BSI - aspekty prawne, normy, procedury, polityki
Transkrypt
BSI - aspekty prawne, normy, procedury, polityki
Polskie Normy w zarządzaniu bezpieczeństwem informacji Normy dotyczące systemów zarządzania: • • • Typ A - Normy zawierające wymagania dotyczące systemu zarządzania, Typ B - Normy zawierające wytyczne dotyczące systemu zarządzania, Typ C - Normy związane z systemami zarządzania. • Pierwsze normy bezpieczeństwa - IETF (ang. ‘The Internet Engineering Task Force’) w postaci standardu RFC 2196 (podejście techniczne, ograniczone do zagadnień sieciowych). Przełomowa norma brytyjska BS 7799, która objęła swoim zakresem ochronę informacji w organizacjach (instytucjach). • Normą pierwszego typu (typ A) zawierającą wytyczne dotyczące systemu zarządzania jest Polska Norma PN-I-07799-2:2005 „Systemy zarządzania bezpieczeństwem informacji – Część 2: Specyfikacja i wytyczne do stosowania”. Jest ona dosłownym tłumaczeniem normy brytyjskiej BS 7799-2:2002, normy, która zrobiła światową karierę. Mówi ona o tym jak naleŜy zaprojektować System Zarządzania Bezpieczeństwem Informacji (SZBI, ang. ISMS) i jak go utrzymywać, aby stale odpowiadał szybkozmiennym warunkom otoczenia. W tej normie określono wymagania dotyczące ustanawiania, wdraŜania, eksploatacji, śledzenia (monitorowania) i przeglądów oraz utrzymywania i doskonalenia udokumentowanego SZBI. DuŜy nacisk połoŜono na spójność SZBI z innymi funkcjonującymi w organizacji systemami zarządzania a szczególnie z systemem zarządzania jakością i systemem zarządzania środowiskowego. Na zgodność z tą normą organizacja moŜe certyfikować swój system zarządzania bezpieczeństwem informacji. Normą zawierającą wymagania dotyczące systemu zarządzania bezpieczeństwem informacji (typ B) jest Polska Norma PN-ISO/IEC 17799:2003 „Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji”. Zamieszczono w niej praktyczne zasady mogące być punktem wyjścia do tworzenia przez organizację własnych wytycznych polityki bezpieczeństwa informacji spójnej z polityką bezpieczeństwa firmy i uwzględniającej specyfikę i wielkość instytucji. Intencją twórców tej normy było dostarczenie wspólnej, moŜliwie jednolitej podstawy do rozwijania przez organizację własnych standardów BI i efektywnego sposobu nim zarządzania. Celem normy jest takŜe budowanie zaufania w kontaktach pomiędzy instytucjami, które powierzają sobie swoje zasoby informacyjne lub je współdzielą. Dokumentami normatywnymi związanymi z systemami zarządzania bezpieczeństwem informacji (typ C) i zajmującymi się wyłącznie aspektami tego bezpieczeństwa w systemach informatycznych (IT) są: 1. Polska Norma PN-I-13335-1:1999 „Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych” jest normą nomenklaturową definiującą i opisującą pojęcia związane z zarządzaniem bezpieczeństwem systemów IT, zaleŜności zachodzące pomiędzy zarządzaniem bezpieczeństwem a zarządzaniem systemami IT w ogólności oraz prezentującą kilka modeli, które mogą zostać uŜyte do opisu bezpieczeństwa systemów IT. Norma ta jest odpowiednikiem raportu technicznego ISO/IEC TR 13335-1:1996. 2. Raport Techniczny ISO/IEC TR 13335-2:1997 „Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Część 2: Zarządzanie i 1 planowanie bezpieczeństwa systemów informatycznych” zawiera wytyczne odnoszące się do zagadnień niezbędnych dla prawidłowego i skutecznego zarządzania wszystkimi aspektami bezpieczeństwa systemów informatycznych, opisuje działania z tym związane jak równieŜ prezentuje role i odpowiedzialności pracowników instytucji. Skierowany jest nie tylko do kadry kierowniczej odpowiedzialnej za bezpieczeństwo systemów IT ale i do kierowników odpowiedzialnych za procesy, które w znaczącym stopniu wykorzystują systemy informatyczne. 