View
216
Download
0
Category
Preview:
Citation preview
Bezpieczeństwo informacji
– jak i co chronimy
Warszawa, 26 stycznia 2017
Bezpieczeństwo informacji
Bezpieczeństwo – stan, proces
Szacowanie ryzyka
Normy …
System Zarządzania Bezpieczeństwem Informacji
wg ISO/IEC 27001
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
Big Data
Do lat dziewięćdziesiątych XX w. ludzkość wytworzyła
1 zettabajt danych.
Do 2020 r. stworzymy 32 zettabajty…
Luciano Floridi – profesor filozofii i etyki informacji na
Uniwersytecie w Oksfordzie
(Doradca Google’a w sporze o prawo bycia zapomnianym)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
Big Data
"Obecnie aż 5 proc. globalnej produkcji energii elektrycznej
jest pochłaniane przez takie centra IT, a wkrótce wzrośnie to
do 7 proc." - informuje kierownik badań dr hab. Andrzej
Stupakiewicz z Wydziału Fizyki UwB. Zwraca uwagę, że
przy zapisie wydzielają się spore ilości ciepła - na tyle duże,
że aby chronić dane, trzeba zużywać dodatkową energię na
chłodzenie urządzeń. /PAP – Nauka w Polsce/
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
Wg PwC:
udział wydatków na zabezpieczenia w budżecie IT wyniósł w 2015 r. 19% (w Polsce – 10%)
91% firm na świecie przyjęło jakiekolwiek sformalizowane zasady bezpieczeństwa (w Polsce – 46%)
5% polskich firm straciło łącznie min. 1 mln zł z powodu cyberataków w 2015 r.
GW z 13.01.2016 r.
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
Big Data?
Bug data?
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
Skąd wiemy, czy bezpieczeństwo informacji
jest zapewnione przez naszego kontrahenta,
podwykonawcę, itp.?
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
Bezpieczeństwo informacji (2.19) to zachowanie
poufności (2.9),
integralności (2.25) i
dostępności (2.7) informacji
Dodatkowo można brać pod uwagę inne własności, takie jak:
autentyczność (2.6),
rozliczalność (2.2),
niezaprzeczalność (2.27)
niezawodność (2.33)(ISO/IEC 27000:2012)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
2.3
aktywa
wszystko, co ma wartość dla organizacji
2.18
aktywa informacyjne
wiedza lub dane, które posiadają wartość dla organizacji
(PN-ISO/IEC 27000:2012)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
2.26
system zarządzania
struktura polityk (2.28), procedur (2.30), wytycznych
(2.16) i związanych zasobów służących do osiągnięcia
celów organizacji
(ISO/IEC 27000:2012)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
3.2.3 Bezpieczeństwo informacji
Bezpieczeństwo informacji obejmuje trzy główne atrybuty:
poufność, dostępność i integralność. Biorąc pod uwagę cel,
jakim jest zapewnienie nieprzerwanego sukcesu i ciągłości
biznesu oraz minimalizacja skutków, bezpieczeństwo
informacji polega na zastosowaniu i zarządzaniu właściwymi
środkami zabezpieczeń, co z kolei polega na rozpatrzeniu
szerokiej gamy zagrożeń.(ISO/IEC 27000:2012)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
3.2.3 Bezpieczeństwo informacji (c.d.)
Bezpieczeństwo informacji jest osiągalne poprzez wdrożeniewłaściwego zbioru zabezpieczeń, wyselekcjonowanych wtrakcie wybranego procesu zarządzania ryzykiem izarządzanego poprzez SZBI, włączając w to polityki, procesy,procedury, struktury organizacyjne, oprogramowanie i sprzęt doochrony zidentyfikowanych aktywów informacyjnych. Tezabezpieczenia powinny być określone, wdrożone,monitorowane, przeglądane i doskonalone, tam gdzie jest tokonieczne, w celu zapewnienia, że określone cele biznesowe icele bezpieczeństwa organizacji zostaną osiągnięte
(ISO/IEC 27000:2012)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
2.23
system zarządzania bezpieczeństwem informacji SZBI
część całościowego systemu zarządzania (2.26), opartana podejściu wynikającym z ryzyka biznesowego,odnosząca się do ustanawiania, wdrażania, eksploatacji,monitorowania, utrzymywania i doskonaleniabezpieczeństwa informacji (2.19)
(ISO/IEC 27000:2012)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Bezpieczeństwo informacji
Kodeks pracy - art. 100 § 1 pkt 4
- każdy pracownik ma obowiązek zachowania tajemnicy
pracodawcy z mocy prawa niezależnie od zapisów umowy
o pracę, regulaminu pracy itd.
Ustawa o zwalczaniu nieuczciwej konkurencji
Kodeks karny - art
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
PN-I-13335-1
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Strategia bezpieczeństwa
Jakie zasoby chronić?
Identyfikacja zasobów krytycznych
Przed jakimi zagrożeniami?
