Systemy zarządzania
bezpieczeństwem informacji
wg PN ISO/IEC 17799:2003
i BS 7799-2:2002
Dr inż. Krzysztof Urbaniak
Normy dotyczące bezpieczeństwa informacji
Normy dotyczące bezpieczeństwa informacji
ISO TR 13335-(1-5) Wytyczne do zarządzania bezpieczeństwem systemów
ISO TR 13335-(1-5) Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych
informatycznych
ISO/IEC 17799:2000
ISO/IEC 17799:2000
BS 7799-2:2002
BS 7799-2:2002
PN-92 T-20001/02 Bezpieczeństwo systemów operacyjnych
PN-92 T-20001/02 Bezpieczeństwo systemów operacyjnych
PN I-13335-1 Wytyczne do zarządzania bezpieczeństwem systemów
PN I-13335-1 Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych
informatycznych
PN ISO/IEC 17799:2003 Praktyczne zasady zarządzania bezpieczeństwem
PN ISO/IEC 17799:2003 Praktyczne zasady zarządzania bezpieczeństwem
informacji
informacji
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
rozliczalność: właściwość zapewniająca, że działania podmiotu mogą być
rozliczalność: właściwość zapewniająca, że działania podmiotu mogą być
przypisane w sposób jednoznaczny tylko temu podmiotowi
przypisane w sposób jednoznaczny tylko temu podmiotowi
(ISO 7498-2: 1989) accountability
(ISO 7498-2: 1989) accountability
autentyczność: właściwość zapewniająca, że tożsamość podmiotu lub
autentyczność: właściwość zapewniająca, że tożsamość podmiotu lub
zasobu jest taka, jak deklarowana. Autentyczność dotyczy
zasobu jest taka, jak deklarowana. Autentyczność dotyczy
takich podmiotów jak: użytkownicy, procesy, systemy i
takich podmiotów jak: użytkownicy, procesy, systemy i
informacja authenticity
informacja authenticity
dostępność: właściwość bycia dostępnym i możliwym do wykorzystania
dostępność: właściwość bycia dostępnym i możliwym do wykorzystania
na żądanie, w założonym czasie, przez autoryzowany
na żądanie, w założonym czasie, przez autoryzowany
podmiot (ISO 7498-2: 1989) availability
podmiot (ISO 7498-2: 1989) availability
poufność: właściwość zapewniająca, że informacja nie jest
poufność: właściwość zapewniająca, że informacja nie jest
udostępniana lub ujawniana nieautoryzowanym osobom,
udostępniana lub ujawniana nieautoryzowanym osobom,
podmiotom lub procesom (ISO 7498-2: 1989)
podmiotom lub procesom (ISO 7498-2: 1989)
confidentiality
confidentiality
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
niezawodność: właściwość oznaczająca spójne, zamierzone
niezawodność: właściwość oznaczająca spójne, zamierzone
zachowanie i skutki reliability
zachowanie i skutki reliability
integralność systemu: właściwość polegająca na tym, że system realizuje
integralność systemu: właściwość polegająca na tym, że system realizuje
swoją zamierzoną funkcję w nienaruszony sposób,
swoją zamierzoną funkcję w nienaruszony sposób,
wolny od nieautoryzowanej manipulacji, celowej lub
wolny od nieautoryzowanej manipulacji, celowej lub
przypadkowej system integrity
przypadkowej system integrity
integralność danych: właściwość zapewniająca, że dane nie zostały
integralność danych: właściwość zapewniająca, że dane nie zostały
zmienione lub zniszczone w sposób
zmienione lub zniszczone w sposób
nieautoryzowany (ISO 7498-2: 1989) data integrity
nieautoryzowany (ISO 7498-2: 1989) data integrity
Definicje bezpieczeństwa informacji
Definicje bezpieczeństwa informacji
wg ISO/IEC TR 13335-1
wg ISO/IEC TR 13335-1
bezpieczeństwo systemu informatycznego: wszystkie aspekty związane
bezpieczeństwo systemu informatycznego: wszystkie aspekty związane
