Zarządzanie

bezpieczeństwem

informacji

Literatura przedmiotu



A. Grzywak: Bezpieczeństwo systemów

komputerowych i telekomunikacyjnych.

Wydawnictwo SOTEL, Chorzów 1999.



B. Schneier: Kryptografia dla praktyków -
protokoły, algorytmy i programy źródłowe w
języku C. Wydawnictwa Naukowo-Techniczne,
Warszawa 2002.



J. Stokłosa (red.): Ochrona danych i
zabezpieczenia
w systemach teleinformatycznych. Wydawnictwo
Politechniki Poznańskiej, Poznań 2003.

Literatura przedmiotu



Białas A.: Bezpieczeństwo informacji i usług
w nowoczesnej instytucji i firmie. WNT,
Warszawa 2007.



Łuczak J.: Systemowe zarządzanie
bezpieczeństwem informacji iso 27001.
Wydawnictwo UE w Poznaniu, Poznań 2010.



Stallings W.: Kryptografia i bezpieczeństwo
sieci komputerowych. Koncepcje i metody
bezpiecznej komunikacji. Wydawnictwo
Helion Gliwice 2012.

Zarządzanie bezpieczeństwem
informacji



Zarządzanie bezpieczeństwem
informacji



Informacja

– jeden z podstawowych zasobów

organizacji, posiada wartość ekonomiczną



Ochrona informacji

– zagadnienie zarządcze

i organizacyjne, a nie tylko techniczne



Reguły ogólne

– jak każda inna dziedzina

zarządzania – cel, plany, polityki, instrumenty
kontroli i oceny, rachunek kosztów i ryzyka,
programy utrzymania dotychczasowych
wyników oraz ciągłej poprawy

Dlaczego należy
zarządzać bezpieczeństwem informacji?



Konsekwencje naruszenia
poszczególnych aspektów
bezpieczeństwa informacji



Poufność

- przeciek do konkurencji,

utrata zaufania kontrahentów



Integralność

- bałagan organizacyjny,

przesyłanie nieaktualnych informacji



Dostępność

- niewłaściwe decyzje



Konsekwencje utraty
bezpieczeństwa informacji



Naruszenie prawa



Utrata zaufania kontrahentów



Utrata konkurencyjności



Konkretne straty finansowe

Dlaczego należy
zarządzać bezpieczeństwem informacji?

Regulacje prawne



Naruszenie prawa



Wymagania stawiane w szczególności przez
ustawy



Ustawa o ochronie informacji niejawnych



Ustawa o ochronie danych osobowych



Ustawa o ochronie baz danych



Ustawa o rachunkowości



Ustawa o prawie autorskim i prawach pokrewnych



Prawo bankowe



Prawo o publicznym obrocie papierami wartościowymi



...

Standardy bezpieczeństwa



Przesłanki tworzenia standardów



Korzystanie z doświadczeń innych
organizacji



Katalogi najlepszych praktyk



Ujednolicenie na arenie międzynarodowej



Zdobywanie zaufania kontrahentów



Możliwość dokonania audytu



Certyfikacja

Standardy bezpieczeństwa



Wyjaśnienie skrótów



ISO – Międzynarodowa Organizacja

Normalizacyjna



IEC – Międzynarodowy Komitet Elektrotechniczny



JTC1 – Połączony Komitet Techniczny



SC27 – Podkomitet JTC1 „Techniki

bezpieczeństwa systemów informatycznych



PKN – Polski Komitet Normalizacyjny



ISMS – (Information Security Management

System) – System Zarządzania

Bezpieczeństwem Informacji

Standardy bezpieczeństwa



Oficjalne



Tworzone przez organizacje
standaryzacyjne



Międzynarodowe np. ISO, IEC



Regionalne np. CEN, ETSI, NAFTA



Krajowe np. PKN



Pozostałe



Zalecenia firm, organizacji i stowarzyszeń
branżowych, rozwiązania powszechnie
stosowane przez firmy

Standardy bezpieczeństwa



Polskie Normy



Przeznaczone są do stosowania w Polsce



Stosowanie norm jest dobrowolne



Niektóre wprowadzone odrębnymi
przepisami do obowiązkowego stosowania



Od czasu przystąpienia Polski do Unii
Europejskiej tworzone przede wszystkim
na podstawie tłumaczenia
i zatwierdzania norm europejskich i
światowych

Standardy bezpieczeństwa



Polskie normy w zakresie bezpieczeństwa



PN-I-02000:1998 Technika informatyczna –

Zabezpieczenia w systemach informatycznych -

Terminologia



PN -I- 13335 – 1

–

Technika Informatyczna –

Wytyczne do zarządzania bezpieczeństwem systemów

informatycznych – Pojęcia i modele zabezpieczeń

systemów informatycznych



PN -I- 13335 – 2

–

Technika Informatyczna –

Planowanie i zarządzanie bezpieczeństwem systemów

informatycznych



PN-ISO/IEC 17799:2003 Technika informatyczna –

Praktyczne zasady zarządzania bezpieczeństwem

informacji

Standardy bezpieczeństwa



Przykładowe normy i standardy na

podstawie których dokonuje się audytu

bezpieczeństwa



BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem

informacji. Specyfikacja i wytyczne do stosowania”



PN-I-07799-2:2005 „Systemy zarządzania bezpieczeństwem

informacji. Specyfikacja i wytyczne do stosowania”



ISO/IEC 17799:2005 „Technika informatyczna. Praktyczne

zasady zarządzania bezpieczeństwem informacji”



ISO/IEC 27001:2005 „Technologie informacyjne. Techniki

zabezpieczeń. Systemy zarządzania bezpieczeństwem

informacji. Wymagania”



PN-I-13335-1:1999 „Technika informatyczna. Wytyczne do

zarządzania bezpieczeństwem systemów informatycznych.

