ISO/IEC/TR 13335-3

Transkrypt

ISO/IEC/TR 13335-3

Bezpieczeństwo systemów komputerowych.
Temat seminarium: Wytyczne i zalecenia dot. tworzenia polityk
bezpiecze?stwa.
Normy i standardy.
Autor: Maciej Krysztofiak
Wytyczne i zalecenia dotyczące tworzenia
polityk bezpieczeństwa.
Normy i standardy.
Seminarium 2004 – PP, SKiSR
1
Wytyczne i zalecenia dotycz ące tworzenia polityki bezpiecze ństwa. Normy i standardy.
Plan prezentacji
Polityka bezpieczeństwa:
●
Definicja
●
Dokument
●
Analiza ryzyka
●
Wdrażanie
●
Korzyści z wdrażania polityki
Normy
Audyt
Outsourcing
Podsumowanie
2
Czym jest polityka
bezpieczeństwa?
Polityka bezpieczeństwa jest zbiorem spójnych, precyzyjnych
i zgodnych z obowiązującym prawem przepisów, reguł i
procedur, według których dana organizacja buduje, zarządza
oraz udostępnia zasoby i systemy informacyjne i informatyczne.
Określa ona, które zasoby mają być chronione i w jaki sposób.
Oczywiście jej postulaty muszą odpowiadać oczekiwaniom
właściciela systemów i zgromadzonych w nich informacji.
W polityce bezpieczeństwa nie chodzi tylko o sporządzenie listy
zakupów i czynności, które trzeba wykonać obecnie, ale też
m.in.
o
wskazanie
możliwych
rodzajów
naruszenia
bezpieczeństwa w przyszłości (np. utrata i kradzież informacji,
nieautoryzowany dostęp), scenariuszy postępowania w takich
sytuacjach i działań, które pozwolą uniknąć powtórzenia się
danego incydentu.
3
Dokument bezpieczeństwa
Wymiernym aspektem polityki bezpieczeństwa jest tak zwany
dokument polityki bezpieczeństwa, który zawiera (określa)
odpowiednie zasady, wytyczne, nakazy i zakazy, a także stopień
swobody korzystania z sieci wewnętrznej i zewnętrznej.
W ka żdej firmie powinien znajdować się oficjalny dokument
polityka bezpieczeństwa zawieraj ący jasną i precyzyjną definicję
bezpieczeństwa informacji i związaną z nią politykę ochrony.
Dokument polityki bezpieczeństwa jest podstawą dla rozpoczęcia
jakichkolwiek działań związanych z ochroną informacji w firmie.
O opracowaniu i wdrożeniu polityki bezpieczeństwa decyduje
zarz ąd, natomiast w jej tworzeniu oprócz personelu technicznego
muszą uczestniczyć pracownicy różnych działów - zwykli
użytkownicy. To oni będą podlegać przyj ętym regułom, ich opinia
może wi ęc zapobiec np. nadmiernym, niemożliwym do
wprowadzenia restrykcjom w dostępie do zasobów.
4
Dokument bezpieczeństwa (2)
Etapy
tworzenie
dokumentu
polityki
bezpieczeństwa w dużej części są zbieżne z
etapami tworzenia tej polityki.
Etap pierwszy: zdefiniowanie zagrożeń
●
Etap drugi: konstruowanie zabezpieczeń
organizacyjnych
● Etap trzeci: formowanie treści dokumentu
●
5
Analiza ryzyka
Podstawą prac jest przeprowadzenie analizy ryzyka
związanego z przetwarzaniem informacji.
Analiza ryzyka to systematyczny podział na
kategorie zagrożeń danych i środków im
przeciwdziałających
oraz
określenie
planu
działania, który większość zasobów (technicznych i
pozatechnicznych) skieruje przeciw najbardziej
prawdopodobnemu ryzyku.
Dzięki temu możliwe jest zidentyfikowanie
zagrożeń oraz określenie tych elementów systemów
przetwarzających informacje, w których ryzyko jest
największe. Pozwoli to w trakcie dalszych prac na
zaproponowanie
zabezpieczeń
chroniących
najbardziej zagrożone procesy informacyjne.
6
Analiza ryzyka (2)
Analiza ryzyka może być stosowana zarówno
do nowych zasobów jak też do systemów
będących już w trakcie eksploatacji.
Można jej dokonać zarówno podczas
projektowania systemu, przy planowaniu
znaczących
zmian
jak
też
podczas
okresowych przeglądów i kontroli wdrożenia
zabezpieczeń.
7
Wdrażanie polityki
bezpieczeństwa
Początkiem sukcesu wdrożenia polityki bezpieczeństwa
jest jego odpowiedni plan (strategia) zawierający
następujące etapy:
Rozpoznanie problemu przetwarzania informacji w
organizacji
● Tworzenie dokumentów Polityki Bezpieczeństwa
● Audyt bezpieczeństwa grup przetwarzanych
informacji
● Wdrożenie Polityki Bezpieczeństwa Informacji
●
●
Okresowe audyty bezpieczeństwa
8
Korzyści
Korzyści płynące z wdrożenia polityki bezpieczeństwa to:
Zgodność z wymaganiami prawnymi;
● Pewniejsze działanie w sytuacji zagrożeń
powodowanych
przez czynniki wewnętrzne i zewnętrzne;
● Ochrona żywotnych interesów organizacji;
● Wysoka sprawność pracowników osiągana poprzez
odpowiednie szkolenia;
● Lepsza organizacja pracy;
● Oszczędności finansowe;
● Utrzymanie przewagi nad konkurencją;
● Poprawa wizerunku firmy.
●
9
Straty wynikające bezpośrednio z
błędów związanych z
niezabezpieczoną informacją:
Straty materialne (przeciek informacji do konkurencji,
gorsze warunki kontraktu);
●Odpowiedzialność karna lub cywilna;
●Bałagan organizacyjny;
●Niezgodność lub sprzeczność danych;
●Niewłaściwe decyzje;
●Niezgodne
z
wymaganiami
wykonanie
pracy,
niekompetencja.
●
10
Normy bezpieczeństwa

