Tomasz Bejm i Aleksander Poniewierski

Od bezpieczeństwa informacji
do bezpiecznej firmy
Metodyka SABSA
Tomasz Bejm, Aleksander Poniewierski
Ryzyko systemów informatycznych
Fakty
Citigroup – utracił dane i historie transakcji prawie 4 milionów swoich klientów
140000
82094
120000
100000
Liczba incydentów zgłoszonych do CERT/CC
w latach 1988–2003
* zgodnie z badaniami CSI Computer Crime and Security Survey
** zgodnie z badaniami US Labor Dept
2003
2000
3734
1998
9859
2134
1997
1999
2573
1996
773
1992
2412
406
1991
1995
252
1990
2340
132
0
1989
firm, które w wyniku katastrofy tracą
dane, przestaje istnieć w ciągu 5 lat**
6
► 93%
1988
20000
1994
40000
21756
60000
1334
firma w USA pada ofiarą
140 incydentów rocznie*
1993
► Przeciętna
52658
80000
2002
2007 roku 88% amerykańskich firm
doświadczyło co najmniej jednego
incydentu związanego z bezpieczeństwem*
2001
►W
137529
TJX – amerykańskiej firmie zostały wykradzione numery kart kredytowych ponad
96 milionów klientów – według wyliczeń firmy atak kosztował ją blisko
250 milionów dolarów
Ryzyko systemów informatycznych
Podejścia do zapewnienia bezpieczeństwa*
Podejście techniczne
Podejście zarządcze
Opracowywanie i wdraŜanie konkretnych
rozwiązań technicznych
Pogoń za zmianami technologicznymi
i rosnącą liczbą nowych rodzajów ryzyka
Ludzie są największym źródłem zagroŜenia
dla informacji
sabotaŜyści
pracownicy ze zbyt duŜymi uprawnieniami
pracownicy nie zaznajomieni z zasadami
z ochrony informacji
Tworzenie struktur odpowiedzialnych za
zarządzanie bezpieczeństwem informacji
(obecnie 82% firm posiada taką
scentralizowaną strukturę)**
Podejście instytucjonalne
Ład bezpieczeństwa informacji
Standaryzacja bezpieczeństwa systemów
informatycznych oraz budowa i wdraŜanie
systemów zarządzania bezpieczeństwem
informacji poprzez wykorzystanie uznanych
norm i standardów
Certyfikacja rozwiązań bezpieczeństwa
Bezpieczeństwo informacji jako
systematyczna ochrona tych danych, które są
najwaŜniejsze z punktu widzenia ich wpływu
na osiąganie celów biznesowych organizacji
Traktowanie bezpieczeństwa informacji jak
strategicznego aspektu egzystencji firmy
Promowanie kultury bezpieczeństwa
informacji w obrębie firmy
* Prof. Basie von Solms, Information Security – the third wave?,
Computer and Security, 19 (2000),s. 615-620
** Security Survey 2007
Model wdraŜania i zarządzania mechanizmami
bezpieczeństwa
Sprzeczne cele wdraŜania mechanizmów
bezpieczeństwa
Bezpieczeństwo
Architektura bezpieczeństwa
►
Zestaw zasad, zaleceń, wzorców
i standardów z zakresu bezpieczeństwa
wraz z opisem ich wzajemnego powiązania
w odniesieniu do uwarunkowań
biznesowych
►
Odejście od koncepcji standardowego
podejścia analizy poszczególnych
obszarów
Analiza bezpieczeństwa według łańcucha
wartości
Analiza bezpieczeństwa z perspektywy
poszczególnych procesów biznesowych
Ewolucyjne podejście do przeprowadzania
zmian
►
Cele
►
Kontrola kosztów
UŜyteczność
►
Architektura bezpieczeństwa – SABSA (1/4)
SABSA (Sherwood Applied Business Security Architecture) przedstawia
całościowe podejście do zarządzania usługami i architekturą Bezpieczeństwa
w przedsiębiorstwie
SABSA jest wykorzystywana przez wiele organizacji na świecie do budowy
architektury bezpieczeństwa przedsiębiorstwa i zarządzania usługami.
SABSA została wykorzystana przez Ministerstwo Obrony Narodowej Wielkiej
Brytanii do stworzenia Architektury Zapewnienia Informacji Bezpieczeństwa
Metodyka SABSA jest zgodna z następującymi standardami:
►
►
►
►
ITIL / ISO 20000
ISO 27001 / 17799
CobiT
BS 15000 / AS 8018
Architektura bezpieczeństwa – SABSA (2/4)
Całościowe podejście do zarządzania usługami i architekturą bezpieczeństwa
w przedsiębiorstwie opiera się na sześciu warstwach*:
kontekstową, obejmującą umiejscowienie
Bezpieczeństwa i jego roli w Biznesie
►
koncepcyjną, zawierającą wysokopoziomowy opis
Bezpieczeństwa – Strategię Bezpieczeństwa
►
logiczną, zawierającą model organizacji, model
przepływu informacji i Politykę Bezpieczeństwa
►
fizyczną, opisującą procedury, mechanizmy, platformę
i infrastrukturę sieciową
►
komponentową, obejmującą bezpośrednie narzędzia
wdroŜenia Bezpieczeństwa – standardy, protokoły,
certyfikaty
►
operacyjną, warstwę spinającą pozostałe warstwy
w codziennym funkcjonowaniu organizacji –
Bezpieczeństwo aplikacji, sieci, pomoc techniczna
* Warstwowy model architektury bezpieczeństwa opracowany został na bazie siatki Zachmana
Warstwa operacyjna
►
Architektura bezpieczeństwa – SABSA (3/4)
Rozpatrywane aspekty architektury bezpieczeństwa według metodyki SABSA:
►
Co próbujemy chronić? – aktywa chronione przez architekturę bezpieczeństwa
►
Dlaczego to robimy? – motywacja do podejmowania działań
►
Jak to robimy? – wykonywane działania
►
Kto to wykonuje? – aspekty organizacyjne
►
Gdzie podejmujemy działania? – obszary, w których podejmowane są działania
►
Kiedy podejmujemy działania? – aspekty czasowe podejmowanych działań
Te pytania i warstwowy model architektury bezpieczeństwa tworzą siatkę modelu SABSA
Architektura bezpieczeństwa – SABSA (4/4)
Sprawdzenia uzasadnienia aspektu bezpieczeństwa
Zwiększenie poziomu szczegółowości aspektu bezpieczeństwa
Proces projektowania architektury bezpieczeństwa polega na rozwaŜeniu aspektów
w poszczególnych warstwach macierzy SABSA