Wprowadzenie Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji w JST m.st. Warszawy Grażyna Paulina Wójcik Zastępca Dyrektora Biura Audytu Wewnętrznego Urzędu m.st. Warszawy Zapewnienie bezpieczeństwa nie jest prostym zadaniem i wymaga ciągłych nakładów pracy, planowania oraz edukacji użytkowników. Mimo znaczącej wiedzy, którą zgromadzono w ostatnich dziesięcioleciach na temat teoretycznych i praktycznych aspektów bezpieczeństwa teleinformatycznego, liczba stwierdzanych poważnych problemów w świecie każdego roku wzrasta, i staje się coraz poważniejszym problemem dla użytkowników komputerów, wymagając nieustannej aktualizacji oprogramowania i szczególnej ostrożności przy korzystaniu z Internetu. Katowice, 1-2 października 2015 r. it.sheridancollege.ca 2 Akty prawne dot. audytu BI Podstawowy akt prawny czystygabinet.pl www.treesolution.com Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2014 r. poz. 1114). Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2015 r. poz. 1190) Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2014 r. Nr 100, poz. 1671). Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz.1024). ) 3 Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2015 r. poz. 1190) dalej UoFP DZIAŁ VI Audyt wewnętrzny oraz koordynacja audytu wewnętrznego w jednostkach sektora finansów publicznych Art. 276. W jednostce samorządu terytorialnego zadania przypisane kierownikowi jednostki związane z audytem wewnętrznym wykonują odpowiednio: wójt, burmistrz, prezydent miasta, przewodniczący zarządu jednostki samorządu terytorialnego. 4 Podstawowy akt prawny www.siscertifications.co.in Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2014 r. Nr 100, poz. 1671) dalej Rozporządzenie KRI 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: 14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Decyzją Prezydenta m.st. Warszawy Biuro Audytu Wewnętrznego w zakresie swoich zadań realizuje audyt bezpieczeństwa informacji. 5 6 mcglobaltech.com 1
Jak podeszliśmy do tego obowiązku? Opracowaliśmy wstępną koncepcję zmierzenia się z wyzwaniem. Analizie poddano możliwość zlecenia zadania usługodawcy zewnętrznemu lub wyłonienia z organizacji pracowników, którzy realizowali by zadania w obszarze bezpieczeństwa informacji. www.imggrid.com Jak podeszliśmy do tego obowiązku? Należy pamiętać, że JST m.st. Warszawa to: 36 Biur Urzędu 18 Urzędów Dzielnic oraz ok. 1000 jednostek organizacyjnych i osób prawnych, które podlegają lub są nadzorowane przez Prezydenta m.st. Warszawy 7 8 websecgeeks.com www.governica.com W strukturze Biura Audytu Wewnętrznego utworzono: Wydział Audytu Bezpieczeństwa Systemów Teleinformatycznych, Zespół Analiz. Pracowników do ww. komórek organizacyjnych pozyskano w trybie rekrutacji wewnętrznej nie zwiększając zatrudnienia w Urzędzie m.st. Warszawy. Przyjęto informatyków z Wydziałów Informatyki urzędów dzielnicowych m. st. Warszawy oraz z Biura Informatyki i Przetwarzania Informacji Urzędu m. st. Warszawy. 9 10 edugiodo.giodo.gov.pl www.interstrony.net W Biurze Audytu Wewnętrznego Urzędu m.st. Warszawy przy realizacji audytów bezpieczeństwa informacji uczestniczą audytorzy i informatycy przejęci z obszaru. Zalety przyjętego rozwiązania - obie strony uczą się nawzajem: Audytorzy stają się ekspertami w dziedzinie informatyki, Informatycy zdobywają uprawnienia audytora wewnętrznego co stanowi niezaprzeczalną wartość dodaną. Pracownicy Wydziału Audytu Bezpieczeństwa Systemów Teleinformatycznych przeprowadzają audyty zapewniające w zakresie oceny bezpieczeństwa informacji w jednostkach organizacyjnych i osobach prawnych m.st. Warszawy z wyłączeniem spółek prawa handlowego. 11 12 weblog.infopraca.pl edugiodo.giodo.gov.pl 2
