za system i elementy systemu, zbudujemy kulturę bezpieczeństwa informacyjnego w organizacji. W konsekwencji uzyskamy ekonomicznie uzasadniony, dojrzały oraz skuteczny SZBI. 1. NORMALIZACJA DLA BEZPIECZEŃSTWA INFORMACYJNEGO Normalizacja jest działalnością zmierzającą do uzyskania optymalnego, w danych okolicznościach, stopnia uporządkowania w określonym zakresie, poprzez ustalanie postanowień przeznaczonych do powszechnego i wielokrotnego stosowania, dotyczących istniejących lub mogących wystąpić problemów 2 Tym współczesnym problemem, z którym musi poradzić sobie każda organizacja zarówno mała jak i duża; ta ze sfery biznesu jak i publiczna, jest zapewnienie bezpieczeństwa aktywom informacyjnym (danym i informacjom). W dokumentach normalizacyjnych można znaleźć zasady, wytyczne, charakterystyki, które odnoszą się do różnych rodzajów działalności i zmierzają do uzyskania optymalnego stopnia uporządkowania w określonym zakresie. Kompleksowe podejście do zorganizowania w instytucji systemu zarządzania bezpieczeństwem informacyjnym zostało zawarte w dokumencie normalizacyjnym PN-ISO/IEC 27001 Technika informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji. Wymagania. W tabeli 1 przedstawiono zbiór dokumentów komplementarnych z PN-ISO/IEC 27001 i jednocześnie uszczegóławiających zagadnienie budowy i utrzymania wdrożonego systemu zarządzania bezpieczeństwem informacyjnym (SZBI) w organizacji. Tabela 1 Podstawowy zbiór dokumentów normalizacyjnych niezbędny do budowy SZBI w organizacji Numer normy Tytuł Zawartość normy PN-ISO/IEC 27001 Technika informatyczna. Techniki Prezentuje model oraz metodę ustanowienia, Bezpieczeństwa. Systemy zarządzania wdrożenia, eksploatacji, monitorowania, bezpieczeństwem informacji. przeglądu, utrzymania i doskonalenia SZBI. Wymagania PN-ISO/IEC 27005 Technika informatyczna. Techniki bezpieczeństwa. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. Zawiera wytyczne do zarządzania ryzykiem dotyczącym bezpieczeństwa informacyjnego. Stanowi rozwinięcie ogólnych koncepcji opisanych w PN ISO/IEC 27001 1 Referat został wygłoszony w dniu 17 września 2010 r. na sympozjum zorganizowanym przez Polskie Forum ISO 9000 w Dymaczewie k/poznania 2 Ustawa o normalizacji z dnia 12 września 2002 r. (Dz.U. Nr 169, poz. 1386)

PN-ISO/IEC 17799 Technika informatyczna. Techniki bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji. PN-ISO/IEC 27006 Technika informatyczna. Techniki bezpieczeństwa. Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji. ISO/IEC 27004 3 Information technology - Security techniques - Information security management - Measurement Jest to praktyczny przewodnik umożliwiający opracowanie skutecznego SZBI. Omawia cele stosowania zabezpieczeń oraz opisuje metody wdrażania zabezpieczeń na podstawie oszacowanego ryzyka. W tym dokumencie przedstawiono wymagania i wytyczne dla jednostek prowadzących audyty i certyfikację SZBI, jednakże norma ta może być także stosowana w innych procesach audytowych np. do celów audytu wewnętrznego SZBI Dokument zawiera wytyczne dotyczące rozwoju i wykorzystania środków pomiaru w celu oceny skuteczności wdrożenia SZBI Zasady opisane w przedstawionych normach to modelowe, uznane sposoby postępowania najlepsze praktyki, które dają duże prawdopodobieństwo odniesienia sukcesu ale go nie gwarantują, bowiem nie zawierają recepty (jednego algorytmu rozwiązania problemu) lecz ogólne wytyczne, które powinny zostać indywidualnie dopasowane do każdej organizacji i doskonalone w procesie użytkowania. Skuteczna ochrona aktywów informacyjnych w sposób holistyczny ujmuje aspekty bezpieczeństwa mając na uwadze kwestie: teleinformatyczne, prawne, fizyczne, organizacyjne, ludzkie, społeczne, kulturowe, psychologiczne a także ekonomiczne. Inwestowanie w bezpieczeństwo informacyjne powinno być ekonomicznie opłacalne dla organizacji, powinno wynikać z potrzeb biznesowych. Sukces uzależniony jest od stopnia rozumienia potrzeb organizacji w zakresie bezpieczeństwa informacyjnego i zaangażowania w ten proces członków organizacji oraz systematycznego badania poziomu ochrony. Wszystkie te kwestie zostały uwzględnione w normalizacyjnym spojrzeniu na bezpieczeństwo informacyjne. 