3. Raport Techniczny ISO/IEC TR 13335-3:1998 „Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Część 3: Techniki zarządzania bezpieczeństwem systemów informatycznych” zawiera opis technik bezpieczeństwa przydatnych dla osób uczestniczących w działaniach kierowniczych podczas trwania realizacji przedsięwzięcia, zaangaŜowanych w planowanie, projektowanie, wdraŜanie, testowanie, nabywanie i eksploatację systemu IT. Zaprezentowane w tym dokumencie techniki słuŜą do przeprowadzenia analizy wymagań bezpieczeństwa IT, sporządzenia planu zapewniającego spełnienie tych wymagań, wdroŜenia zabezpieczeń wg sporządzonego planu oraz do utrzymania i administrowania wdroŜonymi zabezpieczeniami. W tym raporcie wiele uwagi poświęcono technikom analizy ryzyka i postępowania z ryzykiem. Ukazały się juŜ jako międzynarodowy dokument normalizacyjny dwie kolejne części Raportu Technicznego ISO/IEC TR 13335. Część 4 ‘Selection of safeguards’ (Wybór zabezpieczeń) z 2000 roku opisuje wytyczne przydatne do wyboru zabezpieczeń systemów IT. Część 5 ‘Safeguards for external connections’ (Zabezpieczenia połączeń zewnętrznych) z 2001 roku zawiera wytyczne dla instytucji dołączających swoje wewnętrzne systemy informatyczne do sieci zewnętrznych. Obie części nie znalazły się w planie wydawniczym PKN na bieŜący rok i najprawdopodobniej nie będą juŜ przyjęte jako kolejne arkusze Polskiej Normy. Powodem tego jest to, Ŝe aktualnie ISO 13335 powoli znika a właściwie przekształca się na normy serii ISO 27000. Nowa rodzina norm międzynarodowych serii ISO 27000 dotyczących systemów zarządzania bezpieczeństwem informacji składa się na razie z dwóch norm ISO 27001 wywodzącej się z BS 7799-2:2002, której odpowiednikiem jest omawiana powyŜej PN-I 07799-2:2005 i z normy ISO 17799:2005 (ISO 27002) zastępującej normę ISO/IEC 17799:2003. Nowym normom zastępującym ISO 13335 nadawane będą kolejne numery z grupy ISO 27000. Ciekawe źródła: http://www.pkn.pl http://www.bezpieczenstwo.naszastrona.pl http://centrum.bezpieczenstwa.pl http://www.aste.net.pl/szbi/ Audyt bezpieczeństwa informacji w praktyce Informacja w świetle regulacji prawnych Przechowywanie i przetwarzanie informacji zostało zdefiniowane w licznych aktach prawnych w Polsce i na świecie – są one potrzebne do wdroŜenia systemu bezpieczeństwa informacji w kaŜdej instytucji. Określają one poziomy waŜności informacji i wyróŜniają kilka typów tajemnicy: • Państwowa (własność Państwa), • SłuŜbowa (tajemnica przedsiębiorstwa bądź instytucji), • Danych osobowych, • Skarbowa, statystyczna oraz bankowa. 2 Podstawowe zasady audytu Aby móc wdroŜyć system zarządzania bezpieczeństwem informacji, naleŜy zastosować się do określonej normy, która jasno precyzuje zasady wdraŜania stosownych procedur. Istnieje kilka norm naleŜących do róŜnych organizacji, którymi moŜna posłuŜyć się przy wdraŜaniu SZBI. Norma PN-ISO/IEC 17799:2003 Jest zbiorem zaleceń i wytycznych, wspomagających proces tworzenia, wdraŜania i skutecznego monitorowania Systemu Zarządzania Bezpieczeństwem Informacji. W kolejnych rozdziałach normy ujęte zostały praktyczne wskazówki będące punktami wyjścia do stworzenia wytycznych wewnętrznych: • Zakres normy, • Terminy i definicje, • Polityka bezpieczeństwa, • Organizacja bezpieczeństwa, • Klasyfikacja i kontrola aktywów, • Bezpieczeństwo osobowe, • Bezpieczeństwo fizyczne i środowiskowe, • Zarządzanie systemami i sieciami, • Kontrola dostępu do systemu, • Rozwój i utrzymanie systemu, • Zarządzanie ciągłością działania, • Zgodność. Podstawowy dokument SZBI to polityka bezpieczeństwa informacji. Definiuje się w niej m.in. pojęcia: • Bezpieczeństwa informacji, • Przeznaczenie wdraŜania systemu w firmie, • Wymagania prawne, które wynikają z zawieranych umów, • Opis procedury kształcenia załogi w zakresie bezpieczeństwa, • Konsekwencje niestosowania procedur, • Metodologię zarządzania ciągłością działania biznesowego w sytuacjach krytycznych. Istotnym elementem normy jest spis procedur