Zarządzania Bezpieczeństwem Warto a może Nie? Zachodniopolski Uniwersytet Technologiczny Wydział Informatyki Pracownia Ochrony Informacji Zarządzania Bezpieczeństwem Warto a może Nie? dr inż. Imed El Fray
Plan prezentacji Dlaczego zarządzania bezpieczeństwem? Co to jest zarządzania bezpieczeństwem? Czy można zaufać systemowi które niby dobrze jest zarządzane? Jak można dobrze zarządzać bezpieczeństwem? Wymagania Zarządzania Bezpieczeństwa
Dlaczego Zarządzania bezpieczeństwem? Bankomat
Dlaczego Zarządzania bezpieczeństwem? Bankomat
Dlaczego Zarządzania bezpieczeństwem? Phishing (alternatywnie: carding i spoofing)
Dlaczego Zarządzania bezpieczeństwem? Najczęstsze przyczyny szkód w systemach IT (wg Datapro Research)
Dlaczego Zarządzania bezpieczeństwem? Kto jest sprawcą szkód w systemach IT (wg Datapro Research)
Dlaczego Zarządzania bezpieczeństwem? Typy przestępstw komputerowych (wg Datapro Research)
Dlaczego Zarządzania bezpieczeństwem? Główne kierunki ataków (wg CSO 2005)
Dlaczego Zarządzania bezpieczeństwem? Skąd firma dowiedziała się o ataku (wg CSO 2005)
Dlaczego Zarządzania bezpieczeństwem? Kto został poinformowany o ataku (wg CSO 2005)
Dlaczego Zarządzania bezpieczeństwem? Procent firm deklarujących wystąpienie poważnych incydentów (wg CSO 2005)
Co to jest zarządzania bezpieczeństwem? ZBSI jest procesem, który jego celem jest: określania strategii bezpieczeństwa organizacji, zidentyfikowania i klasyfikowaniu zasobów, zidentyfikowania i zanalizowaniu zagrożeń i podatności systemu, zidentyfikowania i przeanalizowaniu ryzyka, określenia odpowiednich zabezpieczeń, monitorowania procesu wdrożenia i działania zabezpieczeń, opracowania i wdrażaniu programu uświadamiania dot. bezpieczeństwa oraz wykrywaniu i reagowaniu na incydenty Wiedzieć co realnie zagraża systemowi Odpowiednio zabezpieczyć system Utrzymywanie przejęty poziom bezpieczeństwa
Czy można zaufać systemowi które niby dobrze jest zarządzane? Jedno z czasopism stało się posiadaczem dysków twardych z danymi MSZ. „Nie ma pewności, że dany podatników w Urzędach Skarbowych są całkowicie bezpiecznie” –cytat Wojewódzkiego Sądu Administracyjnego w Warszawie. Poufne dane z Banku Millennium znalazły się na wysypisko. Numery kart płatniczych, dane osobowe, faktury, informacje o kontach itp. Banku Millennium wylądowało na złomowisku. Przy niskiej świadomości personelu i kierownictwo dotycząca zagrożeń i braku lojalności personelu względem własnej firmie równa zero zaufania
Jak można dobrze zarządzać bezpieczeństwem? ISMS – System Zarządzania Bezpieczeństwem Informacji Ustanowienie polityki bezp., cele, zakres stosowania, procesy i procedury odpow. zarządzaniu ryzykiem oraz zwiększające bezp. Informacji. Wdrożenie i eksploatacja polityki bezp. Zabezpieczeń, procesów i procedur Cykl opracowywania, utrzymywania i doskonalenia modelu PDCA Szacowanie oraz tam, gdzie ma zastosowane pomiar wykonania procesów w odniesieniu do polityki, cele itp.. Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo Wymagania i oczekiwania dla bezpieczeństwa informacji Zarządzanie bezpieczeństwem informacji (ISO/IEC 27001)
Wymagania Zarządzania Bezpieczeństwem (Normy ISO/IEC 27001:2005)
Plan Dlaczego Norma ISO/IEC 27001:2005 jest potrzebna Istotne zagrożenie dla bezpieczeństwa informacji Główne czynniki mające wpływ na działaniach podejmowanych przez instytucje w zakresie bezpieczeństwa informacji Świadomość szczebla kierowniczego o problematyce bezpieczeństwa Co zawiera Normy ISO/IEC 27001:2005 Proces wdrażanie wymagań Normy w firmie
Dlaczego Norma ISO 27001:2005 jest potrzebna (1/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005
Dlaczego Norma ISO 27001:2005 jest potrzebna (2/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005
Dlaczego Norma ISO 27001:2005 jest potrzebna (3/3) Źrodła: Ernst&Young – Światowe Badanie Bezpieczeństwa Informacji 2005
