Wojciech Garstka, PROJEKT_G Wsparcie ochrony bezpieczeństwa firmy z wykorzystaniem standardów i norm Wojciech Garstka, PROJEKT_G
Problem terminologiczny Angielski termin Security ma podwójne znaczenie: Bezpieczeństwo, jako stan rzeczy opisany jako lista zabezpieczeń, poziom ich skuteczności, struktury techniczne i służbowe, procedury i miary monitoringu, ilość incydentów, itp. – czyli struktury, dokumenty, zapisy; Zabezpieczanie, jako aktywny proces składający się z szeregu podprocesów szczegółowych – np. ochrona fizyczna obiektu, kontrola dostępu, ochrona przeciwpożarowa i przed innymi zagrożeniami fizycznymi, nadzór nad systemami i oprogramowaniem, zabezpieczenie przed malwarem, zabezpieczanie sprzętu i aplikacji mobilnych itp. – czyli obejmujący podprocesy i ich wzajemne związki
Problem terminologiczny - przykład Terminologia i tłumaczenie jest ważne! Oto przykład: Tekst oryginalny: My hand slips on the barrel, and shot goes wild. Tłumaczenie poprawne: Dłoń ześliznęła mi się na lufę i padł niekontrolowany strzał. Tłumaczenie „inżynierskie” – maszynowe: Zrazy na baryłkę a strzał szaleje….
Co zabezpieczamy Zabezpieczamy informację ! Majątek i aktywa firmy, Sprzęt, systemy i oprogramowanie / bezpieczeństwo fizyczne, Interesy i własność klienta, Wszelkie warunki sukcesu rynkowego – np. tajemnicę handlową, patentową itp Prestiż firmy… tak, ale w gruncie rzeczy przede wszystkim Zabezpieczamy informację !
Dlaczego informacja jest ważna? Należy do aktywów firmy, Jej utrata, zdobycie przez podmiot niepowołany lub zniekształcenie rodzi stratę dla firmy i grozi jej upadkiem, Fakt nieuprawnionej ingerencji dot. informacji wrażliwej może narazić firmę na przykre konsekwencje prawne, Grozi utratą prestiżu na rynku – co oznacza utratę klientów
Bezpieczeństwo informacji Bezpieczna informacja to: CIA = confidencial, integral, available czyli poufna, spójna i dostępna Poufna – czyli dostępna wyłącznie dla podmiotów do tego uprawnionych (osoby, systemy, procesy) Spójna – czyli nie przetwarzana w żaden sposób przez podmioty nieuprawnione (nietknięta), Dostępna – czyli gotowa i zdatna do wykorzystania przez podmioty uprawnione przy każdej niezbędnej potrzebie
Podstawowe normy dot. ochrony bezpieczeństwa informacji ISO/IEC 27001:2005 Technologia Informacji – Techniki Bezpieczeństwa - Systemy Zarządzania Bezpieczeństwem Informacji ISO/IEC 17799 Technologia Informacji – kodeks postępowania dla SZBI ISO/IEC Guide 73 Zarządzanie ryzykiem – Słownictwo – wytyczne do stosowania w normach ISO 19011 Wytyczne do audytowania systemów jakości i środowiska ISO TR-13335 Wytyczne do Zarządzania Bezpieczeństwem Systemów Informatycznych (GMITS) - 5 części ISO 18044 Zarządzanie incydentami ISO 17944 Systemy finansowe ISO 18028 Zarządzanie komunikacją ISO 14516 Bezpieczeństwo handlu elektronicznego
Normy i standardy przydatne ISO 9001:2008 – System Zarządzania Jakością ISO/IEC 20000:2005 – System Zarządzania Usługami IT ITIL v 3 – biblioteka najlepszych praktyk ITSM BS 25999 (ISO 22301) – System Zarządzania Ciągłością Biznesu
Co to są normy? Normy – to są tematyczne, spójne zbiory zaleceń, pojęć, wskazówek i zasad postępowania Normy są fakultatywne – nie musisz ich wdrażać Są oparte na najlepszych, skutecznych praktykach Są potwierdzane autorytetem międzynarodowych organizacji respektujących rygorystyczne wewnętrzne standardy rzetelności Dają szansę certyfikacji – czyli obiektywnego sprawdzenia poprawności twojego postępowania Wyręczają w procesie doskonalenia własnej organizacji, podpowiadając sprawdzone rozwiązania
Organizacje normalizacyjne ISO - International Organization for Standarization Organizacja została założona w 1946 roku w Londynie. Na konferencji zwołanej przez BSI, która miała miejsca w dniach 14-27 października, połączyły się dwie organizacje: Międzynarodowa Federacja Narodowych Stowarzyszeń Normalizacyjnych (International Federation of the National Standardizing Associations ISA) założona w 1926 w Nowym Jorku, zarządzana ze Szwajcarii, działająca do 1942 jako porozumienie najważniejszych na świecie organizacji standaryzacyjnych – amerykańskiej ANSI, niemieckiej DIN, francuskiej AFNOR i brytyjskiej BSI. W praktyce ISA działała głównie w Europie w krajach używających systemu metrycznego. Komitet Koordynacyjny Narodów Zjednoczonych do spraw Standardów (United Nations Standards Coordinating Committee UNSCC), założony w 1944 przez Stany Zjednoczone, Wielką Brytanię i Kanadę, w którego skład wchodziły byłe kolonie brytyjskie i niektóre państwa europejskie wyzwolone w toku II wojny światowej, zarządzany z londyńskiego biura IEC. W praktyce UNSCC reprezentował kraje używające miar anglosaskich.
