Zarządzanie bezpieczeństwem informacji
Informacja - jeden z podstawowych zasobów organizacji, posiada wartość ekonomiczną
Ochrona informacji - zagadnienie zarządcze
i organizacyjne, a nie tylko techniczne
Reguły ogólne - jak każda inna dziedzina zarządzania - cel, plany, polityki, instrumenty kontroli i oceny, rachunek kosztów i ryzyka, programy utrzymania dotychczasowych wyników oraz ciągłej poprawy
Błędne myślenie informatyków
Nie wystarczą zabezpieczenia techniczne
Edukacja pracowników
Dlaczego należy zarządzać bezpieczeństwem informacji?
Konsekwencje naruszenia poszczególnych aspektów bezpieczeństwa informacji
Poufność - przeciek do konkurencji, utrata zaufania kontrahentów
Integralność - bałagan organizacyjny, przesyłanie nieaktualnych informacji
Dostępność - niewłaściwe decyzje
Konsekwencje utraty bezpieczeństwa informacji
Naruszenie prawa
Utrata zaufania kontrahentów
Utrata konkurencyjności
Konkretne straty finansowe
Regulacje prawne
Naruszenie prawa
Wymagania stawiane w szczególności przez ustawy
Ustawa o ochronie informacji niejawnych
Ustawa o ochronie danych osobowych
Ustawa o ochronie baz danych
Ustawa o rachunkowości
Ustawa o prawie autorskim i prawach pokrewnych
Prawo bankowe
Prawo o publicznym obrocie papierami wartościowymi
...
Należy również pamiętać o innych aktach prawnych, które regulują funkcjonowanie danej branży
Standardy bezpieczeństwa
Przesłanki tworzenia standardów
Korzystanie z doświadczeń innych organizacji
Katalogi najlepszych praktyk
Ujednolicenie na arenie międzynarodowej
Zdobywanie zaufania kontrahentów
Możliwość dokonania audytu
Certyfikacja
ISO/OSI
Wyjaśnienie skrótów
ISO - Międzynarodowa Organizacja Normalizacyjna
IEC - Międzynarodowy Komitet Elektrotechniczny
JTC1 - Połączony Komitet Techniczny
SC27 - Podkomitet JTC1 „Techniki bezpieczeństwa systemów informatycznych
PKN - Polski Komitet Normalizacyjny
ISMS - (Information Security Management System) - System Zarządzania Bezpieczeństwem Informacji
Oficjalne
Tworzone przez organizacje standaryzacyjne
Międzynarodowe np. ISO, IEC
Regionalne np. CEN, ETSI, NAFTA
Krajowe np. PKN
Pozostałe
Zalecenia firm, organizacji i stowarzyszeń branżowych, rozwiązania powszechnie stosowane przez firmy
Standardy oficjalne - powstają w drodze wieloetapowych uzgodnień, co spowalnia osiągnięcie rezultatów.
podział ma umowny charakter - pewne rozwiązania rozwijane przez firmy są później przekazywane organizacjom normalizacyjnym w celu ich opracowania
International Organization for Standardization, International Electrotechnical Commission
European Committee for Standardization
European Telecommunications Standards Institute
North American Free Trade Agreement
Polskie Normy
Przeznaczone są do stosowania w Polsce
Stosowanie norm jest dobrowolne
Niektóre wprowadzone odrębnymi przepisami do obowiązkowego stosowania
Od czasu przystąpienia Polski do Unii Europejskiej tworzone przede wszystkim na podstawie tłumaczenia
i zatwierdzania norm europejskich i światowych
Polskie normy w zakresie bezpieczeństwa
PN-I-02000:1998 Technika informatyczna -
Zabezpieczenia w systemach informatycznych - Terminologia
PN -I- 13335 - 1 - Technika Informatyczna -
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele zabezpieczeń systemów informatycznych
PN -I- 13335 - 2 - Technika Informatyczna -
Planowanie i zarządzanie bezpieczeństwem systemów informatycznych
PN-ISO/IEC 17799:2003 Technika informatyczna -
Praktyczne zasady zarządzania bezpieczeństwem informacji
PN-I-02000:1998 - definiuje terminologię zabezpieczeń w systemach informatycznych - stworzono leksykon w j. polskim
to przykładowe wskazanie na normy polskie, bo norm które choćby pośrednio dot bezp. sys jest znacznie więcej
Przykładowe normy i standardy na podstawie których dokonuje się audytu bezpieczeństwa
BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem informacji. Specyfikacja i wytyczne do stosowania”
PN-I-07799-2:2005 „Systemy zarządzania bezpieczeństwem informacji. Specyfikacja i wytyczne do stosowania”
ISO/IEC 17799:2005 „Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji”
ISO/IEC 27001:2005 „Technologie informacyjne. Techniki zabezpieczeń. Systemy zarządzania bezpieczeństwem informacji. Wymagania”
PN-I-13335-1:1999 „Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych”
ISO/IEC/TR 13335-2:2003 „Planowanie i zarządzanie bezpieczeństwem systemów informatycznych”
ISO/IEC/TR 13335-3:2003 „Techniki zarządzania bezpieczeństwem systemów informatycznych”
ISO/IEC/TR 13335-4:2000 „Wybór zabezpieczeń”
ISO/IEC/WD 13335-5:2001 „Zabezpieczenie dla połączeń z sieciami zewnętrznymi”
ISO/IEC 15408-1 „Technologie informacyjne. Techniki zabezpieczeń. Kryteria oceny bezpieczeństwa informacji. Wprowadzenie i model podstawowy”
ISO/IEC 15408-2 „Technologie informacyjne. Techniki zabezpieczeń. Kryteria oceny bezpieczeństwa informacji. Wymagania bezpieczeństwa funkcjonalnego”
ISO/IEC 15408-3 „Technologie informacyjne. Techniki zabezpieczeń. Kryteria oceny bezpieczeństwa informacji. Wymagania zapewnienia bezpieczeństwa”
PN-ISO/IEC 9798-3:2002 „Technika informatyczna. Techniki zabezpieczeń. Uwierzytelnianie podmiotów. Część 3: Mechanizmy stosujące techniki podpisu cyfrowego”
PN-EN 60950:2002 „Bezpieczeństwo urządzeń techniki informatycznej”
PN-EN 60950-1:2005 „Urządzenia techniki informatycznej. Bezpieczeństwo. Część 1: Wymagania podstawowe”
PN-EN 60950-21:2005 „Urządzenia techniki informatycznej. Bezpieczeństwo. Część 21: Zdalne zasilanie”
PN-92/T-20001.02 „Systemy przetwarzania informacji. Współdziałanie systemów otwartych (OSI). Podstawowy model odniesienia. Architektura zabezpieczeń”
PN-ISO/IEC 13888-1:1999 „Technika informatyczna. Techniki zabezpieczeń. Niezaprzeczalność. Model ogólny”
PN-ISO/IEC 13888-1:1999 „Technika informatyczna. Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy wykorzystujące techniki symetryczne”
PN-ISO/IEC 13888-1:1999 „Technika informatyczna. Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy wykorzystujące techniki asymetryczne”
PN-ISO/IEC 10118-2:1996 „Technika informatyczna. Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu wykorzystujące n-bitowy algorytm szyfrowania blokowego”
PN-ISO/IEC 10118-3:1999 „Technika informatyczna. Techniki zabezpieczeń. Funkcje skrótu. Dedykowane funkcje skrótu”
PN-ISO/IEC 10118-4:2001 „Technika informatyczna. Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu wykorzystujące arytmetykę modularną”
PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia”
PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego”
BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem informacji. Specyfikacja i wytyczne do stosowania”
PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia”
PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego”
BS 15000:2002 „Wymagania do zarządzania usługami IT”
PD 3000 Complete Kit „Przewodnik zarządzania bezpieczeństwem informacji”
PAS 56 „Zarządzanie ciągłością działania”
COBIT „Control Objectives for Information and Related Technologies”
Standardy bezpieczeństwa
Raport techniczny ISO/IEC TR 13335
Standardy BS 7799
ISO/IEC 17799
PN - ISO/IEC 17799
PN - I - 07799-2
Rodzina norm ISO/IEC 2700x
Współpraca ISO oraz IEC w ramach Połączonego Komitetu Technicznego JTC1
Podkomitet SC 27 - technologia i metodyka zabezpieczeń
Raport techniczny ISO/IEC TR 13335
Guidelines for the Management of IT Security (GMITS)
składa się z pięciu części
pierwsza część - od 1999r. - polska norma PN-I 13335-1
druga część - od 2003r. - polska norma PN-I 13335-2
przeznaczony dla działów informatyki
dotyczy zagadnień technicznych,
a nie rozwiązań organizacyjnych
ISO/IEC/TR 13335-1 / PN-I-13335-1:
Wytyczne do zarządzania bezpieczeństwem systemów informatycznych:
terminologia, związki między pojęciami
podstawowe modele
Pojęcia dot. bezpieczeństwa teleinformatycznego - zasób, podatność, zagrożenie, następstwo, ryzyko, zabezpieczenia. Związki między nimi w formie prostych modeli.
