DZIAŁ ZARZĄDZANIARYZYKIEM INFORMATYCZNYM

1

Strategia i Polityka Bezpieczeństwa Systemów Informatycznych

Wykład

Aleksander Poniewierski

2

2

Plan wykładu

§ Informacja w firmie§ Bezpieczeństwo w firmie§ Zarządzanie bezpieczeństwem systemów informatycznych (SI)§ Strategia bezpieczeństwa SI – Dlaczego?§ Polityka bezpieczeństwa SI – Co?§ Procedury bezpieczeństwa SI – Jak?§ Zatwierdzenie strategii, polityki i procedur bezpieczeństwa SI§ Program ochrony informacji§ Podsumowanie§ Literatura

Informacja w firmie

4

4

Cechy „dobrej” informacji

§ kompletna

§ istotna

§ terminowa

§ właściwa

§ wiarygodna

§ zrozumiała

5

5

Forma informacji i jej rola w firmie

ZarzZarząądzaniedzaniestrategicznestrategiczne

ZarzZarząądzanie taktycznedzanie taktyczne

ZarzZarząądzanie operacyjnedzanie operacyjne

Przetwarzanie danychPrzetwarzanie danych

§ wypowiedź

§ rozmowa

§ gesty

§ dokument papierowy

§ dokument elektroniczny

§ kody źródłowe

§ rysunki techniczne …

6

6

Wartość informacji

Informacja ma określoną wartość w danym czasie dla danych podmiotów.

§ wartość informacji o wygrywających numerach w LOTTO na 1 godzinę przed losowaniem <= wartości wygranej,

§ wartość informacji o numerach wylosowanych w losowaniu LOTTOdzień po losowaniu = 0

Bezpieczeństwo informacji w firmie

8

8

Obszary bezpieczeństwa informacji

ADMINISTRACYJNO - ORGANIZACYJNE

TECHNICZNO - PROGRAMOWE

FIZYCZNE

FORMALNO - PRAWNE

9

9

Składowe bezpieczeństwa informacji w firmie

10

10

Składowe systemu informatycznego w firmie

WARSTWA ORGANIZACYJNAWARSTWA ORGANIZACYJNA

Procesy strategiczneProcesy strategiczne

WARSTWA PROCESOWAWARSTWA PROCESOWA

Procesy rozwojuProcesy rozwoju Procesy utrzymaniaProcesy utrzymania Procesy wsparciaProcesy wsparcia

Poziom fizyczny

Poziom systemu operacyjnego

Poziom bazy danych

Poziom interfejsu

Poziom aplikacji

UŻYTKOWNIK

PROCES BIZNESOWYPROCES BIZNESOWY

Definicja potrzeb

Obsługa informatyczna

11

11

Główne ryzyka związane z bezpieczeństwem SI

§ ryzyko utraty poufności – zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi,

§ ryzyko utraty dostępności – zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników,

§ ryzyko utraty integralności – zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny.

Zarządzanie bezpieczeństwem systemów informatycznych w firmie

13

13

Cel zarządzania bezpieczeństwem SI

n Identyfikacja zagrożeń na jakie podatny jest system informatyczny.

n Ocena ryzyka związanego z bezpieczeństwem systemu informatycznego.

n Dobranie odpowiedniej metody zarządzania bezpieczeństwem

n Dobranie mechanizmów bezpieczeństwa (zabezpieczeń) adekwatnych do potrzeb

n Permanentne monitorowanie ryzyk.

