Audyt bezpieczeństwa informacji w praktyce

AUDYT BEZPIECZEŃSTWA
INFORMACJI
w praktyce
wybrane aspekty metodyki
Piotr Wojczys
CISA, CICA
ROZPORZĄDZENIE RADY MINISTRÓW z dnia 12 kwietnia 2012 r.
w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla
rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz
minimalnych wymagań dla systemów teleinformatycznych.
Obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie
bezpieczeństwa informacji, nie rzadziej niż raz na rok (§ 20 ust.2 pkt 14).
Główne obiekty audytu zawiera Rozdział IV „Minimalne wymagania dla systemów teleinformatycznych”
 § 20 ust.2 - „działania systemowe”;
 § 21 ust.1 i ust. 2 - „rozliczalność działań w systemach teleinformatycznych”;
Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego
warunków umożliwiających realizację i egzekwowanie następujących działań:
1) zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
2) utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i
konfigurację;
3) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań
minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
4) podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i
uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie
bezpieczeństwa informacji;
5) bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
6) zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
a) zagrożenia bezpieczeństwa informacji,
b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
c) Stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
7) zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
a) monitorowanie dostępu do informacji,
b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
8) ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
9) zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
10) zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa
informacji;
11) ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków
przetwarzania informacji, w tym urządzeń mobilnych;
12) zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
a) dbałości o aktualizację oprogramowania,
b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,
c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
e) zapewnieniu bezpieczeństwa plików systemowych,
f) redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia
bezpieczeństwa,
h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
13) bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie
podjęcie działań korygujących;
14) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.
Czym jest bezpieczeństwo informacji ?
System zarządzania bezpieczeństwem informacji powinien zapewniać:
 Poufność informacji
(tylko osoby uprawnione mogą mieć dostęp do danej informacji);
 Dostępność informacji
(informacja powinna być cały czas dostępna dla osób uprawnionych);
 Integralność informacji
(informacje nie mogą zostać zmienione w sposób nieuprawniony, informacja
ma być zgodna oczekiwaniami i kompletna).
1. Aktualizacja regulacji wewnętrznych w zakresie dotyczącym zmieniającego
się otoczenia
1. - Polityka Bezpieczeństwa Przetwarzania Danych Osobowych
- Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania
danych osobowych.
Kto jest opowiedziany za aktualizację w/w ?
2. Przeglądy dokumentacji PBI (regularne i udokumentowane).
3. Usytuowanie ABI w strukturze organizacyjnej ?
4. Indywidualne zakresy obowiązków odpowiedzialności i uprawnień kluczowych osób
(ABI, informatycy).
5. Zgłaszanie zbiorów danych osobowych GIODO / własny rejestr zbiorów prowadzony
przez ABI
6. Podpisywanie umów powierzenia przetwarzania danych osobowych.
7. Podpisywanie upoważnień do przetwarzania danych osobowych.
}
Kto i na jakiej
podstawie ?
Punktem wyjścia jest polityka bezpieczeństwa informacji (PBI) - zestaw
przemyślanych, udokumentowanych zasad i procedur bezpieczeństwa wraz
z ich planem wdrożenia i egzekwowania.
„Polityka bezpieczeństwa informacji to wyrażona przez kierownictwo ogólna intencja
i kierunki działań dla zachowania poufności, integralności i dostępności informacji”.
Propozycja struktury dokumentów PBI:
Ogólna PBI
Polityka
Rachunkowości
- Mało zmienna w czasie
- Zawartość (treść) umożliwia jej opublikowanie
(np. na stronach internetowych organizacji).
- Nie epatuje terminami i nazwami technicznymi.
Polityka
bezpieczeństwa
przetwarzania
danych
osobowych
Zasady
korzystania
z Internetu
i poczty
elektronicznej
Instrukcja
zarządzania
systemem
informatycznym
służącym do
przetwarzania
danych
osobowych
Regulamin
użytkowania
urządzeń
mobilnych
Polityka
bezpieczeństwa
fizycznego
i technicznego
???
Opis systemu
informatycznego, wraz
z opisem algorytmów
i parametrów oraz
programowych zasad
ochrony danych, w tym
w szczególności metod
zabezpieczenia dostępu
do danych i systemu ich
przetwarzania.