Organizacje normalizacyjne IEC – The International Electronical Commision To pozarządowa organizacja niekomercyjna, przygotowująca i publikująca międzynarodowe standardy w zakresie technologii elektrycznych, elektronicznych i pokrewnych – zwanych ogólnie „Elektrotechnologią” Powstała 26 czerwca 1906 r, na spotkaniu British IEE, amerykańskiego Institute of Electrical and Electronics Engineers (IEEE) (nazwanego potem AIEE), i kilku innych organizacji , których współpraca rozpoczęła się w 1900 na paryskim International Electrical Congress, IEC była inicjatorką wprowadzenia standardów na jednostki miary – zwłaszcza takie, jak gauss, hertz i weber. Pierwsza zaproponowała też system jednostek - tzw. Giorgi System, ostatecznie nazwany SI, lub Międzynarodowym Systemem jednostek (International System of Units).
Zarządzanie Zabezpieczaniem Zarządzanie organizacją Zarządzanie Zabezpieczaniem Zarządzanie Zabezpieczaniem Informacji
Cykl Deminga - PDCA Plan Do Check Act
ISO/IEC 27001:2005 – System Zarządzania Bezpieczeństwem Informacji
ISO/IEC 27001:2005 - załącznik A Cele stosowania zabezpieczeń i zabezpieczenia – swoista check-lista pomocna we wdrożeniu A.5 Polityka bezpieczeństwa A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.8 Bezpieczeństwo zasobów ludzkich (osobowe) Zatrudnianie, praca, zwalnianie A.9 Bezpieczeństwo fizyczne i środowiskowe A.10 Zarządzanie komunikacją i stosowaniem (urządzenia) A.11 Kontrola dostępu A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.14 Zarządzanie ciągłością działania. A.15 Zgodność.
ITIL : 2011 Zarządzania Zabezpieczaniem Zarządzanie Zabezpieczaniem (Bezpieczeństwem) jest procesem, podczas którego należy uzyskać zdefiniowany stopień ochrony informacji oraz usług IT (uzgodniony i zharmonizowany z potrzebami Biznesu): definicja tolerancji dla poszczególnych ryzyk biznesowych i operacyjnych IT, ustalenie strategicznych, taktycznych oraz operacyjnych środków dla zapewnienia odpowiedniego poziomu bezpieczeństwa. Zarządzanie Zabezpieczaniem obejmuje zarówno elementy organizacyjne jak i techniczne. na fakt, że zarządzanie bezpieczeństwem to nie tylko zagadnienia technologiczne ale przede wszystkim organizacyjne.