z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności,
z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności,
dostępności, rozliczalności, autentyczności i niezawodności IT security
dostępności, rozliczalności, autentyczności i niezawodności IT security
polityka bezpieczeństwa instytucji w zakresie systemów informatycznych:
polityka bezpieczeństwa instytucji w zakresie systemów informatycznych:
zasady, zarządzenia i procedury, które określają, jak zasoby  włącznie z
zasady, zarządzenia i procedury, które określają, jak zasoby  włącznie z
informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w
informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w
instytucji i jej systemach informatycznych IT security policy
instytucji i jej systemach informatycznych IT security policy
Założenia PN/ISO 17799:2003 [1]
Założenia PN/ISO 17799:2003 [1]
Bezpieczeństwo informacji
Bezpieczeństwo informacji
Informacja jest aktywem, który, podobnie jak inne ważne aktywa biznesowe, ma
Informacja jest aktywem, który, podobnie jak inne ważne aktywa biznesowe, ma
dla instytucji wartość i dlatego należy ją odpowiednio chronić.
dla instytucji wartość i dlatego należy ją odpowiednio chronić.
Bezpieczeństwo informacji oznacza, że jest ona chroniona przed wieloma
Bezpieczeństwo informacji oznacza, że jest ona chroniona przed wieloma
różnymi zagrożeniami w taki sposób, aby:
różnymi zagrożeniami w taki sposób, aby:
zapewnić ciągłość prowadzenia działalności,
zapewnić ciągłość prowadzenia działalności,
zminimalizować straty
zminimalizować straty
maksymalizować zwrot nakładów na inwestycje i działania o
maksymalizować zwrot nakładów na inwestycje i działania o
charakterze biznesowym.
charakterze biznesowym.
Założenia PN/ISO 17799:2003 [2]
Założenia PN/ISO 17799:2003 [2]
Bezpieczeństwo informacji oznacza:
Bezpieczeństwo informacji oznacza:
poufność:
poufność:
zapewnienie dostępu do informacji tylko osobom upoważnionym;
zapewnienie dostępu do informacji tylko osobom upoważnionym;
integralność:
integralność:
zapewnienie dokładności i kompletności informacji
zapewnienie dokładności i kompletności informacji
oraz metod jej przetwarzania;
oraz metod jej przetwarzania;
dostępność:
dostępność:
zapewnienie, że osoby upoważnione mają dostęp do informacji
zapewnienie, że osoby upoważnione mają dostęp do informacji
i związanych z nią aktywów wtedy, gdy jest to potrzebne.
i związanych z nią aktywów wtedy, gdy jest to potrzebne.
Założenia PN/ISO 17799:2003 [3]
Założenia PN/ISO 17799:2003 [3]
Bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw
Bezpieczeństwo informacji można osiągnąć, wprowadzając odpowiedni zestaw
środków:
środków:
Politykę bezpieczeństwa
Politykę bezpieczeństwa
Dobre praktyki,
Dobre praktyki,
Procedury,
Procedury,
Struktury organizacyjne,
Struktury organizacyjne,
Funkcje oprogramowania.
Funkcje oprogramowania.
Zabezpieczenia te wprowadza się, aby zapewnić spełnienie poszczególnych
Zabezpieczenia te wprowadza się, aby zapewnić spełnienie poszczególnych
celów związanych z bezpieczeństwem w instytucji
celów związanych z bezpieczeństwem w instytucji
Założenia PN/ISO 17799:2003 [4]
Założenia PN/ISO 17799:2003 [4]
Dlaczego potrzebne jest bezpieczeństwo informacji?
Dlaczego potrzebne jest bezpieczeństwo informacji?
Informacja oraz wspierające ją procesy, systemy i sieci są ważnymi
Informacja oraz wspierające ją procesy, systemy i sieci są ważnymi
aktywami biznesowymi.
aktywami biznesowymi.