Instrukcja bezp.
fizycznego
i technicznego
Dobra polityka bezpieczeństwa informacji – to polityka, którą rozumiemy.
2. Aktualność inwentaryzacji sprzętu i oprogramowania służącego do
przetwarzania informacji obejmującej ich rodzaj i konfigurację.
1. Podstawowa ewidencja sprzętu informatycznego w ramach ewidencji
majątkowej. Spisy inwentarzowe.
2. Rejestry/ewidencje elementów infrastruktury IT prowadzone przez służby
informatyczne. Schematy sieci komputerowej.
3. Przypisanie konkretnym osobom obowiązków w zakresie prowadzenia
ewidencji - w tym oprogramowania i nośników oprogramowania
(niezależnie od monitorowania legalności eksploatowanego oprogramowania).
4. Ewidencja oprogramowania (licencje !).
3. Okresowe analizy ryzyka utraty integralności, dostępności lub poufności
informacji oraz podejmowanie działań minimalizujących to ryzyko,
stosownie do wyników przeprowadzonej analizy.
1. Identyfikacja krytycznych informacji, ich zbiorów i dróg przepływu
oraz związanej z tym infrastruktury
+ ich klasyfikacja informacji.
2. Okresowe, udokumentowane analizy ryzyka odnoszące się do BI.
3. Właściciele ryzyk w obszarze BI.
Przypisanie konkretnym osobom obowiązków w tym zakresie.
4. Bieżące działania minimalizujące ryzyka w zakresie BI.
4. Działania zapewniające, że osoby zaangażowane w proces przetwarzania
informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie
w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków
mających na celu zapewnienie bezpieczeństwa informacji.
1. Zasada stosowania indywidualnych kont w systemach informatycznych.
2. Autoryzacja jako warunek istnienia konta. Upoważnienie nadane przez
właściwą osobę (nie zawsze przełożony, jeśli nie jest „Właścicielem”).
(czas na jaki nadawane są uprawnienia i ich zakres, także w kontekście
UODO).
3. Upoważnienia do przetwarzania danych osobowych wydanych imieniu ADO
(oraz rejestr tych upoważnień).
4. Rozdział obowiązków w komórce IT.
Właściwy podział obowiązków.
Najgorsza sytuacja to taka, w której uprawnienia administratora wszystkich
kluczowych zasobów IT posiada jedna osoba.
Co więcej, w małych organizacjach zdarza się, że ta osoba jest jednocześnie ABI !
Matryca „rozdzielenia obowiązków” w obszarze IT – zalecany sposób podziału
obowiązków dla zachowania bezpieczeństwa i unikania konfliktu interesów czy
nadzorowania samego siebie*
Jeśli pewnych funkcji personelu nie można z jakichś powodów rozdzielić należy
stosować dodatkowe mechanizmy kontrolne o charakterze kompensującym.
Dużo zależy od wielkości organizacji i ilości personelu IT.
Wskazówka. Sprawdzić jaki rzeczywisty dostęp do poszczególnych systemów
mają poszczególne osoby (konta z uprawnieniami administratora), nie
ograniczać się do formalnych zakresów obowiązków.
*patrz: www.isaca.org
5. Bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których
mowa w pkt 4.
1. Zasada stosowania indywidualnych kont w systemach informatycznych !
2. Zasady wycofywania uprawnień.
3. Mechanizmy wycofywania uprawnień.
4. Zapobieganie „rolowaniu” uprawnień.
SKUTKI STOSOWANIA PAPIEROWYCH „OBIEGÓWEK”
Odejście pracownika
1
zgon, porzucenie pracy …
2
„martwe dusze”
obiegówka nie dociera do ABI / ABT
3
zawodzi ABI/ ABT (albo jest niedostępny)
4
zawodzi ASI (albo jest niedostępny)
5
Usunięcie lub zablokowanie konta
5
1
6. Szkolenia osób zaangażowanych w proces przetwarzania informacji ze
szczególnym uwzględnieniem takich zagadnień, jak:
a) zagrożenia bezpieczeństwa informacji,
b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia
i oprogramowanie minimalizujące ryzyko błędów ludzkich.