Relacje w modelu bezpieczeństwa
ISO/IEC/TR 13335-2 / PN-I-13335-2:
Planowanie i zarządzanie bezpieczeństwem systemów IT
różne podejścia do prowadzenia analizy ryzyka
plany zabezpieczeń
znaczenie szkoleń i działań uświadamiających
stanowiska pracy w instytucji związane z bezpieczeństwem
ISO/IEC/TR 13335-3:
Techniki zarządzania bezpieczeństwem systemów informatycznych:
formułowanie trójpoziomowej polityki bezpieczeństwa
rozwinięcie problematyki analizy ryzyka
rozwinięcie problematyki implementacji planu zabezpieczeń
reagowanie na incydenty
ISO/IEC/TR 13335-4:
Wybór zabezpieczeń:
klasyfikacja i charakterystyka różnych form zabezpieczeń
dobór zabezpieczeń ze względu na rodzaj zagrożenia
i rodzaj systemu
ISO/IEC/WD 13335-5:
Zabezpieczenie dla połączeń z sieciami zewnętrznymi:
dobór zabezpieczeń stosowanych do ochrony styku systemu
z siecią zewnętrzną
Standardy BS 7799
Brytyjski standard opracowany przez BSI
(British Standards Institution) w 1998r.
W składzie zespołu weszło wielu przedstawicieli brytyjskich organizacji oraz firm konsultingowych
i przemysłowych
Dokument - 2 części:
BS 7799-1:1999 - kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji (Code of practice for Information Security Management)
BS 7799-2:1999 - specyfikacja dla systemów zarządzania bezpieczeństwem informacji (ISMS - Information Security Management System)
BS 7799-1 → ISO/IEC 17799 → PN - ISO/IEC 17799
BS 7799-2 → PN - I- 07799-2
Pierwsza część została przyjęta przez organizację ISO jako standard ISO 17799 i dalej przyjęta do systemu „Polska Norma” jako PN-ISO/IEC 17799. Druga część normy (BS 7799-2) nie została przyjęta do systemu norm ISO, natomiast została przyjęta do systemu „Polska Norma” pod numerem PN-I-07799-2.
BS 7799-1:1999
Katalog zabezpieczeń - 127 punktów kontroli bezpieczeństwa informacji
Zabezpieczenia podzielone na 10 rozdziałów - zakresów
Dotyczy wszystkich form informacji
Uwzględnia najnowsze sposoby prowadzenia działalności
Użytkownicy mogą wybrać najwłaściwsze zabezpieczenia ze względu na specyfikę prowadzonej działalności
Dobór na podstawie analizy ryzyka
Zabezpieczenia - organizacyjne, proceduralne, techniczne. Zapisy bardzo uniwersalne - np ochrona przed wrogim kodem, a nie system antywirusowy.
Wybór zabezpieczeń - należy jednak pamiętać, że jeżeli dokona się wyboru tylko niektórych opcji, to zabezpieczenie informacji może być dziurawe i przez to niewystarczające .... stąd rekomendowane jest, aby doboru dokonać na podstawie analizy ryzyka
BS 7799-1 - 10 zakresów:
01. Polityka bezpieczeństwa
02. Organizacja bezpieczeństwa
03. Klasyfikacja i kontrola aktywów
04. Bezpieczeństwo osobowe
05. Bezpieczeństwo fizyczne i środowiskowe
06. Zarządzanie systemami i sieciami
07. Kontrola dostępu do systemu
08. Rozwój i utrzymanie systemu
09. Zarządzanie ciągłością działania
10. Zgodność
proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)
Polityka bezpieczeństwa
Polityka bezpieczeństwa informacji
2. Organizacja bezpieczeństwa
Infrastruktura bezpieczeństwa informacji
Bezpieczeństwo dostępu osób trzecich
Zlecanie przetwarzania na zewnątrz
3. Klasyfikacja i kontrola aktywów
Rozliczalność aktywów
Klasyfikacja informacji
4. Bezpieczeństwo osobowe
Bezpieczeństwo przy określaniu zakresów obowiązków
i zarządzaniu zasobami ludzkimi
Szkolenie użytkowników
Reagowanie na naruszanie bezpieczeństwa
i niewłaściwe funkcjonowanie systemu
5 Bezpieczeństwo fizyczne i środowiskowe
Obszary bezpieczne
Zabezpieczanie sprzętu
Ogólne zabezpieczenia
6 Zarządzanie systemami i sieciami (bezpieczeństwo operacyjne)
Procedury eksploatacji i zakresy odpowiedzialności
Planowanie i odbiór systemu
Ochrona przed złośliwym oprogramowaniem
Procedury wewnętrzne
Zarządzanie sieciami
Postępowanie z nośnikami i ich bezpieczeństwo
Wymiana danych i oprogramowania
Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)
Kontrola dostępu do systemu
Potrzeby biznesowe związane z dostępem do systemu
Zarządzanie dostępem użytkowników
Zakres odpowiedzialności użytkowników
Kontrola dostępu do sieci
Kontrola dostępu do systemów operacyjnych
Kontrola dostępu do aplikacji
Monitorowanie dostępu do systemu i jego użycia
Komputery przenośne i praca na odległość
Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)
Rozwój i utrzymanie systemu
Wymagania bezpieczeństwa systemów
Bezpieczeństwo systemów aplikacji
Zabezpieczenia kryptograficzne
Bezpieczeństwo plików systemowych
Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej
Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)
Zarządzanie ciągłością działania
Aspekty zarządzania ciągłością działania
10 Zgodność
Zgodność z przepisami prawa
Przeglądy polityki bezpieczeństwa i zgodności technicznej
Rozważania dotyczące audytu systemu
Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)
BS 7799-1
luty 2000r. zgłoszony do organizacji ISO, jako podstawa ustanowienia międzynarodowego standardu zarządzania bezpieczeństwem informacji