Pracownicy Zespołu Analiz przeprowadzają audyty analityczne w zakresie oceny bezpieczeństwa informacji w jednostkach organizacyjnych i osobach prawnych m.st. Warszawy z wyłączeniem spółek prawa handlowego. Cechą charakterystyczną audytu analitycznego jest ocena dużej populacji jednostek w danym obszarze. Jest on realizowany poprzez kwestionariusz, w których zawarte są pytania wynikające z 20 ust. 2 pkt. 14 Rozporządzenia KRI. 13 14 www.vormetric.com Pracownicy Zespołu Analiz - przeprowadzają szkolenia dla pracowników JST m.st. Warszawy, dla JST m.st. Warszawy, w których planowany jest audyt analityczny (odpowiednik narady otwierającej) omawiając zawartość kwestionariusza oceny bezpieczeństwa informacji, w tym użytą terminologię. 15 cel audytu BI szkoleniaa.bloog.pl Dokonanie oceny dostosowania jednostki do wymagań wynikających z Rozporządzenia KRI poprzez weryfikację prawidłowości wdrożenia Polityki Bezpieczeństwa Informacji w badanych jednostkach m.st. Warszawy, ze szczególnym uwzględnieniem: adekwatności systemu bezpieczeństwa dotyczącego środowiska informatycznego, adekwatności i skuteczności zasad zarządzania systemami operacyjnymi, adekwatności i skuteczności wdrożonych mechanizmów kontroli w zakresie bezpieczeństwa aplikacji, zarządzania zasobami oraz siecią komputerową. 16 blog.eholiday.pl Wytyczne dot. audytu BI http://www.isaca.org Polska Norma PN-ISO/IEC 27001 - System Zarządzania Bezpieczeństwem Informacji. Polska Norma PN-ISO/IEC 17799 - w odniesieniu do ustanawiania zabezpieczeń (do 2014). Polska Norma PN-ISO/IEC 27002 - w odniesieniu do ustanawiania zabezpieczeń (od 2015). Polska Norma PN-ISO/IEC 27005 - w odniesieniu do zarządzania ryzykiem. Polska Norma PN-ISO/IEC 24762 - w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. Standard COBIT 4.1 (ang. Control Objectives for Information and related Technology) Wewnętrzne polityki i procedury w zakresie bezpieczeństwa systemów informatycznych Zakres przedmiotowy audytu bezpieczeństwa informacji 1. Zarządzanie i ochrona danych osobowych; 2. Kopie zapasowe i ich zabezpieczenia oraz testy odtworzeniowe; 3. Użytkowane Usługi i Aplikacje IT; 4. Stacje robocze i urządzenia mobilne; dzplacide.over-blog.com 5. Serwery i ich zabezpieczenia; 6. Serwerownie i punkty dystrybucyjne oraz urządzenia IT i zabezpieczenia sieciowe. 17 18 3
Wykorzystywane techniki audytu bezpieczeństwa informacji - analiza przekazanej dokumentacji, - przeprowadzanie rozmów z kierownictwem i pracownikami, - uzyskiwanie pisemnych wyjaśnień od pracowników jednostki, - sporządzanie kwestionariuszy i list kontrolnych audytu, - przeprowadzanie oględzin pomieszczeń. www.studenci.ue.katowice.pl 19 Przeprowadzane testy w trakcie audytu BI przeglądowe - stanowiące rozpoznawcze badanie systemu i mających na celu zidentyfikowanie kontroli wewnętrznych, zgodności - polegające na szczegółowym badaniu systemu w celu uzyskania dowodów na przestrzeganie uregulowań wewnętrznych, rzeczywiste (wiarygodności) - mające na celu sprawdzenie, czy informacje zawarte w dokumentacji są kompletne i dokładne oraz czy odzwierciedlają stan faktyczny, penetracyjne - potwierdzające prawidłowość działania systemów informatycznych za pomocą oprogramowania GFI Languard oraz Acunetix Web Vulnerability Skaner. 20 Audyt zapewniający w JST m.st. Warszawy 2013-2015 Lp. Nazwa procesu sterującego Średnia liczba problemów identyfikowanych w audytowanej jednostce Liczba jednostek objętych badaniem audytowym Liczba jednostek w procesie % jednostek w procesie objętych badaniem audytowym 1 Funkcjonowanie organów władzy 7 1 1 100 2 Finanse publiczne 11 2 2 100 3 Aktywność obywatelska 13 1 1 100 4 Edukacja 13 8 816 1 5 Kultura 14 5 69 8 6 Ochrona zdrowia 13 6 20 30 7 Pomoc społeczna 12 8 64 13 8 Sport i rekreacja 13 3 17 18 9 Bezpieczeństwo i porządek publiczny 20 3 3 100 10 Gospodarowanie nieruchomościami miasta 15 4 15 27 11 Gospodarowanie środowiskiem 16 3 3 100 12 Usługi komunalne 15 3 3 100 13 Architektura i urbanistyka 