1. Szkolenia kluczowych pracowników.
2. Szkolenia pozostałych pracowników.
7. Ochrona przetwarzanych informacji przed ich kradzieżą, nieuprawnionym
dostępem, uszkodzeniami lub zakłóceniami, przez:
a) monitorowanie dostępu do informacji,
b) czynności zmierzające do wykrycia nieautoryzowanych działań związanych
z przetwarzaniem informacji,
c) zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie
systemów operacyjnych, usług sieciowych i aplikacji.
1. Bieżące czynności monitorowania dostępu w tym logi
(serwery, systemy, urządzenia sieciowe).
2. Podstawowe elementy ochrony przed nieautoryzowanymi działaniami
związanymi z przetwarzaniem informacji:
–
–
–
–
–
–
ochrona sieci na poziomie portów LAN (standard IEEE 802.1X);
BIOS;
centralny system kontroli dostępu logicznego do pojedynczych komputerowych stanowisk pracy,
serwerów i zasobów sieci - na poziomie domeny Windows (usługa katalogowa Active Directory);
niezależne od domenowych systemy kontroli dostępu logicznego do kluczowych systemów
informatycznych;
system ochrony zewnętrznej klasy firewall (urządzanie sieciowe UTM);
system ochrony zewnętrznego dostępu logicznego (urządzanie sieciowe-serwer VPN);
zabezpieczenie kodem PIN dostępu do wydruków;
–
stosowanie tokenów z hasłami jednorazowymi.
–
8. Podstawowe zasady gwarantujące bezpieczną pracę przy przetwarzaniu
mobilnym i pracy na odległość.
1. Regulacje wewnętrzne jednostki zakresie zdalnego dostępu do zasobów
informatycznych / pracy na odległość.
2. Przypadki wykonywania telepracy ?
3. Zakres i tryb dostępu do własnych zasobów IT w umowach zawieranych
z podmiotami zewnętrznymi.
4. Zdalny, okazjonalny dostęp własnych pracowników
(zwłaszcza pracowników IT).
9. Zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej
ujawnienie, modyfikacje, usunięcie lub zniszczenie.
1. Nośniki danych (dyski, macierze, taśmy płyty …).
2. Miejsca eksploatacji / przechowywania nośników danych.
3. Nośniki wycofywane z eksploatacji.
+ także metody kryptograficzne, patrz punkt 12 dalej
10. Zapisy w umowach serwisowych, podpisanych ze stronami trzecimi,
gwarantujące odpowiedni poziom bezpieczeństwa informacji.
•
Umowy powierzenia przetwarzania danych osobowych
+ zobowiązanie do przekazania opisu struktury zbiorów danych systemu, wskazując zawartość
poszczególnych pól informacyjnych i powiązania między nimi.
•
Zobowiązania do zachowania „tajemnicy państwowej i służbowej” ?
Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (obowiązująca od 02.01.2011)
nie wskazuje już i nie określa pojęcia „tajemnicy państwowej” oraz „tajemnicy służbowej”.
•
Tajemnica przedsiębiorstwa (Usługodawca) vs. tajemnica jednostki
(Zamawiającego).
np.. Strony zobowiązują się wzajemnie do zachowania w poufności wszelkich informacji, jakie
uzyskały w związku z zawarciem, wykonywaniem i rozwiązaniem umowy, co do których mogą
powziąć podejrzenie, że są informacjami poufnymi lub że jako takie są traktowane przez drugą
stronę.
W razie wątpliwości, co do charakteru danej informacji, przed jej ujawnieniem strona zwróci się
do drugiej strony o wskazanie, czy informację tę należy traktować jako poufną”.
•
Stosowanie w umowach zapisów umożliwiających dokonanie niezależnej
oceny, w obszarze bezpieczeństwa informacji, na przykład poprzez:
- audyt przedmiotu umowy przez stronę trzecią wskazana przez Zamawiającego;
- zobowiązane Dostawcy do przeprowadzania niezależnego audytu/kontroli
bezpieczeństwa informacji i przedstawienia jego wyników Zamawiającemu.
11. Zasady postępowania z informacjami, zapewniające minimalizację
wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji,
w tym urządzeń mobilnych.
1. Podstawowym ogólnym środkiem ochrony przed kradzieżą informacji
są zasady przyjęte w dokumentach PBI.
2. Zasady ochrony fizycznej
(np. Polityka Bezpieczeństwa Fizycznego i Technicznego).
