Systemy zarządzania

bezpieczeństwem informacji

wg PN ISO/IEC 17799:2003

i BS 7799-2:2002

Dr inż. Krzysztof Urbaniak

Normy dotycz

Normy dotycz

ą

ą

ce bezpiecze

ce bezpiecze

ń

ń

stwa informacji

stwa informacji

ISO TR 13335

ISO TR 13335

-

-

(1

(1

-

-

5) Wytyczne do zarz

5) Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w

w

informatycznych

informatycznych

ISO/IEC 17799:2000

ISO/IEC 17799:2000

BS 7799

BS 7799

-

-

2:2002

2:2002

PN

PN

-

-

92 T

92 T

-

-

20001/02 Bezpiecze

20001/02 Bezpiecze

ń

ń

stwo system

stwo system

ó

ó

w operacyjnych

w operacyjnych

PN I

PN I

-

-

13335

13335

-

-

1 Wytyczne do zarz

1 Wytyczne do zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem system

stwem system

ó

ó

w

w

informatycznych

informatycznych

PN ISO/IEC 17799:2003 Praktyczne zasady zarz

PN ISO/IEC 17799:2003 Praktyczne zasady zarz

ą

ą

dzania bezpiecze

dzania bezpiecze

ń

ń

stwem

stwem

informacji

informacji

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

rozliczalno

rozliczalno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e dzia

e dzia

ł

ł

ania podmiotu mog

ania podmiotu mog

ą

ą

by

by

ć

ć

przypisane w spos

przypisane w spos

ó

ó

b jednoznaczny tylko temu podmiotowi

b jednoznaczny tylko temu podmiotowi

(ISO 7498

(ISO 7498

-

-

2: 1989)

2: 1989) accountability

accountability

autentyczno

autentyczno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e to

e to

ż

ż

samo

samo

ść

ść

podmiotu lub

podmiotu lub

zasobu jest taka, jak deklarowana. Autentyczno

zasobu jest taka, jak deklarowana. Autentyczno

ść

ść

dotyczy

dotyczy

takich podmiot

takich podmiot

ó

ó

w jak: u

w jak: u

ż

ż

ytkownicy, procesy, systemy i

ytkownicy, procesy, systemy i

informacja

informacja authenticity

authenticity

dost

dost

ę

ę

pno

pno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

bycia dost

bycia dost

ę

ę

pnym i mo

pnym i mo

ż

ż

liwym do wykorzystania

liwym do wykorzystania

na

na

żą

żą

danie, w za

danie, w za

ł

ł

o

o

ż

ż

onym czasie, przez autoryzowany

onym czasie, przez autoryzowany

podmiot (ISO 7498

podmiot (ISO 7498

-

-

2: 1989)

2: 1989) availability

availability

poufno

poufno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e informacja nie jest

e informacja nie jest

udost

udost

ę

ę

pniana lub ujawniana nieautoryzowanym osobom,

pniana lub ujawniana nieautoryzowanym osobom,

podmiotom lub procesom (ISO 7498

podmiotom lub procesom (ISO 7498

-

-

2: 1989)

2: 1989)

confidentiality

confidentiality

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

niezawodno

niezawodno

ść

ść

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

oznaczaj

oznaczaj

ą

ą

ca sp

ca sp

ó

ó

jne, zamierzone

jne, zamierzone

zachowanie

zachowanie

i

i

skutki

skutki reliability

reliability

integralno

integralno

ść

ść

systemu

systemu

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

polegaj

polegaj

ą

ą

ca na tym,

ca na tym,

ż

ż

e system realizuje

e system realizuje

swoj

swoj

ą

ą

zamierzon

zamierzon

ą

ą

funkcj

funkcj

ę

ę

w nienaruszony spos

w nienaruszony spos

ó

ó

b,

b,

wolny od nieautoryzowanej manipulacji, celowej lub

wolny od nieautoryzowanej manipulacji, celowej lub

przypadkowej system

przypadkowej system integrity

integrity

integralno

integralno

ść

ść

danych

danych

:

