ISO/IEC/TR 13335-3
Transkrypt
ISO/IEC/TR 13335-3
Bezpieczeństwo systemów komputerowych. Temat seminarium: Wytyczne i zalecenia dot. tworzenia polityk bezpiecze?stwa. Normy i standardy. Autor: Maciej Krysztofiak Wytyczne i zalecenia dotyczące tworzenia polityk bezpieczeństwa. Normy i standardy. Seminarium 2004 – PP, SKiSR 1 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Plan prezentacji Polityka bezpieczeństwa: ● Definicja ● Dokument ● Analiza ryzyka ● Wdrażanie ● Korzyści z wdrażania polityki Normy Audyt Outsourcing Podsumowanie Seminarium 2004 – PP, SKiSR 2 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Czym jest polityka bezpieczeństwa? Polityka bezpieczeństwa jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby mają być chronione i w jaki sposób. Oczywiście jej postulaty muszą odpowiadać oczekiwaniom właściciela systemów i zgromadzonych w nich informacji. W polityce bezpieczeństwa nie chodzi tylko o sporządzenie listy zakupów i czynności, które trzeba wykonać obecnie, ale też m.in. o wskazanie możliwych rodzajów naruszenia bezpieczeństwa w przyszłości (np. utrata i kradzież informacji, nieautoryzowany dostęp), scenariuszy postępowania w takich sytuacjach i działań, które pozwolą uniknąć powtórzenia się danego incydentu. Seminarium 2004 – PP, SKiSR 3 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Dokument bezpieczeństwa Wymiernym aspektem polityki bezpieczeństwa jest tak zwany dokument polityki bezpieczeństwa, który zawiera (określa) odpowiednie zasady, wytyczne, nakazy i zakazy, a także stopień swobody korzystania z sieci wewnętrznej i zewnętrznej. W ka żdej firmie powinien znajdować się oficjalny dokument polityka bezpieczeństwa zawieraj ący jasną i precyzyjną definicję bezpieczeństwa informacji i związaną z nią politykę ochrony. Dokument polityki bezpieczeństwa jest podstawą dla rozpoczęcia jakichkolwiek działań związanych z ochroną informacji w firmie. O opracowaniu i wdrożeniu polityki bezpieczeństwa decyduje zarz ąd, natomiast w jej tworzeniu oprócz personelu technicznego muszą uczestniczyć pracownicy różnych działów - zwykli użytkownicy. To oni będą podlegać przyj ętym regułom, ich opinia może wi ęc zapobiec np. nadmiernym, niemożliwym do wprowadzenia restrykcjom w dostępie do zasobów. Seminarium 2004 – PP, SKiSR 4 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Dokument bezpieczeństwa (2) Etapy tworzenie dokumentu polityki bezpieczeństwa w dużej części są zbieżne z etapami tworzenia tej polityki. Etap pierwszy: zdefiniowanie zagrożeń ● Etap drugi: konstruowanie zabezpieczeń organizacyjnych ● Etap trzeci: formowanie treści dokumentu ● Seminarium 2004 – PP, SKiSR 5 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Analiza ryzyka Podstawą prac jest przeprowadzenie analizy ryzyka związanego z przetwarzaniem informacji. Analiza ryzyka to systematyczny podział na kategorie zagrożeń danych i środków im przeciwdziałających oraz określenie planu działania, który większość zasobów (technicznych i pozatechnicznych) skieruje przeciw najbardziej prawdopodobnemu ryzyku. Dzięki temu możliwe jest zidentyfikowanie zagrożeń oraz określenie tych elementów systemów przetwarzających informacje, w których ryzyko jest największe. Pozwoli to w trakcie dalszych prac na zaproponowanie zabezpieczeń chroniących najbardziej zagrożone procesy informacyjne. Seminarium 2004 – PP, SKiSR 6 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Analiza ryzyka (2) Analiza ryzyka może być stosowana zarówno do nowych zasobów jak też do systemów będących już w trakcie eksploatacji. Można jej dokonać zarówno podczas projektowania systemu, przy planowaniu znaczących zmian jak też podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń. Seminarium 2004 – PP, SKiSR 7 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Wdrażanie polityki bezpieczeństwa Początkiem sukcesu wdrożenia polityki bezpieczeństwa jest jego odpowiedni plan (strategia) zawierający następujące etapy: Rozpoznanie problemu przetwarzania informacji w organizacji ● Tworzenie dokumentów Polityki Bezpieczeństwa ● Audyt bezpieczeństwa grup przetwarzanych informacji ● Wdrożenie Polityki Bezpieczeństwa Informacji ● ● Okresowe audyty bezpieczeństwa Seminarium 2004 – PP, SKiSR 8 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Korzyści Korzyści płynące z wdrożenia polityki bezpieczeństwa to: Zgodność z wymaganiami prawnymi; ● Pewniejsze działanie w sytuacji zagrożeń powodowanych przez czynniki wewnętrzne