Systemy zarządzania
bezpieczeństwem informacji
Dr inż. Krzysztof Urbaniak
Normy dotyczące bezpieczeństwa informacji
Normy dotyczące bezpieczeństwa informacji
ISO TR 13335-(1-5) Wytyczne do zarządzania bezpieczeństwem systemów
ISO TR 13335-(1-5) Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych
informatycznych
ISO/IEC 17799:2000 Międzynarodowy standard tworzenia systemów zarządzania
ISO/IEC 17799:2000 Międzynarodowy standard tworzenia systemów zarządzania
bezpieczeństwem informacji
bezpieczeństwem informacji
BS 7799-2:2002 Norma bezpieczeństwa, specyfikacja dla systemu zarządzania
BS 7799-2:2002 Norma bezpieczeństwa, specyfikacja dla systemu zarządzania
bezpieczeństwem informacji (przetwarzanie informacji w i poza systemem)
bezpieczeństwem informacji (przetwarzanie informacji w i poza systemem)
PN-92 T-20001/02 Bezpieczeństwo systemów operacyjnych, współdziałanie systemó
PN-92 T-20001/02 Bezpieczeństwo systemów operacyjnych, współdziałanie systemó
otwartych &
otwartych &
PN I-13335-1 Wytyczne do zarządzania bezpieczeństwem systemów
PN I-13335-1 Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych
informatycznych
PN ISO/IEC 17799:2007 Praktyczne zasady zarządzania bezpieczeństwem
PN ISO/IEC 17799:2007 Praktyczne zasady zarządzania bezpieczeństwem
informacji
informacji
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
związki między pojęciami & )
związki między pojęciami & )
Aktywa systemu informatycznego - wszelkie zasoby: oprogramowanie, dane,
Aktywa systemu informatycznego - wszelkie zasoby: oprogramowanie, dane,
sprzęt, zasoby administracyjne, fizyczne, komunikacyjne lub ludzkie
sprzęt, zasoby administracyjne, fizyczne, komunikacyjne lub ludzkie
występujące w systemie informatycznym lub działalności informatycznej,
występujące w systemie informatycznym lub działalności informatycznej,
które mają dla instytucji wartość. (assets)
które mają dla instytucji wartość. (assets)
Analiza ryzyka - całościowa identyfikacja zagrożeń i podatności dla aktywów
Analiza ryzyka - całościowa identyfikacja zagrożeń i podatności dla aktywów
systemu informacyjnego oraz określenie potrzeby ich kontrolowania lub
systemu informacyjnego oraz określenie potrzeby ich kontrolowania lub
akceptowania na wyznaczonym poziomie. Celem analizy ryzyka jest
akceptowania na wyznaczonym poziomie. Celem analizy ryzyka jest
dostarczanie informacji niezbędnej do podejmowania decyzji o podjęciu
dostarczanie informacji niezbędnej do podejmowania decyzji o podjęciu
środków przeciwdziałania zagrożeniom i/lub zmniejszania podatności
środków przeciwdziałania zagrożeniom i/lub zmniejszania podatności
systemu (risk analysis)
systemu (risk analysis)
Podatność - obejmuje słabość zasobu lub grupy zasobów, która może być
Podatność - obejmuje słabość zasobu lub grupy zasobów, która może być
wykorzystana przez zagrożenie oraz atrakcyjność aktywów informacyjnych
wykorzystana przez zagrożenie oraz atrakcyjność aktywów informacyjnych
(ISO/IEC TR 13335-3) (vulnerability)
(ISO/IEC TR 13335-3) (vulnerability)
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
związki między pojęciami & )
związki między pojęciami & )
Zagrożenia - przyczyny niepożądanych zdarzeń, których efektami są szkody
Zagrożenia - przyczyny niepożądanych zdarzeń, których efektami są szkody
w systemie informatycznym (threats)
w systemie informatycznym (threats)
Zarządzanie ryzykiem - proces osiągnięcia i utrzymania stanu równowagi
Zarządzanie ryzykiem - proces osiągnięcia i utrzymania stanu równowagi
między zidentyfikowanymi zagrożeniami a stosownymi działaniami podjętymi
między zidentyfikowanymi zagrożeniami a stosownymi działaniami podjętymi
w celu ochrony systemu informacyjnego instytucji. Na proces zarządzania
w celu ochrony systemu informacyjnego instytucji. Na proces zarządzania
ryzykiem składa się analiza ryzyka i wybór mechanizmów zabezpieczeń (risk
ryzykiem składa się analiza ryzyka i wybór mechanizmów zabezpieczeń (risk
management)
management)
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
związki między pojęciami & )
związki między pojęciami & )
rozliczalność: właściwość zapewniająca, że działania podmiotu mogą być
rozliczalność: właściwość zapewniająca, że działania podmiotu mogą być