sierpień 2000r. - po uproszczonym procesie legalizacji nadany został mu numer ISO/IEC 17799:2000
rozpoczęcie prac wkrótce po przyjęciu ISO/IEC 17799
czerwiec 2005r. - publikacja ISO/IEC 17799 2. wydanie
Zmiany w ISO/IEC 17799 2. wydanie
ok. 5000 zmian merytorycznych w porównaniu
z 1. wydaniem
bardziej logiczna struktura dokumentu
uwzględnienie zmian technologicznych
wyeliminowanie błędów i pominięć
BS 7799-2:1999
Wytyczne, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system zarządzania bezpieczeństwem informacji
6 etapów budowy systemów zarządzania bezpieczeństwem informacji (ISMS)
BS 7799-2:1999 - etapy budowy ISMS
Określenie polityki bezpieczeństwa
Określenie zakresu objętego systemem ISMS
Przeprowadzenie oceny ryzyka
Zarządzanie ryzykiem
Wybór celów zabezpieczeń i punktów kontrolnych
Deklaracja stosowania
BS 7799-2:2002
2002r. - nowe wydanie normy BS 7799-2
Starsza wersja utraciła ważność
Normę znacznie rozszerzono
Zapewniono zgodność z normami zarządzania jakością EN ISO 9001 i środowiskiem EN ISO 14001
Precyzyjna definicja ISMS
BS 7799-2:2002
System zarządzania bezpieczeństwem informacji:
część całościowego systemu zarządzania instytucji, oparta na podejściu wynikającym z ryzyka biznesowego i odnosząca się do ustanowienia, wdrażania, monitorowania, utrzymywania oraz doskonalenia bezpieczeństwa informacji
Jasne przesłanki doboru zabezpieczeń:
Decyzje o zastosowaniu zabezpieczeń muszą być podejmowane na podstawie analizy ryzyka
Cel nadrzędny - ciągłość działania instytucji
Zabezpieczenia muszą odpowiadać specyfice organizacji
Jeśli wdrażając system zastosuje się standardowy zestaw zabezpieczeń może to okazać się niewystarczające lub dojdzie do przeinwestowania.
System powinien sam się naprawiać:
Zdolność do wykrywania błędów
Eliminowanie błędów
Modyfikacja systemu - udoskonalanie
Odpowiednie procedury
Powinny być wdrożone procedury umożliwiające wykrywanie błędów.
Procedury eliminowania błędów, doskonalenia...
BS 7799-2:2002
Schemat zarządzania:
PDCA
PLAN - DO - CHECK - ACT
PLANUJ - WYKONAJ - SPRAWDZAJ - DZIAŁAJ
6 etapów budowy ISMS
BS 7799-2:2002 - PN - I- 07799-2
Planuj:
„Ustanowienie polityki bezpieczeństwa, cele, zakres stosowania, procesy i procedury odpowiadające zarządzaniu ryzykiem oraz zwiększające bezpieczeństwo informacji, tak aby uzyskać wyniki zgodne z ogólnymi zasadami i celami instytucji”
BS 7799-2:2002 - PN - I- 07799-2
Wykonuj:
„Wdrożenie i eksploatacja polityki bezpieczeństwa, zabezpieczeń, procesów i procedur”
Sprawdzaj:
„Szacowanie oraz tam, gdzie ma zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, cele i praktyczne doświadczenia oraz przekazywanie kierownictwu wyników przeglądu”
Działaj:
„Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo, tak aby osiągnąć stałe doskonalenie ISMS”
Planuj
Zakres ISMS
Polityka ISMS
Podejście do oceny ryzyka
Identyfikacja ryzyka
Oszacowanie ryzyka
Postępowanie z ryzykiem
Wybór celów i punktów kontroli
Deklaracja stosowania
Aprobata kierownictwa
Zakres ISMS
Wdrażanie systemu należy rozpocząć się od zdefiniowania zakresu jakiego system będzie dotyczyć
Czy ma on obejmować całą organizację?
Jakich obszarów logicznych i fizycznych ma dotyczyć ?
Polityka ISMS
Ogólny dokument (a nie książka)
Wymagania biznesowe i prawne danej organizacji
Kryteria szacowania ryzyka
Struktura organizacyjna
Musi zostać zaakceptowany przez kierownictwo
Jest to dokument ogólny, który „wyznacza ogólny kierunek i zasady działania w odniesieniu do bezpieczeństwa informacji”, a nie jak to często widuje się w różnorakich opracowaniach - książka zawierająca wszystkie możliwe procedury
Ryzyko
Zdefiniowanie procesu analizy ryzyka
Wyznaczenie kryteriów akceptowania ryzyka
Przeprowadzenie analizy ryzyka
Nie narzucono konkretnej metody analizy
Proces musi być opisany
Proces musi być powtarzalny
Analiza ryzyka
Określenie aktywów
inwentaryzacja informacji, wyposażenia, oprogramowania, usług
Zidentyfikowanie zagrożeń
np. atak hakerów, kradzież tożsamości, podsłuch, etc.
Zidentyfikowanie podatności
np. brak kopii zapasowych, nieprzeszkolony personel, etc.
Określenie skutków wykorzystania podatności przez zagrożenia
Analiza ryzyka nie jest prostą sprawą, ale w dobrze zorganizowanej instytucji, która wdrożyła normy zarządzania jakością i środowiskiem nie powinno być z tym problemu, za to w małych podmiotach można cały proces znacznie uprościć.
Postępowanie z ryzykiem
Na podstawie analizy podejmuje się decyzję co z robić z każdym ze zidentyfikowanych ryzyk
Możliwości:
zastosowanie zabezpieczeń
przeniesienie ryzyka np. na ubezpieczyciela
unikanie ryzyka
zaakceptowanie ryzyka
Podstawowy cel: ciągłość działania organizacji
Zaakceptowanie - nie ma systemów w 100% bezpiecznych z niektórymi rodzajami ryzyka trzeba się po prostu pogodzić, ale trzeba być świadomym ryzyka.
Należy podjąć decyzję mając na uwadze podstawowy cel.
