Upload
lenhu
View
213
Download
0
Embed Size (px)
Citation preview
DZIAŁ ZARZĄDZANIARYZYKIEM INFORMATYCZNYM
1
Strategia i Polityka Bezpieczeństwa Systemów Informatycznych
Wykład
Aleksander Poniewierski
2
2
Plan wykładu
§ Informacja w firmie§ Bezpieczeństwo w firmie§ Zarządzanie bezpieczeństwem systemów informatycznych (SI)§ Strategia bezpieczeństwa SI – Dlaczego?§ Polityka bezpieczeństwa SI – Co?§ Procedury bezpieczeństwa SI – Jak?§ Zatwierdzenie strategii, polityki i procedur bezpieczeństwa SI§ Program ochrony informacji§ Podsumowanie§ Literatura
4
4
Cechy „dobrej” informacji
§ kompletna
§ istotna
§ terminowa
§ właściwa
§ wiarygodna
§ zrozumiała
5
5
Forma informacji i jej rola w firmie
ZarzZarząądzaniedzaniestrategicznestrategiczne
ZarzZarząądzanie taktycznedzanie taktyczne
ZarzZarząądzanie operacyjnedzanie operacyjne
Przetwarzanie danychPrzetwarzanie danych
§ wypowiedź
§ rozmowa
§ gesty
§ dokument papierowy
§ dokument elektroniczny
§ kody źródłowe
§ rysunki techniczne …
6
6
Wartość informacji
Informacja ma określoną wartość w danym czasie dla danych podmiotów.
§ wartość informacji o wygrywających numerach w LOTTO na 1 godzinę przed losowaniem <= wartości wygranej,
§ wartość informacji o numerach wylosowanych w losowaniu LOTTOdzień po losowaniu = 0
8
8
Obszary bezpieczeństwa informacji
ADMINISTRACYJNO - ORGANIZACYJNE
TECHNICZNO - PROGRAMOWE
FIZYCZNE
FORMALNO - PRAWNE
10
10
Składowe systemu informatycznego w firmie
WARSTWA ORGANIZACYJNAWARSTWA ORGANIZACYJNA
Procesy strategiczneProcesy strategiczne
WARSTWA PROCESOWAWARSTWA PROCESOWA
Procesy rozwojuProcesy rozwoju Procesy utrzymaniaProcesy utrzymania Procesy wsparciaProcesy wsparcia
Poziom fizyczny
Poziom systemu operacyjnego
Poziom bazy danych
Poziom interfejsu
Poziom aplikacji
UŻYTKOWNIK
PROCES BIZNESOWYPROCES BIZNESOWY
Definicja potrzeb
Obsługa informatyczna
11
11
Główne ryzyka związane z bezpieczeństwem SI
§ ryzyko utraty poufności – zdarzenie mogące doprowadzić do ujawnienia informacji przetwarzanej przez system informatyczny nieautoryzowanemu użytkownikowi,
§ ryzyko utraty dostępności – zdarzenie mogące doprowadzić do braku dostępu w określonym czasie do systemu informatycznego, programu lub informacji dla autoryzowanych użytkowników,
§ ryzyko utraty integralności – zdarzenie mogące doprowadzić do nieautoryzowanej modyfikacji lub zniszczenia danych przetwarzanych przez system informatyczny.
13
13
Cel zarządzania bezpieczeństwem SI
n Identyfikacja zagrożeń na jakie podatny jest system informatyczny.
n Ocena ryzyka związanego z bezpieczeństwem systemu informatycznego.
n Dobranie odpowiedniej metody zarządzania bezpieczeństwem
n Dobranie mechanizmów bezpieczeństwa (zabezpieczeń) adekwatnych do potrzeb
n Permanentne monitorowanie ryzyk.
