Ustanawianie SZBI - Tomasz Barbaszewski

Transkrypt

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Ustanawianie SZBI
Decyzję o ustanowieniu SZBI podejmuje Kierownictwo Organizacji. W wyniku tej decyzji
zostaje opracowany i przedstawiony do akceptacji Kierownictwa Program Implementacji SZBI,
który powinien zostać podzielony na projekty odpowiadające zaleceniom normy PN-ISO/IEC
17799 (ISO 27002):
•
•
•
•
•
•
•
•
•
•
•
Opracowanie Polityki Bezpieczeństwa,
Organizacja systemu bezpieczeństwa informacji,
Zarządzanie aktywami,
Zarządzanie zasobami ludzkimi,
Organizacja bezpieczeństwa fizycznego i środowiskowego,
Zarządzanie komunikacją i eksploatacją,
Kontrola dostępu,
Akwizycja, rozwój i utrzymanie systemu,
Zarządzanie incydentami związanymi z bezpieczeństwem informacji,
Zarządzanie ciągłością działania,
Zgodność systemu z obowiązującymi przepisami prawa oraz normami.
W wyniku każdego projektu zostają opracowywane dokumenty określające szczegółowe polityki
oraz procedury. Powinny one odpowiadać wymaganiom normy PN-ISO/IEC 27001.
Z zakresu SZBI mogą zostać wyłączone niektóre elementy opisujące określone cele – np. jeśli
Organizacja nie prowadzi handlu elektronicznego wyłączony zostanie cel określony w normie jako
cel A.10.9 – Bezpieczeństwo Handlu Elektronicznego oraz jego podpunkty A.10.9.1 Handel
elektroniczny oraz A.10.9.2 Transakcje on-line.
Wyłączenie może także nastąpić na skutek decyzji o akceptacji ryzyka szczątkowego
związanego z rezygnacją ze stosowania określonych mechanizmów zabezpieczających – np. ze
stosowania technik kryptograficznych, o ile jest to zgodne z obowiązującymi przepisami wyższego
rzędu.
Niezależnie od przyczyny dokonania wyłączenia musi być ono uzasadnione pisemnie.
Rozdział 3: Ustanawianie SZBI
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 8
Polityka bezpieczeństwa
Polityka bezpieczeństwa stanowi zbiór deklaracji i zobowiązań składanych przez Kierownictwo
organizacji w zakresie przestrzegania zasad bezpieczeństwa informacji. Deklaracje te powinny
obejmować spełnienie wymagań prawnych, kontraktowych i technicznych związanych z
zapewnieniem bezpieczeństwa informacji.
Jeśli Organizacja przechowuje lub przetwarza dane podlegające ochronie prawnej z mocy aktów
prawnych wyższych rzędów – Ustawy o ochronie informacji niejawnych, Ustawy o ochronie
danych osobowych Polityka Bezpieczeństwa itp. powinna również zawierać deklaracje
przestrzegania postanowień tych ustaw (np. zgłoszenia zbiorów danych osobowych do
przewidzianej prawem rejestracji) oraz deklarację o przestrzeganiu Ustawy o prawie autorskim i
prawach pokrewnych oraz poszanowaniu własności intelektualnej.
Polityka Bezpieczeństwa powinna jednoznacznie określać informacje, kto jest odpowiedzialny
za przestrzeganie zasad bezpieczeństwa informacji i kto nadzoruje i koordynuje działania z tym
związane.
Polityka Bezpieczeństwa odwołuje się do związanych z nią dokumentów określających reguły
postępowania w celu osiągnięcia celów związanych z zachowaniem bezpieczeństwa informacji.
W Polityce Bezpieczeństwa powinna być również zawarta deklaracja, że obowiązkiem każdego
pracownika Organizacji jest znajomość i przestrzeganie opracowanych w ramach ustanowionego
SZBI polityk i procedur związanych z zachowaniem bezpieczeństwa informacji.
Polityka Bezpieczeństwa powinna również zawierać oświadczenie kierownictwa o ciągłym
doskonaleniu Systemu Zarządzania Bezpieczeństwem Informacji.
Zasady sporządzania Polityki Bezpieczeństwa
Przy opracowywaniu Polityki Bezpieczeństwa Informacji należy wziąć pod uwagę, że dokument
ten będzie udostępniony wszystkim pracownikom Organizacji oraz zainteresowanym podmiotom
zewnętrznym. Nie powinien to być dokument zbyt szczegółowy – opisy wykorzystywanych
