Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Zarządzania Bezpieczeństwem Warto a może Nie? Zarządzania Bezpieczeństwem Warto a może Nie? dr inż. Imed El Fray Zachodniopolski Uniwersytet Technologiczny.

Podobne prezentacje


Prezentacja na temat: "Zarządzania Bezpieczeństwem Warto a może Nie? Zarządzania Bezpieczeństwem Warto a może Nie? dr inż. Imed El Fray Zachodniopolski Uniwersytet Technologiczny."— Zapis prezentacji:

1 Zarządzania Bezpieczeństwem Warto a może Nie? Zarządzania Bezpieczeństwem Warto a może Nie? dr inż. Imed El Fray Zachodniopolski Uniwersytet Technologiczny Wydział Informatyki Pracownia Ochrony Informacji

2 Plan prezentacji Dlaczego zarządzania bezpieczeństwem? Co to jest zarządzania bezpieczeństwem? Czy można zaufać systemowi które niby dobrze jest zarządzane? Jak można dobrze zarządzać bezpieczeństwem? Wymagania Zarządzania Bezpieczeństwa

3 Bankomat Dlaczego Zarządzania bezpieczeństwem?

4 Bankomat Dlaczego Zarządzania bezpieczeństwem?

5 Phishing (alternatywnie: carding i spoofing) Dlaczego Zarządzania bezpieczeństwem?

6 Najczęstsze przyczyny szkód w systemach IT (wg Datapro Research) Dlaczego Zarządzania bezpieczeństwem?

7 Kto jest sprawcą szkód w systemach IT (wg Datapro Research) Dlaczego Zarządzania bezpieczeństwem?

8 Typy przestępstw komputerowych (wg Datapro Research) Dlaczego Zarządzania bezpieczeństwem?

9 Główne kierunki ataków (wg CSO 2005) Dlaczego Zarządzania bezpieczeństwem?

10 Skąd firma dowiedziała się o ataku (wg CSO 2005) Dlaczego Zarządzania bezpieczeństwem?

11 Kto został poinformowany o ataku (wg CSO 2005) Dlaczego Zarządzania bezpieczeństwem?

12 Procent firm deklarujących wystąpienie poważnych incydentów (wg CSO 2005) Dlaczego Zarządzania bezpieczeństwem?

13 Co to jest zarządzania bezpieczeństwem? ZBSI jest procesem, który jego celem jest: określania strategii bezpieczeństwa organizacji, zidentyfikowania i klasyfikowaniu zasobów, zidentyfikowania i zanalizowaniu zagrożeń i podatności systemu, zidentyfikowania i przeanalizowaniu ryzyka, określenia odpowiednich zabezpieczeń, monitorowania procesu wdrożenia i działania zabezpieczeń, opracowania i wdrażaniu programu uświadamiania dot. bezpieczeństwa oraz wykrywaniu i reagowaniu na incydenty Wiedzieć co realnie zagraża systemowi Odpowiednio zabezpieczyć system Utrzymywanie przejęty poziom bezpieczeństwa

14 Czy można zaufać systemowi które niby dobrze jest zarządzane? Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ. Nie ma pewności, że dany podatników w Urzędach Skarbowych są całkowicie bezpiecznie –cytat Wojewódzkiego Sądu Administracyjnego w Warszawie. Poufne dane z Banku Millennium znalazły się na wysypisko. Numery kart płatniczych, dane osobowe, faktury, informacje o kontach itp. Banku Millennium wylądowało na złomowisku. Przy niskiej świadomości personelu i kierownictwo dotycząca zagrożeń i braku lojalności personelu względem własnej firmie równa zero zaufania

15 Jak można dobrze zarządzać bezpieczeństwem? Wykonaj (Do) Wykonaj (Do) wdrożenie i eksploatacji ISMS SPRAWDZAJ (Check) SPRAWDZAJ (Check) monitorowanie i przegląd ISMS DZIAŁAJ (ACT) utrzymanie i doskonalenie ISMS PLANUJ (Plan) ustanowienie ISMS Wymagania i oczekiwania dla bezpieczeństwa informacji Zarządzanie bezpieczeństwem informacji (ISO/IEC 27001) ISMS – System Zarządzania Bezpieczeństwem Informacji Cykl opracowywania, utrzymywania i doskonalenia modelu PDCA Ustanowienie polityki bezp., cele, zakres stosowania, procesy i procedury odpow. zarządzaniu ryzykiem oraz zwiększające bezp. Informacji. Wdrożenie i eksploatacja polityki bezp. Zabezpieczeń, procesów i procedur Szacowanie oraz tam, gdzie ma zastosowane pomiar wykonania procesów w odniesieniu do polityki, cele itp.. Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo

16 Wymagania Zarządzania Bezpieczeństwem (Normy ISO/IEC 27001:2005) Wymagania Zarządzania Bezpieczeństwem (Normy ISO/IEC 27001:2005)

17 Plan nDlaczego Norma ISO/IEC 27001:2005 jest potrzebna Istotne zagrożenie dla bezpieczeństwa informacji Główne czynniki mające wpływ na działaniach podejmowanych przez instytucje w zakresie bezpieczeństwa informacji Świadomość szczebla kierowniczego o problematyce bezpieczeństwa Co zawiera Normy ISO/IEC 27001:2005 nProces wdrażanie wymagań Normy w firmie

18 Dlaczego Norma ISO 27001:2005 jest potrzebna (1/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

19 Dlaczego Norma ISO 27001:2005 jest potrzebna (2/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

20 Dlaczego Norma ISO 27001:2005 jest potrzebna (3/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005

21 Wprowadzenie Zakres normy Powołania Terminy i definicje System zarządzania bezpieczeństwem informacji Odpowiedzialność kierownictwa Wewnętrzne audity ISMS Przegląd zarządzania ISMS Doskonalenie ISMS Załącznik: Cele zabezpieczeń i zabezpieczenia Co zawiera Normy ISO/IEC 27001:2005

22 Załącznik: Cele zabezpieczeń i zabezpieczenia A5. Polityka Bezpieczeństwa Informacji Wsparcia kierownictwa dla bezpieczeństwa informacji A6. Organizacja bezpieczeństwa informacji Określenie odpowiedzialności i zasad zarządzania bezpieczeństwa informacji wewnątrz organizacji Określenie ryzyka związane z dostępem stron trzecich do zasobów organizacji A7. Zarządzanie aktywami Określenie odpowiedzialności za aktywa organizacji Zidentyfikowanie, definiowanie i klasyfikowanie informacji oraz określenie właściwych dla nich poziomów ochrony

23 Co zawiera Normy ISO/IEC 27001:2005 A.7 Zarządzanie aktywami Wyciąg z załącznika A

24 Co zawiera Normy ISO/IEC 27001: Następujące wytyczne i zabezpieczenia: Zewnętrzne ściany powinny mieć solidną konstrukcję i wszystkie zewnętrzne drzwi powinny być odpowiednio zabezpieczone przed nieuprawnionym dostępem (tzn. stosować mechanizmy kontroli dostępu, alarmy, zamki, itp.), Powinno być uruchomione stanowisko recepcyjne obsługiwane przez człowieka lub zapewnione inne środki kontroli fizycznego dostępu, Bariery fizyczne powinny, jeśli to jest konieczne, być rozciągnięte od właściwej podłogi do właściwego sufitu w celu zapobiegania nieuprawnionemu wejściu i zanieczyszczeniu środowiska spowodowanemu przez takie czynniki, jak pożar lub zalanie. Wszystkie drzwi pożarowe w obwodzie budynku powinny być zabezpieczone alarmem i wyposażone w zamek samozatrzaskowy. Wyciąg z ISO/IEC 17799

25 Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A8. Bezpieczeństwo osobowe Zapewnienie bezpieczeństwa procesu rekrutacji (niekaralność, przepisanie ról itp.) Uświadomienie pracowników, wytyczenie im zakres odpowiedzialności i obowiązków (co zrobić w przypadku zagrożenie dla informacji organizacji) Zapewnienie prawidłowości procesu derekrutacji (zwrot aktywów, blokowanie praw dostępu itp.) A9. Bezpieczeństwo fizyczne i środowiskowe Zapobieganie nieautoryzowanemu wtargnięciu na terenie organizacji lub zakłóceniu jej działania Zapobieganie utracie, uszkodzeniu, kradzieży i niszczenie wyposażenia organizacji.

26 Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A A.9 Bezpieczeństwo fizyczne i środowiskowe

27 Co zawiera Normy ISO/IEC 27001: Następujące wytyczne i zabezpieczenia: Przywileje powinny być przydzielane poszczególnym osobom zgodnie z zasadą konieczności użycia i zasady indywidualnego traktowania każdego przypadku, tzn. według minimalnych wymagań wynikających z przydzielonych im zadań i tylko wtedy, gdy jest to konieczne. Należy zrealizować proces autoryzacji i dokonać zapisu wszystkich przydzielanych przywilejów. Przywileje nie powinny być przyznawane przed zakończeniem procesu autoryzacji. Przywileje powinny być przyznawane użytkownikom na inne konta, niż używane w normalnej działalności biznesowej. Wyciąg z ISO/IEC 17799