n Monitorowanie wykorzystania mechanizmów bezpieczeństwa i ich efektywności

WIEDZIEĆ CO REALNIE ZAGRAŻA SI

ODPOWIEDNIO ZABEZPIECZYĆ SI

STALE UTRZYMYWAĆ PRZYJETY POZIOM BEZPIECZEŃSTWA

14

14

Model zarządzania bezpieczeństwem SI w firmie

Poufność

Cele Biznesowe

StrategiaBezpieczeństwa

Analiza Ryzyka

Polityka Bezpieczeństwa

Organizacja, Procesy, Modele

Wytyczne Procedury Standardy

KlasyfikacjaSystemy

informatyczneInformacje /Użytkownicy

Kluczowe Mierniki Sukcesu

Techniczno-ProgramoweMechanizmy Bezpieczeństwa

Formalno-PrawneMechanizmy Bezpieczeństwa

Fizyczne MechanizmyBezpieczeństwa

• Identyfikacja i uwierzytelnianie• Autoryzacja i kontrola dostępu• Połączenie z sieciami zewnętrznymi• Audyt i rozliczalność• Kryptograficzna ochrona danych• Utrzymanie systemów

informatycznych• Ciągłość działalności• Rozwój systemów informatycznych• Ochrona przed szkodliwym

oprogramowaniem

• Klauzule poufności• Umowy serwisowe• Upoważnienia i pełnomocnictwa• Zasady kontaktu z mediami

• Lokalizacja i bezpieczeństwo konstrukcyjne miejsc przetwarzania danych

• Bezpieczeństwo logiczne i ochrona miejsc przetwarzania danych

• Systemy zasilania• Komfort pracy urządzeń• Systemy kontroli dostępu• Ochrona przeciwpożarowa

Monitorowanie i Zarządzanie Mechanizmami Kontrolnymi

PoufnośćPoufność

Cele Biznesowe

StrategiaBezpieczeństwa

Analiza Ryzyka

Polityka Bezpieczeństwa

Organizacja, Procesy, Modele

Wytyczne Procedury Standardy

KlasyfikacjaSystemy

informatyczneInformacje /Użytkownicy

Kluczowe Mierniki Sukcesu

Techniczno-ProgramoweMechanizmy Bezpieczeństwa

Formalno-PrawneMechanizmy Bezpieczeństwa

Fizyczne MechanizmyBezpieczeństwa

• Identyfikacja i uwierzytelnianie• Autoryzacja i kontrola dostępu• Połączenie z sieciami zewnętrznymi• Audyt i rozliczalność• Kryptograficzna ochrona danych• Utrzymanie systemów

informatycznych• Ciągłość działalności• Rozwój systemów informatycznych• Ochrona przed szkodliwym

oprogramowaniem

• Klauzule poufności• Umowy serwisowe• Upoważnienia i pełnomocnictwa• Zasady kontaktu z mediami

• Lokalizacja i bezpieczeństwo konstrukcyjne miejsc przetwarzania danych

• Bezpieczeństwo logiczne i ochrona miejsc przetwarzania danych

• Systemy zasilania• Komfort pracy urządzeń• Systemy kontroli dostępu• Ochrona przeciwpożarowa

Monitorowanie i Zarządzanie Mechanizmami Kontrolnymi

Strategia bezpieczeństwa systemów informatycznych

„Dlaczego”

16

16

Strategia bezpieczeństwa systemów informatycznych

Strategia Biznesowa Firmy

Strategia Informatyzacji

Strategia Bezpieczeństwa Analiza Ryzyka

Polityka Bezpieczeństwa IT

Polityki Szczegółowe Procedury Bezpieczeństwa

17

17

Perspektywy strategii bezpieczeństwa SI

KLIENT

BRANŻA - RYNEK

REGULATOR - USTAWODAWCA

PRACOWNICY

UDZIAŁOWCY

STRATEGIA FIRMY

Strategia Bezpieczeństwa SI

18

18

Części składowe strategii bezpieczeństwa SI

PODSUMOWANIE

n Główny cel strategii bezpieczeństwa systemów informatycznych

n Ogólny harmonogram realizacji (długoterminowy)

STRATEGIA BEZPIECZEŃSTWA

n Identyfikacja potrzeby zapewnienia bezpieczeństwa systemów informatycznych

n Identyfikacja perspektyw strategii bezpieczeństwa systemów informatycznych

n Określenie głównego celu „nadrzędnego” bezpieczeństwa systemów informatycznych

n Określenie celów cząstkowych „składowych” bezpieczeństwa systemów informatycznych