zabezpieczeń powinny być umieszczane w dokumentach przeznaczonych do użytku wewnętrznego.
Ogólna Polityka Bezpieczeństwa Organizacji powinna mieć charakter deklaratywny. Szczegółowe
zalecenia postępowania należy umieszczać w Politykach Szczegółowych – np. Polityce
wykorzystywania komputerów przenośnych, polityce korzystania z przenośnych nośników danych,
opisie stosowanych zabezpieczeń fizycznych itp.
Opracowana Polityka Bezpieczeństwa powinna być zaakceptowana przez Kierownictwo
Organizacji i przekazana do opublikowania i stosowania.
str. 2 z 8
Organizacja zarządzania bezpieczeństwem informacji
Działania związane z utrzymaniem założonego poziomu bezpieczeństwa informacji muszą być
prowadzone w sposób ciągły. Wiąże się to z powstawaniem nowych rodzajów zagrożeń, do których
można zaliczyć pojawianie się nowych rodzajów złośliwego oprogramowania (wirusów i robaków
komputerowych), nowych metod ataków sieciowych itp. oraz wykrywaniu nowych podatności.
Wymaga to ciągłego monitorowania SZBI, analizy nowych, pojawiających się ryzyk oraz
podejmowania odpowiednich działań zabezpieczających. Analiza ryzyka powinna być prowadzona
z zastosowaniem metodyki przyjętej i zatwierdzonej przez Organizację. Opis tej metodyki powinien
być załączony do dokumentacji SZBI.
Wdrożenie SZBI
Wdrożenie SZBI najkorzystniej jest podzielić na ciąg prostszych działań. Przykładowy zestaw
tych działań może składać się z następujących kroków:
•
•
•
•
•
•
•
•
sformułowanie planu postępowania z ryzykiem zawierającego zakresy odpowiedzialności
oraz priorytety w zarządzaniu ryzykami związanymi z bezpieczeństwem informacji,
określono sposób postępowania mający na celu skuteczne wdrażanie zabezpieczeń
obejmujący sposób finansowania tych działań,
wdrożenie zabezpieczeń wymaganych w Załączniku A normy ISO 27001 w sposób
zapewniający osiągnięcie celów ich stosowania,
opracowanie sposobów pomiaru skuteczności wybranych zabezpieczeń oraz
wykorzystywania wyników tych pomiarów do obiektywnej i powtarzalnej ich oceny,
Przeprowadzenie akcji uświadamiającej wśród wszystkich pracowników Organizacji.
Przeprowadzenie odpowiednich szkoleń kadry zarządzającej i pracowników Organizacji,
Opracowanie i wdrożenie reguł zarządzania stosowaniem SZBI oraz zasobami SZBI,
Wdrożenie odpowiednich procedur oraz mechanizmów oraz innych zabezpieczeń mających
na celu natychmiastowe wykrywanie i reakcję na incydenty związane z naruszeniem
bezpieczeństwa informacji.
Podczas wdrażania SZBI należy wziąć pod uwagę, że lista punktów kontrolnych umieszczona w
normie PN-ISO/IEC 17799 dopuszcza różne postępowania z ryzykiem:
•
•
•
•
wprowadzenie zabezpieczeń,
zaakceptowanie ryzyka,
unikanie ryzyka,
przeniesienie ryzyka (np. na instytucję ubezpieczeniową).
str. 3 z 8
Najczęstsze błędy popełniane przy wdrażaniu SZBI:
•
koncentrowanie się na ochronie środków do przechowywania i przetwarzania informacji
(np. sprzętu komputerowego), a nie samej informacji. Zarówno kadra zarządzająca, jak i
pracownicy organizacji powinni być świadomi faktu, że wartość informacji dla organizacji
wielokrotnie przewyższa wartość wykorzystywanego przez organizację sprzętu
komputerowego. Uszkodzony w wyniku awarii lub niekorzystnego zdarzenia sprzęt może
być łatwo wymieniony na nowy, zaś np. dane finansowe, projekty itp., które zostaną
utracone w wyniku kradzieży lub uszkodzenia komputera mogą nie być możliwe do
odzyskania lub utracić atrybut poufności.
•
Pomijanie informacji w formie innej niż elektroniczna. Dotyczy to nie tylko dokumentów w
postaci „papierowej” ale również np. rozmów telefonicznych lub informacji dystrybuowanej
w formie ogłoszeń umieszczanych na terenie firmy/urzędu. Informacje zapisywane na
tablicach lub innych środkach wykorzystywanych w pomieszczeniach przeznaczonych do