BS 7799-1:1999

BS 7799-2:1999

ISO / IEC 17799:2000

ISO / IEC TR 13335 PN-1 13335-1

ISO / IEC TR 13335 PN-1 13335-2

ISO / IEC TR 13335 PN-1 13335-3

Orange Book
11
BS 7799:1999
W roku 1995 BSI (British Standard Institute) przedstawił
normę
dotyczącą
zarządzania
bezpieczeństwem
informacji w przedsiębiorstwach. Norma ta jest obecnie
stosowana przez wiele firm, w których informacja stanowi
podstawowy
produkt
(np.
banki,
towarzystwa
ubezpieczeniowe, sieci sklepów).
Łącznie BS 7799 określa ok. 130 szczegółowych
wymagań
związanych
z
szeroko
rozumianym
bezpieczeństwem informacji. Składa się z dwóch części:
BS 7799-1:1999 i BS 7799-2:1999.
Norma 7799 została zgłoszona do organizacji ISO
(International Organization for Standardization), jako
podstawa ustanowienia międzynarodowego standardu
zarządzania bezpieczeństwem informacji w lutym 2000
roku. W sierpniu po uproszczonym procesie legalizacji
nadany został jej numer ISO/IEC 17799:2000
12
BS 7799:1999 (2)
BS 7799-1:1999 - standardowy kodeks praktyki, katalog
zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa
informacji (Code of practice for Information Security
Management); BS 7799-1:1999 definiuje 127 elementów
kontroli
i
sterowania
bezpieczeństwem
informacji,
podporządkowanych 10 grupom wymagań, co pozwala
użytkownikom
na
zidentyfikowanie
najwłaściwszych
zabezpieczeń w kontekście specyfiki działalności, jaką
prowadzą oraz otoczenia rynkowego i potrzeb w powyższym
zakresie. Aktualne, drugie wydanie normy kładzie szczególny
nacisk na zarządzanie ryzykiem, wskazuje także, że
użytkownik nie jest zobowiązany do wdrażania wszystkich
technik przywołanych w części pierwszej standardu, a tylko
tych uznanych za najistotniejsze i zapewniające realizację
celów. Katalog dotyczy wszystkich form informacji, w tym
także ustnych i graficznych, powstających z wykorzystaniem
telefonów komórkowych i faksów. Standard uwzględnia
najnowsze formy działalności gospodarczej, np. gospodarka
elektroniczna, Internet, outsourcing, praca zdalna, urządzenia
przenośne.
13
BS 7799:1999 (3)
BS 7799-2:1999 - standardowa specyfikacja dla systemów
zarządzania bezpieczeństwem informacji (ISMS - Information
Security
Management
Systems).
BS 7799-2:1999 ilustruje, w jaki sposób zaprojektować,
wdrożyć
i
poddać
certyfikacji
system
zarządzania
bezpieczeństwem informacji (ISMS - Information Security
Management Systems).
Norma wskazuje na sześcioetapowy proces kreowania i
wdrożenia zaprojektowanych rozwiązań; odwołuje się do
konieczności określenia wszystkich aktywów informacyjnych i
oszacowania
ich
istotności
dla
organizacji.
14
ISO / IEC 17799:2000
Praktyczne zasady zarządzania bezpieczeństwem
informacji.
ISO 1799:2000, stworzona przez Międzynarodową
Organizację Normalizacyjną (ISO), określa sposoby
postępowania z informacją w firmie, zwracając uwagę
na poufność, dostępność i spójność danych.
Jest
to
szczególnie
ważne
w organizacjach
przetwarzających
dane
poufne,
prowadzących
produkcję
specjalną
oraz
obawiających
się