n Monitorowanie wykorzystania mechanizmów bezpieczeństwa i ich efektywności
WIEDZIEĆ CO REALNIE ZAGRAŻA SI
ODPOWIEDNIO ZABEZPIECZYĆ SI
STALE UTRZYMYWAĆ PRZYJETY POZIOM BEZPIECZEŃSTWA
14
14
Model zarządzania bezpieczeństwem SI w firmie
Poufność
Cele Biznesowe
StrategiaBezpieczeństwa
Analiza Ryzyka
Polityka Bezpieczeństwa
Organizacja, Procesy, Modele
Wytyczne Procedury Standardy
KlasyfikacjaSystemy
informatyczneInformacje /Użytkownicy
Kluczowe Mierniki Sukcesu
Techniczno-ProgramoweMechanizmy Bezpieczeństwa
Formalno-PrawneMechanizmy Bezpieczeństwa
Fizyczne MechanizmyBezpieczeństwa
• Identyfikacja i uwierzytelnianie• Autoryzacja i kontrola dostępu• Połączenie z sieciami zewnętrznymi• Audyt i rozliczalność• Kryptograficzna ochrona danych• Utrzymanie systemów
informatycznych• Ciągłość działalności• Rozwój systemów informatycznych• Ochrona przed szkodliwym
oprogramowaniem
• Klauzule poufności• Umowy serwisowe• Upoważnienia i pełnomocnictwa• Zasady kontaktu z mediami
• Lokalizacja i bezpieczeństwo konstrukcyjne miejsc przetwarzania danych
• Bezpieczeństwo logiczne i ochrona miejsc przetwarzania danych
• Systemy zasilania• Komfort pracy urządzeń• Systemy kontroli dostępu• Ochrona przeciwpożarowa
Monitorowanie i Zarządzanie Mechanizmami Kontrolnymi
PoufnośćPoufność
Cele Biznesowe
StrategiaBezpieczeństwa
Analiza Ryzyka
Polityka Bezpieczeństwa
Organizacja, Procesy, Modele
Wytyczne Procedury Standardy
KlasyfikacjaSystemy
informatyczneInformacje /Użytkownicy
Kluczowe Mierniki Sukcesu
Techniczno-ProgramoweMechanizmy Bezpieczeństwa
Formalno-PrawneMechanizmy Bezpieczeństwa
Fizyczne MechanizmyBezpieczeństwa
• Identyfikacja i uwierzytelnianie• Autoryzacja i kontrola dostępu• Połączenie z sieciami zewnętrznymi• Audyt i rozliczalność• Kryptograficzna ochrona danych• Utrzymanie systemów
informatycznych• Ciągłość działalności• Rozwój systemów informatycznych• Ochrona przed szkodliwym
oprogramowaniem
• Klauzule poufności• Umowy serwisowe• Upoważnienia i pełnomocnictwa• Zasady kontaktu z mediami
• Lokalizacja i bezpieczeństwo konstrukcyjne miejsc przetwarzania danych
• Bezpieczeństwo logiczne i ochrona miejsc przetwarzania danych
• Systemy zasilania• Komfort pracy urządzeń• Systemy kontroli dostępu• Ochrona przeciwpożarowa
Monitorowanie i Zarządzanie Mechanizmami Kontrolnymi
16
16
Strategia bezpieczeństwa systemów informatycznych
Strategia Biznesowa Firmy
Strategia Informatyzacji
Strategia Bezpieczeństwa Analiza Ryzyka
Polityka Bezpieczeństwa IT
Polityki Szczegółowe Procedury Bezpieczeństwa
17
17
Perspektywy strategii bezpieczeństwa SI
KLIENT
BRANŻA - RYNEK
REGULATOR - USTAWODAWCA
PRACOWNICY
UDZIAŁOWCY
STRATEGIA FIRMY
Strategia Bezpieczeństwa SI
18
18
Części składowe strategii bezpieczeństwa SI
PODSUMOWANIE
n Główny cel strategii bezpieczeństwa systemów informatycznych
n Ogólny harmonogram realizacji (długoterminowy)
STRATEGIA BEZPIECZEŃSTWA
n Identyfikacja potrzeby zapewnienia bezpieczeństwa systemów informatycznych
n Identyfikacja perspektyw strategii bezpieczeństwa systemów informatycznych
n Określenie głównego celu „nadrzędnego” bezpieczeństwa systemów informatycznych
n Określenie celów cząstkowych „składowych” bezpieczeństwa systemów informatycznych
