Zarządzanie
bezpieczeństwem
informacji
Zarządzanie
bezpieczeństwem
informacji
Literatura przedmiotu
A. Grzywak: Bezpieczeństwo systemów
komputerowych i telekomunikacyjnych.
Wydawnictwo SOTEL, Chorzów 1999.
B. Schneier: Kryptografia dla praktyków -
protokoły, algorytmy i programy źródłowe w
języku C. Wydawnictwa Naukowo-Techniczne,
Warszawa 2002.
J. Stokłosa (red.): Ochrona danych i
zabezpieczenia
w systemach teleinformatycznych. Wydawnictwo
Politechniki Poznańskiej, Poznań 2003.
Literatura przedmiotu
Białas A.: Bezpieczeństwo informacji i usług
w nowoczesnej instytucji i firmie. WNT,
Warszawa 2007.
Łuczak J.: Systemowe zarządzanie
bezpieczeństwem informacji iso 27001.
Wydawnictwo UE w Poznaniu, Poznań 2010.
Stallings W.: Kryptografia i bezpieczeństwo
sieci komputerowych. Koncepcje i metody
bezpiecznej komunikacji. Wydawnictwo
Helion Gliwice 2012.
Zarządzanie bezpieczeństwem
informacji
Zarządzanie bezpieczeństwem
informacji
Informacja
– jeden z podstawowych zasobów
organizacji, posiada wartość ekonomiczną
Ochrona informacji
– zagadnienie zarządcze
i organizacyjne, a nie tylko techniczne
Reguły ogólne
– jak każda inna dziedzina
zarządzania – cel, plany, polityki, instrumenty
kontroli i oceny, rachunek kosztów i ryzyka,
programy utrzymania dotychczasowych
wyników oraz ciągłej poprawy
Dlaczego należy
zarządzać bezpieczeństwem informacji?
Konsekwencje naruszenia
poszczególnych aspektów
bezpieczeństwa informacji
Poufność
- przeciek do konkurencji,
utrata zaufania kontrahentów
Integralność
- bałagan organizacyjny,
przesyłanie nieaktualnych informacji
Dostępność
- niewłaściwe decyzje
Konsekwencje utraty
bezpieczeństwa informacji
Naruszenie prawa
Utrata zaufania kontrahentów
Utrata konkurencyjności
Konkretne straty finansowe
Dlaczego należy
zarządzać bezpieczeństwem informacji?
Regulacje prawne
Naruszenie prawa
Wymagania stawiane w szczególności przez
ustawy
Ustawa o ochronie informacji niejawnych
Ustawa o ochronie danych osobowych
Ustawa o ochronie baz danych
Ustawa o rachunkowości
Ustawa o prawie autorskim i prawach pokrewnych
Prawo bankowe
Prawo o publicznym obrocie papierami wartościowymi
...
Standardy bezpieczeństwa
Przesłanki tworzenia standardów
Korzystanie z doświadczeń innych
organizacji
Katalogi najlepszych praktyk
Ujednolicenie na arenie międzynarodowej
Zdobywanie zaufania kontrahentów
Możliwość dokonania audytu
Certyfikacja
Standardy bezpieczeństwa
Wyjaśnienie skrótów
ISO – Międzynarodowa Organizacja
Normalizacyjna
IEC – Międzynarodowy Komitet Elektrotechniczny
JTC1 – Połączony Komitet Techniczny
SC27 – Podkomitet JTC1 „Techniki
bezpieczeństwa systemów informatycznych
PKN – Polski Komitet Normalizacyjny
ISMS – (Information Security Management
System) – System Zarządzania
Bezpieczeństwem Informacji
Standardy bezpieczeństwa
Oficjalne
Tworzone przez organizacje
standaryzacyjne
Międzynarodowe np. ISO, IEC
Regionalne np. CEN, ETSI, NAFTA
Krajowe np. PKN
Pozostałe
Zalecenia firm, organizacji i stowarzyszeń
branżowych, rozwiązania powszechnie
stosowane przez firmy
Standardy bezpieczeństwa
Polskie Normy
Przeznaczone są do stosowania w Polsce
Stosowanie norm jest dobrowolne
Niektóre wprowadzone odrębnymi
przepisami do obowiązkowego stosowania
Od czasu przystąpienia Polski do Unii
Europejskiej tworzone przede wszystkim
na podstawie tłumaczenia
i zatwierdzania norm europejskich i
światowych
Standardy bezpieczeństwa
Polskie normy w zakresie bezpieczeństwa
PN-I-02000:1998 Technika informatyczna –
Zabezpieczenia w systemach informatycznych -
Terminologia
PN -I- 13335 – 1
–
Technika Informatyczna –
Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych – Pojęcia i modele zabezpieczeń
systemów informatycznych
PN -I- 13335 – 2
–
Technika Informatyczna –
Planowanie i zarządzanie bezpieczeństwem systemów
informatycznych
PN-ISO/IEC 17799:2003 Technika informatyczna –
Praktyczne zasady zarządzania bezpieczeństwem
informacji
Standardy bezpieczeństwa
Przykładowe normy i standardy na
podstawie których dokonuje się audytu
bezpieczeństwa
BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem
informacji. Specyfikacja i wytyczne do stosowania”
PN-I-07799-2:2005 „Systemy zarządzania bezpieczeństwem
informacji. Specyfikacja i wytyczne do stosowania”
ISO/IEC 17799:2005 „Technika informatyczna. Praktyczne
zasady zarządzania bezpieczeństwem informacji”
ISO/IEC 27001:2005 „Technologie informacyjne. Techniki
zabezpieczeń. Systemy zarządzania bezpieczeństwem
informacji. Wymagania”
PN-I-13335-1:1999 „Technika informatyczna. Wytyczne do
zarządzania bezpieczeństwem systemów informatycznych.
Pojęcia i modele bezpieczeństwa systemów informatycznych”
Standardy bezpieczeństwa
Przykładowe normy i standardy na
podstawie których dokonuje się audytu
bezpieczeństwa
ISO/IEC/TR 13335-2:2003 „Planowanie i zarządzanie
bezpieczeństwem systemów informatycznych”
ISO/IEC/TR 13335-3:2003 „Techniki zarządzania
bezpieczeństwem systemów informatycznych”
ISO/IEC/TR 13335-4:2000 „Wybór zabezpieczeń”
ISO/IEC/WD 13335-5:2001 „Zabezpieczenie dla
połączeń z sieciami zewnętrznymi”
ISO/IEC 15408-1 „Technologie informacyjne. Techniki
zabezpieczeń. Kryteria oceny bezpieczeństwa
informacji. Wprowadzenie i model podstawowy”
Standardy bezpieczeństwa
Przykładowe normy i standardy na
podstawie których dokonuje się audytu
bezpieczeństwa
ISO/IEC 15408-2 „Technologie informacyjne. Techniki
zabezpieczeń. Kryteria oceny bezpieczeństwa informacji.
Wymagania bezpieczeństwa funkcjonalnego”
ISO/IEC 15408-3 „Technologie informacyjne. Techniki
zabezpieczeń. Kryteria oceny bezpieczeństwa informacji.
Wymagania zapewnienia bezpieczeństwa”
PN-ISO/IEC 9798-3:2002 „Technika informatyczna.
Techniki zabezpieczeń. Uwierzytelnianie podmiotów. Część
3: Mechanizmy stosujące techniki podpisu cyfrowego”
PN-EN 60950:2002 „Bezpieczeństwo urządzeń techniki
informatycznej”
PN-EN 60950-1:2005 „Urządzenia techniki informatycznej.
Bezpieczeństwo. Część 1: Wymagania podstawowe”
Standardy bezpieczeństwa
Przykładowe normy i standardy na podstawie których
dokonuje się audytu bezpieczeństwa
PN-EN 60950-21:2005 „Urządzenia techniki
informatycznej. Bezpieczeństwo. Część 21: Zdalne
zasilanie”
PN-92/T-20001.02 „Systemy przetwarzania informacji.
Współdziałanie systemów otwartych (OSI). Podstawowy
model odniesienia. Architektura zabezpieczeń”
PN-ISO/IEC 13888-1:1999 „Technika informatyczna.
Techniki zabezpieczeń. Niezaprzeczalność. Model
ogólny”
PN-ISO/IEC 13888-1:1999 „Technika informatyczna.
Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy
wykorzystujące techniki symetryczne”
PN-ISO/IEC 13888-1:1999 „Technika informatyczna.
Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy
wykorzystujące techniki asymetryczne”
Standardy bezpieczeństwa
Przykładowe normy i standardy na podstawie których
dokonuje się audytu bezpieczeństwa
PN-ISO/IEC 10118-2:1996 „Technika informatyczna.
Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu
wykorzystujące n-bitowy algorytm szyfrowania blokowego”
PN-ISO/IEC 10118-3:1999 „Technika informatyczna.
Techniki zabezpieczeń. Funkcje skrótu. Dedykowane funkcje
skrótu”
PN-ISO/IEC 10118-4:2001 „Technika informatyczna.
Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu
wykorzystujące arytmetykę modularną”
PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia
w systemach informatycznych. Terminologia”
PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania
systemów zarządzania jakością i/lub zarządzania
środowiskowego”
Standardy bezpieczeństwa
Przykładowe normy i standardy na podstawie których
dokonuje się audytu bezpieczeństwa
BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem
informacji. Specyfikacja i wytyczne do stosowania”
PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia
w systemach informatycznych. Terminologia”
PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania
systemów zarządzania jakością i/lub zarządzania
środowiskowego”
BS 15000:2002 „Wymagania do zarządzania usługami IT”
PD 3000 Complete Kit „Przewodnik zarządzania
bezpieczeństwem informacji”
PAS 56 „Zarządzanie ciągłością działania”
COBIT „Control Objectives for Information and Related
Technologies”
Standardy bezpieczeństwa
Raport techniczny ISO/IEC TR 13335
Standardy BS 7799
ISO/IEC 17799
PN – ISO/IEC 17799
PN – I – 07799-2
Rodzina norm ISO/IEC 2700x
Standardy bezpieczeństwa
Współpraca ISO oraz IEC w ramach
Połączonego Komitetu Technicznego
JTC1
Podkomitet SC 27 – technologia i metodyka
zabezpieczeń
Raport techniczny ISO/IEC TR
13335
Guidelines for the Management of IT
Security (GMITS)
składa się z pięciu części
pierwsza część – od 1999r. - polska norma
PN-I 13335-1
druga część – od 2003r. - polska norma
PN-I 13335-2
przeznaczony dla działów informatyki
dotyczy zagadnień technicznych,
a nie rozwiązań organizacyjnych
Raport techniczny ISO/IEC TR
13335
ISO/IEC/TR 13335-1 / PN-I-13335-1:
Wytyczne do zarządzania
bezpieczeństwem systemów
informatycznych:
terminologia, związki między pojęciami
podstawowe modele
Raport techniczny ISO/IEC TR
13335
Relacje w modelu bezpieczeństwa
ZAGROŻENIA
ZABEZPIECZENIA
WYMAGANIA
RYZYKO
PODATNOŚCI
ZASOBY
WARTOŚCI
wykorzystują
niwelują
realizowane są przez
cechują
posiadają
zwiększają
analizowane wskazuje
zwiększają
zwiększają
Raport techniczny ISO/IEC TR
13335
ISO/IEC/TR 13335-2 / PN-I-13335-
2:
Planowanie i zarządzanie
bezpieczeństwem systemów IT
różne podejścia do prowadzenia analizy
ryzyka
plany zabezpieczeń
znaczenie szkoleń i działań
uświadamiających
stanowiska pracy w instytucji związane z
bezpieczeństwem
Raport techniczny ISO/IEC TR
13335
ISO/IEC/TR 13335-3:
Techniki zarządzania bezpieczeństwem
systemów informatycznych:
formułowanie trójpoziomowej polityki
bezpieczeństwa
rozwinięcie problematyki analizy ryzyka
rozwinięcie problematyki implementacji
planu zabezpieczeń
reagowanie na incydenty
Raport techniczny ISO/IEC TR
13335
ISO/IEC/TR 13335-4:
Wybór zabezpieczeń:
klasyfikacja i charakterystyka różnych form
zabezpieczeń
dobór zabezpieczeń ze względu na rodzaj
zagrożenia
i rodzaj systemu
Raport techniczny ISO/IEC TR
13335
ISO/IEC/WD 13335-5:
Zabezpieczenie dla połączeń z sieciami
zewnętrznymi:
dobór zabezpieczeń stosowanych do ochrony
styku systemu
z siecią zewnętrzną
Standardy BS 7799
Brytyjski standard opracowany przez
BSI
(British Standards Institution) w 1998r.
W składzie zespołu weszło wielu
przedstawicieli brytyjskich organizacji
oraz firm konsultingowych
i przemysłowych
Standardy BS 7799
Dokument – 2 części:
BS 7799-1:1999 - kodeks praktyki, katalog
zagadnień, jakie należy realizować dla potrzeb
bezpieczeństwa informacji (Code of practice
for Information Security Management)
BS 7799-2:1999 - specyfikacja dla systemów
zarządzania bezpieczeństwem informacji (ISMS
- Information Security Management System)
Standardy BS 7799
BS 7799-1 → ISO/IEC 17799 → PN –
ISO/IEC 17799
BS 7799-2 → PN – I-
07799-2
Standardy BS 7799
BS 7799-1:1999
Katalog zabezpieczeń - 127 punktów kontroli
bezpieczeństwa informacji
Zabezpieczenia podzielone na 10 rozdziałów -
zakresów
Dotyczy wszystkich form informacji
Uwzględnia najnowsze sposoby prowadzenia
działalności
Użytkownicy mogą wybrać najwłaściwsze
zabezpieczenia ze względu na specyfikę
prowadzonej działalności
Dobór na podstawie analizy ryzyka
Standardy BS 7799
BS 7799-1 – 10 zakresów:
01. Polityka bezpieczeństwa
02. Organizacja bezpieczeństwa
03. Klasyfikacja i kontrola aktywów
04. Bezpieczeństwo osobowe
05. Bezpieczeństwo fizyczne i środowiskowe
06. Zarządzanie systemami i sieciami
07. Kontrola dostępu do systemu
08. Rozwój i utrzymanie systemu
09. Zarządzanie ciągłością działania
10. Zgodność
Standardy BS 7799
BS 7799-1 – 10 zakresów:
Polityka bezpieczeństwa
Polityka bezpieczeństwa informacji
Organizacja bezpieczeństwa
Infrastruktura bezpieczeństwa informacji
Bezpieczeństwo dostępu osób trzecich
Zlecanie przetwarzania na zewnątrz
Standardy BS 7799
BS 7799-1 – 10 zakresów:
Klasyfikacja i kontrola aktywów
Rozliczalność aktywów
Klasyfikacja informacji
Bezpieczeństwo osobowe
Bezpieczeństwo przy określaniu zakresów
obowiązków
i zarządzaniu zasobami ludzkimi
Szkolenie użytkowników
Reagowanie na naruszanie bezpieczeństwa
i niewłaściwe funkcjonowanie systemu
Standardy BS 7799
BS 7799-1 – 10 zakresów:
Bezpieczeństwo fizyczne i
środowiskowe
Obszary bezpieczne
Zabezpieczanie sprzętu
Ogólne zabezpieczenia
Standardy BS 7799
BS 7799-1 – 10 zakresów:
Zarządzanie systemami i sieciami
(bezpieczeństwo operacyjne)
Procedury eksploatacji i zakresy
odpowiedzialności
Planowanie i odbiór systemu
Ochrona przed złośliwym oprogramowaniem
Procedury wewnętrzne
Zarządzanie sieciami
Postępowanie z nośnikami i ich bezpieczeństwo
Wymiana danych i oprogramowania
Standardy BS 7799
BS 7799-1 – 10 zakresów:
Kontrola dostępu do systemu
Potrzeby biznesowe związane z dostępem do
systemu
Zarządzanie dostępem użytkowników
Zakres odpowiedzialności użytkowników
Kontrola dostępu do sieci
Kontrola dostępu do systemów operacyjnych
Kontrola dostępu do aplikacji
Monitorowanie dostępu do systemu i jego użycia
Komputery przenośne i praca na odległość
Standardy BS 7799
BS 7799-1 – 10 zakresów:
Rozwój i utrzymanie systemu
Wymagania bezpieczeństwa systemów
Bezpieczeństwo systemów aplikacji
Zabezpieczenia kryptograficzne
Bezpieczeństwo plików systemowych
Bezpieczeństwo w procesach rozwojowych i
obsługi informatycznej
Standardy BS 7799
BS 7799-1 – 10 zakresów:
Zarządzanie ciągłością działania
Aspekty zarządzania ciągłością działania
Zgodność
Zgodność z przepisami prawa
Przeglądy polityki bezpieczeństwa i zgodności
technicznej
Rozważania dotyczące audytu systemu
Standardy BS 7799
BS 7799-1
luty 2000r. zgłoszony do organizacji ISO, jako
podstawa ustanowienia międzynarodowego
standardu zarządzania bezpieczeństwem
informacji
sierpień 2000r. - po uproszczonym procesie
legalizacji nadany został mu numer ISO/IEC
17799:2000
rozpoczęcie prac wkrótce po przyjęciu ISO/IEC
17799
czerwiec 2005r. – publikacja ISO/IEC 17799 2.
wydanie
Standardy BS 7799
Zmiany w ISO/IEC 17799 2.
wydanie
ok. 5000 zmian merytorycznych w
porównaniu
z 1. wydaniem
bardziej logiczna struktura dokumentu
uwzględnienie zmian technologicznych
wyeliminowanie błędów i pominięć
Standardy BS 7799
BS 7799-2:1999
Wytyczne, w jaki sposób zaprojektować,
wdrożyć i poddać certyfikacji system
zarządzania bezpieczeństwem informacji
6 etapów budowy systemów zarządzania
bezpieczeństwem informacji (ISMS)
Standardy BS 7799
BS 7799-2:1999 – etapy budowy
ISMS
1.
Określenie polityki bezpieczeństwa
2.
Określenie zakresu objętego systemem ISMS
3.
Przeprowadzenie oceny ryzyka
4.
Zarządzanie ryzykiem
5.
Wybór celów zabezpieczeń i punktów
kontrolnych
6.
Deklaracja stosowania
Standardy BS 7799
BS 7799-2:2002
2002r. – nowe wydanie normy BS 7799-2
Starsza wersja utraciła ważność
Normę znacznie rozszerzono
Zapewniono zgodność z normami zarządzania
jakością EN ISO 9001 i środowiskiem EN ISO
14001
Precyzyjna definicja ISMS
Standardy BS 7799
BS 7799-2:2002
System zarządzania bezpieczeństwem
informacji:
część całościowego systemu zarządzania
instytucji, oparta na podejściu wynikającym z
ryzyka biznesowego i odnosząca się do
ustanowienia, wdrażania, monitorowania,
utrzymywania oraz doskonalenia bezpieczeństwa
informacji
Standardy BS 7799
Jasne przesłanki doboru
zabezpieczeń:
Decyzje o zastosowaniu zabezpieczeń
muszą być podejmowane na podstawie
analizy ryzyka
Cel nadrzędny – ciągłość działania instytucji
Zabezpieczenia muszą odpowiadać
specyfice organizacji
Standardy BS 7799
System powinien sam się
naprawiać:
Zdolność do wykrywania błędów
Eliminowanie błędów
Modyfikacja systemu - udoskonalanie
Odpowiednie procedury
Standardy BS 7799
BS 7799-2:2002
Schemat zarządzania:
PDCA
PLAN – DO – CHECK – ACT
PLANUJ – WYKONAJ – SPRAWDZAJ – DZIAŁAJ
Standardy BS 7799
BS 7799-2:2002 - PN – I- 07799-2
Planuj:
„Ustanowienie polityki bezpieczeństwa,
cele, zakres stosowania, procesy i
procedury odpowiadające zarządzaniu
ryzykiem oraz zwiększające
bezpieczeństwo informacji, tak aby
uzyskać wyniki zgodne z ogólnymi
zasadami i celami instytucji”
Standardy BS 7799
BS 7799-2:2002 - PN – I- 07799-2
Wykonuj:
„Wdrożenie i eksploatacja polityki
bezpieczeństwa, zabezpieczeń, procesów i
procedur”
Standardy BS 7799
BS 7799-2:2002 - PN – I- 07799-2
Sprawdzaj:
„Szacowanie oraz tam, gdzie ma
zastosowanie, pomiar wykonania
procesów w odniesieniu do polityki
bezpieczeństwa, cele i praktyczne
doświadczenia oraz przekazywanie
kierownictwu wyników przeglądu”
Standardy BS 7799
BS 7799-2:2002 - PN – I- 07799-2
Działaj:
„Podejmowanie działań korygujących i
prewencyjnych w oparciu o wyniki
przeglądu realizowanego przez
kierownictwo, tak aby osiągnąć stałe
doskonalenie ISMS”
Standardy BS 7799
BS 7799-2:2002 - PN – I- 07799-2
Planuj
Zakres ISMS
Polityka ISMS
Podejście do oceny ryzyka
Identyfikacja ryzyka
Oszacowanie ryzyka
Postępowanie z ryzykiem
Wybór celów i punktów kontroli
Deklaracja stosowania
Aprobata kierownictwa
Standardy BS 7799
Zakres ISMS
Wdrażanie systemu należy rozpocząć się od
zdefiniowania zakresu jakiego system
będzie dotyczyć
Czy ma on obejmować całą organizację?
Jakich obszarów logicznych i fizycznych ma
dotyczyć ?
Standardy BS 7799
Polityka ISMS
Ogólny dokument (a nie książka)
Wymagania biznesowe i prawne danej
organizacji
Kryteria szacowania ryzyka
Struktura organizacyjna
Musi zostać zaakceptowany przez
kierownictwo
Standardy BS 7799
Ryzyko
Zdefiniowanie procesu analizy ryzyka
Wyznaczenie kryteriów akceptowania
ryzyka
Przeprowadzenie analizy ryzyka
Nie narzucono konkretnej metody analizy
Proces musi być opisany
Proces musi być powtarzalny
Standardy BS 7799
Analiza ryzyka
Określenie aktywów
inwentaryzacja informacji, wyposażenia,
oprogramowania, usług
Zidentyfikowanie zagrożeń
np. atak hakerów, kradzież tożsamości, podsłuch, etc.
Zidentyfikowanie podatności
np. brak kopii zapasowych, nieprzeszkolony personel,
etc.
Określenie skutków wykorzystania podatności
przez zagrożenia
Standardy BS 7799
Postępowanie z ryzykiem
Na podstawie analizy podejmuje się decyzję
co z robić z każdym ze zidentyfikowanych
ryzyk
Możliwości:
zastosowanie zabezpieczeń
przeniesienie ryzyka np. na ubezpieczyciela
unikanie ryzyka
zaakceptowanie ryzyka
Podstawowy cel: ciągłość działania
organizacji
Standardy BS 7799
Wybór celów i punktów kontroli
wybór wymagań według których należy
zbudować system zarządzania
bezpieczeństwem informacji
Standardy BS 7799
Deklaracja stosowania
uzasadnienie wyboru wymagań
sposób implementacji każdego wymagania
dokumentowanie
Standardy BS 7799
Akceptacja kierownictwa
kończy etap ustanawiania systemu
zarządzania bezpieczeństwem informacji
zaangażowanie kierownictwa ważne z
punktu widzenia normy – poświęcono mu
cały rozdział 5
Standardy BS 7799
BS 7799-2:2002
Wykonaj
Plan postępowania z ryzykiem
Implementacja planu postępowania z ryzykiem
Implementacja wymagań
Szkolenia i uświadamianie
Zarządzanie działaniami
Zarządzanie zasobami
Zarządzanie incydentami
Standardy BS 7799
BS 7799-2:2002
Sprawdzaj
Prowadzenie monitoringu
Przeglądy efektywności ISMS
Przeglądy ryzyka szczątkowego i akceptowanego
Wewnętrzne audyty ISMS
Przeglądy ISMS przez zarząd
Rejestracja istotnych działań i zdarzeń
Standardy BS 7799
BS 7799-2:2002
Działaj
Implementacja udoskonaleń
Działania korygujące, wyciąganie wniosków,
wymiana doświadczeń
Informowanie o podejmowanych działaniach,
uzgadnianie
Weryfikacja udoskonaleń
Rodzina norm ISO/IEC 2700x
ISO 27000 - słownictwo i terminologia
ISO 27001 - odpowiednik BS 7799 - 2,
specyfikacja systemów zarządzania
bezpieczeństwem informacji
ISO 27002 – ma zastąpić ISO
17799:2005
w kwietniu 2007r., praktyczne zasady
zarządzania bezpieczeństwem, zestawia
zabezpieczenia
i najlepsze praktyki
Rodzina norm ISO IEC 2700x
ISO 27003 – wytyczne dla
implementacji.
ISO 27004 – zarządzanie
bezpieczeństwem informacji -
wskaźniki i pomiary – nowe
uregulowanie
ISO 27005 - zarządzanie ryzykiem
bezpieczeństwa informacji –
opublikowana w grudniu 2005
Rodzina norm ISO/IEC 2700x
ISO/IEC 27001:
opublikowany 15 października 2005r.
zastępuje BS 7799 – 2:2002
nadal oparty na modelu PDCA
duży nacisk na zarządzanie ryzykiem
(obowiązkowe)
ciągły proces doskonalenia systemu
podstawy audytu zewnętrznego i
certyfikacji
Rodzina norm ISO/IEC 2700x
ISO/IEC 27001 a ISO/IEC 17799
(aneks)
Systemy bezpieczeństwa informacji
ISO/IEC 17799 – wytyczne
ISO/IEC 27001 – wymagania, służy do
certyfikacji
ISO 27001
Norma przygotowana dla potrzeb
dostarczenia modelu dla
ustanowienia, wdrażania, stosowania,
monitorowania, przeglądania,
utrzymywania i doskonalenia
Systemu Zarządzania
Bezpieczeństwem Informacji
ISO 27001
Norma może być wykorzystana w
celu oceny zgodności przez:
komórki wewnętrzne
organizacje zewnętrzne
ISO 27001
Norma przyjmuje
podejście procesowe
dla:
Ustanawiania
Wdrażania
Monitorowania
Doskonalenia
Systemu Zarządzania Bezpieczeństwem
Informacji
ISO 27001
Podejście procesowe do SZBI
dotyka:
Zrozumienia potrzeby ustanowienia
polityki i celów
Stosowanych zabezpieczeń
Monitorowania wydajności i
efektywności
Stałego doskonalenia
ISO 27001
Podejście procesowe do SZBI
Wymóg vs. oczekiwanie
Wymóg
: naruszenie bezpieczeństwa nie
może przysporzyć szkód finansowych
Oczekiwanie
: w przypadku wystąpienia
poważnego incydentu, będzie można
stosować odpowiednie procedury celem
minimalizacji skutków
ISO 27001
Podejście procesowe do SZBI
Planuj
– ustanowienie polityki bezpieczeństwa,
celów, zakresów stosowania procesów i procedur
odpowiednich dla zarządzania ryzykiem
Wykonuj
– wdrożenie polityki bezpieczeństwa
Sprawdzaj
– szacowanie oraz pomiar wykonania
procesów w odniesieniu do polityki
bezpieczeństwa
Działaj
– podejmowanie działań korygujących
i prewencyjnych na podstawie wyników audytów
wewnętrznych i innych źródeł
ISO 27001 – terminy i definicje
Aktywa
Wszystko co posiada wartość dla
organizacji
ISO 27001 – terminy i definicje
Dostępność
Zapewnienie, że informacja jest dostępna
przez upoważnioną jednostkę
Poufność
Zapewnienie, że informacja jest dostępna
tylko dla upoważnionych do tego jednostek
Integralność
Zapewnienie ochrony kompletności
informacji
ISO 27001 – terminy i definicje
Bezpieczeństwo informacji
Zachowanie poufności, integralności i dostępności
informacji oraz innych właściwości
Zdarzenie związane z bezpieczeństwem
informacji
Wystąpienie pewnego stanu systemu (usługi,
sieci) wskazujące na prawdopodobne naruszenie
polityki bezpieczeństwa lub awarie zabezpieczeń,
lub też wcześniej nie znanej sytuacji, mogącej być
istotną ze względów bezpieczeństwa
ISO 27001 – terminy i definicje
Incydent związany z bezpieczeństwem
informacji
Pojedyncze (lub nie) niespodziewane wydarzenie,
które może zagrażać realizacji działań oraz stanowić
zagrożenie dla bezpieczeństwa informacji
System zarządzania bezpieczeństwem
informacji
To część całościowego systemu zarządzania
odnosząca się do ustanawiania, … i udoskonalania
bezpieczeństwa informacji
ISO 27001 – terminy i definicje
Ryzyko
Prawdopodobieństwo tego, że określone
zagrożenie wykorzysta słabość zasobu
(grupy zasobów) w celu spowodowania
strat
ISO 27001 – terminy i definicje
Analiza ryzyka
Określenie źródeł ryzyka
Szacowanie ryzyka
Określenie wielkości ryzyka
Ocena ryzyka
Wyznaczanie wagi ryzyka
Postępowanie z ryzykiem
Wdrożenie środków modyfikujących ryzyko
ISO 27001 – terminy i definicje
Deklaracja stosowania
Dokument, w którym opisano cele
stosowania zabezpieczeń oraz
zabezpieczenia, które mają zastosowanie
w SZBI danej organizacji
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.5. Polityka bezpieczeństwa
Dokument polityki bezpieczeństwa
informacji
Przegląd informacji polityki bezpieczeństw
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.6. Organizacja bezpieczeństwa
informacji
Zaangażowanie kierownictwa w
bezpieczeństwo informacji
Koordynacja bezpieczeństwa informacji
Przypisywanie obowiązków związanych z
bezpieczeństwem informacji
Proces uwierzytelniania urządzeń służących do
przetwarzania informacji
Umowy o poufności
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.6. Organizacja bezpieczeństwa informacji
Kontakty z władzami
Kontakty z grupami zainteresowania
Niezależny przegląd bezpieczeństwa informacji
Identyfikacja ryzyka wynikającego z dostępu osób
trzecich
Kwestia bezpieczeństwa podczas kontaktów z
klientami
Kwestia bezpieczeństwa w umowach z osobami
trzecimi
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.7. Zarządzanie aktywami
Inwentaryzacja aktywów
Własność aktywów
Możliwe do zaakceptowania korzystanie z
aktywów
Wytyczne do klasyfikacji informacji
Oznaczanie i postępowanie z informacją
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.8. Bezpieczeństwo osobowe
Przed zatrudnieniem
Role i odpowiedzialności
Sprawdzanie podczas naboru
Zasady i warunki zatrudnienia
Podczas zatrudnienia
Odpowiedzialność kierownictwa
Świadomość, edukacja i szkolenia dotyczące
bezpieczeństwa informacji
Postępowanie dyscyplinarne
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.8. Bezpieczeństwo osobowe
Po zakończeniu (zmianie) zatrudnienia
Odpowiedzialność związane z zakończeniem
zatrudnienia
Zwrot aktywów
Odebranie praw dostępu
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.9. Bezpieczeństwo fizyczne i
środowiskowe
Granice bezpieczeństwa fizycznego
Fizyczne zabezpieczenie wejścia
Zabezpieczenie biur, pomieszczeń i urządzeń
Ochrona przed zagrożeniami zewnętrznymi
środowiskowymi
Praca w obszarach bezpiecznych
Publiczny dostęp – obszary dostaw i załadunku
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.9. Bezpieczeństwo fizyczne i
środowiskowe
Rozmieszczenie sprzętu i jego ochrona
Podtrzymywanie zasilania
Bezpieczeństwo okablowania
Utrzymanie sprzętu
Zabezpieczenie sprzętu poza siedzibą
Bezpieczne usuwanie lub ponowne użycie sprzętu
Wynoszenie mienia
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.10. Zarządzanie komunikacją
Dokumentowanie procedur stosowania
Zarządzanie zmianami
Podział obowiązków
Rozdział urządzeń testujących i operacyjnych
Usługi dostawcy
Monitorowanie i przegląd usług świadczonych
przez strony 3
Zarządzanie zmianami w usługach świadczonych
przez s. 3
Zarządzanie wydajnością
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.10. Zarządzanie komunikacją
Akceptacja systemu
Ochrona przed szkodliwym oprogramowaniem
Ochrona przed mobilnym oprogramowaniem
Archiwizacja informacji
Zabezpieczenie sieci
Bezpieczeństwo usług sieciowych
Zarządzanie wymiennymi nośnikami
komputerowymi
Niszczenie nośników
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.10. Zarządzanie komunikacją
Procedury postępowania z informacją
Bezpieczeństwo dokumentacji systemu
Polityka i procedury wymiany informacji
Umowy dotyczące wymiany
Transport nośników fizycznych
Przesyłanie poczty elektronicznej
Systemy informacji dotyczące biznesu
Handel elektroniczny
Transakcje on-line
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.10. Zarządzanie komunikacją
Informacje dostępne publicznie
Rejestry audytów
Korzystanie z systemu monitoringu
Ochrona informacji zawartych w rejestrach
Rejestry administratora i operatora
Rejestry błędów
Synchronizacja zegarów
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.11. Kontrola dostępu
Polityka kontroli dostępu
Rejestracja użytkowników
Zarządzanie przywilejami
Zarządzanie hasłami
Przegląd praw dostępu
Używanie haseł
Pozostawienie sprzętu użytkownika bez opieki
Polityka czystego biurka i czystego ekranu
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.11. Kontrola dostępu
Polityka korzystania z usług sieciowych
Uwierzytelnianie użytkowników przy
połączeniach zewn.
Identyfikacja sprzętu w sieci
Ochrona zdalnych portów diagnostycznych
Rozdzielanie sieci
Kontrola połączeń sieciowych
Kontrola dróg połączeń w sieciach
Bezpieczne procedury rejestracji
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.11. Kontrola dostępu
Identyfikacja i potwierdzenie tożsamości klienta
System zarządzania hasłami
Użycie systemowych programów narzędziowych
Upłynięcie czasu sesji
Ograniczenie czasu trwania połączenia
Ograniczenie dostępu do informacji
Izolowanie systemów wrażliwych
Komputery przenośne i komunikacja oraz praca
na odległość
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych
Analiza i specyfikacja wymagań
bezpieczeństwa
Potwierdzenie ważności danych wejściowych
Kontrola wewnętrznego przetwarzania
Integralność wiadomości
Walidacja danych wyjściowych
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych
Polityka używania zabezpieczeń
kryptograficznych
Zarządzanie kluczami
Kontrola oprogramowania operacyjnego
Ochrona systemowych danych testowych
Kontrola dostępu do kodu źródłowego programu
Procedury kontroli zmian
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych
Techniczny przegląd aplikacji po zmianach w
OS
Ograniczenia dotyczące zmian w pakietach
oprogramowania
Przeciek informacji
Prace rozwojowe nad oprogramowaniem
powierzone firmie zewnętrznej
Kontrola podatności technicznych
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.13. Zarządzanie wydarzeniami
Raportowanie wydarzeń związanych z
bezpieczeństwem informacji (kiedy, komu ?)
Raportowanie słabych punktów
(kontrahenci)
Zakres odpowiedzialności (kierownictwa)
Nauka z incydentów związanych z
bezpieczeństwem
Gromadzenie dowodów
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.14. Zarządzanie ciągłością działania
Proces BCM
Ciągłość działania a szacowanie ryzyka (BIA)
Tworzenie planów ciągłości działania
Struktura planowania ciągłości działania
(zgodność)
Ocena planów ciągłości działania
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.15. Zgodność z przepisami prawa
Określenie odpowiednich przepisów prawa
Prawo do własności intelektualnej
Zabezpieczanie zapisów organizacji
Ochrona danych osobowych
Zapobieganie nadużywaniu urządzeń
przetwarzających informacje
ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia
A.15. Zgodność z przepisami prawa
Regulacje dotyczące zabezpieczeń
kryptograficznych
Zgodność z politykami bezpieczeństwa
Sprawdzanie zgodności technicznej
Zabezpieczenie audytu systemu (stabilność
SO)
Ochrona narzędzi audytu systemu (dostęp)
Dyskusja
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI
Wdrożenie i stosowanie SZBI
Monitorowanie i przegląd SZBI
Utrzymanie i doskonalenie SZBI
Dokumentacja SZBI
Nadzór nad dokumentami i zapisami
System zarządzania
bezpieczeństwem informacji (Do)
Odpowiedzialność kierownictwa
Zaangażowanie kierownictwa
Zarządzanie zasobami
Zapewnienie zasobów
Szkolenie, uświadamianie i kompetencje
System zarządzania
bezpieczeństwem informacji
(Check)
Wewnętrzne audyty SZBI
Przegląd zarządu SZBI
System zarządzania
bezpieczeństwem informacji (Act)
Doskonalenie SZBI
Działania korygujące
Działania prewencyjne
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI
Ustalić zakres i granice SZBI
Określić podejście do oceny ryzyka
Wskazać metodę oceny ryzyka
Wyznaczyć kryteria akceptowania
ryzyka
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI (cd.)
Określić ryzyka
Aktywa i ich właściciele
Zagrożenia dla aktywów
Podatności
Skutki (w przypadku utraty CIA)
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI (cd.)
Analiza i ocena ryzyka
Ocenić szkody biznesowe
Ocenić realne prawdopodobieństwa
naruszenia bezpieczeństwa
Ocenić poziomy ryzyk
Stwierdzić czy ryzyko jest akceptowalne
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI (cd.)
Analiza i ocena ryzyka
Zidentyfikować warianty postępowania z
ryzykiem
Zastosowanie zabezpieczeń
Zaakceptowanie ryzyk w sposób świadomy
Unikanie ryzyk
Transfer ryzyka
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI (cd.)
Wybrać cele stosowania
zabezpieczeń oraz zabezpieczenia
Wybór z zał. A normy ISO 27001
Nie jest to katalog zamknięty
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI (cd.)
Uzyskać zgodę kierownictwa na ryzyka
Uzyskać poparcie do wdrażania SZBI
Przygotować deklarację stosowania
Cele stosowania zabezpieczeń i zabezpieczenia
do wdrożenia i już wdrożonych
Wyłączenia z listy z zał. A wraz z wyjaśnieniem
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Wdrożenie i stosowanie SZBI
Sformułować plan postępowania z
ryzykiem
Wdrożyć plan postępowania z ryzykiem
w celu osiągnięcia zidentyfikowanych
celów stosowania zabezpieczeń
Wdrożyć zabezpieczenia
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Wdrożenie i stosowanie SZBI
Zdefiniować pomiary efektywności
zabezpieczeń do oceny skuteczności
zabezpieczeń
Wdrożyć programy uświadamiania i szkolenia
Zarządzanie stosowaniem SZBI
Zarządzanie zasobami SZBI
Wdrażać procedury wykrywania i reakcji na
incydenty
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Monitorowanie i przegląd SZBI
Monitorować zabezpieczenia, aby
Wykrywać błędy
Identyfikować naruszenia
bezpieczeństwa
Oceniać czy działania podjęte w celu
usunięcia problemu były skuteczne
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Monitorowanie i przegląd SZBI
Wykonywać regularne przeglądy
skuteczności SZBI biorąc pod uwagę
informacje zwrotne
Mierzyć skuteczność zabezpieczeń
Dokonywać przeglądów oceny ryzyka
Uwzględniać zmiany w organizacji, technologii,
celach biznesowych, procesach, zagrożeniach,
zabezpieczeniach, prawie
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Monitorowanie i przegląd SZBI
Przeprowadzać audyty wewnętrzne ()
Przeprowadzać przeglądy realizowane przez
kierownictwo
Uaktualniać plany dotyczące bezpieczeństwa
uwzględniając wyniki przeglądów
Rejestrować zdarzenia mogące mieć wpływ na
SZBI
System zarządzania
bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Utrzymanie i doskonalenie SZBI
Wdrażać zidentyfikowane udoskonalenia
Podejmować działania
prewencyjne/korekcyjne
Informować o wynikach działań
Zapewniać, że udoskonalenia spełniają
stawiane cele
System zarządzania
bezpieczeństwem informacji (Plan)
Dokumentacja SZBI
Nadzór nad dokumentami i zapisami
Dokumentacja powinna zawierać
Deklaracje polityki i celów SZBI
Zakres SZBI
Procedury służące realizacji SZBI
System zarządzania
bezpieczeństwem informacji (Plan)
Dokumentacja SZBI
Nadzór nad dokumentami i zapisami
Dokumentacja powinna zawierać
Opis metodyki oceny ryzyka
Raport oceny ryzyka
Plan postępowania z ryzykiem
Udokumentowane procedury potrzebne do
zapewnienia efektywnego planowania i
stosowania SZBI
Zapisy wymagane przez normę i deklarację
stosowania
System zarządzania
bezpieczeństwem informacji (Plan)
Dokumentacja SZBI
Nadzór nad dokumentami i zapisami
Nadzór nad dokumentami
Dokumenty powinny być chronione i
nadzorowane
Procedury udokumentowane:
aktualizacji, zapewnienia czytelności dokumentów,
dostępności, zapewnienia najnowszych wersji
zapewnienia, że rozpowszechnianie dokumentów
jest kontrolowane
System zarządzania
bezpieczeństwem informacji (Plan)
Dokumentacja SZBI
Nadzór nad dokumentami i zapisami
Nadzór nad zapisami
Ustanowienie oraz utrzymanie
odpowiednich zapisów
Zapewnienie ochrony, nadzoru zapisów
Zapewnienie czytelności zapisów
Zapisy dot. procesów i incydentów
System zarządzania
bezpieczeństwem informacji (Do)
Odpowiedzialność kierownictwa
Zaangażowanie kierownictwa
Ustanowienie polityki bezpieczeństwa
Zapewnienie, że cele bezpieczeństwa
zostały ustanowione
Określenie ról i zakresów
odpowiedzialności
System zarządzania
bezpieczeństwem informacji (Do)
Odpowiedzialność kierownictwa
Zaangażowanie kierownictwa
Informowanie organizacji o znaczeniu spełnienia
celów bezpieczeństwa informacji i skutkach
prawnych
Zapewnienie wystarczających zasobów dla SZBI
Decydowanie o kryteriach akceptowalności ryzyk
Przeprowadzanie audytów wewnętrznych
i przeglądów zarządu
System zarządzania
bezpieczeństwem informacji (Do)
Odpowiedzialność kierownictwa
Zapewnienie zasobów
Zapewnić zasoby niezbędne do stosowania,
przeglądu, utrzymania i doskonalenia SZBI
Zapewnić zasoby potrzebne do utrzymania
odpowiedniego bezpieczeństwa
Zapewnić zasoby niezbędne do spełnienia
wymagań natury prawnej
System zarządzania
bezpieczeństwem informacji (Do)
Odpowiedzialność kierownictwa
Szkolenie, uświadamianie i kompetencje
Zapewnienie, że cały personel w SZBI
ma stosowne kompetencje
Zdefiniowanie koniecznych kompetencji
Szkolenia i ocenę skuteczności szkoleń
Prowadzenie zapisów dot. edukacji,
szkoleń, umiejętności, doświadczenia,
kwalifikacji
System zarządzania
bezpieczeństwem informacji
(Check)
Wewnętrzne audyty SZBI
Przeglądy SZBI mają na celu określenie
czy cele stosowania zabezpieczeń,
zabezpieczenia, procesy i procedury są
zgodne z normą, prawem
Powinny być realizowane w oczekiwany
sposób
O czasie, o właściwym zakresie, wskazywać
czynności poaudytowe
System zarządzania
bezpieczeństwem informacji
(Check)
Przegląd zarządu SZBI
Przeglądy zarządzania w zaplanowanych
odstępach czasu w celu zapewnienia jego
poprawności, odpowiedzialności i
skuteczności
Dane wejściowe: wyniki audytów, informacje
zwrotne, podatności i zagrożenia, rezultaty
pomiarów skuteczności, działań poprzeglądowych,
zaleceń
Dane wyjściowe: aktualizacja planu postępowania z
ryzykiem, modyfikacja procedur dot.
Bezpieczeństwa i inne
System zarządzania
bezpieczeństwem informacji (Act)
Doskonalenie SZBI
Działania korygujące
Eliminacja przyczyny niezgodności
związanych
z wdrożeniem i stosowaniem SZBI
Identyfikacja niezgodności
Stwierdzenie przyczyny niezgodności
Oceny potrzeby działań
Wskazanie działań, ich udokumentowanie (zapisy)
Przegląd podjętych działań
System zarządzania
bezpieczeństwem informacji (Act)
Doskonalenie SZBI
Działania prewencyjne
Wskazanie działań podejmowanych w celu
ochrony przed potencjalnymi
niezgodnościami
z wymaganiami SZBI
Identyfikacja potencjalnych niezgodności i przyczyn
Ocena potrzeby działań
Wskazanie działań, ich udokumentowanie (zapisy)
Przegląd podjętych działań prewencyjnych