Tomasz Bejm i Aleksander Poniewierski
Transkrypt
Tomasz Bejm i Aleksander Poniewierski
Od bezpieczeństwa informacji do bezpiecznej firmy Metodyka SABSA Tomasz Bejm, Aleksander Poniewierski Ryzyko systemów informatycznych Fakty Citigroup – utracił dane i historie transakcji prawie 4 milionów swoich klientów 140000 82094 120000 100000 Liczba incydentów zgłoszonych do CERT/CC w latach 1988–2003 * zgodnie z badaniami CSI Computer Crime and Security Survey ** zgodnie z badaniami US Labor Dept 2003 2000 3734 1998 9859 2134 1997 1999 2573 1996 773 1992 2412 406 1991 1995 252 1990 2340 132 0 1989 firm, które w wyniku katastrofy tracą dane, przestaje istnieć w ciągu 5 lat** 6 ► 93% 1988 20000 1994 40000 21756 60000 1334 firma w USA pada ofiarą 140 incydentów rocznie* 1993 ► Przeciętna 52658 80000 2002 2007 roku 88% amerykańskich firm doświadczyło co najmniej jednego incydentu związanego z bezpieczeństwem* 2001 ►W 137529 TJX – amerykańskiej firmie zostały wykradzione numery kart kredytowych ponad 96 milionów klientów – według wyliczeń firmy atak kosztował ją blisko 250 milionów dolarów Ryzyko systemów informatycznych Podejścia do zapewnienia bezpieczeństwa* Podejście techniczne Podejście zarządcze Opracowywanie i wdraŜanie konkretnych rozwiązań technicznych Pogoń za zmianami technologicznymi i rosnącą liczbą nowych rodzajów ryzyka Ludzie są największym źródłem zagroŜenia dla informacji sabotaŜyści pracownicy ze zbyt duŜymi uprawnieniami pracownicy nie zaznajomieni z zasadami z ochrony informacji Tworzenie struktur odpowiedzialnych za zarządzanie bezpieczeństwem informacji (obecnie 82% firm posiada taką scentralizowaną strukturę)** Podejście instytucjonalne Ład bezpieczeństwa informacji Standaryzacja bezpieczeństwa systemów informatycznych oraz budowa i wdraŜanie systemów zarządzania bezpieczeństwem informacji poprzez wykorzystanie uznanych norm i standardów Certyfikacja rozwiązań bezpieczeństwa Bezpieczeństwo informacji jako systematyczna ochrona tych danych, które są najwaŜniejsze z punktu widzenia ich wpływu na osiąganie celów biznesowych organizacji Traktowanie bezpieczeństwa informacji jak strategicznego aspektu egzystencji firmy Promowanie kultury bezpieczeństwa informacji w obrębie firmy * Prof. Basie von Solms, Information Security – the third wave?, Computer and Security, 19 (2000),s. 615-620 ** Security Survey 2007 Model wdraŜania i zarządzania mechanizmami bezpieczeństwa Sprzeczne cele wdraŜania mechanizmów bezpieczeństwa Bezpieczeństwo Architektura bezpieczeństwa ► Zestaw zasad, zaleceń, wzorców i standardów z zakresu bezpieczeństwa wraz z opisem ich wzajemnego powiązania w odniesieniu do uwarunkowań biznesowych ► Odejście od koncepcji standardowego podejścia analizy poszczególnych obszarów Analiza bezpieczeństwa według łańcucha wartości Analiza bezpieczeństwa z perspektywy poszczególnych procesów biznesowych Ewolucyjne podejście do przeprowadzania zmian ► Cele ► Kontrola kosztów UŜyteczność ► Architektura bezpieczeństwa – SABSA (1/4) SABSA (Sherwood Applied Business Security Architecture) przedstawia całościowe podejście do zarządzania usługami i architekturą Bezpieczeństwa w przedsiębiorstwie SABSA jest wykorzystywana przez wiele organizacji na świecie do budowy architektury bezpieczeństwa przedsiębiorstwa i zarządzania usługami. SABSA została wykorzystana przez Ministerstwo Obrony Narodowej Wielkiej Brytanii do stworzenia Architektury Zapewnienia Informacji Bezpieczeństwa Metodyka SABSA jest zgodna z następującymi standardami: ► ► ► ► ITIL / ISO 20000 ISO 27001 / 17799 CobiT BS 15000 / AS 8018 Architektura bezpieczeństwa – SABSA (2/4) Całościowe podejście do zarządzania usługami i architekturą bezpieczeństwa w przedsiębiorstwie opiera się na sześciu warstwach*: kontekstową, obejmującą umiejscowienie Bezpieczeństwa i jego roli w Biznesie ► koncepcyjną, zawierającą wysokopoziomowy opis Bezpieczeństwa – Strategię Bezpieczeństwa ► logiczną, zawierającą model organizacji, model przepływu informacji i Politykę Bezpieczeństwa ► fizyczną, opisującą procedury, mechanizmy, platformę i infrastrukturę sieciową ► komponentową, obejmującą bezpośrednie narzędzia wdroŜenia Bezpieczeństwa – standardy, protokoły, certyfikaty ► operacyjną, warstwę spinającą pozostałe warstwy w codziennym funkcjonowaniu organizacji – Bezpieczeństwo aplikacji, sieci, pomoc techniczna * Warstwowy model architektury bezpieczeństwa opracowany został na bazie siatki Zachmana Warstwa operacyjna ► Architektura bezpieczeństwa – SABSA (3/4) Rozpatrywane aspekty architektury bezpieczeństwa według metodyki SABSA: ► Co próbujemy chronić? – aktywa chronione przez architekturę bezpieczeństwa ► Dlaczego to robimy? – motywacja do podejmowania działań ► Jak to robimy? – wykonywane działania ► Kto to wykonuje? – aspekty organizacyjne ► Gdzie podejmujemy działania? – obszary, w których podejmowane są działania ► Kiedy podejmujemy działania? – aspekty czasowe podejmowanych działań Te pytania i warstwowy model architektury bezpieczeństwa tworzą siatkę modelu SABSA Architektura bezpieczeństwa – SABSA (4/4) Sprawdzenia uzasadnienia aspektu bezpieczeństwa Zwiększenie poziomu szczegółowości aspektu bezpieczeństwa Proces projektowania architektury bezpieczeństwa polega na rozwaŜeniu aspektów w poszczególnych warstwach macierzy SABSA