nieuczciwych działań konkurencji. Norma wskazuje
podstawowe zagadnienia i określa metody i środki
konieczne dla zabezpieczenia informacji.
Norma ta zawiera 10 działów mających krytyczny
wpływ na bezpieczeństwo szeroko rozumianego
systemu informacji.
15
ISO / IEC 17799:2000 (2)
Norma określa wymagania dotyczące konkretnych rozwiązań w
obszarach:
●
odpowiedzialność kierownictwa (Policy)
●
organizacja systemu bezpieczeństwa (Organizational
Information Protection)
●
skalowanie zabezpieczeń i nadzór nad zasobami (Control and
sensitivity of assets)
●
czynniki ludzki (People Issues)
●
ochrona fizyczna zasobów (Physical Protection)
●
zarządzanie systemem i infrastrukturą (System and
Infrastructure Management)
●
kontrola dostępu do zasobów (System access control)
●
utrzymywanie i rozwój systemu (Systems development and
maintenance)
●
planowanie zmian (Business continuity planning)
●
zgodność z wymaganiami zewnętrznymi (Compliance)
16
ISO/IEC TR 13335
Raport techniczny
Normą związaną z ISO/IEC 17799 jest raport
techniczny czyli dokument niższej wagi niż normaISO/IEC TR 13335 składający się z pięciu części, z
których pierwsza jest polską normą (PN-I 13335-1Wytyczne
do
zarządzania
bezpieczeństwem
systemów informatycznych: terminologia, związki
między pojęciami,
podstawowe modele) .
ustanowioną w 2001 roku.
Raport ten jest
przeznaczony dla działów informatyki i dotyczy
zagadnień
technicznych
a
nie
rozwiązań
organizacyjnych.
17
ISO/IEC TR 13335 (2)
* ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania
bezpieczeństwem
systemów informatycznych:
- terminologia, związki między pojęciami,
- podstawowe modele.
* ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem
systemów IT
- różne podejścia do prowadzenia analizy ryzyka,
- plany zabezpieczeń,
- rola szkoleń i działań uświadamiających,
- stanowiska pracy w instytucji związane z bezpieczeństwem.
18
ISO/IEC TR 13335 (3)
* ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem
systemów informatycznych:
- formułowanie trójpoziomowej polityki bezpieczeństwa,
- rozwinięcie problematyki analizy ryzyka,
- rozwinięcie problematyki implementacji planu zabezpieczeń,
- reagowanie na incydenty.
* ISO/IEC/TR 13335-4: Wybór zabezpieczeń:
- klasyfikacja i charakterystyka różnych form zabezpieczeń,
- dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj
systemu.
* ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami
zewnętrznymi:
- dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią
zewnętrzną.
19
Pozostałe normy bezpieczeństwa
PN-EN 60300-2:1998 - Zarządzanie niezawodnością. Elementy i
zadania programu niezawodności. Norma ta dotyczy urządzeń i
systemów zawieraj ących oprogramowanie.
PN-IEC 863:1996 - Przedstawienie wyników prognozowania
nieuszkadzalności, obsługiwalności i gotowości. Norma zestawia
zagadnienia, które powinny być brane pod uwagę podczas
przedstawiania informacji dotyczących prognozowania ilościowych
charakterystyk nieuszkadzalności, obsługiwalności i gotowości