Wybór celów i punktów kontroli
wybór wymagań według których należy zbudować system zarządzania bezpieczeństwem informacji
Deklaracja stosowania
uzasadnienie wyboru wymagań
sposób implementacji każdego wymagania
dokumentowanie
Akceptacja kierownictwa
kończy etap ustanawiania systemu zarządzania bezpieczeństwem informacji
zaangażowanie kierownictwa ważne z punktu widzenia normy - poświęcono mu cały rozdział 5
BS 7799-2:2002
Wykonaj
Plan postępowania z ryzykiem
Implementacja planu postępowania z ryzykiem
Implementacja wymagań
Szkolenia i uświadamianie
Zarządzanie działaniami
Zarządzanie zasobami
Zarządzanie incydentami
Na tym etapie implementujemy plan i poszczególne wymagania, wdrażamy stosowne procedury zapewniające sprawne działanie systemu w tym procedury jak najszybszego wykrywania incydentów i podejmowania reakcji.
szkolenia są bardzo ważym elementem
Sprawdzaj
Prowadzenie monitoringu
Przeglądy efektywności ISMS
Przeglądy ryzyka szczątkowego i akceptowanego
Wewnętrzne audyty ISMS
Przeglądy ISMS przez zarząd
Rejestracja istotnych działań i zdarzeń
B. ważna cecha systemu - zdolność do samodoskonalenia. Musza być wbudowane stosowne mechanizmy. Ten etap w zasadzie nie ma początku i końca - musi przebiegać w sposób ciągły.
Działaj
Implementacja udoskonaleń
Działania korygujące, wyciąganie wniosków, wymiana doświadczeń
Informowanie o podejmowanych działaniach, uzgadnianie
Weryfikacja udoskonaleń
Procedury reagowania na błędy muszą mieć konkretne efekty - należy podjąć stosowne działania - korygujące i prewencyjne
Rodzina norm ISO/IEC 2700x
ISO 27000 - słownictwo i terminologia
ISO 27001 - odpowiednik BS 7799 - 2, specyfikacja systemów zarządzania bezpieczeństwem informacji
ISO 27002 - ma zastąpić ISO 17799:2005
w kwietniu 2007r., praktyczne zasady zarządzania bezpieczeństwem, zestawia zabezpieczenia
i najlepsze praktyki
Najnowsza rodzina standardów ISO/IEC w zakresie BI.
ISO 27003 - wytyczne dla implementacji.
ISO 27004 - zarządzanie bezpieczeństwem informacji - wskaźniki i pomiary - nowe uregulowanie
ISO 27005 - zarządzanie ryzykiem bezpieczeństwa informacji - opublikowana w grudniu 2005
Jeśli wdrażając system zastosuje się standardowy zestaw zabezpieczeń może to okazac się niewystarczające lub dojdzie do przeinwestowania.
ISO/IEC 27001:
opublikowany 15 października 2005r.
zastępuje BS 7799 - 2:2002
nadal oparty na modelu PDCA
duży nacisk na zarządzanie ryzykiem (obowiązkowe)
ciągły proces doskonalenia systemu
podstawy audytu zewnętrznego i certyfikacji
ISO/IEC 27001 a ISO/IEC 17799 (aneks)
Systemy bezpieczeństwa informacji
ISO/IEC 17799 - wytyczne
ISO/IEC 27001 - wymagania, służy do certyfikacji
W aneksie do 27001 znajduje się wykaz zabezpieczeń opisanych w ISO/IEC 17799 zmiana dotyczy tego, że w teraz nie są to już wytyczne dotyczące zabezpieczeń a wymagania, jakim musi odpowiadać system.
ISO 27001
Norma przygotowana dla potrzeb dostarczenia modelu dla ustanowienia, wdrażania, stosowania, monitorowania, przeglądania, utrzymywania i doskonalenia
Systemu Zarządzania Bezpieczeństwem Informacji
Na model mają wpływ:
Potrzeby i cele,
Wymagania bezpieczeństwa,
Realizowane procesy,
Struktura organizacji.
Wyżej wymienione czynniki zmieniają się w czasie.
Norma może być wykorzystana w celu oceny zgodności przez:
komórki wewnętrzne
organizacje zewnętrzne
Norma przyjmuje podejście procesowe dla:
Ustanawiania
Wdrażania
Monitorowania
Doskonalenia
Systemu Zarządzania Bezpieczeństwem Informacji
Proces - działanie, które wykorzystuje zasoby dla transformacji WE w WY
Podejście procesowe do SZBI dotyka:
Zrozumienia potrzeby ustanowienia polityki i celów
Stosowanych zabezpieczeń
Monitorowania wydajności i efektywności
Stałego doskonalenia
Podejście procesowe do SZBI
Wymóg vs. oczekiwanie
Wymóg: naruszenie bezpieczeństwa nie może przysporzyć szkód finansowych
Oczekiwanie: w przypadku wystąpienia poważnego incydentu, będzie można stosować odpowiednie procedury celem minimalizacji skutków
Planuj - ustanowienie polityki bezpieczeństwa, celów, zakresów stosowania procesów i procedur odpowiednich dla zarządzania ryzykiem
Wykonuj - wdrożenie polityki bezpieczeństwa
Sprawdzaj - szacowanie oraz pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa
Działaj - podejmowanie działań korygujących
i prewencyjnych na podstawie wyników audytów wewnętrznych i innych źródeł
ISO 27001 - terminy i definicje
Aktywa
Wszystko co posiada wartość dla organizacji
Dostępność
Zapewnienie, że informacja jest dostępna przez upoważnioną jednostkę
Poufność
Zapewnienie, że informacja jest dostępna tylko dla upoważnionych do tego jednostek
Integralność
Zapewnienie ochrony kompletności informacji
Bezpieczeństwo informacji
Zachowanie poufności, integralności i dostępności informacji oraz innych właściwości
Zdarzenie związane z bezpieczeństwem informacji
Wystąpienie pewnego stanu systemu (usługi, sieci) wskazujące na prawdopodobne naruszenie polityki bezpieczeństwa lub awarie zabezpieczeń, lub też wcześniej nie znanej sytuacji, mogącej być istotną ze względów bezpieczeństwa
Incydent związany z bezpieczeństwem informacji
Pojedyncze (lub nie) niespodziewane wydarzenie, które może zagrażać realizacji działań oraz stanowić zagrożenie dla bezpieczeństwa informacji
System zarządzania bezpieczeństwem informacji
To część całościowego systemu zarządzania odnosząca się do ustanawiania, … i udoskonalania bezpieczeństwa informacji
Ryzyko
Prawdopodobieństwo tego, że określone zagrożenie wykorzysta słabość zasobu (grupy zasobów) w celu spowodowania strat
Analiza ryzyka
Określenie źródeł ryzyka
Szacowanie ryzyka
Określenie wielkości ryzyka
Ocena ryzyka
Wyznaczanie wagi ryzyka
Postępowanie z ryzykiem
Wdrożenie środków modyfikujących ryzyko
Deklaracja stosowania
Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które mają zastosowanie w SZBI danej organizacji
ISO 27001 - cele stosowania zabezpieczeń i zabezpieczenia
A.5. Polityka bezpieczeństwa
Dokument polityki bezpieczeństwa informacji
Przegląd informacji polityki bezpieczeństw
Dokument polityki powinien zostać zatwierdzony przez kierownictwo, opublikowany i udostępniony w odpowiedni sposób wszystkim pracownikom i odpowiednim stronom zewnętrznym.
Polityka bezpieczeństwa powinna być poddawana regularnemu przeglądowi, a w przypadku istotnych zmian powinna zapewniać, że pozostaje ciągle przydatna, adekwatna i skuteczna.
