Podstawy teoretyczne zarządzania bezpieczeństwem informacji

Zbi – Liderman

Grupy tematyczne

1. modele formalne

2. dokumentowanie systemu ochrony informacji

3. analiza ryzyka

4. standardy i normy z zakresu ochrony informacji

5. ocena stanu ochrony informacji

tematy ćwiczeń

1. studium przypadku – przegląd zapytan ofertowych i siwz

2. organizacja struktur ochrony informacji w firmie

3. konkurs ofert na wykonanie audytu

4. analiza ryzyka (cwiczenia rachunkowe)

5. wprowadzenie do modelowania zagrożeń

6. zaliczenie ćwiczeń

1. WWW.ita.wat.edu.pl/Bezpieczeństwo oraz /Biuletyn (modele formalne, szablon analizy ryzyka, normy i standardy)

2. liderman k. analiza ryzyka i ochrona informacji w systemach komputerowych

Podstawy ochrony informacji

Co to bezpieczeństwo?

Niepodleganie obawie, spokój, pewność, ze się nic złego nie stanie

/

stopień racjonalnie uzasadnionego zaufania ze potencjalne straty nie zostaną poniesione

Termin bezpieczeństwo informacji oznacza stopień uzasadnionego (np. analiza ryzyka i metodami postępowania z ryzykiem) zaufania, ze nie zostaną poniesione potencjalne straty wynikając e z niepożądanego (przypadkowego lub świadomego)

- ujawnienia,

- modyfikacji,

- zniszczenia,

- uniemożliwienia przetwarzania,

informacji przechowywanej, przetwarzanej i przesyłanej w systemie obiegu informacji

1.Bezpieczenstwo to imponderabilia z dziedziny psychologii.

2.Decydujacy wpływ na „zaufanie” ma siła ochrony informacji.

informacja bezpieczna to informacja dobrze zabezpieczona, inaczej dobrze chroniona. ale zabezpieczenie to nie to samo co bezpieczeństwo, pierwsze dotyczy działań technicznych i organizacyjnych, drugie naszego subiektywnego odczucia. bezpieczny czyli dobrze zabezpieczony. związki pomiędzy tymi pojęciami są takie, że decydujący wpływ na zaufanie (czyli poczucie bezpieczeństwa) ma siła ochrony informacji.

security – poczucie bezpieczeństwa, że nam nikt nad głową nie strzela

safety – bezpieczeństwo środowiska w którym pracuje sprzęt komp.

systemy komputerowe – syst. klasyczne i syst. sterowania (odbierają sygnały z otoczenia i wysyłają do otoczenia sygnały sterujące, z czujników zbierają sygnały i wysyłają do elementów wykonawczych)

system informatyczny – część systemu informacyjnego przy użyciu technik komputerowych

system informacyjny – przetwarzanie i przesyłanie informacji

dane – informacje przetwarzane w systemie

informacja bezpieczna – to informacja dobrze zabezpieczona/dobrze chroniona

Implikacje w nazewnictwie

modele bezpieczeństwa informacji – modele zabezpieczeń informacji, modele ochrony informacji

Basic Security Theorem

1. Niech stan systemu nazywa się stanem bezpiecznym, jeżeli są spełnione wymagania polityki bezpieczeństwa

2. Przejścia między stanami nazywa się przejściami bezpiecznymi, jeżeli przeprowadzają system ze stanu bezpiecznego do stanu bezpiecznego.

Jeżeli stan początkowy systemu należy do zbioru stanów bezpiecznych i wszystkie przejścia należą do zbioru przejść bezpiecznych, to system jest bezpieczny.

• BST zostało sformułowane we wczesnym okresie badań nad zagadnieniami bezpieczeństwa informacji przetwarzanej w komputerach tzn. termin ‘system’ użyty w twierdzeniu był rozumiany jako system operacyjny komputera lub system bazodanowy.

• Z BST wynika, że podstawą określenia tego, co jest ‘bezpieczne’, jest spełnione (bądź nie) pewnych zasad przy czym w zależności od tego, kto je formułuje (bezpieczeństwo jest sprawa subiektywna) zbiory zasad mogą być rożne.

• Przyjmuje się, ze zbiór takich zasad wyznacza politykę bezpieczeństwa w odniesieniu do przetwarzania informacji.

Polityka bezpieczeństwa:

1.Identyfikujemy:

- rodzaje i typy informacji

- wymagania na ochronę formułowane przez właścicieli informacji oraz narzucane przez prawo (w tym umowy)

2.Sprawdzamy, które modele są adekwatne do wyników identyfikacji z pkt. 1.

3.Sprawdzamy, jakie zalecenia wynikają z modeli z punktu 2. (BST!)

4.Zalecenia z punktu 3 są podstawą formułowania zasad ochrony zamieszczonych w spisanej Polityce Bezpieczeństwa.

5.Zasady ochrony z Polityki bezpieczeństwa są podstawą do opracowania szczegółowych procedur organizacyjnych.

6.Procedury organizacyjne są podstawą do konstrukcji reguł konfiguracji sprzętu i oprogramowania – elementów systemu informatycznego.

Formalne zagadnienia ochrony informacji dotyczą:

1. Formalnego określenia bezpieczeństwa

2. Określenia uprawnień podmiotów w stosunku do obiektów i innych podmiotów

3. Zdefiniowania podstawowych właściwości informacji związanych z jej ochrona (tajność, integralność, dostępność, rozliczalność, itp.)

