Systemy zarządzania

bezpieczeństwem informacji

Dr inż. Krzysztof Urbaniak

Normy dotycz

Normy dotycz

ą

ą

ce bezpiecze

ce bezpiecze

ń

ń

stwa informacji

stwa informacji

z

z

ISO TR 13335

ISO TR 13335

-

-

(1

(1

-

-

5) Wytyczne do zarz

5) Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w

w

informatycznych

informatycznych

z

z

ISO/IEC 17799:2000 Mi

ISO/IEC 17799:2000 Mi

ę

ę

dzynarodowy standard tworzenia system

dzynarodowy standard tworzenia system

ó

ó

w zarz

w zarz

ą

ą

dzania

dzania

bezpiecze

bezpiecze

ń

ń

stwem informacji

stwem informacji

z

z

BS 7799

BS 7799

-

-

2:2002 Norma bezpiecze

2:2002 Norma bezpiecze

ń

ń

stwa, specyfikacja dla systemu zarz

stwa, specyfikacja dla systemu zarz

ą

ą

dzania

dzania

bezpiecze

bezpiecze

ń

ń

stwem informacji (przetwarzanie informacji w i poza systemem)

stwem informacji (przetwarzanie informacji w i poza systemem)

z

z

PN

PN

-

-

92 T

92 T

-

-

20001/02 Bezpiecze

20001/02 Bezpiecze

ń

ń

stwo system

stwo system

ó

ó

w operacyjnych, wsp

w operacyjnych, wsp

ó

ó

ł

ł

dzia

dzia

ł

ł

anie system

anie system

ó

ó

otwartych

otwartych

…

…

z

z

PN I

PN I

-

-

13335

13335

-

-

1 Wytyczne do zarz

1 Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w

w

informatycznych

informatycznych

z

z

PN ISO/IEC 17799:2007 Praktyczne zasady zarz

PN ISO/IEC 17799:2007 Praktyczne zasady zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem

stwem

informacji

informacji

Aktywa systemu informatycznego

Aktywa systemu informatycznego

-

-

wszelkie zasoby: oprogramowanie, dane,

wszelkie zasoby: oprogramowanie, dane,

sprz

sprz

ę

ę

t, zasoby administracyjne, fizyczne, komunikacyjne lub ludzkie

t, zasoby administracyjne, fizyczne, komunikacyjne lub ludzkie

wyst

wyst

ę

ę

puj

puj

ą

ą

ce w systemie informatycznym lub dzia

ce w systemie informatycznym lub dzia

ł

ł

alno

alno

ś

ś

ci informatycznej,

ci informatycznej,

kt

kt

ó

ó

re maj

re maj

ą

ą

dla instytucji warto

dla instytucji warto

ść

ść

.

.

(

(

assets

assets

)

)

Analiza ryzyka

Analiza ryzyka

-

-

ca

ca

ł

ł

o

o

ś

ś

ciowa identyfikacja zagro

ciowa identyfikacja zagro

ż

ż

e

e

ń

ń

i podatno

i podatno

ś

ś

ci dla aktyw

ci dla aktyw

ó

ó

w

w

systemu informacyjnego oraz okre

systemu informacyjnego oraz okre

ś

ś

lenie potrzeby ich kontrolowania lub

lenie potrzeby ich kontrolowania lub

akceptowania na wyznaczonym poziomie. Celem analizy ryzyka jest

akceptowania na wyznaczonym poziomie. Celem analizy ryzyka jest

dostarczanie informacji niezb

dostarczanie informacji niezb

ę

ę

dnej do podejmowania decyzji o podj

dnej do podejmowania decyzji o podj

ę

ę

ciu

ciu

ś

ś

rodk

rodk

ó

ó

w przeciwdzia

w przeciwdzia

ł

ł

ania zagro

ania zagro

ż

ż

eniom i/lub zmniejszania podatno

eniom i/lub zmniejszania podatno

ś

ś

ci

ci

systemu (

systemu (

risk

risk

analysis

analysis

)

)