SPOSÓB REALIZACJI STRATEGII
n Określenie odpowiedzialności i narzędzi sposobu realizacji celów strategicznych
n Wyznaczenie etapów realizacji strategii (kamieni milowych)
n Określenie czynników sukcesu realizacji strategii
20
20
Polityka bezpieczeństwa systemów informatycznych
Strategia Biznesowa Firmy
Strategia Informatyzacji
Strategia Bezpieczeństwa Analiza Ryzyka
Polityka Bezpieczeństwa IT
Polityki Szczegółowe Procedury Bezpieczeństwa
21
21
Części składowe polityki bezpieczeństwa SI 1/2
PODSUMOWANIEn Troska Zarządu firmy o bezpieczeństwo informacjin Klasyfikacja informacji i systemów informatycznych
REGUŁY BEZPIECZEŃSTWAn odpowiedzialność – każda informacja przetwarzana w instytucji posiada swojego właściciela, który
jest odpowiedzialny za zapewnienie odpowiedniego poziomu bezpieczeństwa informacji szczególności jej poufności, integralności i dostępności
n kontrola dostępu do informacji - dostęp do informacji mogą posiadać jedynie upoważnieni do tego użytkownicy, którzy są jednoznacznie identyfikowani, uwierzytelnieni i rozpoznawalni w systemie informatycznym
n bezpieczeństwo systemów informatycznych - każdy system informatyczny powinien zapewniaćodpowiedni poziom bezpieczeństwa, wynikający z zasad i reguł Polityki Bezpieczeństwa, wymagańprawa, standardów i dobrych praktyk (ang. Best Practice)
n bezpieczeństwo kanałów wymiany informacji - kanały wymiany informacji muszą zapewniaćodpowiedni poziom bezpieczeństwa informacji w nich przesyłanych,
n zmiany w systemach informatycznych - rozwój systemu informatycznego instytucji nie powinien obniżać określonego poziomu jego bezpieczeństwa
22
22
Części składowe polityki bezpieczeństwa SI 2/2
n ochrona przed czynnikami szkodliwymi - informacje przetwarzane w systemach informatycznych instytucji muszą być chronione przed działaniem czynników szkodliwych
n utrzymanie ciągłości działania systemu informatycznego - wszystkie czynności zmierzające do utrzymania ciągłości działania systemu informatycznego muszą być planowane i realizowane w taki sposób, aby minimalizować skutki awarii lub kryzysu
n bezpieczeństwo fizyczne - pomieszczenia techniczne oraz obiekty o szczególnym znaczeniu dla instytucji muszą być odpowiednio chronione
n naruszenie bezpieczeństwa systemów informatycznych - każde naruszenie bezpieczeństwa informacji przetwarzanych przez systemy informatyczne będzie karane, a sprawca naruszenia będzie odpowiadał za nie zgodnie z obowiązującymi w instytucji regulacjami lub przepisami prawa obowiązującymi w Rzeczypospolitej Polskiej
n bezpieczeństwo formalno – prawne - mechanizmy bezpieczeństwa muszą być zgodne z obowiązującymi w Rzeczypospolitej Polskiej przepisami prawa
n zarządzanie ryzykiem związanym z bezpieczeństwem systemów informatycznych - instytucja w sposób ciągły zarządza ryzykiem związanym z bezpieczeństwem systemów informatycznych, podejmując działania zmierzające do identyfikacji i minimalizowania ryzyka związanego z bezpieczeństwem systemów informatycznych
24
24
Polityki szczegółowe i procedury bezpieczeństwa SI
Strategia Biznesowa Firmy
Strategia Informatyzacji
Strategia Bezpieczeństwa Analiza Ryzyka
Polityka Bezpieczeństwa IT
Polityki Szczegółowe Procedury Bezpieczeństwa
25
25