A.6. Organizacja bezpieczeństwa informacji
Zaangażowanie kierownictwa w bezpieczeństwo informacji
Koordynacja bezpieczeństwa informacji
Przypisywanie obowiązków związanych z bezpieczeństwem informacji
Proces uwierzytelniania urządzeń służących do przetwarzania informacji
Umowy o poufności
Kierownictwo powinno być aktywnie wspierać bezpieczeństwo wewnątrz organizacji poprzez czytelne instrukcje, wykazywane zaangażowanie, jasne przypisywanie zadań oraz uznanie obowiązków związanych z bezpieczeństwem informacji.
Działania związane z bezpieczeństwem informacji będą koordynowane przez przedstawicieli różnych części organizacji, wykonujących różne działania i pełniących różne funkcje.
Wszystkie obowiązki związane z bezpieczeństwem informacji powinny być jasno określone.
Określone zostaną i poddawane będą regularnej analizie umowy o poufności lub nie ujawnianiu informacji odzwierciedlające potrzebę ochrony informacji w organizacji.
Kontakty z władzami
Kontakty z grupami zainteresowania
Niezależny przegląd bezpieczeństwa informacji
Identyfikacja ryzyka wynikającego z dostępu osób trzecich
Kwestia bezpieczeństwa podczas kontaktów z klientami
Kwestia bezpieczeństwa w umowach z osobami trzecimi
Będą utrzymywane właściwe kontakty z odpowiednimi władzami.
Będą utrzymywane właściwe kontakty z grupami zainteresowania lub z innymi specjalistycznymi forami bezpieczeństwa oraz stowarzyszeniami profesjonalistów.
Podejście organizacji do zarządzania bezpieczeństwem informacji oraz jego wdrożenia, będzie poddawane niezależnemu przeglądowi z zaplanowaną częstotliwością lub w przypadku powstania znacznych zmian we wdrożeniu bezpieczeństwa.
Zostanie określone ryzyko dla informacji, organizacji oraz urządzeń przetwarzających informacje podczas procesów biznesowych związanych ze stronami zewnętrznymi, przed udzieleniem dostępu zostaną wdrożone odpowiednie zabezpieczenia.
Umowy umożliwiające dostęp osób trzecich do urządzeń służących do przetwarzania, przekazywania lub zarządzania informacjami organizacji lub urządzeniami przetwarzającymi informacje lub dodawanie produktów lub usług do urządzeń przetwarzających informacje powinny bazować na formalnych zapisach zawierających wszystkie istotne wymogi bezpieczeństwa.
A.7. Zarządzanie aktywami
Inwentaryzacja aktywów
Własność aktywów
Możliwe do zaakceptowania korzystanie z aktywów
Wytyczne do klasyfikacji informacji
Oznaczanie i postępowanie z informacją
Należy stworzyć i utrzymywać inwentaryzację wszystkich ważnych aktywów związanych z każdym systemem informacyjnym.
Właścicielem wszelkich informacji i aktywów związanych z urządzeniami przetwarzającymi informacje i powinna być wyznaczona część organizacji.
Zasady możliwego do zaakceptowania korzystania z aktywów i związanych z nimi urządzeniami przetwarzającymi informacje powinny być określone, udokumentowane i wdrożone.
Informacja powinna być zaklasyfikowana ze względu na swoją wartość, przepisy prawne, stopień wrażliwości i wagę dla organizacji.
Należy zdefiniować zestaw procedur oznaczania informacji i postępowała z informacją, zgodnych z przyjętym w organizacji schematem klasyfikacji.
A.8. Bezpieczeństwo osobowe
Przed zatrudnieniem
Role i odpowiedzialności
Sprawdzanie podczas naboru
Zasady i warunki zatrudnienia
Podczas zatrudnienia
Odpowiedzialność kierownictwa
Świadomość, edukacja i szkolenia dotyczące bezpieczeństwa informacji
Postępowanie dyscyplinarne
Role i zakresy odpowiedzialności dotyczące bezpieczeństwa, które zostały sformułowane w polityce bezpieczeństwa informacji danej organizacji, powinny być udokumentowane w zakresach obowiązków przypisanych do stanowisk.
Na etapie składania podania o zatrudnienie należy przeprowadzić weryfikację personelu zatrudnionego na czas nieokreślony, określony oraz zleceniobiorców. Weryfikacja powinna być przeprowadzona w zgodzie z odpowiednimi regulacjami prawnymi, wymaganiami regulacyjnymi i etycznymi oraz powinna być proporcjonalna do wymagań biznesowych, klasyfikacji informacji, które będą nadawane.
Częścią zobowiązań kontraktowych pracowników, wykonawców oraz użytkowników reprezentujących stronę trzecią, powinna być zgoda oraz podpisanie zasad i warunków umowy zatrudnienia, precyzującej ich obowiązki oraz obowiązki organizacji w zakresie bezpieczeństwa.
Kierownictwo będzie wymagało od pracowników, kontrahentów i użytkowników stanowiących strony trzecie, by stosowali środki bezpieczeństwa zgodnie z ustanowioną polityką i procedurami.
Wszyscy pracownicy organizacji (i osoby trzecie) powinny przejść właściwe i okresowo uaktualniane szkolenie w zakresie polityk i procedur odpowiednich dla funkcji, którą pełnią w pracy.
Należy opracować sposób prowadzenia formalnego postępowania dyscyplinarnego w stosunku do pracowników, którzy naruszyli procedury i polityki bezpieczeństwa informacji.
Po zakończeniu (zmianie) zatrudnienia
Odpowiedzialność związane z zakończeniem zatrudnienia
Zwrot aktywów
Odebranie praw dostępu
Odpowiedzialności związane z wykonaniem zakończenia lub zmianą zatrudnienia powinny być zdefiniowane i przypisane.
Wszyscy pracownicy, kontrahenci i osoby trzecie powinni oddać wszystkie aktywa należące do organizacji, a które są w ich posiadaniu, przed zakończeniem zatrudnienia, kontraktu lub umowy.
Należące do pracowników, kontrahentów i osób trzecich prawa dostępu do informacji i środków przetwarzania informacji, powinny być im odebrane przed zakończeniem zatrudnienia, kontaktu lub umowy.
A.9. Bezpieczeństwo fizyczne i środowiskowe
Granice bezpieczeństwa fizycznego
Fizyczne zabezpieczenie wejścia
Zabezpieczenie biur, pomieszczeń i urządzeń
Ochrona przed zagrożeniami zewnętrznymi środowiskowymi
Praca w obszarach bezpiecznych
Publiczny dostęp - obszary dostaw i załadunku
Organizacja powinna wprowadzić granice obszarów bezpiecznych (mury, bramy wejściowe, recepcje), w których znajdują się informacje i urządzenia do przetwarzania informacji.
Należy chronić obszary bezpieczne (przed nieuprawnionym personelem).
Należy chronić biura, pomieszczenia i urządzenia.
Należy chronić przed ogniem, powodzią, trzęsieniem, eksplozją, rozruchami społecznymi i innymi katastrofami naturalnymi.
Należy chronić obszar bezpieczny.
Należy kontrolować obszary dostaw i załadunku.