4. Sposobu organizacji dostępu do informacji

5. Budowy modeli formalnych do badania zagadnień ochrony informacji:

- zapewniania tajności (np. Bella-LaPaduli, Brewera-Nasha)

- zapewnienia integralności (np. Biby, Clarka-Wilsona)

- nieuprawnionego przepływu (wycieku) uprawnień (np. HRU, Take-grant)

- zapewnienia bezpiecznego przepływu danych

6. Wniosków z badań modeli formalnych – formułowania zasad właściwej ochrony informacji

7. Wykorzystania mechanizmów formalnych (macierze, kraty, grafy) do opisu sposobu organizacji dostępu do danych oraz ich przepływu.

Rodzaje modeli

1. Modele wykorzystujące wojskowe podejście do ochrony informacji, bazujące na klasyfikacji informacji i ściśle ustalonych przywilejach dostępu dla przedmiotów. Podstawowymi w tej grupie są: w zakresie tajności i w zakresie integralności

2. Wykorzystujące komercyjne podejście do ochrony informacji, gdzie rezygnuje się z klasyfikacji informacji i ściśle ustalonych przywilejów dostępu dla podmiotów na rzecz dynamicznego przydziału uprawnień.

1. Model Grahama-Denninga

2. Model Harrisona-Ruzzo-Ullmana (HRU)

3. Model take-grant (przejmij-przekaz)

system ochrony jest modelowany za pomocą grafu, gdzie każdy obiekt bądź podmiot jest wierzchołkiem grafu, a prawa określonego pomiotu do pewnego obiektu są modelowane za pomocą etykietowanej i skierowanej od podmiotu do obiektu krawędzi.

Sposoby sterowania dostępem

1. Uznaniowe sterowanie dostępem (DAC - Discretionary Access Control)

Środki ochronne, ograniczające dostęp do obiektów wykorzystują atrybut własności obiektu, umożliwiający podmiotowi nadane lub odebrane innemu podmiotowi prawa dostępu do obiektu, którego jest właścicielem.

1. Obowiązkowe sterowanie dostępem (MAC – Mandatory Access Control)

Środki ochronne, ograniczające dostęp do obiektów wykorzystują: przypisane do obiektu etykiety określające poziom tajności oraz formalnie nadane podmiotom poziomy uprawnień

1. Sterowanie dostępem wykorzystujące role (RBA – Role Based Access)

Uprawnienia dostępu do obiektów zamiast podmiotowi przypisane są rolom. Podmiot może pełnić różne role, ale zawsze posiada tylko takie uprawnienia, jakie są niezbędne do wypełnienia aktualnej roli.

Klasyfikacja

Klasa bezpieczeństwa wyznaczana jest na podstawie:

- poziomu tajności opisywanego etykietą wrażliwości (np. ściśle tajne, tajne, poufne, zastrzeżone)

- kategorii, określającej klasę informacji, do której podmiot może uzyskać dostęp zgodnie z regułą wiedzy niezbędnej.

- nadawanie klas bezpieczeństwa potocznie nazywa się klasyfikacją

Minimalne środowisko pracy

Oznaczanie ważności informacji:

1. Podstawowy sposób – etykietowanie

2. Z każdą etykietą związane są konkretne wymagania dotyczące ochrony oznaczonej nią informacji. Dotyczą one: sposobu oznakowania dokumentów; uprawnień koniecznych do dostępu do tak oznakowanej informacji; sposobu i okresu przechowywania oraz reguł przetwarzania i przesyłania informacji etykietowanej; sposobu zmian etykiety; sposobu niszczenia etykietowanej informacji;

i są zawarte w odpowiednich przepisach, np. ustawie o ochronie informacji niejawnych + rozporządzania.

Krata – jest strukturą matematyczną której elementy są uporządkowane za pomocą operatora relacji częściowego porządku <= nazywanego też operatorem dominacji.

Relacja częściowego porządku jest zwrotna, przechodnia i antysymetryczna, tj. dla każdych trzech elementów a, b, c zachodzi:

a≤a (zwrotność)

jeżeli a≤b i b≤c to a≤c (przechodniość)

jeżeli a≤b i b≤a to a=b (antysymetryczność)

Krata i klasyfikacja

Stosując operator dominacji można zapisać związki pomiędzy podmiotem s o określonych uprawnieniach dostępu i obiektem o określonej wrażliwości następująco:

s≤o

wtedy i tylko wtedy gdy:

poziom_tajności(s) ≤ poziom tajności(o)

i

kategoria_tajności(s) c= (podzbiór) kategoria_tajności(o)

Zadanie:

Są dwa rodzaje dokumentów: operacyjne i taktyczne. Każdy z tych dokumentów jest dokumentem ściśle tajnym, poufnym lub zastrzeżonym.

Czyli:

Etykiety: ST≥T≥P≥Z

Kategorie: T(aktyczne) c O(peracyjne)

Narysować kratę tworzoną przez tak zadaną klasyfikację i zinterpretować otrzymany wynik.

Informacja wrażliwa – definicja

Dla określonego podmiotu są to wszelkie informacje, które mogą zostać wykorzystane przeciwko temu podmiotowi poprzez ujawnienie, uniedostępnienie oraz zmanipulowanie jawne lub skryte.