przypisane w sposób jednoznaczny tylko temu podmiotowi
przypisane w sposób jednoznaczny tylko temu podmiotowi
(ISO 7498-2: 1989) accountability
(ISO 7498-2: 1989) accountability
autentyczność: właściwość zapewniająca, że tożsamość podmiotu lub
autentyczność: właściwość zapewniająca, że tożsamość podmiotu lub
zasobu jest taka, jak deklarowana. Autentyczność dotyczy
zasobu jest taka, jak deklarowana. Autentyczność dotyczy
takich podmiotów jak: użytkownicy, procesy, systemy i
takich podmiotów jak: użytkownicy, procesy, systemy i
informacja authenticity
informacja authenticity
dostępność: właściwość bycia dostępnym i możliwym do wykorzystania
dostępność: właściwość bycia dostępnym i możliwym do wykorzystania
na żądanie, w założonym czasie, przez autoryzowany
na żądanie, w założonym czasie, przez autoryzowany
podmiot (ISO 7498-2: 1989) availability
podmiot (ISO 7498-2: 1989) availability
poufność: właściwość zapewniająca, że informacja nie jest
poufność: właściwość zapewniająca, że informacja nie jest
udostępniana lub ujawniana nieautoryzowanym osobom,
udostępniana lub ujawniana nieautoryzowanym osobom,
podmiotom lub procesom (ISO 7498-2: 1989)
podmiotom lub procesom (ISO 7498-2: 1989)
confidentiality
confidentiality
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
związki między pojęciami & )
związki między pojęciami & )
niezawodność: właściwość oznaczająca spójne, zamierzone
niezawodność: właściwość oznaczająca spójne, zamierzone
zachowanie i skutki reliability
zachowanie i skutki reliability
integralność systemu: właściwość polegająca na tym, że system realizuje
integralność systemu: właściwość polegająca na tym, że system realizuje
swoją zamierzoną funkcję w nienaruszony sposób,
swoją zamierzoną funkcję w nienaruszony sposób,
wolny od nieautoryzowanej manipulacji, celowej lub
wolny od nieautoryzowanej manipulacji, celowej lub
przypadkowej system integrity
przypadkowej system integrity
integralność danych: właściwość zapewniająca, że dane nie zostały
integralność danych: właściwość zapewniająca, że dane nie zostały
zmienione lub zniszczone w sposób
zmienione lub zniszczone w sposób
nieautoryzowany (ISO 7498-2: 1989) data integrity
nieautoryzowany (ISO 7498-2: 1989) data integrity
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych (terminologia,
związki między pojęciami & )
związki między pojęciami & )
bezpieczeństwo systemu informatycznego: wszystkie aspekty związane
bezpieczeństwo systemu informatycznego: wszystkie aspekty związane
z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności,
z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności,
dostępności, rozliczalności, autentyczności i niezawodności IT security
dostępności, rozliczalności, autentyczności i niezawodności IT security
polityka bezpieczeństwa instytucji w zakresie systemów informatycznych:
polityka bezpieczeństwa instytucji w zakresie systemów informatycznych:
zasady, zarządzenia i procedury, które określają, jak zasoby  włącznie z
zasady, zarządzenia i procedury, które określają, jak zasoby  włącznie z
informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w
informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w
instytucji i jej systemach informatycznych IT security policy
instytucji i jej systemach informatycznych IT security policy
Założenia PN/ISO 17799:2007 [1]
Założenia PN/ISO 17799:2007 [1]
Bezpieczeństwo informacji
Bezpieczeństwo informacji
Informacja jest aktywem, który, podobnie jak inne ważne aktywa biznesowe, ma
Informacja jest aktywem, który, podobnie jak inne ważne aktywa biznesowe, ma
dla instytucji wartość i dlatego należy ją odpowiednio chronić.
dla instytucji wartość i dlatego należy ją odpowiednio chronić.
Bezpieczeństwo informacji oznacza, że jest ona chroniona przed wieloma
Bezpieczeństwo informacji oznacza, że jest ona chroniona przed wieloma
różnymi zagrożeniami w taki sposób, aby:
różnymi zagrożeniami w taki sposób, aby:
zapewnić ciągłość prowadzenia działalności,
zapewnić ciągłość prowadzenia działalności,
zminimalizować straty
zminimalizować straty
maksymalizować zwrot nakładów na inwestycje i działania o
maksymalizować zwrot nakładów na inwestycje i działania o
charakterze biznesowym.
charakterze biznesowym.