13 1 1 100 14 Transport, komunikacja i drogownictwo 17 4 4 100 Razem 52 1019 Audyt analityczny w JST m.st. Warszawy 2013-2015 Lp. Nazwa procesu sterującego Liczba jednostek w procesie objętym badaniem audytowym 1. Gospodarowanie nieruchomościami miasta - 2013 10 2. Pomoc społeczna - 2013 (DPS i OPS) 32 3. Sport i rekreacja - 2013 (OSiR) 16 4. Kultura - 2014 (Teatry, Muzea, Domy Kultury) 71 5. Edukacja - 2014 (PPP) 25 6. Ochrona zdrowia - 2014 (ZOZ) 14 7. Edukacja - 2014 (Szkoły Podstawowe i Technika) 250 8. Edukacja - 2015 (Licea, Gimnazja i ZSZ) 236 Razem 654 22 Szczególną uwagę zwracamy na Szczególną uwagę zwracamy na Zagrożenia dotyczące poufności danych - pokonanie zabezpieczeń fizycznych lub programowych - niekontrolowana obecność w obszarze przetwarzania osób nieuprawnionych - niekontrolowane wytwarzanie i wypływ poza obszar przetwarzania nośników informacji i komputerów przenośnych, urządzeń mobilnych (np. tablet, smartphone) - naprawy i konserwacje systemu lub sieci teleinformatycznej wykonywane przez osoby nieuprawnione - podsłuch lub podgląd Zagrożenia dotyczące integralności danych - uszkodzenie, celowe lub przypadkowe, systemu operacyjnego, oprogramowania lub urządzeń sieciowych - celowe lub przypadkowe uszkodzenie, zniszczenie lub nieuprawniona modyfikacja danych - infekcje wirusowe - klęski żywiołowe: pożar, powódź, huragan - atak terrorystyczny www.itvikings.com 23 www.cyber-wall.com 24 4
Szczególną uwagę zwracamy na Zagrożenia dotyczące dostępności danych - niewłaściwa administracja systemem informatycznym - niewłaściwa konfiguracja systemu informatycznego - zniszczenie/zafałszowanie logów systemowych - nie rejestrowanie udostępniania danych osobowych - podszywanie się pod innego użytkownika Audyt bezpieczeństwa informacji w JST m.st. Warszawy Lp. Najczęściej identyfikowane problemy 1. Brak potwierdzenia legalności oprogramowania 2. Brak zainstalowanych poprawek bezpieczeństwa systemów i aplikacji 3. Nieprawidłowa infrastruktura serwerowni 4. Podatność serwisu www 5. Brak standardu stacji roboczych lub innych urządzeń 6. Brak procedur testowych dla urządzeń UPS 7. Brak planu ciągłości działania w przypadku awarii 8. Brak wykonywania testów kopii bezpieczeństwa 9. Nieudokumentowanie konfiguracji systemów i urządzeń 25 10. Stosowanie nieprawidłowych haseł 26 www.maxpol.com.pl Audyt bezpieczeństwa informacji w JST m.st. Warszawy Lp. Najczęściej identyfikowane problemy Mapa oceny dojrzałości audytowanych jednostek z możliwym trendem zmiany opracowana na podstawie audytu analitycznego 1. Brak przechowywania kopii zapasowych w innej fizycznej lokalizacji. 2. Brak identyfikacji ryzyk związanych z niedostępnością usługi IT, w szczególności nieposiadających poziomu SLA w zawartych umowach. 3. Brak rozwiązania pozwalającego na analizy ruchu sieciowego oraz dostępu do sieci Internet. 4. Brak stałej rejestracji i analizy informacji z mierników temperatury i wilgotności. 5. Brak archiwizowania i analizowania zdarzeń z aplikacji. 6. Brak programu zastępowania systemów operacyjnych, obecnie pozbawionych wsparcia bezpieczeństwa, do rozwiązań wspieranych przez producenta oprogr. 7. Brak harmonogramu badania podatności wykorzystywanych systemów. 8. 9. Brak wyposażenia wszystkich urządzeń krytycznych w minimum dwa zasilacze na urządzenie/półkę /macierz dyskową. Brak rozwiązania pozwalającego na blokowanie możliwości podłączania się do sieci wewnętrznej jednostki urządzeń obcych. 10. Brak standardu własnych stacji roboczych. 