W szczególności, są to wszystkie informacje które:

1. muszą być chronione, bo tak nakazują obowiązujące przepisy prawne;

2. takie informacje, których nakaz ochrony nie jest zawarty w żadnych regulacjach prawnych, a które dla konkretnych organizacji je wytwarzających i przetwarzających, są wskazywane przez kompetentne organy.

Dlaczego chronimy informacje?

1. Jest ona towarem o znaczeniu strategicznym (dla kraju, firmy, konkretnego człowieka)

2. Jest podstawowym elementem procesów biznesowych (system informacyjny a system informatyczny)

3. Służy do sterowania procesami w zautomatyzowanych procesach wytwórczych i usługowych o kluczowym znaczeniu dla gospodarki i społeczeństwa.

4. Tak nakazują przepisy obowiązującego prawa lub wynika to z zawartych umów.

http://prawo.vagla.pl

Co może być przyczyną utraty tajności, integralności lub dostępności informacji?

1. Siły wyższe (katastrofy naturalne, zmiany prawa, itp.)

2. Nieuprawnione i przestępcze działania ludzi:

1. kradzieże oraz zagubienia nosicieli informacji

2. podsłuchy różnego typu (sniffing itp.)

3. nieuprawnione działania personelu (także: outsource, praktykanci)

4. nieuprawnione działania osób postronnych (klienci, hakerzy)

1. błędy ludzi uczestniczących w procesach przetwarzania, przesyłania i przechowywania informacji;

2. błędy w organizacji przetwarzania, przesyłania i przechowywania informacji;

3. awarie sprzętu i błędy w oprogramowaniu

Ww. przyczyny stanowią podstawowe klasy zagrożeń.

Co to są zabezpieczenia?

są to środki:

- fizyczne (sejf, płot)

- techniczne (system alarmowy, system p.poż.)

- osobowe (strażnik)

- programowe (antywirus)

Monitor referencyjny – opis

1. Jest to koncepcja aby wszystkie próby dostępu do obiektów autoryzować na podstawie informacji zawartych w specjalnej bazie danych.

2. Nie wspiera żadnego zbioru reguł dostępu ani konkretnej implementacji.

3. Musi być:

1. kompletny – każdy dostęp musi odbywać się poprzez monitor

2. izolowany – co oznacza odporność na manipulacje

3. weryfikowalny – jest możliwość wykazania jego poprawnej implementacji

Stan systemu w modelu Bella i LaPaduli:

Jest opisany czwórką:

<D,A, λ,H>

gdzie:

D – zbiór aktualnych uprawnień podmiotów do obiektów

A – macierz uprawnień

λ – funkcja poziomu bezpieczeństwa

H – bieżąca hierarchia obiektów, jest to drzewo skierowane z korzeniem, w którym wierzchołki odpowiadają obiektom

Uprawnienia:

r – czytanie zawartości;

w – zmiana zawartości;

ap – dopisywanie zawartości;

x – wykonywanie programu;

n – prawo do przekazywania i cofania uprawnień do obiektu przez właściciela.

Nie potrzeba widzieć zawartości pliku do którego się coś dopisuje – funkcja AP.

Aksjomat_1 (bezpieczeństwa prostego)

Podmiot może mieć uprawnienia r lub w do obiektu tylko wtedy, gdy poziom autoryzacji podmiotu jest poziomem bezpieczeństwa równym lub wyższym niż poziom bezpieczeństwa obiektu.

Aksjomat_2 (gwiazdki)

Podmiot nie będący zaufanym może mieć uprawnienie ap do obiektu, jeżeli poziom bezpieczeństwa obiektu jest nie niższy niż będący poziom bezpieczeństwa podmiotu.

Podmiot nie będący zaufanym może mieć uprawnienie r do obiektu, jeżeli bieżący poziom bezpieczeństwa podmiotu jest nie niższy niż poziom bezpieczeństwa obiektu.

Podmiot nie będący zaufanym może mieć uprawnienie w do obiektu, jeżeli bieżący poziom bezpieczeństwa podmiotu jest równy jak poziom bezpieczeństwa obiektu.

Aksjomat_3 (stałości)

Żaden podmiot nie może klasyfikować zawartości...

Aksjomat_4 (bezp. uznaniowego)

...

Aksjomat_5 (niedostępności obiektu nieaktywnego)

Aksjomat_6 (niezależność stanu początkowego)

Dostęp podmiotu s do konkretnego obiektu o jest możliwy wtedy i tylko wtedy gdy:

- jest to pierwszy dostęp podmiotu do obiektu (informacji) lub gdy żądany obiekt o należy do:

- tej samej organizacji, do której należały obiekty do których był wcześniej udzielany dostęp podmiotowi s;

Powołując się na model Brewera-Nasha można stwierdzić, że zachowano należytą staranność gdy:

- zostały zidentyfikowane organizacje konkurencyjne,

- są utrzymywane zapisy o dostępach podmiotów do informacji,

- dostęp do informacji jest udzielany zgodnie z prostą regułą bezpieczeństwa,

- przepływ informacji będzie odbywać się tylko w obszarze konkretnej organizacji lub obszarze informacji publicznych.