systemów, właczaj ąc w to sprzęt, oprogramowanie i czynnik ludzki.
PN-ISO 9000-3:1994 oraz PrPN- ISO 9000-3 Wytyczne do
stosowania normy ISO 9001 podczas opracowywania, dostarczania i
obsługiwania oprogramowania. Wytyczne te powinny być stosowane
podczas zawierania umów dotyczących oprogramowania.
PN- ISO/ IEC 2382-1: 1996 - Słownik terminologiczny.
Zawiera 144 terminy z dziedzin : terminy ogólne, reprezentacja
informacji, sprzęt komputerowy, oprogramowanie, programowanie,
aplikacje i ich użytkownik końcowym zabezpieczenia informacyjne i
zarządzanie danymi.
20
Orange Book
Pojęcie bezpiecznego (jest używany również termin
wiarygodnego)
systemu
operacyjnego
zostało
sformułowane już w 1985 roku, gdy ogłoszono
amerykańską Orange Book - Trusted Computer Systems
Evaluation Criteria.
Dokument ten opracowany został w Departamencie
Obrony USA. Zawiera opis kryteriów przydziału
analizowanych
systemów
do
odpowiednich
klas
bezpieczeństwa, informacje nt. sposobu wykonywania
analiz bezpieczeństwa a także zalecenia dotyczące
zapewniania bezpieczeństwa systemu informatycznego.
21
Orange Book (2)
7 poziomów bezpieczeństwa
W dokumencie tym Departament Obrony USA
zdefiniował siedem poziomów bezpieczeństwa
komputerowego systemu operacyjnego.
Różne poziomy określają różne sposoby
zabezpieczania sprzętu, oprogramowania i
danych.
Klasyfikacja
ma
charakter
„zawierania”, co oznacza, że wyższe poziomy
mają wszystkie cechy poziomów niższych.
Orange Book zawiera również rozdział o
zaleceniach
dotyczących
sposobów
wykonywania analizy systemu. Wśród zaleceń
tych są informacje o składzie personelu
wykonującego analizę, o czasie wykonywania
analizy i inne.
22
Audyt
W zakresie bezpieczeństwa teleinformatycznego AUDYTEM
nazywa si ę postępowanie sprawdzające sposób wykonania i stan
zabezpieczeń systemu teleinformatycznego na zgodność z
określonymi wymaganiami lub standardami (np. ISO/IEC
17799), wykonywane przez stronę niezależną (w Polsce np.
przez ABW), maj ące na celu m.in.:
- ocenę jakości systemu bezpieczeństwa,
- wykazanie, że informacja przetwarzana w systemie
teleinformatycznym została zabezpieczona zgodnie z
ustaleniami pomiędzy zleceniodawcą, a zespołem budującym
system bezpieczeństwa,
- wykazanie, że system bezpieczeństwa spełnia wymagania
norm i standardów w tym zakresie,
- wydanie certyfikatu bezpieczeństwa teleinformatycznego dla
sprawdzanego systemu.
23
Audyt (2)
Zastosowanie dobrej polityki bezpieczeństwa i nawet
najnowocześniejszych
rozwiązań
technologicznych
z
zakresu bezpieczeństwa informacji - mogą okazać się
niewystarczające. Zawsze pozostaje tzw. ,,czynnik ludzki'',
a więc błędy w konfiguracji, nieumiejętne administrowanie
czy też najzwyklejsze błędy w działającym oprogramowaniu
lub pracy urządzeń sprzętowych.
Dlatego też niezwykle ważne staje się weryfikowanie
używanych zabezpieczeń, najlepiej przez specjalistów z
zewnątrz, którzy gwarantują świeże spojrzenie na
zainstalowane zabezpieczenia i niejednokrotnie są w stanie
wykryć miejsca występowania rozmaitych zagrożeń, co w
