Systemy zarządzania
bezpieczeństwem informacji
wg PN ISO/IEC 17799:2003
i BS 7799-2:2002
Dr inż. Krzysztof Urbaniak
Normy dotycz
Normy dotycz
ą
ą
ce bezpiecze
ce bezpiecze
ń
ń
stwa informacji
stwa informacji
ISO TR 13335
ISO TR 13335
-
-
(1
(1
-
-
5) Wytyczne do zarz
5) Wytyczne do zarz
ą
ą
dzania bezpiecze
dzania bezpiecze
ń
ń
stwem system
stwem system
ó
ó
w
w
informatycznych
informatycznych
ISO/IEC 17799:2000
ISO/IEC 17799:2000
BS 7799
BS 7799
-
-
2:2002
2:2002
PN
PN
-
-
92 T
92 T
-
-
20001/02 Bezpiecze
20001/02 Bezpiecze
ń
ń
stwo system
stwo system
ó
ó
w operacyjnych
w operacyjnych
PN I
PN I
-
-
13335
13335
-
-
1 Wytyczne do zarz
1 Wytyczne do zarz
ą
ą
dzania bezpiecze
dzania bezpiecze
ń
ń
stwem system
stwem system
ó
ó
w
w
informatycznych
informatycznych
PN ISO/IEC 17799:2003 Praktyczne zasady zarz
PN ISO/IEC 17799:2003 Praktyczne zasady zarz
ą
ą
dzania bezpiecze
dzania bezpiecze
ń
ń
stwem
stwem
informacji
informacji
Definicje bezpiecze
Definicje bezpiecze
ń
ń
stwa informacji
stwa informacji
wg ISO/IEC TR 13335
wg ISO/IEC TR 13335
-
-
1
1
rozliczalno
rozliczalno
ść
ść
:
:
w
w
ł
ł
a
a
ś
ś
ciwo
ciwo
ść
ść
zapewniaj
zapewniaj
ą
ą
ca,
ca,
ż
ż
e dzia
e dzia
ł
ł
ania podmiotu mog
ania podmiotu mog
ą
ą
by
by
ć
ć
przypisane w spos
przypisane w spos
ó
ó
b jednoznaczny tylko temu podmiotowi
b jednoznaczny tylko temu podmiotowi
(ISO 7498
(ISO 7498
-
-
2: 1989)
2: 1989) accountability
accountability
autentyczno
autentyczno
ść
ść
:
:
w
w
ł
ł
a
a
ś
ś
ciwo
ciwo
ść
ść
zapewniaj
zapewniaj
ą
ą
ca,
ca,
ż
ż
e to
e to
ż
ż
samo
samo
ść
ść
podmiotu lub
podmiotu lub
zasobu jest taka, jak deklarowana. Autentyczno
zasobu jest taka, jak deklarowana. Autentyczno
ść
ść
dotyczy
dotyczy
takich podmiot
takich podmiot
ó
ó
w jak: u
w jak: u
ż
ż
ytkownicy, procesy, systemy i
ytkownicy, procesy, systemy i
informacja
informacja authenticity
authenticity
dost
dost
ę
ę
pno
pno
ść
ść
:
:
w
w
ł
ł
a
a
ś
ś
ciwo
ciwo
ść
ść
bycia dost
bycia dost
ę
ę
pnym i mo
pnym i mo
ż
ż
liwym do wykorzystania
liwym do wykorzystania
na
na
żą
żą
danie, w za
danie, w za
ł
ł
o
o
ż
ż
onym czasie, przez autoryzowany
onym czasie, przez autoryzowany
podmiot (ISO 7498
podmiot (ISO 7498
-
-
2: 1989)
2: 1989) availability
availability
poufno
poufno
ść
ść
:
:
w
w
ł
ł
a
a
ś
ś
ciwo
ciwo
ść
ść
zapewniaj
zapewniaj
ą
ą
ca,
ca,
ż
ż
e informacja nie jest
e informacja nie jest
udost
udost
ę
ę
pniana lub ujawniana nieautoryzowanym osobom,
pniana lub ujawniana nieautoryzowanym osobom,
podmiotom lub procesom (ISO 7498
podmiotom lub procesom (ISO 7498
-
-
2: 1989)
2: 1989)
confidentiality
confidentiality
Definicje bezpiecze
Definicje bezpiecze
ń
ń
stwa informacji
stwa informacji
wg ISO/IEC TR 13335
wg ISO/IEC TR 13335
-
-
1
1
niezawodno
niezawodno
ść
ść
:
:
w
w
ł
ł
a
a
ś
ś
ciwo
ciwo
ść
ść
oznaczaj
oznaczaj
ą
ą
ca sp
ca sp
ó
ó
jne, zamierzone
jne, zamierzone
zachowanie
zachowanie
i
i
skutki
skutki reliability
reliability
integralno
integralno
ść
ść