spotkań biznesowych bardzo często nie są usuwane natychmiast po zakończeniu spotkania.
•
Wielu konsultantów i audytorów nie przykłada należytej wagi do konieczności zarządzania
wszystkimi kopiami informacji – niezależnie od formy, w jakiej te kopie są tworzone.
Liczba wykonanych kopii powinna być monitorowana. Kopii nie należy tworzyć bez
potrzeby! Jeśli informacja traci ważność, jest usuwana lub zastępowana przez nową wersję
wszystkie jej kopie powinny być również usunięte (za wyjątkiem kopii archiwalnej, o ile
archiwizacja informacji jest przewidziana).
Kolejnym, często spotykanym błędem jest niedocenianie znaczenia opracowania obiektywnych
oraz powtarzalnych metod pomiaru skuteczności wdrożonych zabezpieczeń. Nie mogą być one
zastąpione testami penetracyjnymi, lecz powinny być realizowane według następującego schematu:
•
•
•
•
co testujemy (np. czy informacje są przesyłane jedynie w postaci zaszyfrowanej)?
jakie jest znaczenie testowanego zabezpieczenia lub właściwości dla bezpieczeństwa
informacji?
Jaka jest metodyka testowania oraz jakie narzędzia zostały wykorzystane?
Czy wynik testowania odpowiada założeniom, jakie powinny być spełnione?
Wartość aktywów informacyjnych jest określana za pomocą trzech atrybutów – dostępność,
integralność oraz poufność. Metoda pomiaru powinna umożliwiać zachowanie tych atrybutów na
oczekiwanym poziomie – np. czasu dostępu do wybranych danych lub programu użytkowego lub
kontrolę, czy pakiety sieciowe są zaszyfrowane lub czy dokumenty są opatrywane właściwymi
podpisami elektronicznymi. Aby uzyskać wiarygodne wyniki najczęściej konieczne jest stosowanie
specjalistycznego oprogramowania.
str. 4 z 8
Monitorowanie i przegląd SZBI
Podstawowe cele monitorowania SZBI są następujące:
•
•
•
•
•
Jak najszybszego wykrycia błędów pojawiających się w wynikach przetwarzania, a w
konsekwencji jak najszybsze wdrożenie odpowiednich środków zapobiegawczych,
Natychmiastowego identyfikowania naruszeń bezpieczeństwa informacji oraz incydentów
zakończonych sukcesem, lecz również prób zakończonych niepowodzeniem.
Sprawdzenie przez kierownictwo, czy działania podjęte w związku z bezpieczeństwem
informacji są wykonywane zgodnie z oczekiwaniami.
Umożliwienie podjęcia działań w celu rozwiązania problemów związanych z naruszeniemi
bezpieczeństwa,
Sprawdzenie, czy podjęte działania są skuteczne.
Monitorowanie SZBI jest warunkiem jego ciągłego ulepszania. Ustanawiając SZBI należy
przewidzieć instalację odpowiednich narzędzi do tego celu. W najprostszych systemach mogą to
być rozwiązania ograniczone do analizy logów systemowych.
Bardziej zaawansowane realizują automatyczne przekazywanie alertów w przypadku prób
naruszeń zabezpieczeń bezpieczeństwa, a nawet mogą automatycznie podejmować
zaprogramowane wcześniej działania ograniczające możliwe skutki incydentu. W szczególnie
uzasadnionych przypadkach można zastosować systemy umożliwiające zapis zdarzeń w dłuższych
okresach w celu ich późniejszej analizy wyposażone w wiele punktów testowania oraz analizę
korelacji zdarzeń.
Monitorowanie SZBI powinno mieć charakter ciągły i powinno obejmować wszystkie rodzaje
informacji oraz postępowania z nią. Na zauważone błędy powinno się natychmiast reagować, a
przede wszystkim próbować dotrzeć do przyczyn ich powstawania, które niekiedy mogą być ukryte.
W dochodzeniu przyczyn powstawania błędów mogą pomóc metody wykorzystywane z
zarządzaniu jakością – np. metoda 5-why.
Naruszenia zasad bezpieczeństwa informacji może mieć bardzo różne przyczyny – w jednym
analizowanym przypadku do ujawnienia poufnych informacji doszło z powodu chęci
zaoszczędzenia papieru przez jedną z pracownic. Używała ona starych wydruków komputerowych
do sporządzania na ich odwrocie podręcznych notatek. Zazwyczaj pamiętała o tym, aby po