Natomiast w modelu Bella-LaPaduli do należytej staranności należy spisanie, wdrożenie i przestrzeganie reguł bezpieczeństwa w zakresie utrzymania odpowiedniego poziomu tajności, w tym:

- reguły przydzielania dostępu do informacji zgodnie z zasadą wiedzy niezbędnej,

- reguły zabraniające „pisania w dół”,

...

Zasady zapewnienia integralności danych w systemach komercyjnych:

1. Dobrze opisane reguły przetwarzania danych (ang. well-formed transaction)

pracownik nie będzie przetwarzał danych w sposób dowolny, tylko zgodnie z ustalonymi regułami, a wszelkie manipulacje na danych będą odnotowywane dla celów kontrolnych.

1. Separacja obowiązków pracowników (ang. SoD)

wymusza podział transakcji na rozdzielne etapy wykonywane przez różnych pracowników, przy czym kolejny etap nie może być zrealizowany, o ile działania na poprzedzających go etapach.

Zasada dobrze opisanych reguł przetwarzania danych – interpretacja informatyczna:

1. Przetwarzanie danych – wyłącznie przez dopuszczalny do użytku na podstawie określonych wymagań, zbiór programów

2. Ww. programy muszą mieć sprawdzoną i zatwierdzoną konstrukcję. W praktyce oznacza to nadzorowany proces wytwarzania oprogramowania i/lub inspekcję kodu w celu znalezienia np. ukrytych kanałów wycieku informacji.

3. Dostarczanie, instalowanie i modyfikowanie ww. programów – tylko pod nadzorem, przez uprawnione osoby.

Zasada SoD – interpretacja informatyczna

...

Model Clarka-Wilsona

1. Dwa typy obiektów (danych)

1. przetwarzanie zgodnie z ustalonymi regułami.

2. ...

1. Dwie procedury działań na danych typu CDI:

1. procedura weryfikacji integralności – zadaniem IVP jest potwierdzenie, że w chwili działania tej procedury wszystkie dane typu CDI są integralne.

2. procedura transformacji

Zapewnienie integralności jest zatem procesem dwuetapowym:

1. certyfikacja zgodności procedur z przyjętą w danej organizacji polityką zapewniania integralności, wykonywana przez osoby odpowiedzialne za bezpieczeństwo informacji

2. wdrożenie tych procedur w komputerowym systemie przetwarzania informacji.

1. Reguły:

1. certyfikacyjne:

• procedura weryfikacyjna musi potwierdzić, że w danej chwili działania tej procedury wszystkie dane typu CDI są integralne,

• relacje z reguły E2 (reguły wykonawcze) muszą zapewniać spełnienie zasady SoD

• wszystkie procedury transakcyjne muszą mieć potwierdzoną w procesie certyfikacji poprawność działania

• każda procedura transakcyjna, jeżeli otrzyma na wejściu dane typu UDI, musi je przekształcić na dane typu CDI lub je usunąć

• wszystkie procedury transakcyjne muszą zapisywać informacje niezbędne do kontroli przeprowadzonych transformacji w „dopisywanym” dzienniku zdarzeń.

1. wykonawcze:

• system musi utrzymywać listę relacji i musi zapewniać, że dla każdego CDI transformacje są wykonywane wyłącznie przez TP określoną w relacji.

• system musi zapewnić poprawne uwierzytelnienie i autoryzację każdego użytkownika

• jedynie podmiot mający uprawnienia do certyfikacji może modyfikować przyporządkowania użytkowników i CDI do procedur typu TP.

Wymagania na komercyjne przetwarzanie informacji w zakresie integralności:

• wymagania na integralność wewnętrzną zapewnianą przez system komputerowy;

• wymagania na integralność zewnętrzną, zapewnianą przez odpowiednie rozwiązanie organizacyjne (poza syst. komp.) dotyczące np. audytu, przydziału obowiązków.

1. system musi zapewniać oddzielne uwierzytelnienie i autoryzację dla każdego użytkownika

2. system musi zapewniać że określone dane są przetwarzane wyłącznie przez dopuszczony do użytku zbiór sprawdzonych programów, które spełniają zasadę „dobrze opisanych reguł przetwarzania danych”

3. system musi zapewnić przydzielanie użytk. programów zgodnie z regułą SoD

4. musi zawierać mechanizm zapewniający spełnienie wymagań 1-4

Model Grahama-Denninga

1. jest rozszerzeniem modelu macierzowego

2. podmioty mogą być typu: właściciel, sterowany, sterujący

3. w poszczególnych komórkach macierzy znajdują się uprawnienia, jakie posiada podmiot w stosunku do innego podmiotu lub obiektu

4. uprawnienia dostępu w macierzy dostępu można interpretować:

• jako uprawnienie podmiotu s, do wykonania operacji r na obiecie o

• jako upraw. pod. do zmiany zawartości macierzy dostępu, poprzez wprowadzenie nowego obiektu/podmiotu, usunięcie obie/pod. lub wprowadzenie nowego prawa do komórki macierzy

1. każde prawo może być przenoszone lub nieprzenoszone. jeżeli podmiot posiada prawo przenaszalne to może to prawo przenieść na inny podmiot bez utraty posiadanego prawa. jeżeli posiada prawo nieprzenaszalne to traci się to prawo.

2. zdefiniowano 8 poleceń, które może realizować podmiot.