Identyfikacja zagrożeń
Jakie nakłady możemy ponieść na ochronę (czas, koszty finansowe, …)
Zapewnienie zasobów finansowych, ludzkich,
(oszacowanie ryzyka, analiza kosztów i zysków)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Szacowanie ryzyka
• Niezbędne dokumenty
Katalog aktywów (w tym informacyjnych)
Katalog podatności
Katalog zagrożeń
Katalog zabezpieczeń
Katalog procesów
No i oczywiście metodyka szacowania ryzyka…
PN-ISO/IEC 27005:2014-01
(PN-ISO 31000:2012 Zarządzanie ryzykiem – Zasady i wytyczne)
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Szacowanie ryzyka
Wybór zabezpieczeń zależy od decyzji organizacjiopartych na kryteriach akceptowania ryzyka, wariantówpostępowania z ryzykiem oraz od ogólnego podejściado zarządzania ryzykiem wprowadzonego worganizacji. Zaleca się, aby uwzględniał on wszystkieodpowiednie krajowe i międzynarodowe przepisyprawne i regulacje. Wybór zabezpieczeń zależyrównież od sposobu, w jaki one współdziałają dlazapewnienia głębokiej ochrony.
PN-ISO/IEC 27002:2014-12
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Podstawowy zbiór dokumentów normalizacyjnych
niezbędny do budowy SZBI
Numer normy Tytuł Zawartość
PN-ISO/IEC 27001
Technika informatyczna.
Techniki bezpieczeństwa.
Systemy zarządzania
bezpieczeństwem Informacji.
Wymagania.
Prezentuje model oraz
metodę ustanowienia,
wdrożenia, eksploatacji,
monitorowania, przeglądu,
utrzymania i doskonalenia
SZBI.
PN-ISO/IEC 27005
Technika informatyczna.
Techniki bezpieczeństwa.
Zarządzanie ryzykiem
związanym z bezpieczeństwem
informacji.
Zawiera wytyczne do
zarządzania ryzykiem
dotyczącym bezpieczeństwa
informacyjnego. Stanowi
rozwinięcie ogólnych
koncepcji opisanych w PN-
ISO/IEC 27001.
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Podstawowy zbiór dokumentów normalizacyjnych
niezbędny do budowy SZBI
Numer normy Tytuł Zawartość
PN-ISO/IEC 27002
Technika informatyczna. Techniki
bezpieczeństwa. Systemy
zarządzania bezpieczeństwem
Informacji. Wymagania.
Przewodnik umożliwiający
opracowanie skutecznego SZBI.
Omawia cele stosowania
zabezpieczeń oraz opisuje
metody wdrażania zabezpieczeń
na podstawie oszacowanego
ryzyka. (133 zasady dot. BI)
PN-ISO/IEC 27006
Technika informatyczna. Techniki
bezpieczeństwa. Wymagania dla
jednostek prowadzących audyt i
certyfikację systemów zarządzania
bezpieczeństwem informacji.
Wymagania i wytyczne dla
jednostek prowadzących audyt i
certyfikację SZBI. Może być
stosowana do celów audytu
wewnętrznego SZBI.
ISO/IEC 27004Information technology – Security
techniques – Information security
management - Measurement
Wytyczne dotyczące rozwoju i
wykorzystywania środków
pomiaru w celu oceny
skuteczności wdrożenia SZBI
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Podstawowy zbiór dokumentów normalizacyjnych
niezbędny do budowy SZBI
Numer normy Tytuł Zawartość
PN-ISO/IEC 24762
Technika informatyczna. Techniki
bezpieczeństwa. Wytyczne dla
usług odtwarzania techniki
teleinformatycznej po katastrofie.
Dostarcza wytyczne w zakresie
usług odtwarzania techniki
teleinformatycznej po katastrofie.
Obejmuje aspekty wdrożenia,
testowania i realizacji
odtwarzania po katastrofie. Nie
obejmuje innych aspektów
zarządzania ciągłością działania.
(BS 25999, ISO 22301,
Rekomendacja D GINB /UKNF/…
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Podstawowy zbiór dokumentów normalizacyjnych
niezbędny do budowy SZBI
Numer normy Tytuł Zawartość
ISO/IEC 27018:2014
Information technology- Security
techniques-Code of practice for
protection of personally identifiable
information (PII) in public clouds
acting as PII processor.
Dotyczy bezpieczeństwa danych
osobowych w chmurze.
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
PN-EN 50600 Technika informatyczna – Wyposażenie i
infrastruktura centrów przetwarzania danych
PN-EN 60950 Urządzenia techniki informatycznej –
Bezpieczeństwo
ISO/IEC TR 18044 Information technology-Security
techniques-Information security incident management
PN-ISO/IEC TR 15947 Technika informatyczna-Techniki
zabezpieczeń-Struktura wykrywania włamań w
systemach teleinformatycznych
ISO/IEC TR 19791 (WD) Information technology-Security
techniques-Security assessment of operational systems
Inne normy warte uwagi przy budowie, wyborze data
center/serwerowni, i in.