:

w

w

ł

ł

a

a

ś

ś

ciwo

ciwo

ść

ść

zapewniaj

zapewniaj

ą

ą

ca,

ca,

ż

ż

e dane nie zosta

e dane nie zosta

ł

ł

y

y

zmienione lub zniszczone w spos

zmienione lub zniszczone w spos

ó

ó

b

b

nieautoryzowany (ISO 7498

nieautoryzowany (ISO 7498

-

-

2: 1989)

2: 1989) data

data

integrity

integrity

Definicje bezpiecze

Definicje bezpiecze

ń

ń

stwa informacji

stwa informacji

wg ISO/IEC TR 13335

wg ISO/IEC TR 13335

-

-

1

1

bezpiecze

bezpiecze

ń

ń

stwo systemu informatycznego:

stwo systemu informatycznego:

wszystkie aspekty zwi

wszystkie aspekty zwi

ą

ą

zane

zane

z

z

definiowaniem

definiowaniem

, osi

, osi

ą

ą

ganiem i utrzymywaniem poufno

ganiem i utrzymywaniem poufno

ś

ś

ci, integralno

ci, integralno

ś

ś

ci,

ci,

dost

dost

ę

ę

pno

pno

ś

ś

ci,

ci,

rozliczalno

rozliczalno

ś

ś

ci

ci

, autentyczno

, autentyczno

ś

ś

ci i niezawodno

ci i niezawodno

ś

ś

ci

ci IT security

IT security

polityka bezpiecze

polityka bezpiecze

ń

ń

stwa instytucji w zakresie system

stwa instytucji w zakresie system

ó

ó

w informatycznych:

w informatycznych:

zasady, zarz

zasady, zarz

ą

ą

dzenia i procedury, kt

dzenia i procedury, kt

ó

ó

re okre

re okre

ś

ś

laj

laj

ą

ą

, jak zasoby

, jak zasoby

–

–

w

w

łą

łą

cznie z

cznie z

informacjami wra

informacjami wra

ż

ż

liwymi

liwymi

-

-

s

s

ą

ą

zarz

zarz

ą

ą

dzane, chronione

dzane, chronione

i

i

dystrybuowane

dystrybuowane

w

w

instytucji i jej systemach informatycznych

instytucji i jej systemach informatycznych IT security

IT security

policy

policy

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2003 [1]

enia PN/ISO 17799:2003 [1]

Bezpiecze

Bezpiecze

ń

ń

stwo informacji

stwo informacji

Informacja jest aktywem, kt

Informacja jest aktywem, kt

ó

ó

ry, podobnie jak inne wa

ry, podobnie jak inne wa

ż

ż

ne aktywa biznesowe, ma

ne aktywa biznesowe, ma

dla instytucji warto

dla instytucji warto

ść

ść

i dlatego nale

i dlatego nale

ż

ż

y j

y j

ą

ą

odpowiednio chroni

odpowiednio chroni

ć

ć

.

.

Bezpiecze

Bezpiecze

ń

ń

stwo informacji oznacza,

stwo informacji oznacza,

ż

ż

e jest ona chroniona przed wieloma

e jest ona chroniona przed wieloma

r

r

ó

ó

ż

ż

nymi zagro

nymi zagro

ż

ż

eniami w taki spos

eniami w taki spos

ó

ó

b, aby:

b, aby:

zapewni

zapewni

ć

ć

ci

ci

ą

ą

g

g

ł

ł

o

o

ść

ść

prowadzenia dzia

prowadzenia dzia

ł

ł

alno

alno

ś

ś

ci,

ci,

zminimalizowa

zminimalizowa

ć

ć

straty

straty

maksymalizowa

maksymalizowa

ć

ć

zwrot nak

zwrot nak

ł

ł

ad

ad

ó

ó

w na inwestycje i dzia

w na inwestycje i dzia

ł

ł

ania o

ania o

charakterze biznesowym.

charakterze biznesowym.