• create_object, create_subject

• delete_object, delete_subject – wykasowanie obiektu/podmiotu przez podmiot właściciela lub podmiot sterujący

• read_access_right – pozwala podmiotowi-właścicielowi lub sterującemu ustalić aktualne prawa dostępu podmiotu do obiektu

• grant_access_right – pozwala właścicielowi przenieść prawa dostępu do obiektu na inny podmiot

• delete_access_right – pozwala pod. skasowac prawa dostępu do obiektu, pod warunkiem, że kasujący podmiot jest właścicielem obiektu

• transfer_access_right – pozwala przenieść prawa dostępu na obiekt

Model Harrisona-Ruzzo-Ullmana (HRU)

1. model ten jest wariantem modelu Grahama-Denninga

Monooperacyjność

System ochrony nazywa się monooperacyjnym, jeżeli wszystkie polecenia w tym systemie zawierają dokładnie jedną operację elementarną.

Wyciek uprawnienia

Dla określonego systemu ochrony polecenie powoduje wyciek uprawnienia r ze stanu konfiguracji, jeżeli wykonane w tym stanie operacje elementarne wprowadzą...

Twierdzenie 1

Nie istnieje algorytm pozwalający rozstrzygnąć czy dla dowolnej konfiguracji systemu ochrony jest on bezpieczny ze względu na uprawnienie r.

Twierdzenie 2

Istnieje algorytm pozwalający rozstrzygnąć czy, dla monooperacyjnego systemu ochrony i danej konfiguracji początkowej jest on bezpieczny ze względu na uprawnienie r.

Twierdzenie 3

Istnieje algorytm pozwalający rozstrzygnąć czy dla monowarunkowego i monotonicznego systemu ochrony i danej konfiguracji początkowej jest on bezpieczny ze względu na uprawnienie r.

Monowarunkowość – wszystkie polecenia w systemie zawierają dokładnie jeden warunek

Monotoniczność – wszystkie polecenia w systemie zawierają tylko operacje elementarne typów: dodawanie uprawnienia r; utworzenie podmiotu s/obiektu o

Polityka bezpieczeństwa (dokumentowanie systemu ochrony informacji)

• Polityka bezpieczeństwa informacyjnego – zawiera najważniejsze, ogólne ustalenia dotyczące działania firmy w zakresie ochrony informacji, dokument jawny

• Plan bezpieczeństwa informacyjnego – zawiera szczegóły budowy systemu ochrony informacji, dokument niejawny

• Instrukcje bezpieczeństwa teleinformatycznego – zawiera zasady postępowania w zakresie bezpieczeństwa teleinformatycznego dla osób korzystających z systemów teleinformatycznych, dokument do użytku wewnętrznego

• Plan zapewniania ciągłości działania – zawiera instrukcje i procedury postępowania w przypadku wystąpienia tzw. zdarzeń kryzysowych, dokument do użytku wewnętrznego, podlegający specjalnej ochronie

Wdrożone oznacza, że dokumenty te są wprowadzone w firmie odpowiednim zarządzeniem naczelnego kierownictwa firmy oraz są wykonane odpowiednie czynności:

• administracyjne, np. szkolenia, zakupy czy zmiany w organizacji pracy

• techniczne, np. instalacja sprzętu komputerowego i oprogramowania

Dla audytora (często także dla biegłych sądowych i prokuratorów) to, co nie jest spisane, NIE ISTNIEJE!

W zakresie konstrukcji „Polityki ...” obowiązuje zasada „Brzytwa Ockhama” wprowadzona przez Williama Ockhama (ok. 1285-1349):

istnień nie należy mnożyć ponad potrzebę

tłumaczona także tradycyjnie jako:

bytów nie mnożyć, fikcyj nie tworzyć, tłumaczyć fakty jak najprościej

1. Politykę kształtuje naczelne kierownictwo firmy/instytucji

2. Polityka w zakresie bezpieczeństwa informacyjnego jest realizowana przez ogół pracowników firmy/instytucji

3. Pol. w zakr. bez. inf. jest nadzorowana przez osoby, które takie zadanie mają wpisane w swój zakres obowiązków (głównie dotyczy to kierownictwa działów IT i osób z jednostek organizacyjnych związanych z bezpieczeństwem)

4. Żeby politykę można było skutecznie realizować oraz nadzorować i w miarę potrzeby aktualizować polityka powinna być spisana w postaci dokumentu zw. „Polityka bezpieczeństwa”

5. Dokument o którym mowa w pkt 4 powinien być spisany.

Podstawowe warunki zakończonego sukcesem budowania systemu ochrony informacji:

1. Świadomość najwyższej kadry kierowniczej znaczenia bezpieczeństwa ...

2. ...

Najwyższe kierownictwo firmy:

1. Formułuje cel budowy i wdrożenia systemu ochrony informacji

2. Powołuje zespół ds. zarządzania bezpieczeństwem informacyjnym

3. Podejmuje decyzję co do sposobu budowy systemu ochrony informacji

1. własnymi siłami firmy lub

2. zleca to zadanie na zewnątrz

1. Wskazuje kluczowe dla działalności firmy procesy biznesowe

2. Wskazuje grupy informacji, których ochrona jest szczególnie pożądana oraz określa poziom ich ochrony

3. Podaje szacowane szkody w przypadku utraty tajności, integralności lub dostępności informacji

Zespół ds. zarządzania bezpieczeństwem informacyjnym

1. Podstawowe zadanie: nadzór i kontrola stanu bezpieczeństwa.

2. Podstawowy skład zespołu:

- dyrektor działu IT (lub osoba wskazana)

- dyrektor działu Ochrony (lub os. wsk.)