Podatno

Podatno

ść

ść

-

-

obejmuje s

obejmuje s

ł

ł

abo

abo

ść

ść

zasobu lub grupy zasob

zasobu lub grupy zasob

ó

ó

w, kt

w, kt

ó

ó

ra mo

ra mo

ż

ż

e by

e by

ć

ć

wykorzystana przez zagro

wykorzystana przez zagro

ż

ż

enie oraz atrakcyjno

enie oraz atrakcyjno

ść

ść

aktyw

aktyw

ó

ó

w informacyjnych

w informacyjnych

(ISO/IEC TR 13335

(ISO/IEC TR 13335

-

-

3) (

3) (

vulnerability

vulnerability

)

)

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

Wytyczne do zarz

Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w informatycznych (terminologia,

w informatycznych (terminologia,

zwi

zwi

ą

ą

zki mi

zki mi

ę

ę

dzy poj

dzy poj

ę

ę

ciami

ciami

…

…

)

)

Zagro

Zagro

ż

ż

enia

enia

-

-

przyczyny niepo

przyczyny niepo

żą

żą

danych zdarze

danych zdarze

ń

ń

, kt

, kt

ó

ó

rych efektami s

rych efektami s

ą

ą

szkody

szkody

w systemie informatycznym (

w systemie informatycznym (

threats

threats

)

)

Zarz

Zarz

ą

ą

dzanie ryzykiem

dzanie ryzykiem

-

-

proces osi

proces osi

ą

ą

gni

gni

ę

ę

cia i utrzymania stanu r

cia i utrzymania stanu r

ó

ó

wnowagi

wnowagi

mi

mi

ę

ę

dzy zidentyfikowanymi zagro

dzy zidentyfikowanymi zagro

ż

ż

eniami a stosownymi dzia

eniami a stosownymi dzia

ł

ł

aniami podj

aniami podj

ę

ę

tymi

tymi

w celu ochrony systemu informacyjnego instytucji. Na proces zarz

w celu ochrony systemu informacyjnego instytucji. Na proces zarz

ą

ą

dzania

dzania

ryzykiem sk

ryzykiem sk

ł

ł

ada si

ada si

ę

ę

analiza ryzyka i wyb

analiza ryzyka i wyb

ó

ó

r mechanizm

r mechanizm

ó

ó

w zabezpiecze

w zabezpiecze

ń

ń

(

(

risk

risk

management

management

)

)

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

Wytyczne do zarz

Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w informatycznych (terminologia,

w informatycznych (terminologia,

zwi

zwi

ą

ą

zki mi

zki mi

ę

ę

dzy poj

dzy poj

ę

ę

ciami

ciami

…

…

)

)

rozliczalno

rozliczalno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e dzia

e dzia

ł

ł

ania podmiotu mog

ania podmiotu mog

ą

ą

by

by

ć

ć

przypisane w spos

przypisane w spos

ó

ó

b jednoznaczny tylko temu podmiotowi

b jednoznaczny tylko temu podmiotowi

(ISO 7498

(ISO 7498

-

-

2: 1989)

2: 1989) accountability

accountability

autentyczno

autentyczno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e to

e to

ż

ż

samo

samo

ść

ść

podmiotu lub

podmiotu lub

zasobu jest taka, jak deklarowana. Autentyczno

zasobu jest taka, jak deklarowana. Autentyczno

ść

ść

dotyczy

dotyczy

takich podmiot

takich podmiot

ó

ó

w jak: u

w jak: u

ż

ż

ytkownicy, procesy, systemy i

ytkownicy, procesy, systemy i

informacja

informacja authenticity

authenticity

dost

dost

ę

ę

pno

pno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

bycia dost

bycia dost

ę

ę

pnym i mo

pnym i mo

ż

ż

liwym do wykorzystania

liwym do wykorzystania

na

na

żą

żą

danie, w za

danie, w za

ł

ł

o

o

ż

ż

onym czasie, przez autoryzowany

onym czasie, przez autoryzowany

podmiot (ISO 7498

podmiot (ISO 7498

-

-

2: 1989)

2: 1989) availability

availability

poufno

poufno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e informacja nie jest

e informacja nie jest

udost

udost

ę

ę

pniana lub ujawniana nieautoryzowanym osobom,

pniana lub ujawniana nieautoryzowanym osobom,

podmiotom lub procesom (ISO 7498

podmiotom lub procesom (ISO 7498

-

-

2: 1989)