ITIL : 2011 Zarządzania Zabezpieczaniem Zarządzanie Incydentami związanymi z bezpieczeństwem, Zapobieganie Incydentom naruszającym bezpieczeństwo, Stworzenie planów zabezpieczania i dokumentacji wymagań, Spełnienie wymagań bezpieczeństwa dla IT z uwzględnieniem parametrów technicznych Uzgodnienia w SLR dotyczące bezpieczeństwa, które następnie są definiowane w SLA Wypracowanie uzgodnień pomiędzy klientem, a organizacją IT Raportowanie statusu bezpieczeństwa i przeprowadzanie audytów Struktury Zarządzania Zabezpieczaniem Security Manager – po stronie IT Pełnomocnik ds. Bezpieczeństwa – po stronie Biznesu
ISO/IEC 20000:2005 Zarządzanie Zabezpieczaniem Procesy Dostarczania Usług Zarządzanie Poziomem Jakości Usług Sporządzanie raportu z usług Zarządzanie Zasobami (potencjałem wykonawczym Zarządzanie Dostępnością i Odpornością usług (Ciągłością) Zarządzanie Zabezpieczaniem Budżetowanie i rozliczanie usług Procesy nadzoru (kontrolne) Zarządzanie Konfiguracją Zarządzanie Zmianą Procesy wydawania Zarządzanie Wydawaniem Procesy rozwiązań Zarządzanie Incydentem Zarządzanie Problemem Procesy powiązań i odniesień (związków) Zarządzanie relacjami Biznesu Zarządzanie poddostawcami
BS 25999 – Business Continuity BS 25999 jest standardem brytyjskim w zakresie zarządzania ciągłością działania, który powstał na podstawie dobrych praktyk w tym obszarze. Ma on dwie części: BS 25999-1:2006 zawiera wytyczne do systemowego zarządzania ciągłością działania, BS 25999-2:2007 obejmuje wymagania dla certyfikacji systemu. Efektem wdrożenia tego standardu jest system zarządzania BCM – czyli udokumentowany zestaw planów i procedur, pozwalający na utrzymanie określonego poziomu odporności na negatywne zdarzenia. BS 25999 jest powiązana ściśle z ISO 9001, ISO 14001 oraz ISO/IEC 27001
Business Continuity – co to jest? Contunuity = dosłownie Ciągłość, ale także Continuity = Odporność na wszelkie zakłócenia + zdolnoóść do przywrócenia działania w miarę potrzeby, w niezbędnym zakresie
Co daje realny i skuteczny BCP Firma EMC opublikowała wyniki badania European Disaster Recovery Survey 2011 (Europejska ankieta dotycząca odtwarzania danych po awarii). Potwierdzają one, że 74% europejskich przedsiębiorstw nie jest pewna czy jest w stanie w pełni przywrócić sprawność systemu lub odtworzyć dane po awarii, a ponad połowa przedsiębiorstw (54%) utraciła dane lub doświadczyła przestoju systemów w ciągu ostatnich 12 miesięcy. Badanie przeprowadzone przez niezależną firmę analityczną Vanson Bourne na zlecenie firmy EMC analizuje stan europejskiej infrastruktury tworzenia kopii zapasowych i odtwarzania po awarii i ocenia predyspozycje przedsiębiorstw do skutecznego działania w obliczu utraty danych i przestojów systemów. Szczegóły w dokumencie: European Disaster Recovery Survey 2011: Data Today Gone Tomorrow: How Well Companies Are Poised For
BS 25999 - zawartość BS 25999-1:2006 zawiera następujące działy: Polityka zarządzania ciągłością działania definiująca cele kierownictwa. Proces zarządzania ciągłością funkcjonowania organizacji zapewniający systemowe podejście. Analiza działalności z punktu widzenie ryzyka i strategia zarządzania ciągłością działania jako odpowiedź na istniejące ryzyko Opracowanie i wdrożenie środków ochrony i zapobiegania wynikających z realizacji strategii. Testowanie, zarządzanie i przegląd środków ochrony zarówno technicznych jak i organizacyjnych (przede wszystkim planów awaryjnych). Budowa świadomości pracowników i podmiotów współpracujących w zakresie BCM. BS 25999 jest brytyjskim standardem w zakresie zarządzania ciągłością działania (BCM), który powstał na podstawie ISO/PAS 56:2003 zbioru dobrych praktyk w tym obszarze. Standard BS 25999-1:2006 zawiera wytyczne do systemowego zarządzania ciągłością działania, natomiast BS 25999-2:2007 wymagania dla certyfikacji systemu. Efektem wdrożenia tego standardu jest system zarządzania – udokumentowany zestaw procedur, planów i instrukcji, pozwalający organizacji na utrzymanie określonej odporności na negatywne zdarzenia. BS 25999-1:2006 zawiera następujące rozdziały: Polityka zarządzania ciągłością działania definiująca cele kierownictwa. Proces zarządzania ciągłością funkcjonowania organizacji zapewniający systemowe podejście. Analiza działalności przez pryzmat ryzyka. strategia zarządzania ciągłością działania jako odpowiedź na istniejące ryzyka Opracowanie i wdrożenie środków ochrony (m.in. BCP, DRP) wynikające ze realizacji strategii. Testowanie, zarządzanie i przegląd środków ochrony zarówno technicznych jak i organizacyjnych (przede wszystkim planów awaryjnych). Budowa świadomości