2. BEZPIECZEŃSTWO INFORMACYJNE Bezpieczeństwo informacyjne oznacza ochronę danych i informacji przed zagrożeniami (i wynikającymi stąd niekontrolowanymi stratami) płynącymi z otoczenia oraz wnętrza organizacji. Celem tej ochrony jest m. in. zapewnienie ciągłości działania procesów, wykorzystanie w pełni możliwości biznesowych, obniżenie ryzyka ewentualnych strat na skutek zaistniałych incydentów. Ale także możliwość podejmowania skutecznych decyzji opartych na analizie danych i informacji do których możemy mieć zaufanie. Bezpieczeństwo informacyjne w swoim szerokim znaczeniu obejmuje każdą postać danych i informacji, aczkolwiek podstawową rolę w instytucjach odgrywa obecnie ich cyfrowa postać. Chronić zatem trzeba zarówno zasoby cyfrowe jak i te występujące w postaci dokumentów papierowych, graficznych, filmowych oraz zapamiętane przez człowieka i przekazywane przez środki łączności. Bezpieczeństwo informacyjne związane jest z zachowaniem tzw. atrybutów bezpieczeństwa aktywów informacyjnych, do których przede wszystkim zaliczamy: integralność, poufność i dostępność; dodatkowo można rozważyć ochronę innych własności takich jak rozliczalność, autentyczność, niezawodność i niezaprzeczalność (tab. 2). Utrzymywanie tych atrybutów, dla wybranych grup aktywów informacyjnych, na założonym poziomie bezpieczeństwa oraz empirycznie stwierdzona odporność na zakłócenia, świadczy o prawidłowym funkcjonowaniu systemu zarządzania bezpieczeństwem informacyjnym w organizacji. 3 Norma została wydana 15 grudnia 2009 r.

Definicje atrybutów bezpieczeństwa danych i informacji Nazwa atrybutu bezpieczeństwa Definicja Integralność (integrity) Poufność (confidentiality) Dostępność (availability) Niezawodność (reliability) Autentyczność (authenticity) Rozliczalność (accountability) Niezaprzeczalność (non-repudiation) 3. PROJEKTOWANIE SZBI Tabela 2 Zapewnienie, że dane lub informacje nie zostały zmienione w sposób nieautoryzowany (dokładne i kompletne aktywa) Dane i informacje udostępniane są tylko osobom upoważnionym Możliwość wykorzystania na każde żądanie w założonym czasie przez upoważnione podmioty Oznacza koherentne, zamierzone zachowanie i skutki Zapewnienie, że tożsamość podmiotu lub zasobu jest zgodna z deklarowaną Pewność, że działania danego podmiotu są w sposób jednoznaczny przypisane temu podmiotowi Brak możliwości wyparcia się swego uczestnictwa w przetwarzaniu danych. Przystępując do budowy SZBI zgodnie z zaleceniami normy należy dokonać inwentaryzacji zasobów informacyjnych, określić ich wartość rynkową lub wrażliwość; połączyć w grupy, określić poziom zabezpieczeń i rodzaj zabezpieczeń. Aby zastosować właściwe zabezpieczenia należy dokonać analizy podatności i zagrożeń dokonać analizy ryzyka. Miarą ważności określonych grup aktywów informacyjnych jest ich tzw. wrażliwość, jeśli nie możemy wycenić ich w jednostce monetarnej. Wrażliwymi aktywami informacyjnymi są takie, które mogą zostać wykorzystane na szkodę zainteresowanej organizacji. Wrażliwość poszczególnych grup aktywów informacyjnych jest ustalana przez właścicieli informacji i ma na celu ustalenie poziomu ich ochrony. Warto wspomnieć, że im bardziej wartościowe lub wrażliwe są zasoby tym większe jest ryzyko związane z ich utratą i tym większe są wymagania bezpieczeństwa co obrazuje rys.1. Rys. 1 Ryzyko, wymagania bezpieczeństwa a wartość zasobów [Źródło: opr. wł. na podst. PN-I-13335-1]