i zewnętrzne; ● Ochrona żywotnych interesów organizacji; ● Wysoka sprawność pracowników osiągana poprzez odpowiednie szkolenia; ● Lepsza organizacja pracy; ● Oszczędności finansowe; ● Utrzymanie przewagi nad konkurencją; ● Poprawa wizerunku firmy. ● Seminarium 2004 – PP, SKiSR 9 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Straty wynikające bezpośrednio z błędów związanych z niezabezpieczoną informacją: Straty materialne (przeciek informacji do konkurencji, gorsze warunki kontraktu); ●Odpowiedzialność karna lub cywilna; ●Bałagan organizacyjny; ●Niezgodność lub sprzeczność danych; ●Niewłaściwe decyzje; ●Niezgodne z wymaganiami wykonanie pracy, niekompetencja. ● Seminarium 2004 – PP, SKiSR 10 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Normy bezpieczeństwa BS 7799-1:1999 BS 7799-2:1999 ISO / IEC 17799:2000 ISO / IEC TR 13335 PN-1 13335-1 ISO / IEC TR 13335 PN-1 13335-2 ISO / IEC TR 13335 PN-1 13335-3 Orange Book Seminarium 2004 – PP, SKiSR 11 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. BS 7799:1999 W roku 1995 BSI (British Standard Institute) przedstawił normę dotyczącą zarządzania bezpieczeństwem informacji w przedsiębiorstwach. Norma ta jest obecnie stosowana przez wiele firm, w których informacja stanowi podstawowy produkt (np. banki, towarzystwa ubezpieczeniowe, sieci sklepów). Łącznie BS 7799 określa ok. 130 szczegółowych wymagań związanych z szeroko rozumianym bezpieczeństwem informacji. Składa się z dwóch części: BS 7799-1:1999 i BS 7799-2:1999. Norma 7799 została zgłoszona do organizacji ISO (International Organization for Standardization), jako podstawa ustanowienia międzynarodowego standardu zarządzania bezpieczeństwem informacji w lutym 2000 roku. W sierpniu po uproszczonym procesie legalizacji nadany został jej numer ISO/IEC 17799:2000 Seminarium 2004 – PP, SKiSR 12 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. BS 7799:1999 (2) BS 7799-1:1999 - standardowy kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji (Code of practice for Information Security Management); BS 7799-1:1999 definiuje 127 elementów kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 10 grupom wymagań, co pozwala użytkownikom na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Aktualne, drugie wydanie normy kładzie szczególny nacisk na zarządzanie ryzykiem, wskazuje także, że użytkownik nie jest zobowiązany do wdrażania wszystkich technik przywołanych w części pierwszej standardu, a tylko tych uznanych za najistotniejsze i zapewniające realizację celów. Katalog dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Standard uwzględnia najnowsze formy działalności gospodarczej, np. gospodarka elektroniczna, Internet, outsourcing, praca zdalna, urządzenia Seminarium 2004 – PP, SKiSR przenośne. 13 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. BS 7799:1999 (3) BS 7799-2:1999 - standardowa specyfikacja dla systemów zarządzania bezpieczeństwem informacji (ISMS - Information Security Management Systems). BS 7799-2:1999 ilustruje, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system zarządzania bezpieczeństwem informacji (ISMS - Information Security Management Systems). Norma wskazuje na sześcioetapowy proces kreowania i wdrożenia zaprojektowanych rozwiązań; odwołuje się do konieczności określenia wszystkich aktywów informacyjnych i oszacowania ich istotności dla organizacji. Seminarium 2004 – PP, SKiSR 14 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. ISO / IEC 17799:2000 Praktyczne zasady zarządzania bezpieczeństwem informacji. ISO 1799:2000, stworzona przez Międzynarodową Organizację Normalizacyjną (ISO), określa sposoby postępowania z informacją w firmie, zwracając uwagę na poufność, dostępność i spójność danych. Jest to szczególnie ważne w organizacjach przetwarzających dane poufne, prowadzących produkcję specjalną oraz obawiających się nieuczciwych działań konkurencji. Norma wskazuje podstawowe zagadnienia i określa metody i środki konieczne dla zabezpieczenia informacji. Norma ta zawiera 10 działów mających krytyczny wpływ na bezpieczeństwo szeroko rozumianego systemu informacji. Seminarium 2004 – PP, SKiSR 15 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. ISO / IEC 17799:2000 (2) Norma określa wymagania dotyczące konkretnych rozwiązań w obszarach: ● odpowiedzialność kierownictwa (Policy) ● organizacja systemu bezpieczeństwa (Organizational Information Protection) ● skalowanie zabezpieczeń i nadzór nad zasobami (Control and sensitivity of assets) ● czynniki ludzki (People Issues) ● ochrona fizyczna zasobów (Physical Protection) ● zarządzanie systemem i infrastrukturą (System and Infrastructure Management) ● kontrola dostępu do zasobów (System access control) ● utrzymywanie i rozwój systemu (Systems development and maintenance) ● planowanie zmian (Business continuity planning) ● zgodność z wymaganiami zewnętrznymi (Compliance) Seminarium 2004 – PP, SKiSR 16 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. ISO/IEC TR 13335 Raport techniczny Normą związaną z ISO/IEC 17799 jest raport techniczny czyli dokument niższej wagi niż normaISO/IEC TR 13335 składający się z pięciu części, z których pierwsza jest polską normą (PN-I 13335-1Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: terminologia, związki między pojęciami, podstawowe modele) . ustanowioną w 2001 roku. Raport ten jest przeznaczony dla działów informatyki i dotyczy zagadnień technicznych a nie rozwiązań organizacyjnych. Seminarium 2004 – PP, SKiSR 17 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. ISO/IEC TR 13335 (2) * ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: - terminologia, związki między pojęciami, - podstawowe modele. * ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów IT - różne podejścia do prowadzenia analizy ryzyka, - plany zabezpieczeń, - rola szkoleń i działań uświadamiających, - stanowiska pracy w instytucji związane z bezpieczeństwem. Seminarium 2004 – PP, SKiSR 18 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. ISO/IEC TR 13335 (3) * ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych: - formułowanie trójpoziomowej polityki bezpieczeństwa, - rozwinięcie problematyki analizy ryzyka, - rozwinięcie problematyki implementacji planu zabezpieczeń, - reagowanie na incydenty. * ISO/IEC/TR 13335-4: Wybór zabezpieczeń: - klasyfikacja i charakterystyka różnych form zabezpieczeń, - dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu. * ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi: - dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną. Seminarium 2004 – PP, SKiSR 19 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Pozostałe normy bezpieczeństwa PN-EN 60300-2:1998 - Zarządzanie niezawodnością. Elementy i zadania programu niezawodności. Norma ta dotyczy urządzeń i systemów zawieraj ących oprogramowanie. PN-IEC 863:1996 - Przedstawienie wyników prognozowania nieuszkadzalności, obsługiwalności i gotowości. Norma zestawia zagadnienia, które powinny być brane pod uwagę podczas przedstawiania informacji dotyczących prognozowania ilościowych charakterystyk nieuszkadzalności, obsługiwalności i gotowości systemów, właczaj ąc w to sprzęt, oprogramowanie i czynnik ludzki. PN-ISO 9000-3:1994 oraz PrPN- ISO 9000-3 Wytyczne do stosowania normy ISO 9001 podczas opracowywania, dostarczania i obsługiwania oprogramowania. Wytyczne te powinny być stosowane podczas zawierania umów dotyczących oprogramowania. PN- ISO/ IEC 2382-1: 1996 - Słownik terminologiczny. Zawiera 144 terminy z dziedzin : terminy ogólne, reprezentacja informacji, sprzęt komputerowy, oprogramowanie, programowanie, aplikacje i ich użytkownik końcowym zabezpieczenia informacyjne i zarządzanie danymi. Seminarium 2004 – PP, SKiSR 20 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Orange Book Pojęcie bezpiecznego (jest używany również termin wiarygodnego) systemu operacyjnego zostało sformułowane już w 1985 roku, gdy ogłoszono amerykańską Orange Book - Trusted Computer Systems Evaluation Criteria. Dokument ten opracowany został w Departamencie Obrony USA. Zawiera opis kryteriów przydziału analizowanych systemów do odpowiednich klas bezpieczeństwa, informacje nt. sposobu wykonywania analiz bezpieczeństwa a także zalecenia dotyczące zapewniania bezpieczeństwa systemu informatycznego. Seminarium 2004 – PP, SKiSR 21 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Orange Book (2) 7 poziomów bezpieczeństwa W dokumencie tym Departament Obrony USA zdefiniował siedem poziomów bezpieczeństwa komputerowego systemu operacyjnego. Różne poziomy określają różne sposoby zabezpieczania sprzętu, oprogramowania i danych. Klasyfikacja ma charakter „zawierania”, co oznacza, że wyższe poziomy mają wszystkie cechy poziomów niższych. Orange Book zawiera również rozdział o zaleceniach dotyczących sposobów wykonywania analizy systemu. Wśród zaleceń tych są informacje o składzie personelu wykonującego analizę, o czasie