pracowników i podmiotów współpracujących. metodyka przeprowadzenie badania organizacji w celu określenia spełnienia wymagań normy określenie polityki kierownictwa w zakresie BCM analiza działalności i ryzyka budowa strategii BCM wraz z procesem BCM opracowanie planów ciągłości działania (BCP) opracowanie planów awaryjnych (DRP) oraz pozostałych organizacyjnych środków ochrony przeprowadzenie testów planów awaryjnych oraz przeglądu skuteczności systemu zastosowanie minimalizacja strat wynikłych z zaistniałych zdarzeń optymalizacja kosztów odtworzenia działalności przywrócenie organizacji w założonym czasie do określonego stanu obniżenie ryzyka biznesowego ochrona marki i reputacji kreowanie wizerunku solidnego partnera
BCM – sens i idea BCM jest procesem po stronie biznesu, prowadzonym na rzecz biznesu, który stwarza ramy strategiczne i operacyjne dla: - proaktywnego doskonalenia organizacyjnej odporności na naruszenia ciągłości działania i osiągania kluczowych celów; - zapewniania stosowania przećwiczonych metod odtwarzania zdolności dostarczania kluczowych produktów i usług na uzgodnionym poziomie w uzgodnionym momencie po awarii; - dostarczania sprawdzonych umiejętności zarządzania awariami i chroni prestiż oraz markę organizacji. Podczas gdy szczegółowe procesy związane z ciągłością biznesową mogą być różne w zależności od wielkości, struktur i odpowiedzialności – to podstawowe zasady pozostają dokładnie takie same dla dowolnej prywatnej lub publicznej firmy czy organizacji, z uwzględnieniem jej skali, zakresu działania i poziomu komplikacji. BCM jest procesem po stronie biznesu, na rzecz biznesu, który stwarza ramy strategiczne i operacyjne dla: - proaktywnego doskonalenia organizacyjnej odporności na naruszenia ciągłości działania i osiągania kluczowych celów; - zapewnia stosowanie przećwiczonych metod odtwarzania zdolności dostarczania kluczowych produktów i usług na uzgodnionym poziomie w uzgodnionym momencie po awarii; dostarcza sprawdzonych umiejętności dla zarządzania awariami i chroni prestiż oraz markę organizacji. Podczas gdy szczegółowe procesy związane z ciągłością biznesową mogą ulegać zmianie w zależności od wielkości, struktur i odpowiedzialności – to podstawowe zasady pozostają dokładnie takie same dla dowolnej prywatnej lub publicznej firmy czy organizacji, z uwzględnieniem jej skali, zakresu działania i poziomu komplikacji.
Jak wdrożyć normę? Decyzja biznesowa Wola i determinacja Kierownictwa Analiza potrzeb - przesłanki biznesowe wdrożenia Świadomość odniesienia korzyści biznesowej Świadomość pracochłonności i kosztów Decyzja perspektywiczna – na lata Analiza komplikacji - przesłanki organizacyjne wdrożenia Rodzaj biznesu i sposób jego prowadzenia Dojrzałość organizacyjna Kompetencje załogi Decyzja biznesowa
Korzyści z wdrożenia standardów Uporządkowanie i standaryzacja procesów – zapewnienie ich prawidłowości; Lepsze wykorzystanie zasobów – skuteczność i efektywność firmy; Zwiększenie zadowolenia i zaufania oraz lojalności Klientów; Lepsza komunikacja między IT a biznesem - poprawa wizerunku IT jako bezpiecznego i wiarygodnego partnera biznesu; Pewniejsze działanie w sytuacji zagrożeń powodowanych przez czynniki wewnętrzne i zewnętrzne – zagwarantowanie ciągłości biznesu; Wzrost konkurencyjności firmy na rynku
Norma i standard – dlaczego? Bo wyręcza w planowaniu i organizowaniu systemu i wspiera efektywne zarządzanie; … porządkuje i ujednolica procesy, struktury, funkcjonowanie i dokumentację; … pomaga ominąć wątpliwości i naśladować autorów sukcesu rynkowego (najlepsze praktyki); … podpowiada właściwe rozwiązania –uwalnia od rozterek i wątpliwości; … ułatwia nadzór i kontrolę nad określoną sferą działań
Norma – po co? Dla utrwalenia stabilnego sukcesu dla poprawy funkcjonowania i efektywności biznesowej firmy; dla uporządkowania relacji z dostawcami i partnerami; dla podniesienia prestiżu na rynku i poziomu zaufania klientów; dla zdobycia przewagi konkurencyjnej… czyli Dla utrwalenia stabilnego sukcesu
Wdrożenie normy jako projekt Wykorzystanie standardowych metodyk prowadzenia projektów Inicjowanie projektu Zasoby do wdrożenia Role i obowiązki Harmonogram i fazy wdrożenia
Rola konsultanta Konsultant zewnętrzny czy samodzielność? Konsultant zewnętrzny pomaga, czy wyręcza? Rola pełnomocnika ds. wdrożenia systemu objętego normą (SZJ, SZBI, IT SM… itp); Szkolenia i edukacja permanentna załogi; Zaangażowanie Kierownictwa
Podsumowanie Nie pytaj co ci z tego przyjdzie… … dowiesz się, gdy to zastosujesz! Jeśli tego nie zastosujesz, dowiesz się poniewczasie dlaczego twój biznes kuleje….
Dziękuję za uwagę!