4. SZACOWANIE RYZYKA Zgodnie z PN-ISO/IEC 27005 ryzyko mierzone jest jako kombinacja prawdopodobieństwa zdarzenia i jego następstw. Ryzyko dotyczy zdarzeń powtarzalnych, których możliwość zaistnienia można obliczyć statystycznie, czyli można je skalkulować. Na rys. 2 ukazano proces analizy ryzyka w celu podjęcia próby oszacowania ryzyka. Rys. 2 Analiza ryzyka i szacowanie ryzyka [źródło: opr. wł.] 4.1. Analiza ryzyka 4.1.1. Identyfikowanie ryzyka Identyfikowanie ryzyka jest procesem wyszukiwania, zestawiania i charakteryzowania elementów ryzyka. Innymi słowy jest to działanie, w którym przewiduje się: co może się zdarzyć, gdzie to może się zdarzyć, dlaczego może wystąpić to zdarzenie, jak często może wystąpić to zdarzenie i jakie będą tego następstwa. W trakcie identyfikowania należy dokonać: 1. Inwentaryzacji aktywów i identyfikowania zagrożeń (o czym wspomniano wyżej). 2. Spisu istniejących zabezpieczeń. 3. Sporządzenia listy podatności (luk w systemie) w stosunku do aktywów, zagrożeń i zabezpieczeń (np. dla aktywów typu sieć podatnością może być brak dowodu wysłania i odebrania wiadomości, a zagrożeniem - odmowa działania). Obszerną listę przykładów podatności zawarto PN-ISO/IEC 27005 w załączniku D. 4. Określenie następstw (szkód). Następstwem może być utrata skuteczności, ciągłości działania, reputacji, straty biznesowe, zniszczenie, procesy karne itp. Dokonując szacowania szkód w wyniku incydentów należy wziąć pod uwagę takie elementy jak: 1. Czas wykrycia i naprawy 2. Straty liczone w nakładzie pracy 3. Utrata możliwości biznesowych 4. Koszty specjalistycznej naprawy lub odtworzenia aktywów 5. Straty z powodu obniżonego zaufania interesariuszy 4.1.2. Estymowanie ryzyka Estymacja ryzyka to proces w którym przypisywane są wartości do prawdopodobieństwa i skutków ryzyka.

1. Estymacja ryzyka może być prowadzona metodą: Jakościową - stosowana w celu zgrubnego określenia poziomu oraz ujawnienia źródeł poważnego ryzyka. W estymacji jakościowej używa się skali atrybutów kwalifikujących potencjalne następstwa takie jak np. niski, średni i wysoki oraz prawdopodobieństwo wystąpienia tych następstw. Ilościową jest droższa, lecz dokładniejsza od poprzedniej; wykorzystuje się skalę numeryczną zarówno dla następstw jak i dla prawdopodobieństwa wystąpienia następstw. Wykorzystywane są dane o incydentach z różnych źródeł, najczęściej sięga się do danych historycznych. Mieszaną połączenie metody jakościowej i ilościowej. Wybór metody powinien być dostosowany do określonych potrzeb. 4.2 Ocena ryzyka Ocena ryzyka jest to proces porównywania estymowanego ryzyka z ustalonymi kryteriami w celu określenia znaczenia ryzyka. Ryzyko z przypisanymi wartościami dla poszczególnych grup aktywów informacyjnych oraz kryteria oceny ryzyka umożliwiają podjęcie decyzji w stosunku do przyszłych działań. Decyzje te powinny określać czy należy podjąć działanie, a także powinny ustalać działania priorytetowe. W wyniku oceny powinno się otrzymać listę rankingową postępowania z ryzykiem. 4.3. Szacowanie ryzyka zgrubne i dokładne Szacowanie ryzyka (zgodnie z rys. 2) realizowane jest poprzez proces analizy i oceny ryzyka. Tzw. szacowanie zgrubne - na wysokim poziomie ogólności - zwykle umożliwia jedynie wytyczenie chronologii działań związanych z zabezpieczeniami, bowiem często z powodów finansowych zabezpieczanie niektórych grup danych i informacji musimy odłożyć na później. Jak wspomniano wyżej, w pierwszej kolejności zabezpieczymy zatem te najbardziej krytyczne. Zgrubne szacowanie ryzyka rzadko odnosi się do szczegółów technologicznych i wskazuje głównie na zabezpieczenia organizacyjne oraz ogólne zabezpieczenia techniczne typu oprogramowanie antywirusowe lub kopie zapasowe. Szczegółowe szacowanie ryzyka wymaga dużo większych nakładów czasu, wysiłku i umiejętności niż w przypadku szacowania zgrubnego. Tablica 3 przedstawia przykład budowy macierzy do szczegółowego określania poziomu ryzyka związanego bezpieczeństwem informacji. Tablica 3 Przykładowa macierz do wyznaczania szczegółowego poziomu ryzyka [źródło: PN-ISO/IEC 27005] Wartość aktywów Zagrożenie - prawdopodobieństwo wystąpienia Podatność - łatwość wykorzystania Niskie (L) Średnie (M) Wysokie (H) L M H L M H L M H 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8