wykonywania analizy i inne. Seminarium 2004 – PP, SKiSR 22 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Audyt W zakresie bezpieczeństwa teleinformatycznego AUDYTEM nazywa si ę postępowanie sprawdzające sposób wykonania i stan zabezpieczeń systemu teleinformatycznego na zgodność z określonymi wymaganiami lub standardami (np. ISO/IEC 17799), wykonywane przez stronę niezależną (w Polsce np. przez ABW), maj ące na celu m.in.: - ocenę jakości systemu bezpieczeństwa, - wykazanie, że informacja przetwarzana w systemie teleinformatycznym została zabezpieczona zgodnie z ustaleniami pomiędzy zleceniodawcą, a zespołem budującym system bezpieczeństwa, - wykazanie, że system bezpieczeństwa spełnia wymagania norm i standardów w tym zakresie, - wydanie certyfikatu bezpieczeństwa teleinformatycznego dla sprawdzanego systemu. Seminarium 2004 – PP, SKiSR 23 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Audyt (2) Zastosowanie dobrej polityki bezpieczeństwa i nawet najnowocześniejszych rozwiązań technologicznych z zakresu bezpieczeństwa informacji - mogą okazać się niewystarczające. Zawsze pozostaje tzw. ,,czynnik ludzki'', a więc błędy w konfiguracji, nieumiejętne administrowanie czy też najzwyklejsze błędy w działającym oprogramowaniu lub pracy urządzeń sprzętowych. Dlatego też niezwykle ważne staje się weryfikowanie używanych zabezpieczeń, najlepiej przez specjalistów z zewnątrz, którzy gwarantują świeże spojrzenie na zainstalowane zabezpieczenia i niejednokrotnie są w stanie wykryć miejsca występowania rozmaitych zagrożeń, co w efekcie umożliwi zapobiegnięcie ewentualnym problemom w przyszłości. Seminarium 2004 – PP, SKiSR 24 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Outsourcing Outside Resource Using, czyli wykorzystywanie zasobów zewnętrznych jest najlepszą metodą pozwalającą skoncentrować się na działaniach związanych ściśle z kierunkiem działalności przedsiębiorstwa. Istotą Outsourcingu IT jest wyodrębnienie i zlecenie na zewnątrz działań związanych z infrastrukturą informatyczną. Istnieją różne możliwości wykorzystania zalet outsourcingu. Niektóre firmy decydują się na pełne przekazanie działań i odpowiedzialności związanych z informatyką, podmiotowi zewnętrznemu. Istnieje możliwość przekazania tylko niektórych procesów w firmie jako wsparcie i odciążenie istniejącego działu informatyki w przedsiębiorstwie. Zdarza się również, że menedżerowie firm decydują się na wykorzystanie firm zewnętrznych do realizacji konkretnych projektów. Seminarium 2004 – PP, SKiSR 25 Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy. Podsumowanie: Zagadnienie zabezpieczenia informacji staje się z każdym dniem coraz istotniejszym problemem prowadzenia biznesu. Zależność firm od wiarygodności, dostępności, spójności i poufności gromadzonych danych zwiększa się w miarę przenoszenia biznesu od tradycyjnie rozumianej produkcji do wyrafinowanych usług. Zwiększa się też ilość danych chronionych przez prawo. W szybko zmieniającym się świecie biznesu, wdrożenie i utrzymanie systemu bezpieczeństwa informacji staje się zadaniem krytycznym, od którego mogą zależeć losy organizacji, jej działanie i wiarygodność. Po wejściu Polski do Unii Europejskiej stworzenie i wdrożenie polityki bezpieczeństwa stało się obowiązkowe dla wszystkich firm – tych dużych jak i tych najmniejszych. Seminarium 2004 – PP, SKiSR 26 Bibliografia 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. "IT Security Magazine" nr 7 2002 Rozporządzenie Prezesa RM z dnia 25 lutego 1999 w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Dz. U. Nr 18 poz. 162. Ustawa z dnia 22 stycznia 1999 o ochronie informacji niejawnych, Dz. U. Nr 11, poz. 95., Zalecenia Urzędu Ochrony Państwa dotyczące bezpieczeństwa teleinformatycznego, wersja 1.1, sierpień 2000, BS 7799:1995 Code of practice for Information Security Management, , British Standard Institute, Janusz Cendrowski, Ochrona informacji niejawnych cz. 5, Szkolenia specjalistyczne administratorów systemów i pracowników pionów ochrony, IT Security Magazine, nr 4(8) kwiecień 2000, „Ocal swoje dane” - Biuletyn POLCOM 5 czerwiec 2002, Białas A.: Wspólne Kryteria - koncepcja i model bezpieczeństwa, IT Security Magazine nr 11 (15) listopad 2000, Gazeta IT nr5(24) kwiecień 2004 – „Polityka bezpieczeństwa danych w firmie - aspekt organizacyjny i prawny”, www.prim.com.pl/referaty/wdrazanie_iso17799.htm - wykład, dr Andrzej Niemiec, Seminarium 2004 – PP, SKiSR Inne zasoby WWW. 27