systemu
systemu
:
:
w
w
ł
ł
a
a
ś
ś
ciwo
ciwo
ść
ść
polegaj
polegaj
ą
ą
ca na tym,
ca na tym,
ż
ż
e system realizuje
e system realizuje
swoj
swoj
ą
ą
zamierzon
zamierzon
ą
ą
funkcj
funkcj
ę
ę
w nienaruszony spos
w nienaruszony spos
ó
ó
b,
b,
wolny od nieautoryzowanej manipulacji, celowej lub
wolny od nieautoryzowanej manipulacji, celowej lub
przypadkowej system
przypadkowej system integrity
integrity
integralno
integralno
ść
ść
danych
danych
:
:
w
w
ł
ł
a
a
ś
ś
ciwo
ciwo
ść
ść
zapewniaj
zapewniaj
ą
ą
ca,
ca,
ż
ż
e dane nie zosta
e dane nie zosta
ł
ł
y
y
zmienione lub zniszczone w spos
zmienione lub zniszczone w spos
ó
ó
b
b
nieautoryzowany (ISO 7498
nieautoryzowany (ISO 7498
-
-
2: 1989)
2: 1989) data
data
integrity
integrity
Definicje bezpiecze
Definicje bezpiecze
ń
ń
stwa informacji
stwa informacji
wg ISO/IEC TR 13335
wg ISO/IEC TR 13335
-
-
1
1
bezpiecze
bezpiecze
ń
ń
stwo systemu informatycznego:
stwo systemu informatycznego:
wszystkie aspekty zwi
wszystkie aspekty zwi
ą
ą
zane
zane
z
z
definiowaniem
definiowaniem
, osi
, osi
ą
ą
ganiem i utrzymywaniem poufno
ganiem i utrzymywaniem poufno
ś
ś
ci, integralno
ci, integralno
ś
ś
ci,
ci,
dost
dost
ę
ę
pno
pno
ś
ś
ci,
ci,
rozliczalno
rozliczalno
ś
ś
ci
ci
, autentyczno
, autentyczno
ś
ś
ci i niezawodno
ci i niezawodno
ś
ś
ci
ci IT security
IT security
polityka bezpiecze
polityka bezpiecze
ń
ń
stwa instytucji w zakresie system
stwa instytucji w zakresie system
ó
ó
w informatycznych:
w informatycznych:
zasady, zarz
zasady, zarz
ą
ą
dzenia i procedury, kt
dzenia i procedury, kt
ó
ó
re okre
re okre
ś
ś
laj
laj
ą
ą
, jak zasoby
, jak zasoby
–
–
w
w
łą
łą
cznie z
cznie z
informacjami wra
informacjami wra
ż
ż
liwymi
liwymi
-
-
s
s
ą
ą
zarz
zarz
ą
ą
dzane, chronione
dzane, chronione
i
i
dystrybuowane
dystrybuowane
w
w
instytucji i jej systemach informatycznych
instytucji i jej systemach informatycznych IT security
IT security
policy
policy
Za
Za
ł
ł
o
o
ż
ż
enia PN/ISO 17799:2003 [1]
enia PN/ISO 17799:2003 [1]
Bezpiecze
Bezpiecze
ń
ń
stwo informacji
stwo informacji
Informacja jest aktywem, kt
Informacja jest aktywem, kt
ó
ó
ry, podobnie jak inne wa
ry, podobnie jak inne wa
ż
ż
ne aktywa biznesowe, ma
ne aktywa biznesowe, ma
dla instytucji warto
dla instytucji warto
ść
ść
i dlatego nale
i dlatego nale
ż
ż
y j
y j
ą
ą
odpowiednio chroni
odpowiednio chroni
ć
ć
.
.
Bezpiecze
Bezpiecze
ń
ń
stwo informacji oznacza,
stwo informacji oznacza,
ż
ż
e jest ona chroniona przed wieloma
e jest ona chroniona przed wieloma
r
r
ó
ó
ż
ż
nymi zagro
nymi zagro
ż
ż
eniami w taki spos
eniami w taki spos
ó
ó
b, aby:
b, aby:
zapewni
zapewni
ć
ć
ci
ci
ą
ą
g
g
ł
ł
o
o
ść
ść
prowadzenia dzia
prowadzenia dzia
ł
ł
alno
alno
ś
ś
ci,
ci,
zminimalizowa
zminimalizowa
ć
ć
straty
straty
maksymalizowa
maksymalizowa
ć
ć
zwrot nak
zwrot nak
ł
ł
ad
ad
ó
ó
w na inwestycje i dzia
w na inwestycje i dzia
ł
ł
ania o
ania o
charakterze biznesowym.
charakterze biznesowym.