Pojęcia i modele bezpieczeństwa systemów informatycznych”

Standardy bezpieczeństwa



Przykładowe normy i standardy na

podstawie których dokonuje się audytu

bezpieczeństwa



ISO/IEC/TR 13335-2:2003 „Planowanie i zarządzanie

bezpieczeństwem systemów informatycznych”



ISO/IEC/TR 13335-3:2003 „Techniki zarządzania

bezpieczeństwem systemów informatycznych”



ISO/IEC/TR 13335-4:2000 „Wybór zabezpieczeń”



ISO/IEC/WD 13335-5:2001 „Zabezpieczenie dla

połączeń z sieciami zewnętrznymi”



ISO/IEC 15408-1 „Technologie informacyjne. Techniki

zabezpieczeń. Kryteria oceny bezpieczeństwa

informacji. Wprowadzenie i model podstawowy”

Standardy bezpieczeństwa



Przykładowe normy i standardy na

podstawie których dokonuje się audytu

bezpieczeństwa



ISO/IEC 15408-2 „Technologie informacyjne. Techniki

zabezpieczeń. Kryteria oceny bezpieczeństwa informacji.

Wymagania bezpieczeństwa funkcjonalnego”



ISO/IEC 15408-3 „Technologie informacyjne. Techniki

zabezpieczeń. Kryteria oceny bezpieczeństwa informacji.

Wymagania zapewnienia bezpieczeństwa”



PN-ISO/IEC 9798-3:2002 „Technika informatyczna.

Techniki zabezpieczeń. Uwierzytelnianie podmiotów. Część

3: Mechanizmy stosujące techniki podpisu cyfrowego”



PN-EN 60950:2002 „Bezpieczeństwo urządzeń techniki

informatycznej”



PN-EN 60950-1:2005 „Urządzenia techniki informatycznej.

Bezpieczeństwo. Część 1: Wymagania podstawowe”

Standardy bezpieczeństwa



Przykładowe normy i standardy na podstawie których

dokonuje się audytu bezpieczeństwa



PN-EN 60950-21:2005 „Urządzenia techniki

informatycznej. Bezpieczeństwo. Część 21: Zdalne

zasilanie”



PN-92/T-20001.02 „Systemy przetwarzania informacji.

Współdziałanie systemów otwartych (OSI). Podstawowy

model odniesienia. Architektura zabezpieczeń”



PN-ISO/IEC 13888-1:1999 „Technika informatyczna.

Techniki zabezpieczeń. Niezaprzeczalność. Model

ogólny”



PN-ISO/IEC 13888-1:1999 „Technika informatyczna.

Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy

wykorzystujące techniki symetryczne”



PN-ISO/IEC 13888-1:1999 „Technika informatyczna.

Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy

wykorzystujące techniki asymetryczne”

Standardy bezpieczeństwa



Przykładowe normy i standardy na podstawie których

dokonuje się audytu bezpieczeństwa



PN-ISO/IEC 10118-2:1996 „Technika informatyczna.

Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu

wykorzystujące n-bitowy algorytm szyfrowania blokowego”



PN-ISO/IEC 10118-3:1999 „Technika informatyczna.

Techniki zabezpieczeń. Funkcje skrótu. Dedykowane funkcje

skrótu”



PN-ISO/IEC 10118-4:2001 „Technika informatyczna.

Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu

wykorzystujące arytmetykę modularną”



PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia

w systemach informatycznych. Terminologia”



PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania

systemów zarządzania jakością i/lub zarządzania

środowiskowego”

Standardy bezpieczeństwa



Przykładowe normy i standardy na podstawie których

dokonuje się audytu bezpieczeństwa



BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem

informacji. Specyfikacja i wytyczne do stosowania”



PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia

w systemach informatycznych. Terminologia”



PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania

systemów zarządzania jakością i/lub zarządzania

środowiskowego”



BS 15000:2002 „Wymagania do zarządzania usługami IT”



PD 3000 Complete Kit „Przewodnik zarządzania

bezpieczeństwem informacji”



PAS 56 „Zarządzanie ciągłością działania”



COBIT „Control Objectives for Information and Related

Technologies”

Standardy bezpieczeństwa



Raport techniczny ISO/IEC TR 13335



Standardy BS 7799



ISO/IEC 17799



PN – ISO/IEC 17799



PN – I – 07799-2



Rodzina norm ISO/IEC 2700x

Standardy bezpieczeństwa



Współpraca ISO oraz IEC w ramach
Połączonego Komitetu Technicznego
JTC1



Podkomitet SC 27 – technologia i metodyka
zabezpieczeń

Raport techniczny ISO/IEC TR
13335



Guidelines for the Management of IT
Security (GMITS)



składa się z pięciu części



pierwsza część – od 1999r. - polska norma
PN-I 13335-1



druga część – od 2003r. - polska norma
PN-I 13335-2



przeznaczony dla działów informatyki



dotyczy zagadnień technicznych,
a nie rozwiązań organizacyjnych

Raport techniczny ISO/IEC TR
13335



ISO/IEC/TR 13335-1 / PN-I-13335-1:



Wytyczne do zarządzania
bezpieczeństwem systemów
informatycznych:



terminologia, związki między pojęciami



podstawowe modele

Raport techniczny ISO/IEC TR
13335



Relacje w modelu bezpieczeństwa

ZAGROŻENIA

ZABEZPIECZENIA

WYMAGANIA

RYZYKO

PODATNOŚCI

ZASOBY

WARTOŚCI

wykorzystują

niwelują

realizowane są przez

cechują

posiadają

zwiększają

analizowane wskazuje

zwiększają

zwiększają

Raport techniczny ISO/IEC TR
13335



ISO/IEC/TR 13335-2 / PN-I-13335-
2:



Planowanie i zarządzanie
bezpieczeństwem systemów IT



różne podejścia do prowadzenia analizy
ryzyka



plany zabezpieczeń



znaczenie szkoleń i działań
uświadamiających



stanowiska pracy w instytucji związane z
bezpieczeństwem

Raport techniczny ISO/IEC TR
13335



ISO/IEC/TR 13335-3:



Techniki zarządzania bezpieczeństwem
systemów informatycznych:



formułowanie trójpoziomowej polityki
bezpieczeństwa



rozwinięcie problematyki analizy ryzyka



rozwinięcie problematyki implementacji
planu zabezpieczeń



reagowanie na incydenty

Raport techniczny ISO/IEC TR
13335



ISO/IEC/TR 13335-4:



Wybór zabezpieczeń:



klasyfikacja i charakterystyka różnych form
zabezpieczeń



dobór zabezpieczeń ze względu na rodzaj
zagrożenia
i rodzaj systemu

Raport techniczny ISO/IEC TR
13335



ISO/IEC/WD 13335-5:



Zabezpieczenie dla połączeń z sieciami
zewnętrznymi:



dobór zabezpieczeń stosowanych do ochrony
styku systemu
z siecią zewnętrzną

Standardy BS 7799



Brytyjski standard opracowany przez
BSI
(British Standards Institution) w 1998r.



W składzie zespołu weszło wielu
przedstawicieli brytyjskich organizacji
oraz firm konsultingowych
i przemysłowych

Standardy BS 7799



Dokument – 2 części:



BS 7799-1:1999 - kodeks praktyki, katalog
zagadnień, jakie należy realizować dla potrzeb
bezpieczeństwa informacji (Code of practice
for Information Security Management)



BS 7799-2:1999 - specyfikacja dla systemów
zarządzania bezpieczeństwem informacji (ISMS
- Information Security Management System)

Standardy BS 7799



BS 7799-1 → ISO/IEC 17799 → PN –

ISO/IEC 17799



BS 7799-2 → PN – I-

07799-2

Standardy BS 7799



BS 7799-1:1999



Katalog zabezpieczeń - 127 punktów kontroli
bezpieczeństwa informacji



Zabezpieczenia podzielone na 10 rozdziałów -
zakresów



Dotyczy wszystkich form informacji



Uwzględnia najnowsze sposoby prowadzenia
działalności



Użytkownicy mogą wybrać najwłaściwsze
zabezpieczenia ze względu na specyfikę
prowadzonej działalności



Dobór na podstawie analizy ryzyka

Standardy BS 7799



BS 7799-1 – 10 zakresów:

01. Polityka bezpieczeństwa
02. Organizacja bezpieczeństwa
03. Klasyfikacja i kontrola aktywów
04. Bezpieczeństwo osobowe
05. Bezpieczeństwo fizyczne i środowiskowe
06. Zarządzanie systemami i sieciami
07. Kontrola dostępu do systemu
08. Rozwój i utrzymanie systemu
09. Zarządzanie ciągłością działania
10. Zgodność

Standardy BS 7799



BS 7799-1 – 10 zakresów:



Polityka bezpieczeństwa



Polityka bezpieczeństwa informacji



Organizacja bezpieczeństwa



Infrastruktura bezpieczeństwa informacji



Bezpieczeństwo dostępu osób trzecich



Zlecanie przetwarzania na zewnątrz

Standardy BS 7799



BS 7799-1 – 10 zakresów:



Klasyfikacja i kontrola aktywów



Rozliczalność aktywów



Klasyfikacja informacji



Bezpieczeństwo osobowe



Bezpieczeństwo przy określaniu zakresów

obowiązków

i zarządzaniu zasobami ludzkimi



Szkolenie użytkowników



Reagowanie na naruszanie bezpieczeństwa

i niewłaściwe funkcjonowanie systemu

Standardy BS 7799



BS 7799-1 – 10 zakresów:



Bezpieczeństwo fizyczne i
środowiskowe



Obszary bezpieczne



Zabezpieczanie sprzętu



Ogólne zabezpieczenia

Standardy BS 7799



BS 7799-1 – 10 zakresów:



Zarządzanie systemami i sieciami
(bezpieczeństwo operacyjne)



Procedury eksploatacji i zakresy
odpowiedzialności



Planowanie i odbiór systemu



Ochrona przed złośliwym oprogramowaniem



Procedury wewnętrzne



Zarządzanie sieciami



Postępowanie z nośnikami i ich bezpieczeństwo



Wymiana danych i oprogramowania

Standardy BS 7799



BS 7799-1 – 10 zakresów:



Kontrola dostępu do systemu



Potrzeby biznesowe związane z dostępem do
systemu



Zarządzanie dostępem użytkowników



Zakres odpowiedzialności użytkowników



Kontrola dostępu do sieci



Kontrola dostępu do systemów operacyjnych



Kontrola dostępu do aplikacji



Monitorowanie dostępu do systemu i jego użycia



Komputery przenośne i praca na odległość

Standardy BS 7799



BS 7799-1 – 10 zakresów:



Rozwój i utrzymanie systemu



Wymagania bezpieczeństwa systemów



Bezpieczeństwo systemów aplikacji



Zabezpieczenia kryptograficzne



Bezpieczeństwo plików systemowych



Bezpieczeństwo w procesach rozwojowych i
obsługi informatycznej

Standardy BS 7799



BS 7799-1 – 10 zakresów:



Zarządzanie ciągłością działania



Aspekty zarządzania ciągłością działania



Zgodność



Zgodność z przepisami prawa



Przeglądy polityki bezpieczeństwa i zgodności
technicznej



Rozważania dotyczące audytu systemu

Standardy BS 7799



BS 7799-1



luty 2000r. zgłoszony do organizacji ISO, jako
podstawa ustanowienia międzynarodowego
standardu zarządzania bezpieczeństwem
informacji



sierpień 2000r. - po uproszczonym procesie
legalizacji nadany został mu numer ISO/IEC
17799:2000



rozpoczęcie prac wkrótce po przyjęciu ISO/IEC
17799



czerwiec 2005r. – publikacja ISO/IEC 17799 2.
wydanie

Standardy BS 7799



Zmiany w ISO/IEC 17799 2.
wydanie



ok. 5000 zmian merytorycznych w
porównaniu
z 1. wydaniem



bardziej logiczna struktura dokumentu



uwzględnienie zmian technologicznych



wyeliminowanie błędów i pominięć

Standardy BS 7799



BS 7799-2:1999



Wytyczne, w jaki sposób zaprojektować,
wdrożyć i poddać certyfikacji system
zarządzania bezpieczeństwem informacji



6 etapów budowy systemów zarządzania
bezpieczeństwem informacji (ISMS)

Standardy BS 7799



BS 7799-2:1999 – etapy budowy
ISMS

1.

Określenie polityki bezpieczeństwa

2.

Określenie zakresu objętego systemem ISMS

3.

Przeprowadzenie oceny ryzyka

4.

Zarządzanie ryzykiem

5.

Wybór celów zabezpieczeń i punktów
kontrolnych

6.

Deklaracja stosowania

Standardy BS 7799



BS 7799-2:2002



2002r. – nowe wydanie normy BS 7799-2



Starsza wersja utraciła ważność



Normę znacznie rozszerzono



Zapewniono zgodność z normami zarządzania
jakością EN ISO 9001 i środowiskiem EN ISO
14001



Precyzyjna definicja ISMS

Standardy BS 7799



BS 7799-2:2002



System zarządzania bezpieczeństwem
informacji:



część całościowego systemu zarządzania
instytucji, oparta na podejściu wynikającym z
ryzyka biznesowego i odnosząca się do
ustanowienia, wdrażania, monitorowania,
utrzymywania oraz doskonalenia bezpieczeństwa
informacji

Standardy BS 7799



Jasne przesłanki doboru
zabezpieczeń:



Decyzje o zastosowaniu zabezpieczeń
muszą być podejmowane na podstawie
analizy ryzyka



Cel nadrzędny – ciągłość działania instytucji



Zabezpieczenia muszą odpowiadać
specyfice organizacji

Standardy BS 7799



System powinien sam się
naprawiać:



Zdolność do wykrywania błędów



Eliminowanie błędów



Modyfikacja systemu - udoskonalanie



Odpowiednie procedury

Standardy BS 7799



BS 7799-2:2002

Schemat zarządzania:

PDCA

PLAN – DO – CHECK – ACT

PLANUJ – WYKONAJ – SPRAWDZAJ – DZIAŁAJ

Standardy BS 7799



BS 7799-2:2002 - PN – I- 07799-2



Planuj:
„Ustanowienie polityki bezpieczeństwa,
cele, zakres stosowania, procesy i
procedury odpowiadające zarządzaniu
ryzykiem oraz zwiększające
bezpieczeństwo informacji, tak aby
uzyskać wyniki zgodne z ogólnymi
zasadami i celami instytucji”

Standardy BS 7799



BS 7799-2:2002 - PN – I- 07799-2



Wykonuj:
„Wdrożenie i eksploatacja polityki
bezpieczeństwa, zabezpieczeń, procesów i
procedur”

Standardy BS 7799



BS 7799-2:2002 - PN – I- 07799-2



Sprawdzaj:
„Szacowanie oraz tam, gdzie ma
zastosowanie, pomiar wykonania
procesów w odniesieniu do polityki
bezpieczeństwa, cele i praktyczne
doświadczenia oraz przekazywanie
kierownictwu wyników przeglądu”

Standardy BS 7799



BS 7799-2:2002 - PN – I- 07799-2



Działaj:
„Podejmowanie działań korygujących i
prewencyjnych w oparciu o wyniki
przeglądu realizowanego przez
kierownictwo, tak aby osiągnąć stałe
doskonalenie ISMS”

Standardy BS 7799



BS 7799-2:2002 - PN – I- 07799-2



Planuj



Zakres ISMS



Polityka ISMS



Podejście do oceny ryzyka



Identyfikacja ryzyka



Oszacowanie ryzyka



Postępowanie z ryzykiem



Wybór celów i punktów kontroli



Deklaracja stosowania



Aprobata kierownictwa

Standardy BS 7799



Zakres ISMS



Wdrażanie systemu należy rozpocząć się od
zdefiniowania zakresu jakiego system
będzie dotyczyć



Czy ma on obejmować całą organizację?



Jakich obszarów logicznych i fizycznych ma
dotyczyć ?

Standardy BS 7799



Polityka ISMS



Ogólny dokument (a nie książka)



Wymagania biznesowe i prawne danej
organizacji



Kryteria szacowania ryzyka



Struktura organizacyjna



Musi zostać zaakceptowany przez
kierownictwo

Standardy BS 7799



Ryzyko



Zdefiniowanie procesu analizy ryzyka



Wyznaczenie kryteriów akceptowania
ryzyka



Przeprowadzenie analizy ryzyka



Nie narzucono konkretnej metody analizy



Proces musi być opisany



Proces musi być powtarzalny

Standardy BS 7799



Analiza ryzyka



Określenie aktywów



inwentaryzacja informacji, wyposażenia,
oprogramowania, usług



Zidentyfikowanie zagrożeń



np. atak hakerów, kradzież tożsamości, podsłuch, etc.



Zidentyfikowanie podatności



np. brak kopii zapasowych, nieprzeszkolony personel,
etc.



Określenie skutków wykorzystania podatności
przez zagrożenia

Standardy BS 7799



Postępowanie z ryzykiem



Na podstawie analizy podejmuje się decyzję
co z robić z każdym ze zidentyfikowanych
ryzyk



Możliwości:



zastosowanie zabezpieczeń



przeniesienie ryzyka np. na ubezpieczyciela



unikanie ryzyka



zaakceptowanie ryzyka



Podstawowy cel: ciągłość działania
organizacji

Standardy BS 7799



Wybór celów i punktów kontroli



wybór wymagań według których należy
zbudować system zarządzania
bezpieczeństwem informacji

Standardy BS 7799



Deklaracja stosowania



uzasadnienie wyboru wymagań



sposób implementacji każdego wymagania



dokumentowanie

Standardy BS 7799



Akceptacja kierownictwa



kończy etap ustanawiania systemu
zarządzania bezpieczeństwem informacji



zaangażowanie kierownictwa ważne z
punktu widzenia normy – poświęcono mu
cały rozdział 5

Standardy BS 7799



BS 7799-2:2002



Wykonaj



Plan postępowania z ryzykiem



Implementacja planu postępowania z ryzykiem



Implementacja wymagań



Szkolenia i uświadamianie



Zarządzanie działaniami



Zarządzanie zasobami



Zarządzanie incydentami

Standardy BS 7799



BS 7799-2:2002



Sprawdzaj



Prowadzenie monitoringu



Przeglądy efektywności ISMS



Przeglądy ryzyka szczątkowego i akceptowanego



Wewnętrzne audyty ISMS



Przeglądy ISMS przez zarząd



Rejestracja istotnych działań i zdarzeń

Standardy BS 7799



BS 7799-2:2002



Działaj



Implementacja udoskonaleń



Działania korygujące, wyciąganie wniosków,
wymiana doświadczeń



Informowanie o podejmowanych działaniach,
uzgadnianie



Weryfikacja udoskonaleń

Rodzina norm ISO/IEC 2700x



ISO 27000 - słownictwo i terminologia



ISO 27001 - odpowiednik BS 7799 - 2,
specyfikacja systemów zarządzania
bezpieczeństwem informacji



ISO 27002 – ma zastąpić ISO
17799:2005
w kwietniu 2007r., praktyczne zasady
zarządzania bezpieczeństwem, zestawia
zabezpieczenia
i najlepsze praktyki

Rodzina norm ISO IEC 2700x



ISO 27003 – wytyczne dla
implementacji.



ISO 27004 – zarządzanie
bezpieczeństwem informacji -
wskaźniki i pomiary – nowe
uregulowanie



ISO 27005 - zarządzanie ryzykiem
bezpieczeństwa informacji –
opublikowana w grudniu 2005

Rodzina norm ISO/IEC 2700x



ISO/IEC 27001:



opublikowany 15 października 2005r.



zastępuje BS 7799 – 2:2002



nadal oparty na modelu PDCA



duży nacisk na zarządzanie ryzykiem
(obowiązkowe)



ciągły proces doskonalenia systemu



podstawy audytu zewnętrznego i
certyfikacji

Rodzina norm ISO/IEC 2700x



ISO/IEC 27001 a ISO/IEC 17799
(aneks)



Systemy bezpieczeństwa informacji



ISO/IEC 17799 – wytyczne



ISO/IEC 27001 – wymagania, służy do
certyfikacji

ISO 27001



Norma przygotowana dla potrzeb
dostarczenia modelu dla
ustanowienia, wdrażania, stosowania,
monitorowania, przeglądania,
utrzymywania i doskonalenia

Systemu Zarządzania

Bezpieczeństwem Informacji

ISO 27001



Norma może być wykorzystana w
celu oceny zgodności przez:



komórki wewnętrzne



organizacje zewnętrzne

ISO 27001



Norma przyjmuje

podejście procesowe

dla:



Ustanawiania



Wdrażania



Monitorowania



Doskonalenia

Systemu Zarządzania Bezpieczeństwem

Informacji

ISO 27001



Podejście procesowe do SZBI
dotyka:



Zrozumienia potrzeby ustanowienia
polityki i celów



Stosowanych zabezpieczeń



Monitorowania wydajności i
efektywności



Stałego doskonalenia

ISO 27001



Podejście procesowe do SZBI



Wymóg vs. oczekiwanie



Wymóg

: naruszenie bezpieczeństwa nie

może przysporzyć szkód finansowych



Oczekiwanie

: w przypadku wystąpienia

poważnego incydentu, będzie można
stosować odpowiednie procedury celem
minimalizacji skutków

ISO 27001



Podejście procesowe do SZBI



Planuj

– ustanowienie polityki bezpieczeństwa,

celów, zakresów stosowania procesów i procedur

odpowiednich dla zarządzania ryzykiem



Wykonuj

– wdrożenie polityki bezpieczeństwa



Sprawdzaj

– szacowanie oraz pomiar wykonania

procesów w odniesieniu do polityki

bezpieczeństwa



Działaj

– podejmowanie działań korygujących

i prewencyjnych na podstawie wyników audytów

wewnętrznych i innych źródeł

ISO 27001 – terminy i definicje



Aktywa



Wszystko co posiada wartość dla
organizacji

ISO 27001 – terminy i definicje



Dostępność



Zapewnienie, że informacja jest dostępna
przez upoważnioną jednostkę



Poufność



Zapewnienie, że informacja jest dostępna
tylko dla upoważnionych do tego jednostek



Integralność



Zapewnienie ochrony kompletności
informacji

ISO 27001 – terminy i definicje



Bezpieczeństwo informacji



Zachowanie poufności, integralności i dostępności
informacji oraz innych właściwości



Zdarzenie związane z bezpieczeństwem
informacji



Wystąpienie pewnego stanu systemu (usługi,
sieci) wskazujące na prawdopodobne naruszenie
polityki bezpieczeństwa lub awarie zabezpieczeń,
lub też wcześniej nie znanej sytuacji, mogącej być
istotną ze względów bezpieczeństwa

ISO 27001 – terminy i definicje



Incydent związany z bezpieczeństwem
informacji



Pojedyncze (lub nie) niespodziewane wydarzenie,
które może zagrażać realizacji działań oraz stanowić
zagrożenie dla bezpieczeństwa informacji



System zarządzania bezpieczeństwem
informacji



To część całościowego systemu zarządzania
odnosząca się do ustanawiania, … i udoskonalania
bezpieczeństwa informacji

ISO 27001 – terminy i definicje



Ryzyko



Prawdopodobieństwo tego, że określone
zagrożenie wykorzysta słabość zasobu
(grupy zasobów) w celu spowodowania
strat

ISO 27001 – terminy i definicje



Analiza ryzyka



Określenie źródeł ryzyka



Szacowanie ryzyka



Określenie wielkości ryzyka



Ocena ryzyka



Wyznaczanie wagi ryzyka



Postępowanie z ryzykiem



Wdrożenie środków modyfikujących ryzyko

ISO 27001 – terminy i definicje



Deklaracja stosowania



Dokument, w którym opisano cele
stosowania zabezpieczeń oraz
zabezpieczenia, które mają zastosowanie
w SZBI danej organizacji

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.5. Polityka bezpieczeństwa



Dokument polityki bezpieczeństwa
informacji



Przegląd informacji polityki bezpieczeństw

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.6. Organizacja bezpieczeństwa
informacji



Zaangażowanie kierownictwa w
bezpieczeństwo informacji



Koordynacja bezpieczeństwa informacji



Przypisywanie obowiązków związanych z
bezpieczeństwem informacji



Proces uwierzytelniania urządzeń służących do
przetwarzania informacji



Umowy o poufności

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.6. Organizacja bezpieczeństwa informacji



Kontakty z władzami



Kontakty z grupami zainteresowania



Niezależny przegląd bezpieczeństwa informacji



Identyfikacja ryzyka wynikającego z dostępu osób
trzecich



Kwestia bezpieczeństwa podczas kontaktów z
klientami



Kwestia bezpieczeństwa w umowach z osobami
trzecimi

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.7. Zarządzanie aktywami



Inwentaryzacja aktywów



Własność aktywów



Możliwe do zaakceptowania korzystanie z
aktywów



Wytyczne do klasyfikacji informacji



Oznaczanie i postępowanie z informacją

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.8. Bezpieczeństwo osobowe



Przed zatrudnieniem



Role i odpowiedzialności



Sprawdzanie podczas naboru



Zasady i warunki zatrudnienia



Podczas zatrudnienia



Odpowiedzialność kierownictwa



Świadomość, edukacja i szkolenia dotyczące
bezpieczeństwa informacji



Postępowanie dyscyplinarne

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.8. Bezpieczeństwo osobowe



Po zakończeniu (zmianie) zatrudnienia



Odpowiedzialność związane z zakończeniem
zatrudnienia



Zwrot aktywów



Odebranie praw dostępu

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.9. Bezpieczeństwo fizyczne i
środowiskowe



Granice bezpieczeństwa fizycznego



Fizyczne zabezpieczenie wejścia



Zabezpieczenie biur, pomieszczeń i urządzeń



Ochrona przed zagrożeniami zewnętrznymi
środowiskowymi



Praca w obszarach bezpiecznych



Publiczny dostęp – obszary dostaw i załadunku

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.9. Bezpieczeństwo fizyczne i
środowiskowe



Rozmieszczenie sprzętu i jego ochrona



Podtrzymywanie zasilania



Bezpieczeństwo okablowania



Utrzymanie sprzętu



Zabezpieczenie sprzętu poza siedzibą



Bezpieczne usuwanie lub ponowne użycie sprzętu



Wynoszenie mienia

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.10. Zarządzanie komunikacją



Dokumentowanie procedur stosowania



Zarządzanie zmianami



Podział obowiązków



Rozdział urządzeń testujących i operacyjnych



Usługi dostawcy



Monitorowanie i przegląd usług świadczonych

przez strony 3



Zarządzanie zmianami w usługach świadczonych

przez s. 3



Zarządzanie wydajnością

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.10. Zarządzanie komunikacją



Akceptacja systemu



Ochrona przed szkodliwym oprogramowaniem



Ochrona przed mobilnym oprogramowaniem



Archiwizacja informacji



Zabezpieczenie sieci



Bezpieczeństwo usług sieciowych



Zarządzanie wymiennymi nośnikami

komputerowymi



Niszczenie nośników

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.10. Zarządzanie komunikacją



Procedury postępowania z informacją



Bezpieczeństwo dokumentacji systemu



Polityka i procedury wymiany informacji



Umowy dotyczące wymiany



Transport nośników fizycznych



Przesyłanie poczty elektronicznej



Systemy informacji dotyczące biznesu



Handel elektroniczny



Transakcje on-line

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.10. Zarządzanie komunikacją



Informacje dostępne publicznie



Rejestry audytów



Korzystanie z systemu monitoringu



Ochrona informacji zawartych w rejestrach



Rejestry administratora i operatora



Rejestry błędów



Synchronizacja zegarów

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.11. Kontrola dostępu



Polityka kontroli dostępu



Rejestracja użytkowników



Zarządzanie przywilejami



Zarządzanie hasłami



Przegląd praw dostępu



Używanie haseł



Pozostawienie sprzętu użytkownika bez opieki



Polityka czystego biurka i czystego ekranu

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.11. Kontrola dostępu



Polityka korzystania z usług sieciowych



Uwierzytelnianie użytkowników przy
połączeniach zewn.