Co zawiera Normy ISO/IEC 27001:2005 Wprowadzenie Zakres normy Powołania Terminy i definicje System zarządzania bezpieczeństwem informacji Odpowiedzialność kierownictwa Wewnętrzne audity ISMS Przegląd zarządzania ISMS Doskonalenie ISMS Załącznik: Cele zabezpieczeń i zabezpieczenia
Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A5. Polityka Bezpieczeństwa Informacji Wsparcia kierownictwa dla bezpieczeństwa informacji A6. Organizacja bezpieczeństwa informacji Określenie odpowiedzialności i zasad zarządzania bezpieczeństwa informacji wewnątrz organizacji Określenie ryzyka związane z dostępem stron trzecich do zasobów organizacji A7. Zarządzanie aktywami Określenie odpowiedzialności za aktywa organizacji Zidentyfikowanie, definiowanie i klasyfikowanie informacji oraz określenie właściwych dla nich poziomów ochrony
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A A.7 Zarządzanie aktywami
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 7.1.1 Następujące wytyczne i zabezpieczenia: Zewnętrzne ściany powinny mieć solidną konstrukcję i wszystkie zewnętrzne drzwi powinny być odpowiednio zabezpieczone przed nieuprawnionym dostępem (tzn. stosować mechanizmy kontroli dostępu, alarmy, zamki, itp.), Powinno być uruchomione stanowisko recepcyjne obsługiwane przez człowieka lub zapewnione inne środki kontroli fizycznego dostępu, Bariery fizyczne powinny, jeśli to jest konieczne, być rozciągnięte od właściwej podłogi do właściwego sufitu w celu zapobiegania nieuprawnionemu wejściu i zanieczyszczeniu środowiska spowodowanemu przez takie czynniki, jak pożar lub zalanie. Wszystkie drzwi pożarowe w obwodzie budynku powinny być zabezpieczone alarmem i wyposażone w zamek samozatrzaskowy.
Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A8. Bezpieczeństwo osobowe Zapewnienie bezpieczeństwa procesu rekrutacji (niekaralność, przepisanie ról itp.) Uświadomienie pracowników, wytyczenie im zakres odpowiedzialności i obowiązków (co zrobić w przypadku zagrożenie dla informacji organizacji) Zapewnienie prawidłowości procesu derekrutacji (zwrot aktywów, blokowanie praw dostępu itp.) A9. Bezpieczeństwo fizyczne i środowiskowe Zapobieganie nieautoryzowanemu wtargnięciu na terenie organizacji lub zakłóceniu jej działania Zapobieganie utracie, uszkodzeniu, kradzieży i niszczenie wyposażenia organizacji.
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A A.9 Bezpieczeństwo fizyczne i środowiskowe
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 9.2.2 Następujące wytyczne i zabezpieczenia: Przywileje powinny być przydzielane poszczególnym osobom zgodnie z zasadą konieczności użycia i zasady indywidualnego traktowania każdego przypadku, tzn. według minimalnych wymagań wynikających z przydzielonych im zadań i tylko wtedy, gdy jest to konieczne. Należy zrealizować proces autoryzacji i dokonać zapisu wszystkich przydzielanych przywilejów. Przywileje nie powinny być przyznawane przed zakończeniem procesu autoryzacji. Przywileje powinny być przyznawane użytkownikom na inne konta, niż używane w normalnej działalności biznesowej.
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 9.3.1 Użytkownicy którym przyznano im Hasło są zobowiązani: Utrzymywać hasła w tajemnicy, unikać zapisywania je na papierze i niezwłocznie zmieniać je w przypadkach, gdy cokolwiek mogłoby wskazywać na możliwość włamania do systemu lub ujawnienia je, Wybierać hasła o minimalnej długości sześciu znaków, które: są łatwe do zapamiętania, nie są oparte na prostych skojarzeniach, nie zawierają ciągu jednakowych znaków (musi być kombinacja liczb, znaków itp.). Zmieniać hasła w regularnych odstępach czasu lub po wykonaniu określonej liczby rejestrowania się w systemie (unikać powtarzania haseł), Zmieniać hasła tymczasowe podczas pierwszego zarejestrowania się w systemie, Nie udostępniać swoich haseł innym użytkownikom (tzn. nie dać się nabrać na sztuczki socjotechniki).
Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A10. Zarządzanie systemami i sieciami Zapewnienie bezpieczeństwa urządzeń przetwarzających informacje, Zapewnienie właściwego poziomu bezpieczeństwa informacji i usług dostarczanych przez strony trzecie, Minimalizacje ryzyka wystąpienia awarii systemu, Zapewnienie integralności oprogramowania i informacji, Zapewnienie integralności i dostępności kopii informacji i zabezpieczenie miejsc ich przetwarzania, Zapewnienie bezpieczeństwa informacji w sieci, Zapewnienie możliwości wykrycia nieuprawnionego przeglądania, przetwarzania i kopiowania informacji.
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A
10.3.3 Podpisy cyfrowe zapewniają ochronę autentyczności i Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 10.3.3 Podpisy cyfrowe zapewniają ochronę autentyczności i integralności dokumentów elektronicznych. Podpis można zrealizować: przy użyciu techniki kryptograficznej opartej na związanej jednoznacznie ze sobą parze kluczy, z których jeden jest używany do tworzenia podpisu (klucz prywatny), a drugi do sprawdzania podpisu (klucz publiczny), ochrona integralności klucza publicznego można zapewnić dzięki certyfikaty klucza publicznego, używając podpisów cyfrowych, należy uwzględniać wszelkie regulacje prawne określające warunki, które muszą być spełnione, aby podpis cyfrowy był prawnie wiążący (nabywać w odpowiednim centrum certyfikacyjnym certyfikat uprawniające do użycie klucze np.. Certum, verysign itp.).
Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A11. Kontrola dostępu do systemu Określenie polityki kontroli dostępu do informacji i do systemów informacyjnych, Zapobieganiu nieuprawnionemu dostępowi do informacji i do systemów informacyjnych (w tym systemy i usługi sieciowe, systemy operacyjne, aplikacje biznesowe itp.), jak również ich zniszczeniu, modyfikacji oraz kradzieży, Zapewnienie bezpieczeństwa informacji w komputerach przenośnych i w trakcie pracy zdalnej.
Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A12. Pozyskanie, rozwój i utrzymanie systemów Zapobieganie błędom, utracie, nieupoważnionej modyfikacji lub nadużyciu informacji w aplikacjach, Zapewnienie poufności oraz integralności informacji przy wykorzystaniu kryptografii, Zapewnienie bezpieczeństwa plików systemowych i kontroli nad wykorzystywanym oprogramowaniem, Zapewnienie utrzymania bezpieczeństwa systemów aplikacji i informacji.
Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A13. Zarządzanie incydentami bezpieczeństwa Zapewnienie, że incydenty bezpieczeństwa i słabości będą zgłaszane w sposób umożliwiający podejście na czas stosownych działań, Zapewnienie spójnego i efektywnego podejścia do zarządzania incydentami bezpieczeństwa.
Co zawiera Normy ISO/IEC 27001:2005 Załącznik: Cele zabezpieczeń i zabezpieczenia A14. Zarządzanie ciągłością działania Przeciwdziałanie przerwom w działaniach biznesowych oraz ochrona krytycznych procesów biznesowych przed wynikami poważnych awarii systemów informacyjnych i katastrof oraz zapewnienie terminowego wznowienia ich działalności A15. Zgodność z prawem Zapewnienie zgodności z wszelkimi przepisami prawnymi, które dotyczą organizacji, Zapewnienie zgodności systemów z politykami bezpieczeństwa i standardami organizacji, Zapewnienie audyty systemów
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z załącznika A
Co zawiera Normy ISO/IEC 27001:2005 Wyciąg z ISO/IEC 17799 12.1.2 Działania zgodnie z prawem wymaga wprowadzenie następujących zabezpieczeń: szerzenie wiedzy o przestrzeganiu praw autorskich i polityki pozyskiwania oprogramowania oraz wprowadzenie sankcji dyscyplinarnych za ich naruszanie, prowadzenie odpowiednich rejestrów aktywów, przechowywanie dowodów własności licencji, oryginalnych dysków, podręczników, itp., zastosowanie środków kontroli przekroczenia maksymalnej dozwolonej liczby użytkowników, przeprowadzanie kontroli sprawdzających, czy zainstalowano tylko legalne i licencjonowane oprogramowanie, prowadzenie polityki niszczenia lub przekazywania oprogramowania, używanie odpowiednich narzędzi audytu.
Proces wdrażanie wymagań Normy w organizacji Wdrożenie i certyfikacji systemu Diagnoza systemu Szkolenia wstępne Przeprowadzenie Analizy Ryzyka Przygotowanie Planu Minimalizacji Ryzyka Opracowanie dokumentacji Szkolenia z dokumentacji Monitorowanie Planu Minimalizacji Ryzyka Certyfikacja systemu