28 Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A

29 Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC Użytkownicy którym przyznano im Hasło są zobowiązani: Utrzymywać hasła w tajemnicy, unikać zapisywania je na papierze i niezwłocznie zmieniać je w przypadkach, gdy cokolwiek mogłoby wskazywać na możliwość włamania do systemu lub ujawnienia je, Wybierać hasła o minimalnej długości sześciu znaków, które: są łatwe do zapamiętania, nie są oparte na prostych skojarzeniach, nie zawierają ciągu jednakowych znaków (musi być kombinacja liczb, znaków itp.). Zmieniać hasła w regularnych odstępach czasu lub po wykonaniu określonej liczby rejestrowania się w systemie (unikać powtarzania haseł), Zmieniać hasła tymczasowe podczas pierwszego zarejestrowania się w systemie, Nie udostępniać swoich haseł innym użytkownikom (tzn. nie dać się nabrać na sztuczki socjotechniki).

30 Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A10. Zarządzanie systemami i sieciami Zapewnienie bezpieczeństwa urządzeń przetwarzających informacje, Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie, Minimalizacje ryzyka wystąpienia awarii systemu, Zapewnienie integralności oprogramowania i informacji, Zapewnienie integralności i dostępności kopii informacji i zabezpieczenie miejsc ich przetwarzania, Zapewnienie bezpieczeństwa informacji w sieci, Zapewnienie możliwości wykrycia nieuprawnionego przeglądania, przetwarzania i kopiowania informacji.

31 Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A

32 Co zawiera Normy ISO/IEC 27001: Podpisy cyfrowe zapewniają ochronę autentyczności i integralności dokumentów elektronicznych. Podpis można zrealizować: przy użyciu techniki kryptograficznej opartej na związanej jednoznacznie ze sobą parze kluczy, z których jeden jest używany do tworzenia podpisu (klucz prywatny), a drugi do sprawdzania podpisu (klucz publiczny), ochrona integralności klucza publicznego można zapewnić dzięki certyfikaty klucza publicznego, używając podpisów cyfrowych, należy uwzględniać wszelkie regulacje prawne określające warunki, które muszą być spełnione, aby podpis cyfrowy był prawnie wiążący (nabywać w odpowiednim centrum certyfikacyjnym certyfikat uprawniające do użycie klucze np.. Certum, verysign itp.). Wyciąg z ISO/IEC 17799

33 Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A11. Kontrola dostępu do systemu Określenie polityki kontroli dostępu do informacji i do systemów informacyjnych, Zapobieganiu nieuprawnionemu dostępowi do informacji i do systemów informacyjnych (w tym systemy i usługi sieciowe, systemy operacyjne, aplikacje biznesowe itp.), jak również ich zniszczeniu, modyfikacji oraz kradzieży, Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.

34 Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A12. Pozyskanie, rozwój i utrzymanie systemów A12. Pozyskanie, rozwój i utrzymanie systemów Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach, Zapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii, Zapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem, Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji.

35 Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A13. Zarządzanie incydentami bezpieczeństwa A13. Zarządzanie incydentami bezpieczeństwa Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podejście na czas stosownych działań, Zapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.

36 Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A14. Zarządzanie ciągłością działania A14. Zarządzanie ciągłością działania Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności A15. Zgodność z prawem A15. Zgodność z prawem Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą organizacji, Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji, Zapewnienie audyty systemów

37 Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A

38 Co zawiera Normy ISO/IEC 27001: Działania zgodnie z prawem wymaga wprowadzenie następujących zabezpieczeń: szerzenie wiedzy o przestrzeganiu praw autorskich i polityki pozyskiwania oprogramowania oraz wprowadzenie sankcji dyscyplinarnych za ich naruszanie, prowadzenie odpowiednich rejestrów aktywów, przechowywanie dowodów własności licencji, oryginalnych dysków, podręczników, itp., zastosowanie środków kontroli przekroczenia maksymalnej dozwolonej liczby użytkowników, przeprowadzanie kontroli sprawdzających, czy zainstalowano tylko legalne i licencjonowane oprogramowanie, prowadzenie polityki niszczenia lub przekazywania oprogramowania, używanie odpowiednich narzędzi audytu. Wyciąg z ISO/IEC 17799

39 Proces wdrażanie wymagań Normy w organizacji Wdrożenie i certyfikacji systemu Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Minimalizacji Ryzyka Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Minimalizacji Ryzyka Certyfikacja systemu


Pobierz ppt "Zarządzania Bezpieczeństwem Warto a może Nie? Zarządzania Bezpieczeństwem Warto a może Nie? dr inż. Imed El Fray Zachodniopolski Uniwersytet Technologiczny."

Podobne prezentacje


Reklamy Google