Identyfikacja sprzętu w sieci



Ochrona zdalnych portów diagnostycznych



Rozdzielanie sieci



Kontrola połączeń sieciowych



Kontrola dróg połączeń w sieciach



Bezpieczne procedury rejestracji

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.11. Kontrola dostępu



Identyfikacja i potwierdzenie tożsamości klienta



System zarządzania hasłami



Użycie systemowych programów narzędziowych



Upłynięcie czasu sesji



Ograniczenie czasu trwania połączenia



Ograniczenie dostępu do informacji



Izolowanie systemów wrażliwych



Komputery przenośne i komunikacja oraz praca
na odległość

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych



Analiza i specyfikacja wymagań
bezpieczeństwa



Potwierdzenie ważności danych wejściowych



Kontrola wewnętrznego przetwarzania



Integralność wiadomości



Walidacja danych wyjściowych

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych



Polityka używania zabezpieczeń
kryptograficznych



Zarządzanie kluczami



Kontrola oprogramowania operacyjnego



Ochrona systemowych danych testowych



Kontrola dostępu do kodu źródłowego programu



Procedury kontroli zmian

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.12. Uzyskiwanie, rozwój i utrzymanie
systemów informacyjnych



Techniczny przegląd aplikacji po zmianach w
OS



Ograniczenia dotyczące zmian w pakietach
oprogramowania



Przeciek informacji



Prace rozwojowe nad oprogramowaniem
powierzone firmie zewnętrznej



Kontrola podatności technicznych

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.13. Zarządzanie wydarzeniami



Raportowanie wydarzeń związanych z
bezpieczeństwem informacji (kiedy, komu ?)



Raportowanie słabych punktów
(kontrahenci)



Zakres odpowiedzialności (kierownictwa)



Nauka z incydentów związanych z
bezpieczeństwem



Gromadzenie dowodów

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.14. Zarządzanie ciągłością działania



Proces BCM



Ciągłość działania a szacowanie ryzyka (BIA)



Tworzenie planów ciągłości działania



Struktura planowania ciągłości działania
(zgodność)



Ocena planów ciągłości działania

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.15. Zgodność z przepisami prawa



Określenie odpowiednich przepisów prawa



Prawo do własności intelektualnej



Zabezpieczanie zapisów organizacji



Ochrona danych osobowych



Zapobieganie nadużywaniu urządzeń
przetwarzających informacje

ISO 27001 – cele stosowania
zabezpieczeń i zabezpieczenia



A.15. Zgodność z przepisami prawa



Regulacje dotyczące zabezpieczeń
kryptograficznych



Zgodność z politykami bezpieczeństwa



Sprawdzanie zgodności technicznej



Zabezpieczenie audytu systemu (stabilność
SO)



Ochrona narzędzi audytu systemu (dostęp)

Dyskusja

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Ustanowienie SZBI



Wdrożenie i stosowanie SZBI



Monitorowanie i przegląd SZBI



Utrzymanie i doskonalenie SZBI



Dokumentacja SZBI



Nadzór nad dokumentami i zapisami

System zarządzania
bezpieczeństwem informacji (Do)



Odpowiedzialność kierownictwa



Zaangażowanie kierownictwa



Zarządzanie zasobami



Zapewnienie zasobów



Szkolenie, uświadamianie i kompetencje

System zarządzania
bezpieczeństwem informacji
(Check)



Wewnętrzne audyty SZBI



Przegląd zarządu SZBI

System zarządzania
bezpieczeństwem informacji (Act)



Doskonalenie SZBI



Działania korygujące



Działania prewencyjne

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Ustanowienie SZBI



Ustalić zakres i granice SZBI



Określić podejście do oceny ryzyka



Wskazać metodę oceny ryzyka



Wyznaczyć kryteria akceptowania
ryzyka

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Ustanowienie SZBI (cd.)



Określić ryzyka



Aktywa i ich właściciele



Zagrożenia dla aktywów



Podatności



Skutki (w przypadku utraty CIA)

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Ustanowienie SZBI (cd.)



Analiza i ocena ryzyka



Ocenić szkody biznesowe



Ocenić realne prawdopodobieństwa
naruszenia bezpieczeństwa



Ocenić poziomy ryzyk



Stwierdzić czy ryzyko jest akceptowalne

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Ustanowienie SZBI (cd.)



Analiza i ocena ryzyka



Zidentyfikować warianty postępowania z
ryzykiem



Zastosowanie zabezpieczeń



Zaakceptowanie ryzyk w sposób świadomy



Unikanie ryzyk



Transfer ryzyka

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Ustanowienie SZBI (cd.)



Wybrać cele stosowania
zabezpieczeń oraz zabezpieczenia



Wybór z zał. A normy ISO 27001



Nie jest to katalog zamknięty

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Ustanowienie SZBI (cd.)



Uzyskać zgodę kierownictwa na ryzyka



Uzyskać poparcie do wdrażania SZBI



Przygotować deklarację stosowania



Cele stosowania zabezpieczeń i zabezpieczenia
do wdrożenia i już wdrożonych



Wyłączenia z listy z zał. A wraz z wyjaśnieniem

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Wdrożenie i stosowanie SZBI



Sformułować plan postępowania z
ryzykiem



Wdrożyć plan postępowania z ryzykiem
w celu osiągnięcia zidentyfikowanych
celów stosowania zabezpieczeń



Wdrożyć zabezpieczenia

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Wdrożenie i stosowanie SZBI



Zdefiniować pomiary efektywności
zabezpieczeń do oceny skuteczności
zabezpieczeń



Wdrożyć programy uświadamiania i szkolenia



Zarządzanie stosowaniem SZBI



Zarządzanie zasobami SZBI



Wdrażać procedury wykrywania i reakcji na
incydenty

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Monitorowanie i przegląd SZBI



Monitorować zabezpieczenia, aby



Wykrywać błędy



Identyfikować naruszenia
bezpieczeństwa



Oceniać czy działania podjęte w celu
usunięcia problemu były skuteczne

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Monitorowanie i przegląd SZBI



Wykonywać regularne przeglądy
skuteczności SZBI biorąc pod uwagę
informacje zwrotne



Mierzyć skuteczność zabezpieczeń



Dokonywać przeglądów oceny ryzyka



Uwzględniać zmiany w organizacji, technologii,
celach biznesowych, procesach, zagrożeniach,
zabezpieczeniach, prawie

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Monitorowanie i przegląd SZBI



Przeprowadzać audyty wewnętrzne ()



Przeprowadzać przeglądy realizowane przez
kierownictwo



Uaktualniać plany dotyczące bezpieczeństwa
uwzględniając wyniki przeglądów



Rejestrować zdarzenia mogące mieć wpływ na
SZBI

System zarządzania
bezpieczeństwem informacji (Plan)



Ustanowienie i zarządzanie SZBI



Utrzymanie i doskonalenie SZBI



Wdrażać zidentyfikowane udoskonalenia



Podejmować działania
prewencyjne/korekcyjne



Informować o wynikach działań



Zapewniać, że udoskonalenia spełniają
stawiane cele

System zarządzania
bezpieczeństwem informacji (Plan)



Dokumentacja SZBI



Nadzór nad dokumentami i zapisami



Dokumentacja powinna zawierać



Deklaracje polityki i celów SZBI



Zakres SZBI



Procedury służące realizacji SZBI

System zarządzania
bezpieczeństwem informacji (Plan)



Dokumentacja SZBI



Nadzór nad dokumentami i zapisami



Dokumentacja powinna zawierać



Opis metodyki oceny ryzyka



Raport oceny ryzyka



Plan postępowania z ryzykiem



Udokumentowane procedury potrzebne do
zapewnienia efektywnego planowania i
stosowania SZBI



Zapisy wymagane przez normę i deklarację
stosowania

System zarządzania
bezpieczeństwem informacji (Plan)



Dokumentacja SZBI



Nadzór nad dokumentami i zapisami



Nadzór nad dokumentami



Dokumenty powinny być chronione i
nadzorowane



Procedury udokumentowane:



aktualizacji, zapewnienia czytelności dokumentów,



dostępności, zapewnienia najnowszych wersji



zapewnienia, że rozpowszechnianie dokumentów
jest kontrolowane

System zarządzania
bezpieczeństwem informacji (Plan)



Dokumentacja SZBI



Nadzór nad dokumentami i zapisami



Nadzór nad zapisami



Ustanowienie oraz utrzymanie
odpowiednich zapisów



Zapewnienie ochrony, nadzoru zapisów



Zapewnienie czytelności zapisów



Zapisy dot. procesów i incydentów

System zarządzania
bezpieczeństwem informacji (Do)



Odpowiedzialność kierownictwa



Zaangażowanie kierownictwa



Ustanowienie polityki bezpieczeństwa



Zapewnienie, że cele bezpieczeństwa
zostały ustanowione



Określenie ról i zakresów
odpowiedzialności

System zarządzania
bezpieczeństwem informacji (Do)



Odpowiedzialność kierownictwa



Zaangażowanie kierownictwa



Informowanie organizacji o znaczeniu spełnienia
celów bezpieczeństwa informacji i skutkach
prawnych



Zapewnienie wystarczających zasobów dla SZBI



Decydowanie o kryteriach akceptowalności ryzyk



Przeprowadzanie audytów wewnętrznych
i przeglądów zarządu

System zarządzania
bezpieczeństwem informacji (Do)



Odpowiedzialność kierownictwa



Zapewnienie zasobów



Zapewnić zasoby niezbędne do stosowania,
przeglądu, utrzymania i doskonalenia SZBI



Zapewnić zasoby potrzebne do utrzymania
odpowiedniego bezpieczeństwa



Zapewnić zasoby niezbędne do spełnienia
wymagań natury prawnej

System zarządzania
bezpieczeństwem informacji (Do)



Odpowiedzialność kierownictwa



Szkolenie, uświadamianie i kompetencje



Zapewnienie, że cały personel w SZBI
ma stosowne kompetencje



Zdefiniowanie koniecznych kompetencji



Szkolenia i ocenę skuteczności szkoleń



Prowadzenie zapisów dot. edukacji,
szkoleń, umiejętności, doświadczenia,
kwalifikacji

System zarządzania
bezpieczeństwem informacji
(Check)



Wewnętrzne audyty SZBI



Przeglądy SZBI mają na celu określenie
czy cele stosowania zabezpieczeń,
zabezpieczenia, procesy i procedury są
zgodne z normą, prawem



Powinny być realizowane w oczekiwany
sposób



O czasie, o właściwym zakresie, wskazywać
czynności poaudytowe

System zarządzania
bezpieczeństwem informacji
(Check)



Przegląd zarządu SZBI



Przeglądy zarządzania w zaplanowanych
odstępach czasu w celu zapewnienia jego
poprawności, odpowiedzialności i
skuteczności



Dane wejściowe: wyniki audytów, informacje
zwrotne, podatności i zagrożenia, rezultaty
pomiarów skuteczności, działań poprzeglądowych,
zaleceń



Dane wyjściowe: aktualizacja planu postępowania z
ryzykiem, modyfikacja procedur dot.
Bezpieczeństwa i inne

System zarządzania
bezpieczeństwem informacji (Act)



Doskonalenie SZBI



Działania korygujące



Eliminacja przyczyny niezgodności
związanych
z wdrożeniem i stosowaniem SZBI



Identyfikacja niezgodności



Stwierdzenie przyczyny niezgodności



Oceny potrzeby działań



Wskazanie działań, ich udokumentowanie (zapisy)



Przegląd podjętych działań

System zarządzania
bezpieczeństwem informacji (Act)



Doskonalenie SZBI



Działania prewencyjne



Wskazanie działań podejmowanych w celu
ochrony przed potencjalnymi
niezgodnościami
z wymaganiami SZBI



Identyfikacja potencjalnych niezgodności i przyczyn



Ocena potrzeby działań



Wskazanie działań, ich udokumentowanie (zapisy)



Przegląd podjętych działań prewencyjnych