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2003 [2]

enia PN/ISO 17799:2003 [2]

Bezpiecze

Bezpiecze

ń

ń

stwo informacji oznacza:

stwo informacji oznacza:

poufno

poufno

ś

ś

ć

ć

:

:

zapewnienie dost

zapewnienie dost

ę

ę

pu do informacji tylko osobom upowa

pu do informacji tylko osobom upowa

ż

ż

nionym;

nionym;

integralno

integralno

ś

ś

ć

ć

:

:

zapewnienie dok

zapewnienie dok

ł

ł

adno

adno

ś

ś

ci i kompletno

ci i kompletno

ś

ś

ci informacji

ci informacji

oraz metod jej przetwarzania;

oraz metod jej przetwarzania;

dost

dost

ę

ę

pno

pno

ś

ś

ć

ć

:

:

zapewnienie,

zapewnienie,

ż

ż

e osoby upowa

e osoby upowa

ż

ż

nione maj

nione maj

ą

ą

dost

dost

ę

ę

p do informacji

p do informacji

i

i

zwi

zwi

ą

ą

zanych z ni

zanych z ni

ą

ą

aktyw

aktyw

ó

ó

w wtedy, gdy jest to potrzebne.

w wtedy, gdy jest to potrzebne.

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2003 [3]

enia PN/ISO 17799:2003 [3]

Bezpiecze

Bezpiecze

ń

ń

stwo informacji mo

stwo informacji mo

ż

ż

na osi

na osi

ą

ą

gn

gn

ąć

ąć

, wprowadzaj

, wprowadzaj

ą

ą

c odpowiedni zestaw

c odpowiedni zestaw

ś

ś

rodk

rodk

ó

ó

w:

w:

Polityk

Polityk

ę

ę

bezpiecze

bezpiecze

ń

ń

stwa

stwa

Dobre

Dobre

praktyki,

praktyki,

P

P

rocedury,

rocedury,

S

S

truktury organizacyjne,

truktury organizacyjne,

F

F

unkcje oprogramowania.

unkcje oprogramowania.

Zabezpieczenia te wprowadza si

Zabezpieczenia te wprowadza si

ę

ę

, aby zapewni

, aby zapewni

ć

ć

spe

spe

ł

ł

nienie poszczeg

nienie poszczeg

ó

ó

lnych

lnych

cel

cel

ó

ó

w zwi

w zwi

ą

ą

zanych z bezpiecze

zanych z bezpiecze

ń

ń

stwem w instytucji

stwem w instytucji

Za

Za

ł

ł

o

o

ż

ż

enia PN/ISO 17799:2003 [4]

enia PN/ISO 17799:2003 [4]

Dlaczego potrzebne jest bezpiecze

Dlaczego potrzebne jest bezpiecze

ń

ń

stwo informacji?

stwo informacji?

Informacja oraz wspieraj

Informacja oraz wspieraj

ą

ą

ce j

ce j

ą

ą

procesy, systemy i sieci s

procesy, systemy i sieci s

ą

ą

wa

wa

ż

ż

nymi

nymi

aktywami biznesowymi.

aktywami biznesowymi.

Poufno

Poufno

ść

ść

, dost

, dost

ę

ę

pno

pno

ść

ść

i integralno

i integralno

ść

ść

informacji mo

informacji mo

ż

ż

e mie

e mie

ć

ć

podstawowe

podstawowe

znaczenie dla:

znaczenie dla:

utrzymania konkurencyjno

utrzymania konkurencyjno

ś

ś

ci firmy,

ci firmy,

p

p

ł

ł

ynno

ynno

ś

ś

ci finansowej firmy,

ci finansowej firmy,

zysku firmy,

zysku firmy,

zgodno

zgodno

ś

ś

ci z przepisami prawa,

ci z przepisami prawa,

wizerunku instytucji.

wizerunku instytucji.

Polityka bezpiecze

Polityka bezpiecze

ń

ń

stwa

stwa

Co powinna zawiera

Co powinna zawiera

ć

ć

polityka bezpiecze

polityka bezpiecze

ń

ń

stwa

stwa

?

?

wyja

wyja

ś

ś

nienia,

nienia,

podzia

podzia

ł

ł

odpowiedzialno

odpowiedzialno

ś

ś

ci,

ci,

jasne sformu

jasne sformu

ł

ł

owania

owania

,

,

opis mechanizm

opis mechanizm

ó

ó

w realizacji polityki bezpiecze

w realizacji polityki bezpiecze

ń

ń

stwa.

stwa.

Czego polityka bezpiecze

Czego polityka bezpiecze

ń

ń

stwa zawiera

stwa zawiera

ć

ć

nie powinna

nie powinna

?