27 28 Zalety przyjętego rozwiązania Zalety przyjętego rozwiązania informationsystemsmanagers.com www.nexcons.com Dzięki audytom w zakresie oceny bezpieczeństwa informacji zmieniło się spojrzenie Kierownictwa Urzędu i jednostek organizacyjnych na ten obszar działalności. Podjęto szereg prac porządkujących i uspójniających działania, a w tym decyzje o centralizacji wielu usług IT. Bezcenne jest też podniesienie świadomości pracowników, czyli użytkowników różnych systemów informatycznych, o ich odpowiedzialności za bezpieczeństwo danych i informacji przetwarzanych w codziennej pracy. Usprawnienie nadzoru nad zarządzaniem bezpieczeństwem informacji i osadzenie go w kulturze organizacji na równi z pozostałymi kluczowymi procesami. Ustalenie ról i odpowiedzialności w zakresie bezpieczeństwa informacji na wszystkich szczeblach zarządzania. Usprawnienie zarządzania informacją i infrastrukturą IT oraz ustanowienie jednolitych reguł dotyczących bezpieczeństwa sklasyfikowanych i zinwentaryzowanych aktywów. 29 30 5
Wpływ audytu na proces doskonalenia bezpieczeństwa teleinformatycznego Pracownicy Biura Audytu Wewnętrznego Urzędu m. st. Warszawy przeprowadzają szkolenia dla pracowników JST m.st. Warszawy m.in. z zakresu: 1. Stosowania polityki bezpieczeństwa dla systemów komputerowych; www.logitor.umk.p 2. Przechowywania kopii zapasowych w miejscach zabezpieczających je przed nieuprawnionym przejściem, modyfikacją, uszkodzeniem lub zniszczeniem; 3. Stosowania procedur analizy ryzyka związanego z bezpieczeństwem teleinformatycznym; 4. Stosowania procedur reagowania i dokumentowanie incydentów naruszenia bezpieczeństwa. 31 Wpływ audytu na proces doskonalenia bezpieczeństwa teleinformatycznego Bezpieczeństwo informacji w JST m.st. Warszawy jest realizowane poprzez wdrożenie i stosowanie odpowiedniego systemu zabezpieczeń, w tym polityk, procesów, struktury organizacyjnej, funkcji oprogramowania i sprzętu. Zabezpieczenie te zostały ustanowione, wdrożone, monitorowane, sprawdzone i udoskonalone, w celu zapewnienia, że bezpieczeństwo i cele biznesowe organizacji są spełnione. 32 www.iaccm.com Wpływ audytu na proces doskonalenia bezpieczeństwa teleinformatycznego System Zarządzania Bezpieczeństwem Informacji JST m.st. Warszawy oparty o międzynarodową normę ISO/IEC 27001 swym zakresem obejmuje bezpieczeństwo informacji związane z zarządzaniem i ochroną informacji stanowiących tajemnicę oraz informacji prawnie chronionych, dopuszczeniem osób do informacji oraz systemów przetwarzania informacji do eksploatacji, procedurami kryzysowymi na wypadek incydentów bezpieczeństwa. 33 Podsumowanie www.dataguardstore.com Bezpieczeństwo teleinformatyczne zapewnia się, chroniąc informacje przetwarzane w systemach i sieciach teleinformatycznych przed utratą właściwości gwarantujących to bezpieczeństwo, w szczególności przed utratą: poufności, dostępności i integralności. W JST m.st. Warszawy realizuje się go poprzez: określanie zasad autoryzacji i kontroli dostępu (do systemów, zasobów, usług), definiowanie zasad poufności i integralności danych w systemach komputerowych, definiowanie mechanizmów podnoszenia stopnia dostępności do informacji (nadmiarowość komponentów, archiwizacja danych, wykonywanie kopii zapasowych). 34 avkashk.wordpress.com Podsumowanie www.iso27001security.com Zarządzanie bezpieczeństwem teleinformatycznym polega na: tworzeniu polityki bezpieczeństwa dla systemów komputerowych, tworzeniu norm i zaleceń bezpieczeństwa, określaniu klas bezpieczeństwa systemów komputerowych, definiowaniu mechanizmów uwierzytelniania, monitorowaniu zabezpieczeń (monitorowanie transmisji danych, aktywności hostów), specyfikowaniu narzędzi służących do analizy zabezpieczeń, tworzeniu zasad dostępu do zasobów, tworzeniu procedur analizy ryzyka związanego z bezpieczeństwem teleinformatycznym, tworzeniu procedur reagowania i dokumentowanie incydentów naruszenia bezpieczeństwa, aktualizacji systemów operacyjnych i aplikacji. 35 Dziękuję za uwagę Alternatywne podejścia do realizacji Audytu Bezpieczeństwa Informacji JST m.st. Warszawy Grażyna Paulina Wójcik Zastępca Dyrektora Biura Audytu Wewnętrznego Urzędu m.st. Warszawy Katowice, 1-2 października 2015 r. 36 6