Za
Za
ł
ł
o
o
ż
ż
enia PN/ISO 17799:2003 [2]
enia PN/ISO 17799:2003 [2]
Bezpiecze
Bezpiecze
ń
ń
stwo informacji oznacza:
stwo informacji oznacza:
poufno
poufno
ś
ś
ć
ć
:
:
zapewnienie dost
zapewnienie dost
ę
ę
pu do informacji tylko osobom upowa
pu do informacji tylko osobom upowa
ż
ż
nionym;
nionym;
integralno
integralno
ś
ś
ć
ć
:
:
zapewnienie dok
zapewnienie dok
ł
ł
adno
adno
ś
ś
ci i kompletno
ci i kompletno
ś
ś
ci informacji
ci informacji
oraz metod jej przetwarzania;
oraz metod jej przetwarzania;
dost
dost
ę
ę
pno
pno
ś
ś
ć
ć
:
:
zapewnienie,
zapewnienie,
ż
ż
e osoby upowa
e osoby upowa
ż
ż
nione maj
nione maj
ą
ą
dost
dost
ę
ę
p do informacji
p do informacji
i
i
zwi
zwi
ą
ą
zanych z ni
zanych z ni
ą
ą
aktyw
aktyw
ó
ó
w wtedy, gdy jest to potrzebne.
w wtedy, gdy jest to potrzebne.
Za
Za
ł
ł
o
o
ż
ż
enia PN/ISO 17799:2003 [3]
enia PN/ISO 17799:2003 [3]
Bezpiecze
Bezpiecze
ń
ń
stwo informacji mo
stwo informacji mo
ż
ż
na osi
na osi
ą
ą
gn
gn
ąć
ąć
, wprowadzaj
, wprowadzaj
ą
ą
c odpowiedni zestaw
c odpowiedni zestaw
ś
ś
rodk
rodk
ó
ó
w:
w:
Polityk
Polityk
ę
ę
bezpiecze
bezpiecze
ń
ń
stwa
stwa
Dobre
Dobre
praktyki,
praktyki,
P
P
rocedury,
rocedury,
S
S
truktury organizacyjne,
truktury organizacyjne,
F
F
unkcje oprogramowania.
unkcje oprogramowania.
Zabezpieczenia te wprowadza si
Zabezpieczenia te wprowadza si
ę
ę
, aby zapewni
, aby zapewni
ć
ć
spe
spe
ł
ł
nienie poszczeg
nienie poszczeg
ó
ó
lnych
lnych
cel
cel
ó
ó
w zwi
w zwi
ą
ą
zanych z bezpiecze
zanych z bezpiecze
ń
ń
stwem w instytucji
stwem w instytucji
Za
Za
ł
ł
o
o
ż
ż
enia PN/ISO 17799:2003 [4]
enia PN/ISO 17799:2003 [4]
Dlaczego potrzebne jest bezpiecze
Dlaczego potrzebne jest bezpiecze
ń
ń
stwo informacji?
stwo informacji?
Informacja oraz wspieraj
Informacja oraz wspieraj
ą
ą
ce j
ce j
ą
ą
procesy, systemy i sieci s
procesy, systemy i sieci s
ą
ą
wa
wa
ż
ż
nymi
nymi
aktywami biznesowymi.
aktywami biznesowymi.
Poufno
Poufno
ść
ść
, dost
, dost
ę
ę
pno
pno
ść
ść
i integralno
i integralno
ść
ść
informacji mo
informacji mo
ż
ż
e mie
e mie
ć
ć
podstawowe
podstawowe
znaczenie dla:
znaczenie dla:
utrzymania konkurencyjno
utrzymania konkurencyjno
ś
ś
ci firmy,
ci firmy,
p
p
ł
ł
ynno
ynno
ś
ś
ci finansowej firmy,
ci finansowej firmy,
zysku firmy,
zysku firmy,
zgodno
zgodno
ś
ś
ci z przepisami prawa,
ci z przepisami prawa,
wizerunku instytucji.
wizerunku instytucji.
Polityka bezpiecze
Polityka bezpiecze
ń
ń
stwa
stwa
Co powinna zawiera
Co powinna zawiera
ć
ć
polityka bezpiecze
polityka bezpiecze
ń
ń
stwa
stwa
?
?
wyja
wyja
ś
ś
nienia,
nienia,
podzia
podzia
ł
ł
odpowiedzialno
odpowiedzialno
ś
ś
ci,
ci,
jasne sformu
jasne sformu
ł
ł
owania
owania
,
,
opis mechanizm
opis mechanizm
ó
ó
w realizacji polityki bezpiecze
w realizacji polityki bezpiecze
ń
ń
stwa.
stwa.
Czego polityka bezpiecze
Czego polityka bezpiecze
ń
ń
stwa zawiera
stwa zawiera
ć
ć
nie powinna
nie powinna
?
?
szczeg
szczeg
ó
ó
ł
ł
ó
ó
w technicznych
w technicznych
,
,
bezkrytycznie wzi
bezkrytycznie wzi
ę
ę
tych zapo
tych zapo
ż
ż
ycze
ycze
ń
ń
z innych rozwi
z innych rozwi
ą
ą
za
za
ń
ń
.
.
Polityka bezpiecze
Polityka bezpiecze
ń
ń
stwa
stwa
–
–
KONTA
KONTA
Przyk
Przyk
ł
ł
adowe
adowe
elementy polityki bezpiecze
elementy polityki bezpiecze
ń
ń
stwa
stwa
:
:
o
o
kre
kre
ś
ś
lenie kto mo
lenie kto mo
ż
ż
e mie
e mie
ć
ć
konto w systemie
konto w systemie
,
,
o
o
kre
kre
ś
ś
lenie czy wiele os
lenie czy wiele os
ó
ó
b mo
b mo
ż
ż
e korzysta
e korzysta
ć
ć
z jednego konta
z jednego konta
,
,
o
o
kre
kre
ś
ś
lenie w jakich sytuacjach odbierane jest prawo do
lenie w jakich sytuacjach odbierane jest prawo do
korzystania z konta.
korzystania z konta.
Polityka bezpiecze
Polityka bezpiecze
ń
ń
stwa
stwa
-
-
cd
cd
.
.
Przyk
Przyk
ł
ł
adowe
adowe
elementy polityki bezpiecze
elementy polityki bezpiecze
ń
ń
stwa
stwa
:
:
Zdefiniowanie wymaga
Zdefiniowanie wymaga
ń
ń
dot
dot
ycz
ycz
ą
ą
cych
cych
h
h
ase
ase
ł
ł
.
.
Okre
Okre
ś
ś
lenie zasad przy
lenie zasad przy
łą
łą
czania si
czania si
ę
ę
i korzystania z globalnej sieci
i korzystania z globalnej sieci
komputerowej
komputerowej
.
.
Zobligowanie pracownik
Zobligowanie pracownik
ó
ó
w do wyra
w do wyra
ż
ż
enia zgody na wykonywanie
enia zgody na wykonywanie
przez administrator
przez administrator
ó
ó
w czynno
w czynno
ś
ś
ci zwi
ci zwi
ą
ą
zanych z bezpiecze
zanych z bezpiecze
ń
ń
stwem
stwem
instytucji.
instytucji.
Okre
Okre
ś
ś
lenie zasad korzystania z po
lenie zasad korzystania z po
łą
łą
cze
cze
ń
ń
modemowych z
modemowych z
instytucj
instytucj
ą
ą
.
.
Polityka bezpiecze
Polityka bezpiecze
ń
ń
stwa
stwa
-
-
cd
cd
.
.
Przyk
Przyk
ł
ł
adowe
adowe
elementy polityki bezpiecze
elementy polityki bezpiecze
ń
ń
stwa
stwa
:
:
Zdefiniowanie wymaga
Zdefiniowanie wymaga
ń
ń
dot
dot
ycz
ycz
ą
ą
cych
cych
h
h
ase
ase
ł
ł
.
.
Okre
Okre
ś
ś
lenie zasad przy
lenie zasad przy
łą
łą
czania si
czania si
ę
ę
i korzystania z globalnej sieci
i korzystania z globalnej sieci
komputerowej
komputerowej
.
.
Zobligowanie pracownik
Zobligowanie pracownik
ó
ó
w do wyra
w do wyra
ż
ż
enia zgody na wykonywanie
enia zgody na wykonywanie
przez administrator
przez administrator
ó
ó
w czynno
w czynno
ś
ś
ci zwi
ci zwi
ą
ą
zanych z bezpiecze
zanych z bezpiecze
ń
ń
stwem
stwem
instytucji.
instytucji.
Okre
Okre
ś
ś
lenie zasad korzystania z po
lenie zasad korzystania z po
łą
łą
cze
cze
ń
ń
modemowych z
modemowych z
instytucj
instytucj
ą
ą
.
.
DZI
DZI
Ę
Ę
KUJ
KUJ
Ę
Ę
ZA UWAG
ZA UWAG
Ę
Ę