- ktoś z grona ścisłego kierownictwa firmy

- eksperci i interesariusze (w miarę potrzeb)

Polityka bezpieczeństwa

Dokument ten zawiera zapis najważniejszych, ogólnych zamiarów działań najwyższego kierownictwa organizacji w zakresie bezpieczeństwa informacyjnego i jego deklaracje w zakresie zapewnienia odpowiedniego poziomu tego bezpieczeństwa w organizacji.

Przeznaczony jest do uzasadnienia zaufania klientów i partnerów biznesowych do powierzenia swoich informacji tej organizacji oraz stanowi podstawę do opracowania szczegółowych rozwiązań organizacyjnych i technicznych w zakresie ochrony informacji.

Dokument ten powinien zawierać:

1. Zakres i cel Polityki Bezpieczeństwa Informacji (PBI)

2. Zasady ogólne:

   • nadrzędność wobec innych dokumentów z zakresu bezpieczeństwa,

   • kto, kiedy i w jakim trybie może zmienić zapisy w PBI,

   • sposób przeglądu i aktualizacji PBI,

   • powiązania z regulacjami prawnymi i wewnętrznymi firmy, itp.

3. Definicję bezpieczeństwa informacji oraz podstawowe przesłanki tego bezpieczeństwa:

   • cel budowania systemu ochrony informacji

   • specyfikację grup informacji podlegających szczególnej ochronie

   • wymagany poziom ochrony dla każdej z grup informacji

   • znaczenie poszczególnych systemów informacyjnych i informatycznych firmy dla realizacji zadań służbowych

   • opis otoczenia informacyjnego firmy

   • zasady dokumentowania systemu ochrony informacji

   • deklarację zarządu firmy odnośnie środków finansowych przeznaczanych na bezpieczeństwo informacyjne.

4. Zasady ochrony zasobów materialnych i informacyjnych niezbędnych do realizacji kluczowych procesów biznesowych, w tym priorytety ochrony zasobów w sytuacjach szczególnych (życie i zdrowie ludzi, tajność klasyfikowanej informacji, mienie materialne niezbędne do realizacji głównych procesów itd.)

5. Zasady dostępu do zasobów informacyjnych firmy

6. Zasady przetwarzania informacji w systemach teleinformatycznych

7. Obowiązki i zakresy odpowiedzialności kierownictwa i pracowników firmy w procesie ochrony zasobów informacyjnych

8. Koncepcję szkolenia w zakresie ochrony informacji

9. Zarys systemu kontroli, w tym audytów, w toku normalnej pracy firmy

10. Wytyczne do reakcji na poziomie strategicznym na zdarzenia naruszające bezpieczeństwo informacyjne (np. czy powiadamy o każdym incydencie z zakresu bezpieczeństwa informacyjnego w naszej firmie organy ścigania lub CERT POLSKA)

11. Załączniki różne (np. schemat klasyfikacji informacji, schemat organizacyjny firmy, zarządzenia i uchwały z zakresu bezpieczeństwa informacyjnego itp.)

Podstawowe zasady organizacji pracy do których odniesienie powinno się znaleźć w Polityce.

...

UWAGA! Podstawowym błędem jest umieszczanie w dokumencie polityki szczegółów rozwiązań technicznych i organizacyjnych systemu ochrony informacji.

Reagowanie na incydenty

1. Działania podejmowane przed wystąpieniem incydentu (poziom strategiczny) obejmujące:

• czynności organizacyjne

• czynności techniczne

1. Działania podejmowane po wystąpieniu i zidentyfikowaniu incydentu

• zidentyfikowanie działań intruza i w zależności od uzyskanych wyników podjęcie dalszych działań, gdzie jednym z nich może być:

• przeszukanie podejrzanego komputera w celu zebrania...

Reagowanie na incydenty – poziom strategiczny, organizacyjny:

Działania podejmowane na poziomie strategicznym, organizacyjnym obejmują:

1. Wskazanie osób odpowiedzialnych za podejmowanie bieżących decyzji o znaczeniu strategicznym dla przypadku zaistnienia incydentów

2. Rozstrzygnięcie czy będą przekazywane poza firmę informacje..

3. Wytyczne dla wyznaczonych pracowników firmy określające:

• sposób informowania i zaistniałym incydencie własnych pracowników.

• -------------------------------------------------------------- klientów

• -------------------------------------------------------------- partnerów biznesowych

• -------------------------------------------------------------- opinii publicznej – w praktyce oznacza to sposób i zakres przekazywania informacji przez rzecznika prasowego instytucji przedstawicielom środków masowego przekazu.

1. Rozstrzygające czy w przypadku zaistnienia incydentów będą powiadamiane policja, prokuratura, ABW.

2. Rozstrzygnięcie czy w przypadku zaistnienia incydentów włamań do syst. Teleinfo. firma będzie korzystała z pomocy zew. specjalistów w celu stwierdzenia i udokumentowania działań intruza i oszacowania strat.