SPOSÓB REALIZACJI STRATEGII

n Określenie odpowiedzialności i narzędzi sposobu realizacji celów strategicznych

n Wyznaczenie etapów realizacji strategii (kamieni milowych)

n Określenie czynników sukcesu realizacji strategii

Polityka bezpieczeństwa systemów informatycznych

„Co”

20

20

Polityka bezpieczeństwa systemów informatycznych

Strategia Biznesowa Firmy

Strategia Informatyzacji

Strategia Bezpieczeństwa Analiza Ryzyka

Polityka Bezpieczeństwa IT

Polityki Szczegółowe Procedury Bezpieczeństwa

21

21

Części składowe polityki bezpieczeństwa SI 1/2

PODSUMOWANIEn Troska Zarządu firmy o bezpieczeństwo informacjin Klasyfikacja informacji i systemów informatycznych

REGUŁY BEZPIECZEŃSTWAn odpowiedzialność – każda informacja przetwarzana w instytucji posiada swojego właściciela, który

jest odpowiedzialny za zapewnienie odpowiedniego poziomu bezpieczeństwa informacji szczególności jej poufności, integralności i dostępności

n kontrola dostępu do informacji - dostęp do informacji mogą posiadać jedynie upoważnieni do tego użytkownicy, którzy są jednoznacznie identyfikowani, uwierzytelnieni i rozpoznawalni w systemie informatycznym

n bezpieczeństwo systemów informatycznych - każdy system informatyczny powinien zapewniaćodpowiedni poziom bezpieczeństwa, wynikający z zasad i reguł Polityki Bezpieczeństwa, wymagańprawa, standardów i dobrych praktyk (ang. Best Practice)

n bezpieczeństwo kanałów wymiany informacji - kanały wymiany informacji muszą zapewniaćodpowiedni poziom bezpieczeństwa informacji w nich przesyłanych,

n zmiany w systemach informatycznych - rozwój systemu informatycznego instytucji nie powinien obniżać określonego poziomu jego bezpieczeństwa

22

22

Części składowe polityki bezpieczeństwa SI 2/2

n ochrona przed czynnikami szkodliwymi - informacje przetwarzane w systemach informatycznych instytucji muszą być chronione przed działaniem czynników szkodliwych

n utrzymanie ciągłości działania systemu informatycznego - wszystkie czynności zmierzające do utrzymania ciągłości działania systemu informatycznego muszą być planowane i realizowane w taki sposób, aby minimalizować skutki awarii lub kryzysu

n bezpieczeństwo fizyczne - pomieszczenia techniczne oraz obiekty o szczególnym znaczeniu dla instytucji muszą być odpowiednio chronione

n naruszenie bezpieczeństwa systemów informatycznych - każde naruszenie bezpieczeństwa informacji przetwarzanych przez systemy informatyczne będzie karane, a sprawca naruszenia będzie odpowiadał za nie zgodnie z obowiązującymi w instytucji regulacjami lub przepisami prawa obowiązującymi w Rzeczypospolitej Polskiej

n bezpieczeństwo formalno – prawne - mechanizmy bezpieczeństwa muszą być zgodne z obowiązującymi w Rzeczypospolitej Polskiej przepisami prawa

n zarządzanie ryzykiem związanym z bezpieczeństwem systemów informatycznych - instytucja w sposób ciągły zarządza ryzykiem związanym z bezpieczeństwem systemów informatycznych, podejmując działania zmierzające do identyfikacji i minimalizowania ryzyka związanego z bezpieczeństwem systemów informatycznych

Procedury bezpieczeństwa systemów informatycznych

„Jak”