2: 1989)

confidentiality

confidentiality

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

Wytyczne do zarz

Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w informatycznych (terminologia,

w informatycznych (terminologia,

zwi

zwi

ą

ą

zki mi

zki mi

ę

ę

dzy poj

dzy poj

ę

ę

ciami

ciami

…

…

)

)

niezawodno

niezawodno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

oznaczaj

oznaczaj

ą

ą

ca sp

ca sp

ó

ó

jne, zamierzone

jne, zamierzone

zachowanie

zachowanie

i

i

skutki

skutki reliability

reliability

integralno

integralno

ść

ść

systemu

systemu

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

polegaj

polegaj

ą

ą

ca na tym,

ca na tym,

ż

ż

e system realizuje

e system realizuje

swoj

swoj

ą

ą

zamierzon

zamierzon

ą

ą

funkcj

funkcj

ę

ę

w nienaruszony spos

w nienaruszony spos

ó

ó

b,

b,

wolny od nieautoryzowanej manipulacji, celowej lub

wolny od nieautoryzowanej manipulacji, celowej lub

przypadkowej system

przypadkowej system integrity

integrity

integralno

integralno

ść

ść

danych

danych

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e dane nie zosta

e dane nie zosta

ł

ł

y

y

zmienione lub zniszczone w spos

zmienione lub zniszczone w spos

ó

ó

b

b

nieautoryzowany (ISO 7498

nieautoryzowany (ISO 7498

-

-

2: 1989)

2: 1989) data

data

integrity

integrity

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

Wytyczne do zarz

Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w informatycznych (terminologia,

w informatycznych (terminologia,

zwi

zwi

ą

ą

zki mi

zki mi

ę

ę

dzy poj

dzy poj

ę

ę

ciami

ciami

…

…

)

)

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

Wytyczne do zarz

Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w informatycznych (terminologia,

w informatycznych (terminologia,

zwi

zwi

ą

ą

zki mi

zki mi

ę

ę

dzy poj

dzy poj

ę

ę

ciami

ciami

…

…

)

)

bezpiecze

bezpiecze

ń

ń

stwo systemu informatycznego:

stwo systemu informatycznego:

wszystkie aspekty zwi

wszystkie aspekty zwi

ą

ą

zane

zane

z

z

definiowaniem

definiowaniem

, osi

, osi

ą

ą

ganiem i utrzymywaniem poufno

ganiem i utrzymywaniem poufno

ś

ś

ci, integralno

ci, integralno

ś

ś

ci,

ci,

dost

dost

ę

ę

pno

pno

ś

ś

ci,

ci,

rozliczalno

rozliczalno

ś

ś

ci

ci

, autentyczno

, autentyczno

ś

ś

ci i niezawodno

ci i niezawodno

ś

ś

ci

ci IT security

IT security

polityka bezpiecze

polityka bezpiecze

ń

ń

stwa instytucji w zakresie system

stwa instytucji w zakresie system

ó

ó

w informatycznych:

w informatycznych:

zasady, zarz

zasady, zarz

ą

ą

dzenia i procedury, kt

dzenia i procedury, kt

ó

ó

re okre

re okre

ś

ś

laj

laj

ą

ą

, jak zasoby

, jak zasoby

–

–

w

w

łą

łą

cznie z

cznie z

informacjami wra

informacjami wra

ż

ż

liwymi

liwymi

-

-

s

s

ą

ą

zarz

zarz

ą

ą

dzane, chronione

dzane, chronione

i

i

dystrybuowane

dystrybuowane

w

w

instytucji i jej systemach informatycznych

instytucji i jej systemach informatycznych IT security

IT security

policy

policy

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2007 [1]

enia PN/ISO 17799:2007 [1]

Bezpiecze

Bezpiecze

ń

ń

stwo informacji

stwo informacji

Informacja jest aktywem, kt

Informacja jest aktywem, kt

ó

ó

ry, podobnie jak inne wa

ry, podobnie jak inne wa

ż

ż

ne aktywa biznesowe, ma

ne aktywa biznesowe, ma

dla instytucji warto

dla instytucji warto

ść

ść

i dlatego nale

i dlatego nale

ż

ż

y j

y j

ą

ą

odpowiednio chroni

odpowiednio chroni

ć

ć

.

.