Poufność, dostępność i integralność informacji może mieć podstawowe
Poufność, dostępność i integralność informacji może mieć podstawowe
znaczenie dla:
znaczenie dla:
utrzymania konkurencyjności firmy,
utrzymania konkurencyjności firmy,
płynności finansowej firmy,
płynności finansowej firmy,
zysku firmy,
zysku firmy,
zgodności z przepisami prawa,
zgodności z przepisami prawa,
wizerunku instytucji.
wizerunku instytucji.
Polityka bezpieczeństwa
Polityka bezpieczeństwa
Co powinna zawierać polityka bezpieczeństwa ?
Co powinna zawierać polityka bezpieczeństwa ?
wyjaśnienia,
wyjaśnienia,
podział odpowiedzialności,
podział odpowiedzialności,
jasne sformułowania,
jasne sformułowania,
opis mechanizmów realizacji polityki bezpieczeństwa.
opis mechanizmów realizacji polityki bezpieczeństwa.
Czego polityka bezpieczeństwa zawierać nie powinna ?
Czego polityka bezpieczeństwa zawierać nie powinna ?
szczegółów technicznych,
szczegółów technicznych,
bezkrytycznie wziętych zapożyczeń z innych rozwiązań.
bezkrytycznie wziętych zapożyczeń z innych rozwiązań.
Polityka bezpieczeństwa  KONTA
Polityka bezpieczeństwa  KONTA
Przykładowe elementy polityki bezpieczeństwa:
Przykładowe elementy polityki bezpieczeństwa:
określenie kto może mieć konto w systemie,
określenie kto może mieć konto w systemie,
określenie czy wiele osób może korzystać z jednego konta,
określenie czy wiele osób może korzystać z jednego konta,
określenie w jakich sytuacjach odbierane jest prawo do
określenie w jakich sytuacjach odbierane jest prawo do
korzystania z konta.
korzystania z konta.
Polityka bezpieczeństwa - cd.
Polityka bezpieczeństwa - cd.
Przykładowe elementy polityki bezpieczeństwa:
Przykładowe elementy polityki bezpieczeństwa:
Zdefiniowanie wymagań dotyczących haseł.
Zdefiniowanie wymagań dotyczących haseł.
Określenie zasad przyłączania się i korzystania z globalnej sieci
Określenie zasad przyłączania się i korzystania z globalnej sieci
komputerowej.
komputerowej.
Zobligowanie pracowników do wyrażenia zgody na wykonywanie
Zobligowanie pracowników do wyrażenia zgody na wykonywanie
przez administratorów czynności związanych z bezpieczeństwem
przez administratorów czynności związanych z bezpieczeństwem
instytucji.
instytucji.
Określenie zasad korzystania z połączeń modemowych z
Określenie zasad korzystania z połączeń modemowych z
instytucją.
instytucją.
Polityka bezpieczeństwa - cd.
Polityka bezpieczeństwa - cd.
Przykładowe elementy polityki bezpieczeństwa:
Przykładowe elementy polityki bezpieczeństwa:
Zdefiniowanie wymagań dotyczących haseł.
Zdefiniowanie wymagań dotyczących haseł.
Określenie zasad przyłączania się i korzystania z globalnej sieci
Określenie zasad przyłączania się i korzystania z globalnej sieci
komputerowej.
komputerowej.
Zobligowanie pracowników do wyrażenia zgody na wykonywanie
Zobligowanie pracowników do wyrażenia zgody na wykonywanie
przez administratorów czynności związanych z bezpieczeństwem
przez administratorów czynności związanych z bezpieczeństwem
instytucji.
instytucji.
Określenie zasad korzystania z połączeń modemowych z
Określenie zasad korzystania z połączeń modemowych z
instytucją.
instytucją.
DZI
KUJ
ZA UWAG

DZI
KUJ
ZA UWAG