efekcie umożliwi zapobiegnięcie ewentualnym problemom w
przyszłości.
24
Outsourcing
Outside Resource Using, czyli wykorzystywanie
zasobów zewnętrznych jest najlepszą metodą pozwalającą
skoncentrować się na działaniach związanych ściśle z
kierunkiem
działalności
przedsiębiorstwa.
Istotą Outsourcingu IT jest wyodrębnienie i zlecenie na
zewnątrz
działań
związanych
z
infrastrukturą
informatyczną. Istnieją różne możliwości wykorzystania
zalet outsourcingu. Niektóre firmy decydują się na pełne
przekazanie działań i odpowiedzialności związanych z
informatyką,
podmiotowi
zewnętrznemu.
Istnieje
możliwość przekazania tylko niektórych procesów w
firmie jako wsparcie i odciążenie istniejącego działu
informatyki w przedsiębiorstwie. Zdarza się również, że
menedżerowie firm decydują się na wykorzystanie firm
zewnętrznych do realizacji konkretnych projektów.
25
Podsumowanie:
Zagadnienie zabezpieczenia informacji staje się z
każdym
dniem
coraz
istotniejszym
problemem
prowadzenia biznesu. Zależność firm od wiarygodności,
dostępności, spójności i poufności gromadzonych
danych zwiększa się w miarę przenoszenia biznesu od
tradycyjnie rozumianej produkcji do wyrafinowanych
usług. Zwiększa się też ilość danych chronionych przez
prawo. W szybko zmieniającym się świecie biznesu,
wdrożenie i utrzymanie systemu bezpieczeństwa
informacji staje się zadaniem krytycznym, od którego
mogą zależeć losy organizacji, jej działanie i
wiarygodność. Po wejściu Polski do Unii Europejskiej
stworzenie i wdrożenie polityki bezpieczeństwa stało się
obowiązkowe dla wszystkich firm – tych dużych jak i
tych najmniejszych. Seminarium 2004 – PP, SKiSR
26
Bibliografia
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
"IT Security Magazine" nr 7 2002
Rozporządzenie Prezesa RM z dnia 25 lutego 1999 w sprawie
podstawowych wymagań bezpieczeństwa systemów i sieci
teleinformatycznych. Dz. U. Nr 18 poz. 162. Ustawa z dnia 22
stycznia 1999 o ochronie informacji niejawnych, Dz. U. Nr 11, poz.
95.,
Zalecenia Urzędu Ochrony Państwa dotyczące bezpieczeństwa
teleinformatycznego, wersja 1.1, sierpień 2000,
BS 7799:1995 Code of practice for Information Security
Management, , British Standard Institute,
Janusz Cendrowski, Ochrona informacji niejawnych cz. 5, Szkolenia
specjalistyczne administratorów systemów i pracowników pionów
ochrony, IT Security Magazine, nr 4(8) kwiecień 2000,
„Ocal swoje dane” - Biuletyn POLCOM 5 czerwiec 2002,
Białas A.: Wspólne Kryteria - koncepcja i model bezpieczeństwa, IT
Security Magazine nr 11 (15) listopad 2000,
Gazeta IT nr5(24) kwiecień 2004 – „Polityka bezpieczeństwa danych
w firmie - aspekt organizacyjny i prawny”,
www.prim.com.pl/referaty/wdrazanie_iso17799.htm - wykład, dr
Andrzej Niemiec,
Inne zasoby WWW.
27

ISO/IEC/TR 13335-3

Transkrypt

Podobne dokumenty

zielone szkoły 2017

207b PRZEPLOTNIA PAJĘCZYNA - Atut-ZM

Deklaracja iC5

Cimstar MB 604 - omnibus

Quallab Szkolenie PŚ

Nap d elektromechaniczny

Technologie na miarę XXI wieku. Nowa era informatyczna