Wiersze macierzy określają liczbowo wartość aktywów dla poszczególnych grup informacji (skala od 0 do 4). W kolumnach odzwierciedlone jest prawdopodobieństwo wystąpienia zagrożenia oraz łatwość wykorzystania podatności. Poziom ryzyka określony jest w skali od 0 do 8 dla każdej kombinacji. Wartość lub wrażliwość aktywów informacyjnych wyznaczają (jak wspomniano wyżej) kierownicy, którzy zwykle są tzw. właścicielami grup informacji w oparciu o takie czynniki jak: straty finansowe, przerwy w działaniu, utrata reputacji, zobowiązania i regulacje prawne itp. W podobny sposób (poprzez przypisanie poziomów: niskie, średnie, wysokie) szacowana jest łatwość wykorzystania zagrożeń oraz prawdopodobieństwo urzeczywistnienia się zagrożenia. Na przykład niech wartość aktywów wynosi 2, prawdopodobieństwo wystąpienia zagrożenia jest wysokie H, a łatwość wykorzystania L. Przy tych parametrach (zgodnie z tab. 3) poziom ryzyka wynosi 4. Przedstawiona metoda umożliwia tworzenie rankingu ryzyka dla poszczególnych grup aktywów. 5. ZARZĄDZANIE RYZYKIEM Istotnym elementem zarządzania bezpieczeństwem informacyjnym jest zarządzanie ryzykiem. Uproszczony proces zarządzania ryzykiem został przedstawiony na rys. 3. Rys. 3 Uproszczony schemat zarządzania ryzykiem [opr. wł. na podstawie PN-ISO/IEC 27005] Wszystkie powyżej opisane działania występują w fazie planuj SZBI. W fazie wykonuj należy zastosować odpowiednie zabezpieczenia w celu zredukowania ryzyka. Zabezpieczenia oraz cele zabezpieczeń zgodnie z PN-ISO/IEC 27001 powinny zostać opracowane w Deklaracji Stosowania jednym z najważniejszych dokumentów SZBI. Po praktyczne wskazówki warto sięgnąć do dokumentu PN-ISO/IEC 17799. Zgodnie z fundamentalną zasadą PN-ISO/IEC 27001, SZBI powinien żyć według cyklu PDCA (Planuj-Wykonaj- Sprawdź-Popraw). Oznacza to ciągłe monitorowanie, sprawdzanie i ulepszanie wdrożonego systemu. Tylko ciągłe monitorowanie i ocenianie przebiegu procesów związanych z bezpieczeństwem informacji pozwala stwierdzić jak ta ochrona jest realizowana. Wyniki pomiarów powinny być analizowane, aby umożliwić podejmowanie decyzji, co, gdzie i jak

poprawić - służyć doskonaleniu systemu. Etap eksploatacji systemu (sprawdź i popraw) wymaga, jak dobrze utrzymany ogród, stałej pielęgnacji systematycznej pracy i nadzoru. 6. KOORDYNOWANIE SZBI Kto powinien pełnić rolę menedżera bezpieczeństwa informacyjnego? W wielu firmach wyznacza się do tej funkcji pracownika komórki IT. Jeśli są to administratorzy lub informatycy wtedy nadzorują sami siebie. Jest to ewidentny błąd. Warto podkreślić, że menedżerem bezpieczeństwa informacyjnego nie musi być informatyk, ale osoba która rozumie nowe technologie oraz doskonale zna organizację i procesy w niej przebiegające. Zaleca się aby menedżer bezpieczeństwa był pełnomocnikiem najwyższego kierownictwa z odpowiednimi pełnomocnictwami, które umożliwiają mu wydawanie poleceń wszystkim pracownikom z żądaniem ich wykonania. Pełnomocnik powinien kierować i uczestniczyć w tworzeniu systemu w organizacji. Błędem jest kupowanie gotowych rozwiązań sporządzonych przez wyspecjalizowane firmy. Przygotowana przez nich polityka bezpieczeństwa informacyjnego, procedury, instrukcje zwykle są robotą seryjną z którą nikt z pracowników się nie utożsamia. Z empirii wynika, że rozwiązania muszą być wspólnie wypracowane a procedury akceptowane przez pracowników. Nie da się stworzyć efektywnego SZBI bez udziału wszystkich pracowników. W tym celu należy położyć duży nacisk na uwiadamianie pracownikom problemów bezpieczeństwa poprzez cykl szkoleń. Szkolenia te powinny objąć cały personel firmy, łącznie z pracownikami obsługi o których często się zapomina a stanowią ważne ogniwo w zapewnieniu bezpieczeństwa. W ten sposób tworzy się swoista kultura bezpieczeństwa informacyjnego w organizacji. Bez jej istnienia, czyli z pracownikami, którzy nie są uwrażliwieni na możliwość wystąpienia incydentów, zastosowane środki bezpieczeństwa zawsze będą niepełne a zatem niedoskonałe. 