zakończeniu pracy zniszczyć te wydruki (zawierały one wrażliwe dane osobowe), lecz pewnego
razu pracująca z nią koleżanka po prostu wyrzuciła „zbędne papiery” po prostu do kosza. W Polsce
kilka lat temu głośny był przypadek odsprzedaży starych twardych dysków wykorzystywanych w
Ministerstwie Spraw Zagranicznych (uznanych za zbędny zapas) i rozpoczęcie publikacji ich
zawartości przez tygodnik „NIE”. Za przyczynę tego przypadku należy uznać brak poziomych
połączeń w strukturze organizacyjnej oraz brak ciągłości w przekazywaniu informacji.
Monitorowanie SZBI może także doprowadzić do wykrycia nowych problemów technicznych.
Ostatnio firma CISCO i jej partnerzy donieśli o wykryciu w bardzo szybkich sieciach efektu
nazwanego „microburst”. Polega ono na bardzo krótkim (milisekundowym!) przeciążeniu pracy
sieci komputerowej i w konsekwencji utratą dostępu do informacji. W klasycznych, stosunkowo
wolnych sieciach efekt ten nie ma znaczenia, ponieważ zostanie utracona niewielka ilość informacji
str. 5 z 8
i mechanizmy retransmisji naprawią problem, który zazwyczaj pozostanie niezauważony. Jednak w
bardzo szybkich sieciach (10 Gbps) szybkość transmisji jest tak duża, że w bardzo krótkim czasie
może być przesłane tyle informacji, że nie będzie możliwe ich automatyczne odtworzenie
(skuteczna retransmisja). Zjawisko dało znać już o sobie w praktyce w silnie obciążonych sieciach
pracujących dla potrzeb systemów finansowych i spowodowało wymierne straty. Wykrycie tego
efektu jest dość trudne, ponieważ wymaga analizatorów transmisji sieciowych o bardzo dużej
(nanosekundowej) rozdzielczości czasowej.
Skuteczne monitorowanie SZBI może być znacznie ułatwione jeśli wśród pracowników
Organizacji uda się pobudzić postawy automotywacyjne związane z ochroną aktywów
informacyjnych:
Szczegółowo znaczenie kształtowania motywacji wewnętrznej w nowoczesnym zarządzaniu
przez jakość omawia A.J.Blikle w swej pracy „Doktryna Jakości”.
O ile monitorowanie SZBI powinno być procesem ciągłym to przeglądy SZBI mają charakter
okresowy. W czasie przeglądów SZBI wykorzystuje się szereg danych wejściowych:
•
•
•
•
•
•
•
•
rezultaty i wnioski z monitorowania SZBI,
wyniki audytów oraz poprzednich przeglądów SZBI,
informacje od zainteresowanych stron,
dane o nowych podatnościach i zagrożeniach, których nie brano pod uwagę przy
poprzednim oszacowywaniu ryzyka,
dostępność nowych technik, produktów i procedur,
rezultaty pomiarów skuteczności,
ocenę skuteczności działań podjętych w rezultacie poprzednich przeglądów SZBI,
otrzymanych zaleceń, sugestii i uwag dotyczących funkcjonowania SZBI.
str. 6 z 8
Przegląd SZBI jest wykonywany na polecenie Kierownictwa Organizacji. Przeglądy powinny
być realizowane w zaplanowanych odstępach czasu. Ich celem jest dokonanie kompleksowej oceny
funkcjonowania SZBI i dokonanie odpowiednich korekt w samym systemie.
W wyniku przeglądu SZBI powstaje dokument, który obejmuje zestawienie propozycje działań
mających na celu:
•
•
•
•
•
•
•
doskonalenie skuteczności SZBI.
aktualizację planu szacowania ryzyka i postępowania z ryzykiem,
dokonanie niezbędnych modyfikacji i korekt obowiązujących procedur oraz w razie
konieczności opracowanie nowych,
uwzględnienie zmian wynikających ze zmian w działalności biznesowej Organizacji,
uwzględnienie zmian prawnych i umownych,
analizę dostępności niezbędnych zasobów,
doskonalenie metod pomiarów skuteczności stosowanych zabezpieczeń.
Sprawozdanie z przeglądu SZBI jest przedkładane Kierownictwu Organizacji, które dokonuje
analizy stanu SZBI oraz podejmuje odpowiednie decyzje z nim związane.
Koordynacja działań związanych z utrzymywaniem SZBI
W celu zapewnienia sprawnej realizacji działań związanych z ustanowieniem, wdrożeniem oraz
