Jak zbudować standard (bezpieczeństwa)
Transkrypt
Jak zbudować standard (bezpieczeństwa)
1 Jak zbudować standard (bezpieczeństwa) doskonały? Konferencja IT Security Trends Kliknij, aby edytować 28 listopada Warszawa styl wzorca Plan wystąpienia 2 Standard bezpieczeństwa… co to takiego? Dojrzałość organizacji vs podejście do bezpieczeństwa Ryzyko – ustalenie kontekstu – dlaczego jest ważne? Siatka bezpieczeństwa w organizacji bezpieczeństwa Standard bezpieczeństwa 3 Zbiór wymagań odnoszących się do bezpieczeństwa i wskazujący działania niezbędne do podjęcia, w celu uzyskania i utrzymania założonego poziomu bezpieczeństwa. Przykłady standardów: BS 25999 – standard zarządzania ciągłością działania (obecnie zastępowany przez ISO 22301); ISO 27001 – standard bezpieczeństwa informacji; Rozporządzenie MSWIA w sprawie dokumentacji Standardy organizacji 4 Polityka bezpieczeństwa danych osobowych; Instrukcja bezpieczeństwa pożarowego; Plan ochrony (ochrona fizyczna); Zasady wykonywania prac szczególnie niebezpiecznych (BHP); Plan ciągłości działania; System oceny i szacowania ryzyka; Systemy zarządzania zgodne z ISO; Dojrzałość organizacji 5 Niemowlę 6 Wiodące podejście: „jakoś to będzie”; Szacowanie i ocena ryzyka: „w locie”; Kontekst szacowania i oceny ryzyka – czy mi się opłaca? (o dpo w ie dź b rzm i – je s zc ze nie ); Odsetek firm: Bardzo dużo; Wypełniane standardy: ZYSK (utrzymanie się). Dziecko 7 Wiodące podejście: „aby się nie przyczepili”; Szacowanie i ocena ryzyka: „w locie”; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź brzmi – na dwoje babka wróżyła); Odsetek firm: Dużo; Wypełniane standardy: ZYSK ze spełnieniem minimum wymagań z przepisów prawa. Młodzież 8 Wiodące podejście: „bezpieczeństwo elementem walki konkurencyjnej”; Szacowanie i ocena ryzyka: „mechaniczne”; Kontekst szacowania i oceny ryzyka: czy mi się opłaca? (odpowiedź – tak, jakaś wartość dodana będzie). Odsetek firm: Średnio; Wypełniane standardy: ZYSK, ze spełnieniem wymagań klientów (łańcuch dostaw), wymagania prawne w pełni. Dorosły 9 Wiodące podejście: „WIEM że mi się opłaca”; Szacowanie i ocena ryzyka: organiczne (każdy dział, pojawia się CRO); Kontekst szacowania ryzyka: jak jeszcze mogę oszczędzić – zapobiegając stratom (czasem jako jednostka biznesowa); Odsetek firm: Mało; Wypełniane standardy: liczymy koszty (rachunkowość zarządcza, ROI, NPV). Realizacja przepisów, standardów (ISO, BS) – Ryzyko – kontekst wewnętrzny 10 Ryzyko przez atrybuty 11 Podejście Instytutu Bezpieczeństwa i Informacji oparte o atrybuty bezpieczeństwa. Założenia: Każdy zasób może być opisany przez atrybuty (cechy inherentne); Podatności – jako słabości możliwe do wykorzystania przez zagrożenie – są atrybutami które są tracone (niszczone) w wyniku kontaktu z zagrożeniem; Procesowa analiza ryzyka 12 Diagram rybiej ości (ISHIKAWA), Zasoby z opisanymi atrybutami; Wskazanie atrybutów krytycznych dla zasobów, niezbędnych do utrzymania w danym etapie procesu; Ryzyko – jako kombinacja prawdopodobieństwa utraty niezbędnego lub krytycznego atrybutu (atrybutów) zasobu w wyniku oddziaływania zagrożenia; Diagram ISHIKAWA 13 Ludzie Informacje Do s tę pn oś ć Kwalifikacj Inte g ra ln e oś ć Temperatu ra Technika/Ciepł o Poufno ść Do s ta rc ze nie s uro w c a Wstępne mieszanie Do s tę pn oś ć B a za do pro dukc ji Analiza zagrożeń 14 Analiza Od źródła skutku od skutku źródła –– typowanie potencjalnych skutków wystąpienia przyczyn (zagrożeń) zagrożenia w utratą skutkujących kontekściezasobów. atrybutów utraty atrybutów zasobów; Kto i za co, czyli siatka bezpieczeństwa IT ADM LOG SUR Powódź P P P P Awaria systemu IT W P Awaria maszyny P P Kradzież W W Kto i za co, czyli siatka bezpieczeństwa IT ADM LOG PRO Etap I P P W Etap II P P P W Etap III P P P W Etap IV P P W Standard IBII 17 S ta nda r d b e zpie c z e ńs tw a IB II – ze s pó ł za b e zpie c ze ń, dzia ła ją c yc h łą c znie 18 Dziękuję za uwagę Grzegorz Krzemiński