24

24

Polityki szczegółowe i procedury bezpieczeństwa SI

Strategia Biznesowa Firmy

Strategia Informatyzacji

Strategia Bezpieczeństwa Analiza Ryzyka

Polityka Bezpieczeństwa IT

Polityki Szczegółowe Procedury Bezpieczeństwa

25

25

Polityki szczegółowe i procedury bezpieczeństwa SI

n Polityki bezpieczeństwa określające reguły dotyczące poszczególnych systemów (w szczególności wyjątki)

n Procedury określające sposób postępowania w zakresie bezpieczeństwa dla poszczególnych systemów informatycznych lub zagadnień operacyjnych

n Instrukcje postępowania – listy kontrolne

Polityka szczegółowa

Procedura bezpieczeństwa

Instrukcja Instrukcja

26

26

Części składowe procedury bezpieczeństwa SI

FORMALNA

n Symbol

n Data powstania / rewizji / zatwierdzenia

n Opracowujący / sprawdzający / zatwierdzający

MERYTORYCZNA

n Przedmiot / cel

n Zakres procedury

n Kompetencje i odpowiedzialności

n Postępowanie / Opis

n Definicje i terminologia

n Dokumenty odniesienia

n Lista kontrolna

n Załączniki

Program Ochrony Informacji

Zatwierdzanie dokumentów

28

28

Program Ochrony Informacji

Program Ochrony Informacji to całokształt zaplanowanych i spriorytetyzowanych działań podejmowanych w celu

realizacji Strategii Bezpieczeństwa Informacji

Program Ochrony Informacji służy:

§ Zapewnieniu kompletności i spójności prowadzonych działań w zakresie zarządzania bezpieczeństwem informacji

§ Optymalizacji kosztów ponoszonych na zapewnienie bezpieczeństwa informacji

29

29

Zatwierdzenie i wdrożenie

Wszystkie dokumenty normalizujące zagadnienia bezpieczeństwa informacji i systemów informatycznych

muszą być formalnie zatwierdzone i stale aktualizowane.

Podsumowanie

31

31

Podsumowanie

§ Należy wiedzieć jaką informację przetwarza instytucja

§ Należy wycenić wartość informacji

§ Należy dokonać analizy ryzyka związanego z bezpieczeństwem informacji

§ Należy przygotować Strategie jej ochrony

§ Należy opracować politykę jej zabezpieczenia (informacji – systemów informatycznych)

§ Należy zaakceptować strategie i politykę

§ Należy opracować i wdrożyć program ochrony

§ Odpowiedzialności

§ Plan

§ Mechanizmy (w tym procedury)

§ Należy aktualizować strategie i politykę bezpieczeństwa (w miarę zmieniającego sięśrodowiska i potrzeb instytucji) oraz mechanizmy bezpieczeństwa

§ Należy monitorować przestrzeganie zasad i działanie mechanizmów bezpieczeństwa

32

32

Literatura

n British Standard BS 7799. 1995. (Information Security Management), Part 1: Code of practice for information security management

n Bundesamt Für Sicherheit in der Informationstechnik (BSI) 1997. IT Baseline Protection Manual(Recommended Measures to meet Medium-Level Protection Requirements)

n Commission of European Communities 1990. Information Technology Security Evaluation Criteria(ITSEC), Provisional Harmonized Criteria, Version 1.2. Brussels, Belgium: Commission of European Communities, Directorate—General XIII (June).

n Gleim I. N., CIA Review – Part I – The Internal Audit Activity’s Role in Governance, Risk and Control,Certified Internal Auditor – Gleim Publications Inc., Gainesville FL, 2004.

n Holbrook, P., Reynolds, J. 1991. Site Security Handbook. Request for Comments (RFC) Nr 1244, Wznowienie, 1997 – RFC 2196

n Information Systems Audit And Control Association, Control Objectives for Information and relatedTechnology (CobiT)

n Technika Informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji. 2000. PN-ISO/IEC 17799.

n U.S. Department of Defense 1985. Trusted Computer Systems Evaluation Criteria. DOD 5200.28 –STD.