utrzymywaniem SZBI Kierownictwo Organizacji powołuje Zespół ds. SZBI. Zespół ten może się
składać z pracowników Organizacji oraz Konsultantów zewnętrznych. Zadania Zespołu są
następujące:
•
•
•
•
•
•
•
•
•
•
opracowywanie planów działań związanych z wprowadzaniem SZBI,
przeprowadzenie inwentaryzacji aktywów informacyjnych Organizacji oraz dokonanie
wyceny ich wartości dla Organizacji,
opracowanie Polityki klasyfikowania informacji,
przeprowadzenie analizy ryzyka oraz postępowania z ryzykiem,
opracowanie i wdrożenie procedur wynikających z SZBI,
zorganizowanie szkoleń z zakresu bezpieczeństwa informacji dla pracowników Organizacji,
wybór zabezpieczeń oraz ich wdrożenie i sprawdzenie skuteczności,
opracowanie Polityki Bezpieczeństwa wraz z politykami szczegółowymi,
zorganizowanie audytów - przedcertyfikacyjnego i certyfikującego,
zapewnienie utrzymywania oraz skutecznego funkcjonowania SZBI.
Zespół ds. SZBI dokumentuje swoje działania w sposób odpowiadający wymaganiom
normatywnym.
str. 7 z 8
Odpowiedzialność pracowników Organizacji
Zakres odpowiedzialności związanej z zachowaniem bezpieczństwa informacji obowiązujący
pracowników Organizacji jest uzależniony od stanowiska zajmowanego przez pracownika i jego
autoryzacji do wykorzystywania oraz przetwarzania informacji o określonej kwalifikacji.
Pracownik powinien potwierdzić przyjęcie tej odpowiedzialności podpisem na odpowiednim
dokumencie. Jeśli informacja jest chroniona z mocy prawa (np. dane osobowe, informacje
niejawne) forma dokumentu musi być zgodna z wymaganiami aktu wyższego rzędu.
Urządzenia do przechowywania i przetwarzania informacji
Urządzenia wykorzystywane do przechowywania i przetwarzania informacji powinny być
sprawdzone przez Zespół ds. SZBI. Podczas sprawdzenia weryfikacji podlegają:
•
•
•
•
•
•
•
•
•
zabezpieczenia fizyczne (np. obecność i poprawność założenia plomb na obudowach
komputerów),
poprawność instalacji sprzętu (ustawienie, zabezpieczenie okablowania, rozwiązanie
zasilania, zamocowanie wszelkich przyłączy, zabezpieczenie przed kradzieżą oraz warunki
środowiskowe),
czy sprzęt posiada atesty bezpieczeństwa (np. skuteczność niszczenia dokumentów,
ograniczenie emisji ujawniającej itp.),
czy zainstalowane oprogramowanie posiada wymagane licencje na użytkowanie (dotyczy
także oprogramowania licencjonowanego nieodpłatnie – np. GPL) i w jaki sposób jest
dostępny dokument licencyjny,
wersja oraz aktualność oprogramowania,
rodzaj wykorzystywanych nośników przenośnych (o ile jest to dozwolone) oraz wymagania,
którym powinny odpowiadać te nośniki (np. Gwarantowany czas dostępności zapisu),
zabezpieczenia dostępu administracyjnego do urządzeń teleinformatycznych (hasła,
szyfrowanie transmisji, konfiguracja SNMP tp.),
poziom zabezpieczenia sieci bezprzewodowych, o ile takie są wykorzystywane,
wszelkie inne właściwości mogące mieć znaczenie dla bezpieczeństwa informacji.
Zespół ds. SZBI określa wymagania dla sprzętu w zależności od kwalifikacji informacji oraz
nadzoruje zakup sprzętu i oprogramowania mających związek ze składowaniem i przetwarzaniem
informacji. Ewentualne odstępstwa od tych wymagań powinny być uzasadnione i zaakceptowane.
Współpraca z podmiotami zewnętrznymi
Jeśli współpraca z podmiotami zewnętrznymi jest związana z wymianą informacji należy
opracować i stosować pisemne klauzule poufności.
str. 8 z 8

Ustanawianie SZBI - Tomasz Barbaszewski

Transkrypt

Podobne dokumenty

Bezpieczne wykorzystywanie systemu teleinformatycznego Karta

Bezpieczeństwo informacji – wdrożenie, certyfikacja i

Zasady zarządzania bezpieczeństwem informacji przy realizacji

Akwizycja i modernizacja systemu

Zadania wspólne BIR

PYTANIE ODP1 ODP2 ODP3 ODP4 ODP5 ODP6 1 Zarządzanie

System Zarządzania Bezpieczeństwem Informacji SZKOLENIA