Założenia PN/ISO 17799:2007 [2]
Założenia PN/ISO 17799:2007 [2]
Bezpieczeństwo informacji oznacza:
Bezpieczeństwo informacji oznacza:
poufność:
poufność:
zapewnienie dostępu do informacji tylko osobom upoważnionym;
zapewnienie dostępu do informacji tylko osobom upoważnionym;
integralność:
integralność:
zapewnienie dokładności i kompletności informacji
zapewnienie dokładności i kompletności informacji
oraz metod jej przetwarzania;
oraz metod jej przetwarzania;
dostępność:
dostępność:
zapewnienie, że osoby upoważnione mają dostęp do informacji
zapewnienie, że osoby upoważnione mają dostęp do informacji
i związanych z nią aktywów wtedy, gdy jest to potrzebne.
i związanych z nią aktywów wtedy, gdy jest to potrzebne.
Założenia PN/ISO 17799:2007 [3]
Założenia PN/ISO 17799:2007 [3]
Bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw
Bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw
środków:
środków:
Politykę bezpieczeństwa
Politykę bezpieczeństwa
Dobre praktyki,
Dobre praktyki,
Procedury,
Procedury,
Struktury organizacyjne,
Struktury organizacyjne,
Funkcje oprogramowania.
Funkcje oprogramowania.
Zabezpieczenia te wprowadza się, aby zapewnić spełnienie poszczególnych
Zabezpieczenia te wprowadza się, aby zapewnić spełnienie poszczególnych
celów związanych z bezpieczeństwem w instytucji
celów związanych z bezpieczeństwem w instytucji
Założenia PN/ISO 17799:2007 [4]
Założenia PN/ISO 17799:2007 [4]
Dlaczego potrzebne jest bezpieczeństwo informacji?
Dlaczego potrzebne jest bezpieczeństwo informacji?
Informacja oraz wspierające ją procesy, systemy i sieci są ważnymi
Informacja oraz wspierające ją procesy, systemy i sieci są ważnymi
aktywami biznesowymi.
aktywami biznesowymi.
Poufność, dostępność i integralność informacji może mieć podstawowe
Poufność, dostępność i integralność informacji może mieć podstawowe
znaczenie dla:
znaczenie dla:
utrzymania konkurencyjności firmy,
utrzymania konkurencyjności firmy,
płynności finansowej firmy,
płynności finansowej firmy,
zysku firmy,
zysku firmy,
zgodności z przepisami prawa,
zgodności z przepisami prawa,
wizerunku instytucji.
wizerunku instytucji.
Polityka bezpieczeństwa
Polityka bezpieczeństwa
Co powinna zawierać polityka bezpieczeństwa ?
Co powinna zawierać polityka bezpieczeństwa ?
wyjaśnienia,
wyjaśnienia,
podział odpowiedzialności,
podział odpowiedzialności,
jasne sformułowania,
jasne sformułowania,
opis mechanizmów realizacji polityki bezpieczeństwa.
opis mechanizmów realizacji polityki bezpieczeństwa.
Czego polityka bezpieczeństwa zawierać nie powinna ?
Czego polityka bezpieczeństwa zawierać nie powinna ?
szczegółów technicznych,
szczegółów technicznych,
bezkrytycznie wziętych zapożyczeń z innych rozwiązań.
bezkrytycznie wziętych zapożyczeń z innych rozwiązań.
Polityka bezpieczeństwa  KONTA
Polityka bezpieczeństwa  KONTA
Przykładowe elementy polityki bezpieczeństwa:
Przykładowe elementy polityki bezpieczeństwa:
określenie kto może mieć konto w systemie,
określenie kto może mieć konto w systemie,
określenie czy wiele osób może korzystać z jednego konta,
określenie czy wiele osób może korzystać z jednego konta,
określenie w jakich sytuacjach odbierane jest prawo do
określenie w jakich sytuacjach odbierane jest prawo do
korzystania z konta.
korzystania z konta.
Polityka bezpieczeństwa - cd.
Polityka bezpieczeństwa - cd.
Przykładowe elementy polityki bezpieczeństwa:
Przykładowe elementy polityki bezpieczeństwa:
Zdefiniowanie wymagań dotyczących haseł.
Zdefiniowanie wymagań dotyczących haseł.
Określenie zasad przyłączania się i korzystania z globalnej sieci
Określenie zasad przyłączania się i korzystania z globalnej sieci
komputerowej.
komputerowej.
Zobligowanie pracowników do wyrażenia zgody na wykonywanie
Zobligowanie pracowników do wyrażenia zgody na wykonywanie
przez administratorów czynności związanych z bezpieczeństwem
przez administratorów czynności związanych z bezpieczeństwem
instytucji.
instytucji.
Określenie zasad korzystania z połączeń modemowych z
Określenie zasad korzystania z połączeń modemowych z
instytucją.
instytucją.
DZI
KUJ
ZA UWAG

DZI
KUJ
ZA UWAG