7. POMIAR BEZPIECZEŃSTWA INFORMACYJNEGO Jeśli nie potrafisz czegoś zmierzyć to niewiele o tym wiesz, w tym kontekście została wydana międzynarodowa norma ISO/IEC 27004 Zarządzanie bezpieczeństwem informacyjnym Pomiary. Norma ta objaśnia miary i dostarcza metod pomiarów potrzebnych do oszacowania skuteczności SZBI wymaganych przez ISO/IEC 27001. W tym miejscu należy zauważyć, że pojęcie pomiar zostało tu użyte w znaczeniu innym niż w przypadku pomiaru wielkości fizycznych. Pomiar wielkości fizycznych charakteryzuje się obiektywnością i empirycznością. W pomiarze tym ściśle określony jest przedmiot pomiaru, a wielkości mierzone mają przyporządkowaną jednostkę miary i wyrażone są liczbowo. Ponadto z terminem pomiar związane są narzędzia pomiarowe. Bezpieczeństwo jest niemierzalne z technicznego punktu widzenia, bowiem jest pojęciem abstrakcyjnym, subiektywnie odczuwanym przez odbiorcę. W bezpieczeństwie korzysta się z arbitralnych miar symbolicznych, często opisowych (np. niskie, średnie, wysokie). Z tego powodu, podczas audytu bezpieczeństwa informacyjnego audytor zbiera dane dotyczące wdrożonych zabezpieczeń na podstawie których wydaje ocenę stanu ochrony. Na podstawie stanu ochrony (np. posługując się deklaracją stosowania) może zdiagnozować, mniej lub bardziej precyzyjnie, dojrzałość SZBI. Co oznacza, że w danym momencie zostały spełnione warunki dające zapewnienie ochrony. Zatem w przypadku SZBI właściwym wydaje się stosowanie pojęcia ocena niż pomiar, a praca audytorów powinna skupiać się na badaniu stanu ochrony na podstawie wdrożonych zabezpieczeń i szacowaniu dojrzałości sytemu bezpieczeństwa informacyjnego, a nie na pomiarze bezpieczeństwa.

8. PODSUMOWANIE Bezpieczeństwo to imponderabilia 4 czyli rzecz nieuchwytna, nie dająca się, zmierzyć, zważyć, dokładnie określić, mogąca jednak oddziaływać i mieć znaczenie, wpływ. Bezpieczeństwo jest jedną z najważniejszych potrzeb człowieka, i jest to sui generis wewnętrzne przekonanie, że należące do niego zasoby pozostaną nienaruszone. Aby ta pewność miała oparcie w faktach należy ustanowić, wdrożyć, sprawdzać i doskonalić SZBI wg PN-ISO/IEC 27001. Jednym z symptomów skuteczności SZBI, dostrzeganych z wnętrza organizacji, jest niezakłócona realizacja określonych zadań i procesów. Z perspektywy zewnętrznej, potwierdzeniem istnienia dojrzałego SZBI, jest posiadanie certyfikatu bezpieczeństwa informacyjnego. Warto raz jeszcze podkreślić, że wszelkie działania spontaniczne, ad hock, bez głębszej analizy skazane są na niską efektywność w stosunku do nakładów. Tylko działania prowadzone systemowo w oparciu o najlepsze praktyki dają szansę optymalnej ochrony informacyjnych aktywów danej organizacji. LITERATURA 1. Krawiec J. Ożarek G.: Certyfikacja w informatyce. Warszawa. PKN. 2010 2. PN-ISO/IEC 27001:2007 Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania. 3. PN-ISO/IEC 27005:2010 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem związanym z bezpieczeństwem informacji. 4. PN-I-13335-1:1999 Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. 5. ISO/IEC 27004:2009 Information technology - Security techniques - Information security management - Measurement 6. Liderman K.: Analiza ryzyka i ochrona informacji w systemach komputerowych. Warszawa. PWN. 2008 4 imponderabilia (łc. in- nie- + p.łc. ponderabilis dający się zważyć od łc. ponderare ważyć ) rzeczy nieuchwytne, niedające się zmierzyć; rzeczy niesamowite, cudowne.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres