Znaczenie bezpieczeństwa informacji

i podstawowe definicje pojęć

dr inż. Bolesław Szomański

Zakład Systemów Zapewniania Jakości

Instytut Organizacji Systemów Produkcyjnych

Wydział Inżynierii Produkcji

b.szomanski@wip.pw.edu.pl

Znaczenie Bezpieczeństwa

‰

.."jeśli lata osiemdziesiąte określano mianem dekady

jakości,

‰

lata dziewięćdziesiąte – dekadą produktywności,

‰

to pierwsze dziesięciolecie nowego wieku

‰

będzie dekadą bezpieczeństwa."

o

Edward Yourdon

o

„Byte Wars: The Impact of September 11 on Information Technology
”

Plan prezentacji

‰

Znaczenie i efekty wdrożenia systemów zarządzania

bezpieczeństwem informacji

‰

Historia bezpieczeństwa informacji

‰

Systemy zarządzania bezpieczeństwem informacji

na świecie

‰

Normy dotyczące bezpieczeństwem informacji

Założenia dotyczące

bezpieczeństwa informacji

‰

Co to jest bezpieczeństwo informacji ?

ƒ Informacja jest aktywem, który, podobnie jak inne

ważne aktywa biznesowe, ma dla instytucji wartość i
dlatego należy ją odpowiednio chronić.

ƒ Bezpieczeństwo informacji oznacza, że jest ona chroniona

przed wieloma różnymi zagrożeniami w taki sposób, aby

o

zapewnić ciągłość prowadzenia działalności,

o

zminimalizować straty

o

maksymalizować zwrot nakładów na inwestycje i działania o
charakterze biznesowym.

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 1 z 10

Założenia [2]

‰

Bezpieczeństwo informacji oznacza :

‰

dostępność

ƒ

Właściwość bycia dostępnym i użytecznym na żądanie

upoważnionego podmiotu

o

Czyli ochronę przed utratą chwilową lub trwałą

‰

integralność

ƒ

Właściwość zapewnia dokładności i kompletności aktywów

o

Czyli ochronę przed celową lub przypadkową modyfikacją

‰

poufność

ƒ

Właściwość, że informacja nie jest udostępniana lub

wyjawiana nieupoważnionym osobom, podmiotom lub

procesom

o

Czyli ochronę przed kradzieżą lub ujawnieniem informacji

ƒ dodatkowo, mogą być brane pod uwagę inne własności takie, jak

autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

Założenia [2a]

‰

rozliczalność:

ƒ

właściwość zapewniająca, że działania podmiotu mogą być
przypisane w sposób jednoznaczny tylko temu podmiotowi
(ISO 7498-2: 1989)

ƒ

accountability

‰

autentyczność:

ƒ

właściwość zapewniająca, że tożsamość podmiotu lub
zasobu jest taka, jak deklarowana. Autentyczność dotyczy
takich podmiotów jak: użytkownicy, procesy, systemy i
informacja

ƒ

authenticity

Założenia [2b]

‰

niezawodność:

ƒ

właściwość oznaczająca spójne, zamierzone zachowanie i skutki

ƒ

Reliability

‰

Niezapleczalność

ƒ Właściwość oznaczająca niemożność zaprzeczenia wysłania

lub zapisania informacji albo działania

Założenia [3]

‰

Bezpieczeństwo informacji można osiągnąć, wprowadzając

odpowiedni zestaw środków:

ƒ Politykę bezpieczeństwa
ƒ Dobre praktyki,
ƒ Procedury,
ƒ Struktury organizacyjne
ƒ Funkcje oprogramowania i
ƒ sprzęt.

‰

Zabezpieczenia te wprowadza się, aby zapewnić spełnienie

poszczególnych celów związanych z bezpieczeństwem w

instytucji

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 2 z 10

Założenia [4]

ƒ Wiele systemów informacyjnych nie było projektowanych z myślą o

bezpieczeństwie.

‰

Bezpieczeństwo, jakie można osiągnąć za pomocą środków

technicznych,

ƒ jest ograniczone i
ƒ zaleca się, aby było wspierane przez odpowiednie zarządzanie i

procedury.

‰

Określenie zabezpieczeń, których zastosowanie jest zalecane,

wymaga starannego planowania i zwracania uwagi na

szczegóły.

ƒ Minimalnym wymaganiem dotyczącym zarządzania

bezpieczeństwem informacji jest udział w nim wszystkich pracowników

instytucji.

ƒ Może być wymagany także udział dostawców, klientów i

udziałowców.

ƒ Oprócz tego konieczne może się okazać specjalistyczne doradztwo

osób spoza instytucji.

Założenia [5]

‰

Środki zapewniające bezpieczeństwo informacji są

znacząco tańsze i bardziej efektywne, jeżeli są
wprowadzane w momencie specyfikacji wymagań i
na etapie projektowania

‰

Bardzo ważne jest, aby każda instytucja określiła

swoje wymagania bezpieczeństwa w oparciu o:

ƒ Szacowanie ryzyka dotyczącego instytucji pozwalające:

o

zidentyfikować zagrożenia dla aktywów,

o

ocenić podatność na zagrożenia i

o

prawdopodobieństwo ich wystąpienia oraz

o

szacować potencjalne skutki.

Założenia [6]

ƒ zbiór wymagań

prawnych, statutowych, regulacyjnych i

kontraktowych,

o

które instytucja,

o

jej partnerzy handlowi,

o

kontrahenci i

o

usługodawcy mają spełniać

ƒ specyficzny zbiór

o

zasad,

o

celów i

o

wymagań dotyczących przetwarzania informacji,

o

Opracowane przez instytucję

• w celu wspomagania swojej działalności.

Założenia [7]

‰

Szacowanie ryzyka wymaga systematycznego rozważania:

ƒ szkód w działalności biznesowej, wynikających z naruszenia

bezpieczeństwa,

o

z uwzględnieniem potencjalnych konsekwencji naruszenia

• poufności,
• integralności i
• dostępności informacji oraz
• innych aktywów;

‰

realnego prawdopodobieństwa takiego naruszenia

ƒ z uwzględnieniem

o

istniejących zagrożeń,

o

podatności i

o

aktualnie stosowanych zabezpieczeń.

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 3 z 10

Założenia [8]

‰

Ważne jest wykonywanie okresowych przeglądów ryzyka

odnoszącego się do bezpieczeństwa i zastosowanych

zabezpieczeń, tak aby:

ƒ uwzględniać zmiany wymagań dotyczących

o

działalności biznesowych i

o

priorytetów;

ƒ rozważać

o

nowe zagrożenia i

o

podatności na nie;

‰

potwierdzać, że stosowane zabezpieczenia pozostają w

dalszym ciągu

ƒ skuteczne i
ƒ właściwe.

Inne definicje

‰

aktywa

ƒ wszystko, co ma wartość dla organizacji.

‰

zdarzenie związane z bezpieczeństwem informacji

ƒ Jest określonym wystąpieniem stanu

o

systemu,

o

usługi lub

o

sieci, który

• wskazuje na możliwe

ƒ przełamanie polityki bezpieczeństwa informacji,
ƒ błąd zabezpieczenia lub
ƒ nieznaną dotychczas sytuację, która

o

może być związana z bezpieczeństwem.

Nowe definicje

‰

incydent związany z bezpieczeństwem informacji

ƒ jest to

o

pojedyncze zdarzenie lub

o

seria

ƒ niepożądanych lub niespodziewanych zdarzeń

o

związanych z bezpieczeństwem informacji,

o

które stwarzają

ƒ znaczne prawdopodobieństwo zakłócenia

o

działań biznesowych i

o

zagrażają bezpieczeństwu informacji.

Definicje

‰

System zarządzania bezpieczeństwem informacji

ƒ SZBI
ƒ ta część całościowego systemu zarządzania, oparta na

podejściu wynikającym z ryzyka biznesowego, odnosząca
się do ustanawiania, wdrażania, eksploatacji,
monitorowania, utrzymywania i doskonalenia
bezpieczeństwa informacji

ƒ UWAGA system zarządzania obejmuje strukturę

organizacyjną, polityki, zaplanowane działania, zakresy
odpowiedzialności, praktyki, procedury, procesy i zasoby.

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 4 z 10

Definicje

‰

zabezpieczenie

ƒ środki służące zarządzaniu ryzykiem, łącznie z politykami,

procedurami, zaleceniami, praktyką lub strukturami
organizacyjnymi, które mogą mieć naturę administracyjną,
techniczną, zarządczą lub prawną

o

UWAGA Termin zabezpieczenie jest także używany jako synonim
środka ochrony lub przeciwdziałania.

‰

zalecenie

ƒ wyjaśnienie, co i jak zaleca się zrobić, aby osiągnąć cele

określone w politykach

Definicje

‰

środki przetwarzania informacji

ƒ system, usługa lub infrastruktura przetwarzające informacje

lub fizyczna lokalizacja, w której się znajdują

‰

Polityka

ƒ wyrażona przez kierownictwo ogólna intencja i kierunki

działań

‰

Ryzyko

ƒ kombinacja prawdopodobieństwa zdarzenia i jego

konsekwencji

Definicje

‰

strona trzecia

ƒ ta osoba lub organ, która w przypadku rozstrzygania problemu, jest

uważana za niezależną od

ƒ zaangażowanych stron

o

[ISO/IEC Guide 2:1996]

‰

zagrożenie

ƒ potencjalna przyczyna niepożądanego incydentu, który może wywołać

szkodę w systemie lub organizacji

o

[ISO/IEC 13335-1:2004]

‰

podatność

ƒ słabość aktywu lub grupy aktywów, która może być wykorzystana przez

co najmniej jedno zagrożenie

o

[ISO/IEC 13335-1:2004]

Historia podejścia do

bezpieczeństwa informacji

‰

Czasy przed pojawieniem się komputerów

ƒ Zagrożenia

o

Szpiegostwo

o

Kradzież tajemnic handlowych

o

Dostarczanie fałszywych informacji

o

Kryptoanaliza

ƒ Ochrona

o

Fizyczna

o

Dostępu osób

o

Kontrwywiad i analiza informacji

o

Tajemnica handlowa

o

Prawna (patentowa)

o

Kryptologia

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 5 z 10

Poziomy bezpieczeństwa

‰

Poziom 1 – bezpieczeństwo sprzętu

‰

Poziom 2 – bezpieczeństwo oprogramowania

ƒ ISO 15408

‰

Poziom 3 – Bezpieczeństwo systemów informatycznych

ƒ ISO 13335

‰

Poziom 4 – Bezpieczeństwo informacji w organizacji

ƒ ISO 17799 i ISO 27001

‰

Poziom 5 Bezpieczeństwo globalne ???

Historia [2]

‰

Przetwarzanie w ośrodkach komputerowych (od 1950..)

ƒ Zagrożenia

o

Awaryjność sprzętu

o

Dostęp nieupoważnionych osób

o

Awarie oprogramowania

o

Błędne dane

ƒ Ochrona

o

Redundacja sprzętowe

o

Ochrona fizyczna

o

Backupy

o

Sprawdzanie danych

Historia [3]

‰

Mainframe i sieci terminali (lata 60-te XXw.)

ƒ Zagrożenia

o

Jak poprzednio

oraz

o

Zniszczenie ośrodka przetwarzania

o

Nieupoważniony dostęp

o

Błędy oprogramowania

ƒ Ochrona

o

Jak poprzednio

o

Zapasowe ośrodki przetwarzania

o

Identyfikacja użytkowników i hasła

o

Testowanie oprogramowania

Historia [4]

‰

Minikomputery i sieci lokalne (lata 70-te XXw.)

ƒ Zagrożenia

o

Jak poprzednio

o

Złośliwy kod

o

Kradzież informacji

o

Podszywanie się

ƒ Ochrona

o

Jak poprzednio

o

Przeglądy kodu

o

Szyfrowanie

o

Autentyfikacja

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 6 z 10

Historia [5]

‰

Systemy komputerowe i mikrokomputery (lata 80-te XXw.)

ƒ Zagrożenia

o

Jak poprzednio

o

Wirusy itp.

o

Niedoświadczeni użytkownicy

o

Brak zwyczajów właściwego postępowania

o

Kradzież sprzętu i oprogramowania

ƒ Ochrona

o

Jak poprzednio

o

Programy antywirusowe

o

Szkolenie użytkowników

o

Ocena bezpieczeństwa oprogramowania (zwłaszcza systemów operacyjnych)

o

Ochrona praw autorskich

Historia [6]

‰

Początki Internetu i uzależnienie instytucji od informacji

(lata 90 te XXw)

ƒ Zagrożenia

o

Jak poprzednio

o

Podmiana informacji (np. stron www)

o

Kradzież informacji przez ataki z internetu oraz pracowników

o

Blokowanie dostępu

o

Kradzież tożsamości

o

Robaki internetowe

ƒ Ochrona

o

Jak poprzednio

o

Firewalle i inne oprogramowanie zabezpieczające

o

Bezpieczne połączenia w internecie (SSL, VPN)

o

Ochrona danych osobowych

o

Polityki bezpieczeństwa informacji

Historia [7]

‰

Gospodarka globalna i terroryzm (poczatek XXIw)

ƒ Zagrożenia - jak poprzednio i

o

Uzależnienie świata i gospodarki światowej od internetu i technologii
informatycznych

o

Ataki terrorystyczne

o

Znaczenie e-biznesu i internetu

o

SPAM

o

Zaostrzona walka konkurencyjna

o

Różne możliwości rozpowszechniania informacji (sieci komórkowe, przenośne
urządzenia itp.)

ƒ Ochrona - jak poprzednio i

o

Rozbudowana analiza ryzyka

o

Podpis elektroniczny

o

Metody biometryczne

o

Zarządzanie ciągłością działania

o

Systemy zarządzania bezpieczeństwem informacji

Rozkład kontynentalny certyfikacji BS 7799 - 2

2004.09.01

http://www.gammassl.co.uk/bs7799/

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 7 z 10

Rozkład kontynentalny certyfikacji BS 7799 - 2

2005.12

Certyfikaty

systemu

zarządzania

bezpieczeń

stwem

informacji

wg BS

7799-2 i ISO

27001

www.xisec.com

Stan 17.01.2007

Układ branżowy

‰

Telekomunikacja

25%

‰

Finanse

21 %

‰

Usługi 3 strony

17%

‰

Sektor informatyczny

15%

‰

Produkcyjne

11%

‰

Rządowe

7%

‰

infrastrukturalne

4%

A w Polsce

‰

Znane certyfikaty akredytowane

ƒ DGA
ƒ Komisja papierów wartościowych i giełd
ƒ Lumena
ƒ PERN
ƒ Thompson Industries
ƒ Elektrownia Turów
ƒ Talex
ƒ PTK Centertel
ƒ Remondis Data Office Sp. z o.o.
ƒ SIDEn Systemy Informatyczne Doradztwo Energetyka Sp. z o.o.
ƒ Awangarda Polska Sp. z o.o.
ƒ i in.

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 8 z 10

Normy rodziny 27000

‰

27000: Information security management system
fundamentals and vocabulary

ƒ Najwcześniej 2008
ƒ Obecnie jeszcze ISO/IEC 13335-1

‰

ISO/IEC 27001:2005 Information Security Management
System (ISMS) requirements

ƒ PN ISO/IEC 27001:2007

‰

27002 ÅISO/IEC 17799: Code of practice for information
security management, 2nd edition 2005.

ƒ PN-ISO/IEC 17799:2007

Normy w opracowaniu

‰

27003:Information security management system

implementation guidance.

ƒ Najwcześniej w 2008r

‰

27004: ISMS Metrics & Measurements

ƒ Najwcześniej w 2008r

‰

27005: Information Security Risk Management

ƒ W końcu 2007
ƒ Na razie ISO/IEC TR 13335-3

‰

27006: Guidelines for the Accreditation of Bodies Operating

Certification.Registration of Security Management Systems

based on the Conformity Assessment standard ISO/IEC

17021

ƒ Jest czeka do publikacji

Ważne normy związane

‰

ISO/IEC TR 18044:2004

ƒ Information technology -- Security techniques --

Information security incident management

‰

ISO/IEC CD 24762

ƒ Guidelines for Information and Communication

Technology Disaster Recovery (Scenario lub services)

o

Koniec 2007?

SZBI – normy związane....

Management

System

Specification

s

Guidelines
(processes

)

Technical standards
& specifications

ISMS Standard -

ISO/IEC 27001

ISO 27005

SSE -CMM
ISO 21827

Guidelines

(procedures

)

& Control Catalogues

Information security incident management

IT network security

ISO/IEC 27002

Digital Signatures

Encryption

Authentication

Access control

Non -repudiation

Time stamping

TTP Services

Management

system

audits

,

certification

&

accreditation

Product & product
system testing
Evaluation

ISO 19011

Common Criteria -

ISO 15408:2005

ISO 17021

ISO 27006

ISO 17024

Protection Profile
Register

Protection Profile
Specification

Framework for IT
Security Assurance

ISO 9001

ISO 27000

Key
Management

Hash Functions

NIST SP 800 -37

NIST SP 800 -53

NIST SP 800 -53A

Crypto module evaluation – (FIPS

140 -2)

System evaluation

ISO 20000

/Źródło: Draft justification study period - dokumenty wewnętrzne ISO/IEC JTC1/SC27/

....w 2007 roku

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 9 z 10

Bibliografia

‰

Normy:

ƒ ISO/IEC Guide 2: 1996, Standardization and related activities -

General vocabulary

ƒ ISO/IEC Guide 73:2002, Risk management - Vocabulary - Guidelines

for use in standards

ƒ ISO/IEC 13335-1:2004, Information technology - Security techniques

- Management of information and communications technology
security - Part 1: Concepts and models for information and
communications technology security management

ƒ ISO/IEC TR 13335-3:1998, Information technology - Guidelines for

the Management of IT Security - Part 3: Techniques for the
management of IT Security

ƒ ISO/IEC 13888-1 : 1997, Information technology - Security

techniques - Non-repudiation - Part 1: General

Bibliografia 2

‰

Normy:

ƒ ISO/IEC 1 1770- 1 : 1996 Information technology - Security

techniques - Key management - Part 1: Framework

ƒ ISO/IEC 9796-2:2002 Information technology - Security techniques -

Digital signature schemes giving message recovery - Part 2: Integer
factorization based mechanisms

ƒ ISO/IEC 9796-3:2000 Information technology - Security techniques -

Digital signature schemes giving message recovery - Part 3: Discrete
logarithm based mechanisms

ƒ ISO/IEC 14888- 1 : 1998 Information technology - Security

techniques - Digital signatures with appendix - Part 1 : General

ƒ ISO/IEC 15408-1:1999 Information technology - Security techniques

- Evaluation Criteria for IT security - Part 1 : Introduction and
general model

Bibliografia 3

‰

ISO/IEC 14516:2002 Information technology - Security

techniques - Guidelines for the use and management of

Trusted Third Party services

‰

IS0 15489-1 :2001 Information and documentation -

Records management - Part 1 : General

‰

IS0 10007:2003 Quality management systems - Guidelines

for configuration management

‰

ISO/IEC 12207: 1995 Information technology - Software life

cycle processes

‰

IS0 19011 :2002 Guidelines for quality and/or

environmental management systems auditing

Bibliografia 4

‰

OECD Guidelines for the Security of Information Systems
and Networks: 'Towards a Culture of Security', 2002

‰

OECD Guidelines for Cryptography Policy, 1997

‰

IEEE P1363-2000: Standard Specifications for Public-Key
Cryptography

‰

ISO/IEC 18028-4 Information technology - Security
techniques - IT Network security - Part 4: Securing remote
access

‰

ISO/IEC TR 18044 Information technology - Security
techniques - Information security incident management

Bezpieczenstwo teleinformatycze

WAT

2007-03-28

(c) B.Sz

Strona 10 z 10