3. Postanowienia co do dalszych działań przedstawicieli firmy (zwykle pracowników) w przypadku zidentyfikowania intruza (proces i nagłośnienie sprawy, polubowne załatwienie sprawy)

4. Wytyczne dla obsługi technicznej odnośnie taktyki reakcji przy włamaniach do systemów informatycznych:

• przede wszystkim uniemożliwienie działań intruza nawet kosztem dowodów umożliwiających jego ściganie czy

• przede wszystkim zebranie dowodów przeciwko intruzowi, nawet kosztem pewnych strat w systemie

1. Rozstrzygnięcie, czy w przypadku zaistnienia incydentów będą powiadamiane organizacje takie jak CERT czy odpowiednie zespoły ABUSE.

Wymagania szczegółowe na system ochrony informacji:

W dziedzinie ochrony informacji podstawą prac konstrukcyjnych są:

1. cel wykonania pracy, sformułowany w umowie

2. wymagania biznesowe, sformułowane w umowie i polityce bezpieczeństwa

3. wyniki analizy ryzyka

4. wyniki audytu...

5. ...

Plan realizacji zadania budowy lub modyfikacji systemu ochrony informacji

1. ustalenie czego chce Klient

2. rozpoznanie środowiska (jaki jest aktualny stan systemu ochrony; przydatne o ile są wyniki audytu)

3. rozpoznanie zagrożeń

4. szacowanie ryzyka

5. plan postępowania z ryzykiem

6. projektowanie systemu zabezpieczeń

7. projektowanie rozwiązań organizacyjnych

8. zatwierdzenie proponowanych rozwiązań przez Klienta

9. przygotowanie dokumentacji systemu ochrony informacji

10. wdrożenie systemu

Spis zasobów teleinformatycznych

1. ...

2. ...

3. ...

4. ...

UWAGA! W normach i standardach zamiast terminu „zasoby” używany jest zwykle termin „aktywa”

Efekt skali

Nazywa się tak nowe jakościowo problemy pojawiające się podczas realizacji rutynowych przedsięwzięć (np. aktualizacji baz sygnatur oprogramowania antywirusowego, instalacji poprawek oprogramowania itp.) po przekroczeniu pewnej wartości przez jakiś wymiar charakteryzujący środowisko systemów teleinformatycznych.

Wymiar charakteryzujący środowisko – przykłady:

• liczba stacji roboczych lub serwerów

• odległości terytorialne pomiędzy elementami organizacyjnymi firmy

• stopień i stan rozwoju organizacyjnego firmy

• odległość interpersonalna

• statystyka jako przejaw efektu skali – tzw. syndrom AEP (syndrom 1,5%)

Spis zasobów teleinformatycznych

Termin zasób Teleinfo. np. według normy PN-ISO/IEC-17799 obejmuje:

1. Bazy danych, kartoteki, firmowe dokumentacje systemu, firmowe podręczniki użytkowania, materiały szkoleniowe, procedury biurowe, umowy partnerskie, serwisowe, dokumentacje typu „know-how” sklasyfikowane jako informacje.

2. Oprogramowanie użytkowe, systemowe oraz narzędziowe sklasyfikowane jako oprogramowanie.

3. Komputery, urządzenia telekomunikacyjne, drukarki, zasilacze awaryjne, meble itp. sklasyfikowane jako zasoby fizyczne.

4. Urządzenia zapewniające łączność, oświetlenie, zasilanie w energię elektryczną, klimatyzację itp. sklasyfikowane jako urządzenia usługowe.

UWAGA! W normach i standardach zamiast terminu zasoby używany jest zwykle termin aktywa.

Spis ... – uwagi

1. spis inwentaryzacyjny zasobów teleinformatycznych powinien obejmować nie tylko wykaz zasobów według typów wymienionych na poprzednim slajdzie, ale także:

• precyzyjną lokalizację każdego zasobu

• adres IP (o ile posiada)

• właściciela każdego zasobu

1. Wykonanie rzetelnego spisu zasobów teleinformatycznych, gdy w grę wchodzi efekt skali, jest przedsięwzięciem praco i czasochłonnym

2. Spisu zasobów teleinformatycznych nie wykonują przy „okazji” audytorzy przy przeprowadzania audytu

3. Tzw. skanery inwentaryzacyjne mogą co najwyżej wspomóc wykonywanie spisu inwent. ale na pewno go nie zastąpią.

4. Poważnym problemem, szczególnie gdy ujawnia się efekt skali jest utrzymywanie spisu zasobów teleinfo. w aktualności.

Skutki ataku na WTC

Wnioski z wydarzeń 11 września 2001

Plan zapewnienia ciągłości działania

Kryzys a „Plan zapewnienia ciągłości działania”

Co to jest ocena?

Metodyka LP-A przeprowadzania audytu bezpieczeństwa teleinformatycznego

Na metodykę LP-A składają się:

1. Organizacja zespołu, zakresy kompetencji i kwalifikacje członków zespołu audytowego.

2. Wyposażenie narzędziowe zespołu audytowego.

3. Wykaz dokumentów niezbędnych do zainicjowania audytu oraz wytwarzanych podczas audytu.

4. Model w postaci diagramów DFD (ang. Data Flow Diagram) opisujący procesy wytwarzania dokumentów i powiązania pomiędzy nimi.