3. Ochrona logiczna zbieżna z 12 obiektem audytu
+ systemy DLP (Data Leak/Leakage/Loss Protection/Prevention)
12. Zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach
teleinformatycznych, polegającego w szczególności na:
a) dbałości o aktualizację oprogramowania,
b) minimalizowaniu ryzyka utraty informacji w wyniku awarii,
c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub
wymogów przepisu prawa,
e) zapewnieniu bezpieczeństwa plików systemowych,
f)
redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych
systemów teleinformatycznych,
g) niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów
teleinformatycznych na możliwość naruszenia bezpieczeństwa,
h) kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami
bezpieczeństwa  .
13. Zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony
i z góry ustalony sposób, umożliwiający szybkie podjęcie działań
korygujących.
1. Pojęcie „incydentu naruszenia bezpieczeństwa informacji”.
2. Ścieżka obsługi „incydentu naruszenia bezpieczeństwa informacji”.
3. Raportowanie do najwyższego kierownictwa.
Incydent związany z bezpieczeństwem informacji to pojedyncze zdarzenie lub seria
niepożądanych lub niespodziewanych zdarzeń związanych bezpieczeństwem informacji,
które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają
bezpieczeństwu informacji.
PN-ISO/IEC 27001:2007 wg ISO/IEC TR 18044:2004
14. Zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie
rzadziej niż raz na rok.
15. Rozliczalność działań użytkowników lub obiektów systemowych
w systemach teleinformatycznych
(§ 21 rozporządzenia w sprawie KRI)
1. Rozliczalność w systemach teleinformatycznych podlega wiarygodnemu
dokumentowaniu w postaci elektronicznych zapisów w dziennikach systemów (logach).
2. W dziennikach systemów odnotowuje się obligatoryjnie działania użytkowników lub
obiektów systemowych polegające na dostępie do:
1) systemu z uprawnieniami administracyjnymi;
2) konfiguracji systemu, w tym konfiguracji zabezpieczeń;
3) przetwarzanych w systemach danych podlegających prawnej ochronie
w zakresie wymaganym przepisami prawa.
1. Identyfikatory i hasła do kont uprzywilejowanych (administratora).
2. Zawartość logów (identyfikatory użytkowników, czas i data logowań) NTP !
3. Miejsce przechowywania logów oraz ich „nienaruszalność”.
4. Retencja logów.
Przykład elementów procedury audytowej - implementacja IDS
1. Ocenić poziom „otwarcia” zasobów informacyjnych organizacji dla osób z zewnątrz.
2. Czy określone zostały krytyczne zasoby IT służące do przechowywania
i przetwarzania informacji organizacji ?
3. Które z nich są najbardziej podatne na ataki – np. DoS ?
4. Czy dostęp do krytycznych zasobów jest monitorowany przez system IDS ?
5. Czy monitorowanie obejmuje ruch sieciowy generowany przez użytkowników
z wewnątrz sieci firmowej ?
6. Kto konfiguruje system IDS ? Kto instaluje zaktualizowane oprogramowanie IDS ?
7. Kto monitoruje alerty generowane przez IDS ?
8. W jaki sposób przesyłane są alerty do odpowiedzialnego administratora ?
9. Czy IDS ma narzędzie generowania podsumowującego dobowe zapisy w swoim
logu ?
10. Jak długo informacja z logu jest dostępna (retencja) ?
11. Jaki jest mechanizm aktualizacji sygnatur ataków dla systemu IDS ?
Istotne zmiany – aktualizacja norm serii 27000
 ISO/IEC 27001:2013 Information technology -- Security techniques
-- Information security management systems -- Requirements
 ISO/IEC 27002:2013 Information technology -- Security techniques
-- Code of practice for information security controls
(wcześniej ISO/IEC 17799 - Praktyczne zasady zarządzania bezpieczeństwem informacji)
 Ilość zabezpieczeń (controls) zmniejszyła się ze 133 do 114.
 Ilość sekcji wzrosła z 11 do 14.
 Wytyczne do zarządzania ryzykiem – przeniesienie „środka ciężkości”
z normy ISO 27005 (Zarządzanie ryzykiem w bezpieczeństwie
informacji) na ISO 31000 (Zarządzanie ryzykiem -- Zasady i wytyczne).
 Pojęcie „właściciela zasobów/aktywów” zastąpiono terminem
„właściciel ryzyka”.
Dziękuję za uwagę
[email protected]
[email protected]