Jak zbudować standard (bezpieczeństwa)

1
Jak zbudować standard
(bezpieczeństwa)
doskonały?
Konferencja IT Security Trends
Kliknij, aby edytować
28 listopada Warszawa
styl wzorca
Plan wystąpienia
2




Standard bezpieczeństwa… co to takiego?
Dojrzałość organizacji vs podejście do
bezpieczeństwa
Ryzyko – ustalenie kontekstu – dlaczego jest
ważne?
Siatka bezpieczeństwa w organizacji
bezpieczeństwa
Standard bezpieczeństwa
3


Zbiór wymagań odnoszących się do
bezpieczeństwa i wskazujący działania
niezbędne do podjęcia, w celu uzyskania i
utrzymania
założonego
poziomu
bezpieczeństwa.
Przykłady standardów:
 BS
25999 – standard zarządzania ciągłością
działania (obecnie zastępowany przez ISO
22301);
 ISO 27001 – standard bezpieczeństwa informacji;
 Rozporządzenie MSWIA w sprawie dokumentacji
Standardy organizacji
4







Polityka bezpieczeństwa danych osobowych;
Instrukcja bezpieczeństwa pożarowego;
Plan ochrony (ochrona fizyczna);
Zasady wykonywania prac szczególnie
niebezpiecznych (BHP);
Plan ciągłości działania;
System oceny i szacowania ryzyka;
Systemy zarządzania zgodne z ISO;
Dojrzałość organizacji
5
Niemowlę
6





Wiodące podejście: „jakoś to będzie”;
Szacowanie i ocena ryzyka: „w locie”;
Kontekst szacowania i oceny ryzyka – czy mi
się opłaca? (o dpo w ie dź b rzm i – je s zc ze
nie );
Odsetek firm: Bardzo dużo;
Wypełniane standardy: ZYSK (utrzymanie
się).
Dziecko
7





Wiodące podejście: „aby się nie przyczepili”;
Szacowanie i ocena ryzyka: „w locie”;
Kontekst szacowania i oceny ryzyka: czy mi
się opłaca? (odpowiedź brzmi – na dwoje
babka wróżyła);
Odsetek firm: Dużo;
Wypełniane standardy: ZYSK ze spełnieniem
minimum wymagań z przepisów prawa.
Młodzież
8





Wiodące podejście: „bezpieczeństwo
elementem walki konkurencyjnej”;
Szacowanie i ocena ryzyka: „mechaniczne”;
Kontekst szacowania i oceny ryzyka: czy mi
się opłaca? (odpowiedź – tak, jakaś wartość
dodana będzie).
Odsetek firm: Średnio;
Wypełniane standardy: ZYSK, ze spełnieniem
wymagań klientów (łańcuch dostaw),
wymagania prawne w pełni.
Dorosły
9





Wiodące podejście: „WIEM że mi się opłaca”;
Szacowanie i ocena ryzyka: organiczne
(każdy dział, pojawia się CRO);
Kontekst szacowania ryzyka: jak jeszcze
mogę oszczędzić – zapobiegając stratom
(czasem jako jednostka biznesowa);
Odsetek firm: Mało;
Wypełniane standardy: liczymy koszty
(rachunkowość zarządcza, ROI, NPV).
Realizacja przepisów, standardów (ISO, BS) –
Ryzyko – kontekst wewnętrzny
10
Ryzyko przez atrybuty
11


Podejście Instytutu Bezpieczeństwa i
Informacji oparte o atrybuty bezpieczeństwa.
Założenia:
 Każdy
zasób może być opisany przez atrybuty
(cechy inherentne);
 Podatności – jako słabości możliwe do
wykorzystania przez zagrożenie – są atrybutami
które są tracone (niszczone) w wyniku kontaktu z
zagrożeniem;
Procesowa analiza ryzyka
12




Diagram rybiej ości (ISHIKAWA),
Zasoby z opisanymi atrybutami;
Wskazanie atrybutów krytycznych dla
zasobów, niezbędnych do utrzymania w
danym etapie procesu;
Ryzyko – jako kombinacja
prawdopodobieństwa utraty niezbędnego lub
krytycznego atrybutu (atrybutów) zasobu w
wyniku oddziaływania zagrożenia;
Diagram ISHIKAWA
13
Ludzie
Informacje
Do s tę pn
oś ć
Kwalifikacj
Inte g ra ln
e
oś ć
Temperatu
ra
Technika/Ciepł
o
Poufno
ść
Do s ta rc ze
nie
s uro w c a
Wstępne
mieszanie
Do s tę pn
oś ć
B a za do
pro dukc ji
Analiza zagrożeń
14

Analiza
Od
źródła
skutku
od skutku
źródła ––
typowanie
potencjalnych
skutków wystąpienia
przyczyn
(zagrożeń)
zagrożenia w utratą
skutkujących
kontekściezasobów.
atrybutów
utraty
atrybutów zasobów;
Kto i za co, czyli siatka
bezpieczeństwa
IT
ADM
LOG
SUR
Powódź
P
P
P
P
Awaria
systemu
IT
W
P
Awaria
maszyny
P
P
Kradzież
W
W
Kto i za co, czyli siatka
bezpieczeństwa
IT
ADM
LOG
PRO
Etap I
P
P
W
Etap II
P
P
P
W
Etap III
P
P
P
W
Etap IV
P
P
W
Standard IBII
17

S ta nda r
d
b e zpie c z
e ńs tw a
IB II –
ze s pó ł
za b e zpie
c ze ń,
dzia ła ją c
yc h
łą c znie
18
Dziękuję za uwagę
Grzegorz Krzemiński