5. Wykaz tzw. „rzetelnych praktyk” tj. heurystycznych sposobów postępowania, wypracowanych i sprawdzonych podczas dotychczasowej praktyki audytorskiej twórców metodyki.

Na podstawie informacji zawartych w opisie metodyki LP-A można:

1. Ocenić złożoność procesów składających się na audyt.

2. Prześledzić zależności pomiędzy dokumentami wytwarzanymi w procesie audytu (np. opis metodyki LP-A zawiera wykaz 13 grup dokumentów niezbędnych do przeprowadzenia prac audytowych oraz wykaz 36 dokumentów wytwarzanych w procesie audytu oraz relacje pomiędzy tymi dokumentami.

3. Dobrać skład Zespołu Audytowego, uwzględniając wymagane zakresy kompetencji (kwalifikacji i uprawnień) członków Zespołu.

4. Ocenić na podstawie zależności pomiędzy procesami (oraz składu osobowego Zespołu) możliwości równoległego prowadzenia zadań audytowych.

5. Skonstruować harmonogram realizacji audytu (po uwzględnieniu konkretnych warunków wynikających z umowy ze Zleceniodawcą).

6. Oszacować koszty przeprowadzenia audytu (także z uwzględnieniem warunków umowy).

Metodyka LP-A: tablice IPO i diagramy DFD

obrazek

Opis metodyki LP-A można znaleźć w:

1. Liderman K.: Podręcznik administratora bezpieczeństwa teleinformatycznego

Certyfikaty „osobowe” z zakresu bezpieczeństwa informacyjnego

1. ISACA (www.isaca.org.pl)

• CISA (Certified Information System Auditor)

• CISM (Certified Information Security Manager)

1. ISSA (Information System Security Association www.issa.org.pl)

• CISSP (Certified Information Systems Security Professional)

• SSCP (Systems Security Certified Practitioner)

Testy penetracyjne

Czym jest test penetracyjny?

• Jedną z metod identyfikowania podatności.

• Kontrolowaną próbą przełamania zabezpieczeń.

• Badaniem bezpieczeństwa obiektu z punktu widzenia potencjalnego intruza.

Czym nie jest test pen.?

• Nie jest audytem bezpieczeństwa IT.

• Nie jest badaniem zabezpieczeń teleinformatycznych wyłącznie za pomocą automatycznego skanera.

• Nie jest działaniem według wcześniej ustalonej listy kontrolnej (tzw. checklisty).

Co jest celem testu penetracyjnego?

Pozyskanie jak największej ilości informacji o testowanym obiekcie i jeśli będzie to możliwe również udowodnienie możliwości przełamania zabezpieczeń.

Co można badać metodą testu pen.?

• Zwykle stosowany jest do wykrycia podatności systemu informatycznego, możliwych do wykorzystania z sieci publicznej (Internetu)

• Podatności „widziane” z wnętrza sieci

• Podatności konkretnych aplikacji

• Tą metodą można też badać np:

• skuteczność środków ochrony fizycznej i technicznej

• podatność pracowników na manipulacje

• wardialing (wykrywanie zainstalowanych modemów)

• wardriving

• ...

Jakie są ograniczenia testu penetracyjnego?

1. Testy penetracyjne nie gwarantują znalezienia wszystkich podatności

2. Czasami trzeba mieć szczęście

3. Wynik silnie zależy od tzw. frontowych systemów zabezpieczających:

• jeżeli zapora sieciowa działa prawidłowo, to w wyniku testu zbadane zostaną jedynie udostępniane usługi

• systemy frontowe mogą utrudniać przeprowadzanie testu (np. IPS, IDS+firewall)

1. ...

Jakie narzędzia są wykorzystywane w testach penetracyjnych?

Pełnej listy narzędzi nie sposób ustalić z góry – dobór narzędzi jest uzależniony od działań jakie będą wykonywane:

• narzędzia open source

• komercyjne

• autorskie

Podczas testu używa się z reguły wielu drobnych, specjalizowanych narzędzi – każde do innego zadania.

Rodzaje testu penetracyjnego

• Black box – zespół testujący nie posiada...

• White box – ...

Metodyka przeprowadzania testu penetracyjnego

Planowanie Poszukiwanie podatności Weryfikacja znalezionych podatności Usuwanie śladów

Dokumentowanie przebiegu testu penetracyjnego i jego wyników

Weryfikacja podatności

...

Usuwanie śladów

...

System Zarządzania Bezpieczeństwem Informacji wg normy PN-ISO/IEC 27001

...

Normy z zakresu bezpieczeństwa informacji i ryzyka

Zarządzanie bezpieczeństwem informacji

1. PN-ISO/IEC-17799:2007: Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji

2. PN-ISO/IEC 27001:1: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania

Wytwarzanie „bezpiecznych” produktów (Common Criteria)

PN-ISO/IEC 15408:2002: Technika informatyczna – Techniki zabezpieczeń – Kryteria oceny zabezpieczeń informatycznych (części 1 i 3)

Projektowanie i eksploatacja

...

Wybrane publikacje NIST serii 800

...

Dlaczego warto stosować normy i standardy?

• dla audytora bezpieczeństwa – systematyzują proces oceny systemu zabezpieczeń oraz stanowią platformę odniesienia ...

• dla kadry zarządzającej – ...

• dla projektantów i wykonawców systemów i produktów teleinformatycznych – ...