Rozmieszczenie sprzętu i jego ochrona
Podtrzymywanie zasilania
Bezpieczeństwo okablowania
Utrzymanie sprzętu
Zabezpieczenie sprzętu poza siedzibą
Bezpieczne usuwanie lub ponowne użycie sprzętu
Wynoszenie mienia
Sprzęt powinien być rozmieszczony lub chroniony w taki sposób, aby ograniczyć ryzyko.
Sprzęt należy chronić przed awariami zasilania i zakłóceniami elektrycznymi.
Należy chronić okablowanie zasilające i telekomunikacyjne przed podsłuchem/uszkodzeniem.
Należy zapewnić dostępność i integralność.
Należy sprawdzać nośniki w celu upewnienia się czy wszystkie istotne dane zostały usunięte.
Sprzęt, informacje, oprogramowanie należące do organizacji nie powinno być wynoszone bez zezwolenia.
A.10. Zarządzanie komunikacją
Dokumentowanie procedur stosowania
Zarządzanie zmianami
Podział obowiązków
Rozdział urządzeń testujących i operacyjnych
Usługi dostawcy
Monitorowanie i przegląd usług świadczonych przez strony 3
Zarządzanie zmianami w usługach świadczonych przez s. 3
Zarządzanie wydajnością
Procedury stosowania, wskazywane przez politykę bezpieczeństwa, powinny być udokumentowane, utrzymane i dostępne dla wszystkich urzędników.
Zmiany w urządzeniach/systemach powinny być kontrolowane.
Obowiązki i obszary odpowiedzialności powinny być rozdzielone tak, aby ograniczyć możliwości nieuprawnionej modyfikacji lub nadużycia aktywów.
Należy zapewnić, że trzecia strona wdraża stosuje i utrzymuje środki bezpieczeństwa, definicje usług oraz poziomy dostaw zawarte w umowie o świadczenie usług ze stroną trzecią.
Usługi, raporty i zapisy dostarczone przez stronę trzecią będą regularnie monitorowane i poddawane przeglądom.
Zmiany w świadczeniu usług, włącznie z utrzymywaniem i ulepszaniem istniejących polityk, procedur i zabezpieczeń będą zarządzane.
W celu zapewnienia właściwej wydajności zasobów, wykorzystanie zasobów powinno być monitorowane.
Akceptacja systemu
Ochrona przed szkodliwym oprogramowaniem
Ochrona przed mobilnym oprogramowaniem
Archiwizacja informacji
Zabezpieczenie sieci
Bezpieczeństwo usług sieciowych
Zarządzanie wymiennymi nośnikami komputerowymi
Niszczenie nośników
Określone zostaną kryteria akceptacji dla nowych systemów informacyjnych, uaktualnień i nowych wersji, a podczas opracowywania i przed akceptacją będą przeprowadzane odpowiednie testy systemu.
Powinny być wdrożone środki wykrywania i ochrony przed szkodliwym oprogramowaniem.
Oprogramowanie mobilne powinno być tak skonfigurowane, aby działało zgodnie z polityką bezpieczeństwa.
Kopie zapasowe powinny być stosowane i testowane zgodnie z polityką archiwizacyjną.
Należy chronić sieć i aplikacje korzystające z sieci.
Środki bezpieczeństwa, poziomy usług i wymagania będą zidentyfikowane i zawarte w dowolnej umowie o usługach sieciowych (bez względu na to, czy są świadczone wewnątrz, czy pozyskiwane z zewnątrz.
Należy stosować procedury do zarzadzania dyskami wymiennymi.
Nośniki, które nie są dłużej używane powinny być skutecznie i bezpiecznie niszczone.
Procedury postępowania z informacją
Bezpieczeństwo dokumentacji systemu
Polityka i procedury wymiany informacji
Umowy dotyczące wymiany
Transport nośników fizycznych
Przesyłanie poczty elektronicznej
Systemy informacji dotyczące biznesu
Handel elektroniczny
Transakcje on-line
Należy opracować procedury postępowania i przechowywania informacji.
Należy chronić dokumentację przed nieuwierzytelnionym dostępem.
Ochrona wymiany informacji będzie realizowana poprzez zastosowanie wszystkich rodzajów urządzeń komunikacyjnych, formalne polityki, procedury i zabezpieczenia wymiany.
Między organizacją a stronami trzecimi zawarte będą umowy odnośnie wymiany informacji.
Transportowane nośniki powinny być chronione przed nieuprawnionym dostępem.
Informacje przekazywane za pośrednictwem wiadomości elektronicznych będą odpowiednio chronione.
Zostaną opracowane i wdrożone polityki i procedury chroniące informacje związane z systemami informacji dotyczących działalności.
Informacje związane z prowadzeniem elektronicznej działalności handlowej, przekazywane przez sieci publiczne, będą chronione przed oszustwami.
Informacje przekazywane w trakcie transakcji on-line będą chronione przed niekompletną transmisją, niewłaściwym skierowaniem, nieuprawnionym ujawnieniem/zmianą/powieleniem informacji.
Informacje dostępne publicznie
Rejestry audytów
Korzystanie z systemu monitoringu
Ochrona informacji zawartych w rejestrach
Rejestry administratora i operatora
Rejestry błędów
Synchronizacja zegarów
Integralność informacji udostępnionych w ogólnie dostępnym systemie będzie chroniona, aby zapobiec nieuwierzytelnionym modyfikacjom.
Rejestry z audytów zapisujące działania, wyjątki, zdarzenia związane z bezpieczeństwem informacji będą wytwarzane i zachowywane przez uzgodniony okres czasu.
Zostaną określone procedury korzystania z urządzeń przetwarzających informacje dla celów monitoringu, a rezultaty działań monitorujących będą analizowane.
Urządzenia do rejestrowania i informacje w rejestrach będą chronione przed dostępem osób nieuprawnionych.
Działania administratora i operatora systemu powinny być rejestrowane.
Błędy będą rejestrowane, analizowane i poddane odpowiednim działaniom.
Zegary będą synchronizowane w stosunku do uzgodnionego, dokładnego źródła czasu.
A.11. Kontrola dostępu
Polityka kontroli dostępu
Rejestracja użytkowników
Zarządzanie przywilejami
Zarządzanie hasłami
Przegląd praw dostępu
Używanie haseł
Pozostawienie sprzętu użytkownika bez opieki
Polityka czystego biurka i czystego ekranu
Wymagania dotyczące KD powinny być zdefiniowane i udokumentowane.
Przyznawanie dostępu do systemów i usług należy oprzeć na formalnej procedurze rejestrowania/wyrejestrowywania.
Przyznawanie i używanie przywilejów powinno być ograniczone i kontrolowane.
Przydzielanie haseł powinno być kontrolowane zgodnie z formalnym procesem zarządzania.
Kierownictwo powinno regularnie przeprowadzać formalny przegląd praw dostępu użytkowników.
Wybór/używanie haseł powinno być realizowane zgodnie ze sprawdzonymi praktykami bezpieczeństwa.
Od użytkowników należy wymagać, aby zapewniali właściwą ochronę sprzętu.
Zostanie przyjęta jasna polityka dla biurek (dot. dokumentów i dysków wymiennych) oraz jasna polityka dla monitorów (dot. Urządzeń przetwarzających informacje).