Polityki szczegółowe i procedury bezpieczeństwa SI
n Polityki bezpieczeństwa określające reguły dotyczące poszczególnych systemów (w szczególności wyjątki)
n Procedury określające sposób postępowania w zakresie bezpieczeństwa dla poszczególnych systemów informatycznych lub zagadnień operacyjnych
n Instrukcje postępowania – listy kontrolne
Polityka szczegółowa
Procedura bezpieczeństwa
Instrukcja Instrukcja
26
26
Części składowe procedury bezpieczeństwa SI
FORMALNA
n Symbol
n Data powstania / rewizji / zatwierdzenia
n Opracowujący / sprawdzający / zatwierdzający
MERYTORYCZNA
n Przedmiot / cel
n Zakres procedury
n Kompetencje i odpowiedzialności
n Postępowanie / Opis
n Definicje i terminologia
n Dokumenty odniesienia
n Lista kontrolna
n Załączniki
28
28
Program Ochrony Informacji
Program Ochrony Informacji to całokształt zaplanowanych i spriorytetyzowanych działań podejmowanych w celu
realizacji Strategii Bezpieczeństwa Informacji
Program Ochrony Informacji służy:
§ Zapewnieniu kompletności i spójności prowadzonych działań w zakresie zarządzania bezpieczeństwem informacji
§ Optymalizacji kosztów ponoszonych na zapewnienie bezpieczeństwa informacji
29
29
Zatwierdzenie i wdrożenie
Wszystkie dokumenty normalizujące zagadnienia bezpieczeństwa informacji i systemów informatycznych
muszą być formalnie zatwierdzone i stale aktualizowane.
31
31
Podsumowanie
§ Należy wiedzieć jaką informację przetwarza instytucja
§ Należy wycenić wartość informacji
§ Należy dokonać analizy ryzyka związanego z bezpieczeństwem informacji
§ Należy przygotować Strategie jej ochrony
§ Należy opracować politykę jej zabezpieczenia (informacji – systemów informatycznych)
§ Należy zaakceptować strategie i politykę
§ Należy opracować i wdrożyć program ochrony
§ Odpowiedzialności
§ Plan
§ Mechanizmy (w tym procedury)
§ Należy aktualizować strategie i politykę bezpieczeństwa (w miarę zmieniającego sięśrodowiska i potrzeb instytucji) oraz mechanizmy bezpieczeństwa
§ Należy monitorować przestrzeganie zasad i działanie mechanizmów bezpieczeństwa
32
32
Literatura
n British Standard BS 7799. 1995. (Information Security Management), Part 1: Code of practice for information security management
n Bundesamt Für Sicherheit in der Informationstechnik (BSI) 1997. IT Baseline Protection Manual(Recommended Measures to meet Medium-Level Protection Requirements)
n Commission of European Communities 1990. Information Technology Security Evaluation Criteria(ITSEC), Provisional Harmonized Criteria, Version 1.2. Brussels, Belgium: Commission of European Communities, Directorate—General XIII (June).
n Gleim I. N., CIA Review – Part I – The Internal Audit Activity’s Role in Governance, Risk and Control,Certified Internal Auditor – Gleim Publications Inc., Gainesville FL, 2004.
n Holbrook, P., Reynolds, J. 1991. Site Security Handbook. Request for Comments (RFC) Nr 1244, Wznowienie, 1997 – RFC 2196
n Information Systems Audit And Control Association, Control Objectives for Information and relatedTechnology (CobiT)
n Technika Informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji. 2000. PN-ISO/IEC 17799.
n U.S. Department of Defense 1985. Trusted Computer Systems Evaluation Criteria. DOD 5200.28 –STD.