Bezpiecze

Bezpiecze

ń

ń

stwo informacji oznacza,

stwo informacji oznacza,

ż

ż

e jest ona chroniona przed wieloma

e jest ona chroniona przed wieloma

r

r

ó

ó

ż

ż

nymi zagro

nymi zagro

ż

ż

eniami w taki spos

eniami w taki spos

ó

ó

b, aby:

b, aby:

z

z

zapewni

zapewni

ć

ć

ci

ci

ą

ą

g

g

ł

ł

o

o

ść

ść

prowadzenia dzia

prowadzenia dzia

ł

ł

alno

alno

ś

ś

ci,

ci,

z

z

zminimalizowa

zminimalizowa

ć

ć

straty

straty

z

z

maksymalizowa

maksymalizowa

ć

ć

zwrot nak

zwrot nak

ł

ł

ad

ad

ó

ó

w na inwestycje i dzia

w na inwestycje i dzia

ł

ł

ania o

ania o

charakterze biznesowym.

charakterze biznesowym.

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2007 [2]

enia PN/ISO 17799:2007 [2]

Bezpiecze

Bezpiecze

ń

ń

stwo informacji oznacza:

stwo informacji oznacza:

poufno

poufno

ś

ś

ć

ć

:

:

zapewnienie dost

zapewnienie dost

ę

ę

pu do informacji tylko osobom upowa

pu do informacji tylko osobom upowa

ż

ż

nionym;

nionym;

integralno

integralno

ś

ś

ć

ć

:

:

zapewnienie dok

zapewnienie dok

ł

ł

adno

adno

ś

ś

ci i kompletno

ci i kompletno

ś

ś

ci informacji

ci informacji

oraz metod jej przetwarzania;

oraz metod jej przetwarzania;

dost

dost

ę

ę

pno

pno

ś

ś

ć

ć

:

:

zapewnienie,

zapewnienie,

ż

ż

e osoby upowa

e osoby upowa

ż

ż

nione maj

nione maj

ą

ą

dost

dost

ę

ę

p do informacji

p do informacji

i

i

zwi

zwi

ą

ą

zanych z ni

zanych z ni

ą

ą

aktyw

aktyw

ó

ó

w wtedy, gdy jest to potrzebne.

w wtedy, gdy jest to potrzebne.

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2007 [3]

enia PN/ISO 17799:2007 [3]

Bezpiecze

Bezpiecze

ń

ń

stwo informacji mo

stwo informacji mo

ż

ż

na osi

na osi

ą

ą

gn

gn

ąć

ąć

, wprowadzaj

, wprowadzaj

ą

ą

c odpowiedni zestaw

c odpowiedni zestaw

ś

ś

rodk

rodk

ó

ó

w:

w:

z

z

Polityk

Polityk

ę

ę

bezpiecze

bezpiecze

ń

ń

stwa

stwa

z

z

Dobre

Dobre

praktyki,

praktyki,

z

z

P

P

rocedury,

rocedury,

z

z

S

S

truktury organizacyjne,

truktury organizacyjne,

z

z

F

F

unkcje oprogramowania.

unkcje oprogramowania.

Zabezpieczenia te wprowadza si

Zabezpieczenia te wprowadza si

ę

ę

, aby zapewni

, aby zapewni

ć

ć

spe

spe

ł

ł

nienie poszczeg

nienie poszczeg

ó

ó

lnych

lnych

cel

cel

ó

ó

w zwi

w zwi

ą

ą

zanych z bezpiecze

zanych z bezpiecze

ń

ń

stwem w instytucji

stwem w instytucji

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2007 [4]

enia PN/ISO 17799:2007 [4]

Dlaczego potrzebne jest bezpiecze

Dlaczego potrzebne jest bezpiecze

ń

ń

stwo informacji?

stwo informacji?

Informacja oraz wspieraj

Informacja oraz wspieraj

ą

ą

ce j

ce j

ą

ą

procesy, systemy i sieci s

procesy, systemy i sieci s

ą

ą

wa

wa

ż

ż

nymi

nymi

aktywami biznesowymi.

aktywami biznesowymi.