Polityka korzystania z usług sieciowych
Uwierzytelnianie użytkowników przy połączeniach zewn.
Identyfikacja sprzętu w sieci
Ochrona zdalnych portów diagnostycznych
Rozdzielanie sieci
Kontrola połączeń sieciowych
Kontrola dróg połączeń w sieciach
Bezpieczne procedury rejestracji
Użytkownicy powinni mieć zapewniony bezpośredni dostęp tylko do tych usług, do których mają uprawnienia.
Dostęp zdalnych użytkowników powinien być uwierzytelniony.
Rozważy się zastosowanie automatycznej identyfikacji dla połączeń z określonych lokalizacji i urządzeń.
Dostęp do portów diagnostycznych powinien być ograniczony i zabezpieczony.
Sieć powinna być rozdzielona z uwagi na grupy usług/użytkowników/systemów.
Możliwości połączeń pomiędzy użytkownikami we współużytkowanych sieciach powinny być ograniczone, uwzględniając politykę kontroli dostępu.
Drogi połączeń nie mogą naruszać polityki KD aplikacji biznesowych.
Dostęp do SO powinien być zabezpieczony procedurą rejestrowania (logowania).
Identyfikacja i potwierdzenie tożsamości klienta
System zarządzania hasłami
Użycie systemowych programów narzędziowych
Upłynięcie czasu sesji
Ograniczenie czasu trwania połączenia
Ograniczenie dostępu do informacji
Izolowanie systemów wrażliwych
Komputery przenośne i komunikacja oraz praca na odległość
Wszyscy użytkownicy powinni posiadać unikalne ID oraz powinna być wybrana odpowiednia technika weryfikacji tożsamości użytkownika.
Systemy zarządzania hasłami powinny opierać się na efektywnych, interaktywnych mechanizmach zapewniających hasła odpowiedniej jakości.
Użycie systemowych programów narzędziowych, które mogłyby mieć pierwszeństwo przed środkami kontroli systemu i aplikacji powinno być ograniczone i ściśle kontrolowane.
Nieaktywne sesje zostaną zakończone po określonym czasie braku aktywności.
W celu zapewnienia dodatkowego bezpieczeństwa aplikacjom o wysokim ryzyku, należy ograniczać czas trwania połączenia.
Dostęp użytkowników do informacji i funkcji w aplikacji powinien być ograniczony zgodnie z polityką KD.
Systemy wrażliwe powinny być instalowane.
Należy przyjąć formalną politykę postępowania i odpowiednie środki bezpieczeństwa, uwzględniające ryzyko związane z pracą z komputerami przenośnymi.
Należy opracować i stosować politykę i procedury pracy na odległość.
A.12. Uzyskiwanie, rozwój i utrzymanie systemów informacyjnych
Analiza i specyfikacja wymagań bezpieczeństwa
Potwierdzenie ważności danych wejściowych
Kontrola wewnętrznego przetwarzania
Integralność wiadomości
Walidacja danych wyjściowych
Wymagania biznesowe dotyczące nowych systemów informacyjnych lub rozszerzenie istniejących systemów powinny uwzględniać wymagania dotyczące zabezpieczeń.
Dane WE systemów/aplikacji powinny podlegać walidacji.
Do systemów/aplikacji należy wprowadzić potwierdzenie ważności wyników przetwarzania.
Powinny być określone wymagania dla zapewnienia ochrony integralności wiadomości w aplikacjach.
Dane WY systemów/aplikacji powinny podlegać walidacji.
Polityka używania zabezpieczeń kryptograficznych
Zarządzanie kluczami
Kontrola oprogramowania operacyjnego
Ochrona systemowych danych testowych
Kontrola dostępu do kodu źródłowego programu
Procedury kontroli zmian
Należy opracować i rozwijać politykę używania zabezpieczeń kryptograficznych do ochrony informacji.
Zarządzanie kluczami powinno być wdrożone w celu pomocy organizacji w używaniu technik kryptograficznych.
Należy zapewnić kontrolę wprowadzania oprogramowania dla eksploatowanych systemów.
Dane testowe powinny być uważnie wybierane/chronione /kontrolowane.
Należy chronić kod źródłowy.
Wprowadzenie zmian powinno być ściśle kontrolowane przed użyciem formalnych procedur kontroli zmian.
Techniczny przegląd aplikacji po zmianach w OS
Ograniczenia dotyczące zmian w pakietach oprogramowania
Przeciek informacji
Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej
Kontrola podatności technicznych
Po przeprowadzeniu zmian system systemy aplikacji należy poddać przeglądowi i testom w celu upewnienia się, że nie powstały negatywne skutki dla bezpieczeństwa organizacji.
Należy unikać zmian w pakietach oprogramowania, a jeśli są one konieczne, to należy je ściśle kontrolować.
Powinno się zapobiegać możliwościom przecieku informacji.
Należy zastosować zabezpieczenia w celu ochrony prac rozwojowych nad oprogramowaniem powierzonych firmie zewnętrznej.
Odpowiednio wcześniej należy uzyskać informacje o podatnościach technicznych stosowanych systemów i ocenić związane z tymi punktami ryzyko organizacji.
A.13. Zarządzanie wydarzeniami
Raportowanie wydarzeń związanych z bezpieczeństwem informacji (kiedy, komu ?)
Raportowanie słabych punktów (kontrahenci)
Zakres odpowiedzialności (kierownictwa)
Nauka z incydentów związanych z bezpieczeństwem
Gromadzenie dowodów
Raportowanie wiadomości związanych z bezpieczeństwem informacji powinno być realizowane przez odpowiednie kanały kierownicze.
Wszyscy pracownicy/kontrahenci/użytkownicy systemów i informacji będącymi stronami trzecimi będą zobowiązani odnotowywać i raportować wszystkie słabe punkty.
Zakres odpowiedzialności kierownictwa i procedury powinny być ustanowione w celu szybkiej reakcji na incydenty związane z bezpieczeństwem informacji.
Na miejscu będą dostępne mechanizmy umożliwiające określenie ilości/rodzaju/rozmiaru/kosztów incydentów.
Jeżeli działania przeciwko osobie lub organizacji, występujące po wykryciu incydentu związanego z bezpieczeństwem informacji wymagają kroków prawnych, zostaną zebrane dowody, które będą zachowane i przedstawione w sposób zgodny z zasadami dowodów zawartymi w odpowiedniej jurysdykcji.
A.14. Zarządzanie ciągłością działania
Proces BCM
Ciągłość działania a szacowanie ryzyka (BIA)
Tworzenie planów ciągłości działania
Struktura planowania ciągłości działania (zgodność)
Ocena planów ciągłości działania
Proces BCM powinien być wdrożony i utrzymany w celu spełnienia wymagań związanych z bezpieczeństwem informacji potrzebnych do uzyskania ciągłości działania.
Powinny być określone zdarzenia, które mogą spowodować przerwę w procesie biznesowym, ich wpływ i ewentualne konsekwencje takiego zdarzenia dla bezpieczeństwa informacji.
Powinny zostać opracowane plany ciągłości działania zapewniające utrzymanie lub przywracanie w wymaganym czasie działań biznesowych po przerwach lub awariach.
Należy upewnić się, że wszystkie plany ciągłości działania są ze sobą zgodne.