i zasad postępowania w przypadku wykrycia naruszenia bezpieczeństwa informacji. Rozdział 6 normy porusza temat bezpieczeństwa związanego z osobami 3 zatrudnionymi w organizacji — stanowiącego największe zagroŜenie (statystycznie 70% przypadków naruszenia zasad bezpieczeństwa danych wynika z zaniedbania pracownika firmy, zwykle są to działania wynikające z braku świadomości istniejących zagroŜeń). W rozdziale 7 znalazły się zalecenia odnośnie zabezpieczeń środowiska pracy w rozumieniu lokalizacji poszczególnych źródeł (nośników) informacji. W kolejnych rozdziałach opisano wytyczne do stosowania zabezpieczeń w systemach informatycznych. Przy opracowywaniu i wprowadzaniu w Ŝycie PBI naleŜy bezwzględnie przestrzegać przepisów obowiązującego prawa, w tym: • Ustawy z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U.2001.128.1402 z późniejszymi zmianami), • Ustawy z dnia 18 lipca 2002 r. o świadczeniu (Dz.U.2002.144.1204 z późniejszymi zmianami), • Rozporządzenia Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U.05.171.1433), • Rozporządzenia Ministra Finansów z dnia 31 października 2003 r. w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia (Dz.U.2003.193.1889), • Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne słuŜące do przetwarzania danych osobowych (Dz.U.2004.100.1024), • Rozporządzenia Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci słuŜących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczania danych informatycznych (Dz.U.2004.100.1023), • Ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U.2001.130.1450 z późniejszymi zmianami), • Rozporządzenia Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń słuŜących do składania i weryfikacji podpisu elektronicznego (Dz.U.2002.128.1094), • Dyrektywy Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego (99/93/WE). NaleŜy pamiętać, Ŝe dyrektywy nie są aktami prawnymi zobowiązującymi osoby fizyczne i prawne w państwach członkowskich, a jedynie państwa członkowskie (nie obowiązują bezpośrednio, ale podlegają implementacji w prawodawstwie państw członkowskich), • Ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (tekst jednolity Dz.U.05.196.1631), • Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.2002.101.926 z późniejszymi zmianami). 4 usług drogą elektroniczną ODPOWIEDZIALNOŚĆ KARNA (Rozdział XXXIII Kodeksu karnego „Przestępstwa przeciwko ochronie informacji”): Art., 265. § 1. Kto ujawnia lub wbrew przepisom ustawy wykorzystuje informacje stanowiące tajemnicę państwową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 2. JeŜeli informację określoną w § 1 ujawniono osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, sprawca podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 3. Kto nieumyślnie ujawnia informację określoną w § 1, z którą zapoznał się w związku z pełnieniem funkcji publicznej lub otrzymanym upowaŜnieniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art., 266. § 1. Kto, wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Funkcjonariusz publiczny, który ujawnia osobie nieuprawnionej informację stanowiącą tajemnicę słuŜbową lub informację, którą uzyskał w związku z wykonywaniem czynności słuŜbowych, a której ujawnienie moŜe narazić na szkodę prawnie chroniony interes, podlega karze pozbawienia wolności do lat 3. § 3. Ściganie przestępstwa określonego w § 1 następuje na wniosek pokrzywdzonego. Art., 267. § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie. § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego. Art., 268. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. JeŜeli czyn określony w § 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3. § 3. Kto, dopuszczając się czynu określonego w § 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 4. Ściganie przestępstwa określonego w § 1-3 następuje na wniosek pokrzywdzonego. Art. 268a. § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemoŜliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. § 2. Kto, dopuszczając się czynu określonego w § 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 3. Ściganie przestępstwa określonego w § 1 lub 2 następuje na wniosek pokrzywdzonego. Art., 269. § 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub instytucji państwowej albo samorządu terytorialnego albo 5 zakłóca lub uniemoŜliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie słuŜące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. Art. 269a. Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Art. 269b. § 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 § 1 pkt 4, art. 267 § 3, art. 268a § 1 albo § 2 w związku z § 1, art. 269 § 2 albo art. 269a, a takŜe hasła komputerowe, kody dostępu lub inne dane umoŜliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. § 2. W razie skazania za przestępstwo określone w § 1, sąd orzeka przepadek określonych w nim przedmiotów, a moŜe orzec ich przepadek, jeŜeli nie stanowiły własności sprawcy. Art. 278. § 1. Kto zabiera w celu przywłaszczenia cudzą rzecz ruchomą, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 2. Tej samej karze podlega, kto bez zgody osoby uprawnionej uzyskuje cudzy program komputerowy w celu osiągnięcia korzyści majątkowej. § 3. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. § 4. JeŜeli kradzieŜ popełniono na szkodę osoby najbliŜszej, ściganie następuje na wniosek pokrzywdzonego. § 5. Przepisy § 1, 3 i 4 stosuje się odpowiednio do kradzieŜy energii lub karty uprawniającej do podjęcia pieniędzy z automatu bankowego. Art., 287. § 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upowaŜnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. § 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. § 3. JeŜeli oszustwo popełniono na szkodę osoby najbliŜszej, ściganie następuje na wniosek pokrzywdzonego. Rozdział 8 ustawy o ochronie danych osobowych „Przepisy karne”: Art., 49. 1. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. JeŜeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynaleŜność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub Ŝyciu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Art. 50. Kto administrując zbiorem danych przechowuje w zbiorze dane osobowe niezgodnie z celem utworzenia zbioru, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 6 Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umoŜliwia dostęp do nich osobom nieupowaŜnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. JeŜeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 54. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umoŜliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA (Kodeks cywilny): Art. 23. Dobra osobiste człowieka, jak w szczególności zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, twórczość naukowa, artystyczna, wynalazcza i racjonalizatorska, pozostają pod ochroną prawa cywilnego niezaleŜnie od ochrony przewidzianej w innych przepisach. Art. 24. § 1. Ten, czyje dobro osobiste zostaje zagroŜone cudzym działaniem, moŜe Ŝądać zaniechania tego działania, chyba Ŝe nie jest ono bezprawne. W razie dokonanego naruszenia moŜe on takŜe Ŝądać, aŜeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności aŜeby złoŜyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie moŜe on równieŜ Ŝądać zadośćuczynienia pienięŜnego lub zapłaty odpowiedniej sumy pienięŜnej na wskazany cel społeczny. § 2. JeŜeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany moŜe Ŝądać jej naprawienia na zasadach ogólnych. § 3. Przepisy powyŜsze nie uchybiają uprawnieniom przewidzianym w innych przepisach, w szczególności w prawie autorskim oraz w prawie wynalazczym. Art,. 415. Kto z winy swej wyrządził drugiemu szkodę, obowiązany jest do jej naprawienia. 7