?

szczeg

szczeg

ó

ó

ł

ł

ó

ó

w technicznych

w technicznych

,

,

bezkrytycznie wzi

bezkrytycznie wzi

ę

ę

tych zapo

tych zapo

ż

ż

ycze

ycze

ń

ń

z innych rozwi

z innych rozwi

ą

ą

za

za

ń

ń

.

.

Polityka bezpiecze

Polityka bezpiecze

ń

ń

stwa

stwa

–

–

KONTA

KONTA

Przyk

Przyk

ł

ł

adowe

adowe

elementy polityki bezpiecze

elementy polityki bezpiecze

ń

ń

stwa

stwa

:

:

o

o

kre

kre

ś

ś

lenie kto mo

lenie kto mo

ż

ż

e mie

e mie

ć

ć

konto w systemie

konto w systemie

,

,

o

o

kre

kre

ś

ś

lenie czy wiele os

lenie czy wiele os

ó

ó

b mo

b mo

ż

ż

e korzysta

e korzysta

ć

ć

z jednego konta

z jednego konta

,

,

o

o

kre

kre

ś

ś

lenie w jakich sytuacjach odbierane jest prawo do

lenie w jakich sytuacjach odbierane jest prawo do

korzystania z konta.

korzystania z konta.

Polityka bezpiecze

Polityka bezpiecze

ń

ń

stwa

stwa

-

-

cd

cd

.

.

Przyk

Przyk

ł

ł

adowe

adowe

elementy polityki bezpiecze

elementy polityki bezpiecze

ń

ń

stwa

stwa

:

:

Zdefiniowanie wymaga

Zdefiniowanie wymaga

ń

ń

dot

dot

ycz

ycz

ą

ą

cych

cych

h

h

ase

ase

ł

ł

.

.

Okre

Okre

ś

ś

lenie zasad przy

lenie zasad przy

łą

łą

czania si

czania si

ę

ę

i korzystania z globalnej sieci

i korzystania z globalnej sieci

komputerowej

komputerowej

.

.

Zobligowanie pracownik

Zobligowanie pracownik

ó

ó

w do wyra

w do wyra

ż

ż

enia zgody na wykonywanie

enia zgody na wykonywanie

przez administrator

przez administrator

ó

ó

w czynno

w czynno

ś

ś

ci zwi

ci zwi

ą

ą

zanych z bezpiecze

zanych z bezpiecze

ń

ń

stwem

stwem

instytucji.

instytucji.

Okre

Okre

ś

ś

lenie zasad korzystania z po

lenie zasad korzystania z po

łą

łą

cze

cze

ń

ń

modemowych z

modemowych z

instytucj

instytucj

ą

ą

.

.

Polityka bezpiecze

Polityka bezpiecze

ń

ń

stwa

stwa

-

-

cd

cd

.

.

Przyk

Przyk

ł

ł

adowe

adowe

elementy polityki bezpiecze

elementy polityki bezpiecze

ń

ń

stwa

stwa

:

:

Zdefiniowanie wymaga

Zdefiniowanie wymaga

ń

ń

dot

dot

ycz

ycz

ą

ą

cych

cych

h

h

ase

ase

ł

ł

.

.

Okre

Okre

ś

ś

lenie zasad przy

lenie zasad przy

łą

łą

czania si

czania si

ę

ę

i korzystania z globalnej sieci

i korzystania z globalnej sieci

komputerowej

komputerowej

.

.

Zobligowanie pracownik

Zobligowanie pracownik

ó

ó

w do wyra

w do wyra

ż

ż

enia zgody na wykonywanie

enia zgody na wykonywanie

przez administrator

przez administrator

ó

ó

w czynno

w czynno

ś

ś

ci zwi

ci zwi

ą

ą

zanych z bezpiecze

zanych z bezpiecze

ń

ń

stwem

stwem

instytucji.

instytucji.

Okre

Okre

ś

ś

lenie zasad korzystania z po

lenie zasad korzystania z po

łą

łą

cze

cze

ń

ń

modemowych z

modemowych z

instytucj

instytucj

ą

ą

.

.

DZI

DZI

Ę

Ę

KUJ

KUJ

Ę

Ę

ZA UWAG

ZA UWAG

Ę

Ę