Poufno

Poufno

ść

ść

, dost

, dost

ę

ę

pno

pno

ść

ść

i integralno

i integralno

ść

ść

informacji mo

informacji mo

ż

ż

e mie

e mie

ć

ć

podstawowe

podstawowe

znaczenie dla:

znaczenie dla:

z

z

utrzymania konkurencyjno

utrzymania konkurencyjno

ś

ś

ci firmy,

ci firmy,

z

z

p

p

ł

ł

ynno

ynno

ś

ś

ci finansowej firmy,

ci finansowej firmy,

z

z

zysku firmy,

zysku firmy,

z

z

zgodno

zgodno

ś

ś

ci z przepisami prawa,

ci z przepisami prawa,

z

z

wizerunku instytucji.

wizerunku instytucji.

Polityka bezpiecze

Polityka bezpiecze

ń

ń

stwa

stwa

Co powinna zawiera

Co powinna zawiera

ć

ć

polityka bezpiecze

polityka bezpiecze

ń

ń

stwa

stwa

?

?

z

z

wyja

wyja

ś

ś

nienia,

nienia,

z

z

podzia

podzia

ł

ł

odpowiedzialno

odpowiedzialno

ś

ś

ci,

ci,

z

z

jasne sformu

jasne sformu

ł

ł

owania

owania

,

,

z

z

opis mechanizm

opis mechanizm

ó

ó

w realizacji polityki bezpiecze

w realizacji polityki bezpiecze

ń

ń

stwa.

stwa.

Czego polityka bezpiecze

Czego polityka bezpiecze

ń

ń

stwa zawiera

stwa zawiera

ć

ć

nie powinna ?

nie powinna ?

z

z

szczeg

szczeg

ó

ó

ł

ł

ó

ó

w technicznych

w technicznych

,

,

z

z

bezkrytycznie wzi

bezkrytycznie wzi

ę

ę

tych zapo

tych zapo

ż

ż

ycze

ycze

ń

ń

z innych rozwi

z innych rozwi

ą

ą

za

za

ń

ń

.

.

Polityka bezpiecze

Polityka bezpiecze

ń

ń

stwa

stwa

–

–

KONTA

KONTA

Przyk

Przyk

ł

ł

adowe elementy polityki bezpiecze

adowe elementy polityki bezpiecze

ń

ń

stwa

stwa

:

:

z

z

o

o

kre

kre

ś

ś

lenie kto mo

lenie kto mo

ż

ż

e mie

e mie

ć

ć

konto w systemie

konto w systemie

,

,

z

z

o

o

kre

kre

ś

ś

lenie czy wiele os

lenie czy wiele os

ó

ó

b mo

b mo

ż

ż

e korzysta

e korzysta

ć

ć

z jednego konta

z jednego konta

,

,

z

z

o

o

kre

kre

ś

ś

lenie w jakich sytuacjach odbierane jest prawo do

lenie w jakich sytuacjach odbierane jest prawo do

korzystania z konta.

korzystania z konta.

Polityka bezpiecze

Polityka bezpiecze

ń

ń

stwa

stwa

-

-

cd

cd

.

.

Przyk

Przyk

ł

ł

adowe elementy polityki bezpiecze

adowe elementy polityki bezpiecze

ń

ń

stwa

stwa

:

:

z

z

Zdefiniowanie wymaga

Zdefiniowanie wymaga

ń

ń

dotycz

dotycz

ą

ą

cych hase

cych hase

ł

ł

.

.

z

z

Okre

Okre

ś

ś

lenie zasad przy

lenie zasad przy

łą

łą

czania si

czania si

ę

ę

i korzystania z globalnej sieci

i korzystania z globalnej sieci

komputerowej.

komputerowej.

z

z

Zobligowanie pracownik

Zobligowanie pracownik

ó

ó

w do wyra

w do wyra

ż

ż

enia zgody na wykonywanie

enia zgody na wykonywanie

przez administrator

przez administrator

ó

ó

w czynno

w czynno

ś

ś

ci zwi

ci zwi

ą

ą

zanych z bezpiecze

zanych z bezpiecze

ń

ń

stwem

stwem

instytucji.

instytucji.

z

z

Okre

Okre

ś

ś

lenie zasad korzystania z po

lenie zasad korzystania z po

łą

łą

cze

cze

ń

ń

modemowych z

modemowych z

instytucj

instytucj

ą

ą

.

.

DZI

DZI

Ę

Ę

KUJ

KUJ

Ę

Ę

ZA UWAG

ZA UWAG

Ę

Ę