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Trzy źródła wymagań związanych z bezpieczeństwem
szacowanie ryzyka dotyczącego organizacji, z uwzględnieniemcałościowej strategii biznesowej i celów organizacji. Dziękiszacowaniu ryzyka można zidentyfikować zagrożenia dla aktywów,ocenić podatność na zagrożenia i prawdopodobieństwo ichwystąpienia oraz estymować potencjalne skutki;
przepisy prawne, regulacje, zobowiązania umowne, jakieorganizacja, jej partnerzy handlowi, kontrahenci oraz dostawcy usługmają wypełnić, oraz środowisko społeczno-kulturowe, w jakimfunkcjonują;
zbiór zasad, celów i wymagań dotyczących przetwarzania informacji,które organizacja wypracowała dla wsparcia swojej działalności.
PN-ISO/IEC 27002:2014-12
Dlaczego SZBI?
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Dlaczego SZBI?
Rozporządzenie RM z dnia 12 kwietnia 2012 r. w sprawie
Krajowych Ram Interoperacyjności, minimalnych
wymagań dla rejestrów publicznych i wymiany informacji
w postaci elektronicznej oraz minimalnych wymagań dla
systemów teleinformatycznych.
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Kompleksowe podejście do bezpieczeństwa informacji
Bezpieczeństwo
osobowe
Bezpieczeństwoinformatyczne
Technologie
Bezpieczeństwofizyczne
Informacje
Bezpieczeństwoprawne
Ludzie
Usługi
ISO 27001
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Wymagania PN-ISO/IEC 27001:2014-12
Kontekst organizacji (pkt 4 normy)
• Zrozumienie organizacji i jej kontekstu
ISO 31000:2009, rozdz, 5.3
• Zrozumienie potrzeb i oczekiwań stron zainteresowanych
Wymagania stron zainteresowanych (np. organ nadzorujący, KE)
• Określenie zakresu SZBI
Udokumentowana informacja.
• System Zarządzania Bezpieczeństwem Informacji
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Wymagania PN-ISO/IEC 27001:2014-12
Przywództwo (pkt 5 normy)
Zapewnienie dostępności zasobów potrzebnych w SZBI.
• Ustanowienie PBI
Udokumentowanie celów lub ram do ustanowienia bezpieczeństwa informacji, zapewnienie ciągłego doskonalenia.
• Przydzielenie odpowiedzialności i uprawnień
KSBI, IBSI, ABI, szef IT, szef administracji, pion bezpieczeństwa?
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Wymagania PN-ISO/IEC 27001:2014-12
Planowanie (pkt 6 normy)
• Szacowanie ryzyka
Kryteria akceptacji, identyfikacja ryzyk, porównywalność
• Postępowanie z ryzykiem
Wybór opcji postępowania z ryzykiem (unikanie, akceptacja, minimalizacja, transfer, itd…) - PPR
Deklaracja Stosowania (Załącznik A)
ISO 31000:2009
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Wymagania PN-ISO/IEC 27001:2014-12
Wsparcie (pkt 7 normy)
• Zapewnienie zasobów i kompetencji wykonujących czynności mogące mieć wpływ na b.i.
Szkolenia, mentoring, wsparcie specjalistów z zewnątrz
• Uświadamianie
Świadomość PBI, konsekwencji niezgodności z wymaganiami SZBI,
• Komunikacja
Formaty dokumentów, wersjonowanie, zatwierdzenie, nadzór
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Wymagania PN-ISO/IEC 27001:2014-12
Działania operacyjne (pkt 8 normy)
• Planowanie i nadzorowanie procesów potrzebnych do spełnienia wymagań bezpieczeństwa informacji w oparciu o szacowanie ryzyka
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Wymagania PN-ISO/IEC 27001:2014-12
Ocena wyników i Doskonalenie
(pkt 9 i 10 normy)
• Ocena wyników
Monitoringi, audyt wewnętrzny, przegląd zarządzania(tak jak w normie PN-EN ISO 9001), pomiaryskuteczności zabezpieczeń (ISO/IEC 27004)
• Doskonalenie
Reagowanie na niezgodności, działania korygujące, ciągłe doskonalenie
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Dokumenty
• Polityka Bezpieczeństwa Informacji
• Procedury, polityki dziedzinowe, wytyczne
• Deklaracja Stosowania
• Procedury, polityki dziedzinowe, wytyczne
• System pomiaru (oceny) skuteczności zabezpieczeń (ISO/IEC 27004)
• Rejestr Incydentów Bezpieczeństwa Informacji
• Dokumentacja planów ciągłości działania
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Praktyka codzienna•Instruktaże wstępne dla nowozatrudnionych, szkolenia
okresowe•Okresowe sprawdziany wiedzy pracowników•Monitorowanie przestrzegania zasad przez pracowników•Monitoringi serwerowni: CP i CZ•Analiza raportów z systemów bezpieczeństwa IT •Monitoringi umów z dostawcami produktów i usług •Monitoringi zarządzania podatnościami technicznymi•Analiza incydentów•Audyty SZBI•Przeglądy zarządzania
System Zarządzania Bezpieczeństwem Informacji
J. Szumer, Bezpieczeństwo informacji – jak i co chronimy, 2017
Recommended