Plany ciągłości działania powinny być regularnie testowane.
A.15. Zgodność z przepisami prawa
Określenie odpowiednich przepisów prawa
Prawo do własności intelektualnej
Zabezpieczanie zapisów organizacji
Ochrona danych osobowych
Zapobieganie nadużywaniu urządzeń przetwarzających informacje
Należy wprowadzić odpowiednie procedury zapewnienia zgodności z wymaganiami prawnymi.
Należy chronić ważne zapisy organizacji przed utratą/zniszczeniem/sfałszowaniem zgodnie z wymaganiami wynikającymi ustaw/zarządzeń/umów.
Należy chronić dane osobowe.
Regulacje dotyczące zabezpieczeń kryptograficznych
Zgodność z politykami bezpieczeństwa
Sprawdzanie zgodności technicznej
Zabezpieczenie audytu systemu (stabilność SO)
Ochrona narzędzi audytu systemu (dostęp)
Zabezpieczenia kryptograficzne powinny być używane zgodnie z prawem.
Należy zapewnić, aby wszystkie procedury związane z bezpieczeństwem były zgodne z politykami i normami bezpieczeństwa.
Należy odpowiednio planować i uzgadniać działania i potrzeby związane z audytem wymagające sprawdzania systemów operacyjnych.
Należy właściwie chronić dostęp do narzędzi audytu.
System zarządzania bezpieczeństwem informacji (Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI
Wdrożenie i stosowanie SZBI
Monitorowanie i przegląd SZBI
Utrzymanie i doskonalenie SZBI
Dokumentacja SZBI
Nadzór nad dokumentami i zapisami
(Do)
Odpowiedzialność kierownictwa
Zaangażowanie kierownictwa
Zarządzanie zasobami
Zapewnienie zasobów
Szkolenie, uświadamianie i kompetencje
(Check)
Wewnętrzne audyty SZBI
Przegląd zarządu SZBI
(Act)
Doskonalenie SZBI
Działania korygujące
Działania prewencyjne
(Plan)
Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI
Ustalić zakres i granice SZBI
Określić podejście do oceny ryzyka
Wskazać metodę oceny ryzyka
Wyznaczyć kryteria akceptowania ryzyka
Określić ryzyka
Aktywa i ich właściciele
Zagrożenia dla aktywów
Podatności
Skutki (w przypadku utraty CIA)
Analiza i ocena ryzyka
Ocenić szkody biznesowe
Ocenić realne prawdopodobieństwa naruszenia bezpieczeństwa
Ocenić poziomy ryzyk
Stwierdzić czy ryzyko jest akceptowalne
Zidentyfikować warianty postępowania z ryzykiem
Zastosowanie zabezpieczeń
Zaakceptowanie ryzyk w sposób świadomy
Unikanie ryzyk
Transfer ryzyka
Wybrać cele stosowania zabezpieczeń oraz zabezpieczenia
Wybór z zał. A normy ISO 27001
Nie jest to katalog zamknięty
Uzyskać zgodę kierownictwa na ryzyka
Uzyskać poparcie do wdrażania SZBI
Przygotować deklarację stosowania
Cele stosowania zabezpieczeń i zabezpieczenia do wdrożenia i już wdrożonych
Wyłączenia z listy z zał. A wraz z wyjaśnieniem
Ustanowienie i zarządzanie SZBI
Wdrożenie i stosowanie SZBI
Sformułować plan postępowania z ryzykiem
Wdrożyć plan postępowania z ryzykiem w celu osiągnięcia zidentyfikowanych celów stosowania zabezpieczeń
Wdrożyć zabezpieczenia
Zdefiniować pomiary efektywności zabezpieczeń do oceny skuteczności zabezpieczeń
Wdrożyć programy uświadamiania i szkolenia
Zarządzanie stosowaniem SZBI
Zarządzanie zasobami SZBI
Wdrażać procedury wykrywania i reakcji na incydenty
Monitorowanie i przegląd SZBI
Monitorować zabezpieczenia, aby
Wykrywać błędy
Identyfikować naruszenia bezpieczeństwa
Oceniać czy działania podjęte w celu usunięcia problemu były skuteczne
Wykonywać regularne przeglądy skuteczności SZBI biorąc pod uwagę informacje zwrotne
Mierzyć skuteczność zabezpieczeń
Dokonywać przeglądów oceny ryzyka
Uwzględniać zmiany w organizacji, technologii, celach biznesowych, procesach, zagrożeniach, zabezpieczeniach, prawie
Przeprowadzać audyty wewnętrzne (რ)
Przeprowadzać przeglądy realizowane przez kierownictwo
Uaktualniać plany dotyczące bezpieczeństwa uwzględniając wyniki przeglądów
Rejestrować zdarzenia mogące mieć wpływ na SZBI
Utrzymanie i doskonalenie SZBI
Wdrażać zidentyfikowane udoskonalenia
Podejmować działania prewencyjne/korekcyjne
Informować o wynikach działań
Zapewniać, że udoskonalenia spełniają stawiane cele
Dokumentacja SZBI
Nadzór nad dokumentami i zapisami
Dokumentacja powinna zawierać
Deklaracje polityki i celów SZBI
Zakres SZBI
Procedury służące realizacji SZBI
Opis metodyki oceny ryzyka
Raport oceny ryzyka
Plan postępowania z ryzykiem
Udokumentowane procedury potrzebne do zapewnienia efektywnego planowania i stosowania SZBI
Zapisy wymagane przez normę i deklarację stosowania
Uwaga! Dokumentacja może mieć dowolną formę lub dowolny rodzaj nośnika
Nadzór nad dokumentami
Dokumenty powinny być chronione i nadzorowane
Procedury udokumentowane:
aktualizacji, zapewnienia czytelności dokumentów,
dostępności, zapewnienia najnowszych wersji
zapewnienia, że rozpowszechnianie dokumentów jest kontrolowane
Uwaga! Dokumentacja może mieć dowolną formę lub dowolny rodzaj nośnika
Nadzór nad zapisami
Ustanowienie oraz utrzymanie odpowiednich zapisów
Zapewnienie ochrony, nadzoru zapisów
Zapewnienie czytelności zapisów
Zapisy dot. procesów i incydentów
Przykłady zapisów: księgi gości, raporty audytowe, logi
(Do)
Odpowiedzialność kierownictwa
Zaangażowanie kierownictwa
Ustanowienie polityki bezpieczeństwa
Zapewnienie, że cele bezpieczeństwa zostały ustanowione
Określenie ról i zakresów odpowiedzialności
Informowanie organizacji o znaczeniu spełnienia celów bezpieczeństwa informacji i skutkach prawnych
Zapewnienie wystarczających zasobów dla SZBI
Decydowanie o kryteriach akceptowalności ryzyk
Przeprowadzanie audytów wewnętrznych i przeglądów zarządu
Zapewnienie zasobów
Zapewnić zasoby niezbędne do stosowania, przeglądu, utrzymania i doskonalenia SZBI
Zapewnić zasoby potrzebne do utrzymania odpowiedniego bezpieczeństwa
Zapewnić zasoby niezbędne do spełnienia wymagań natury prawnej
Szkolenie, uświadamianie i kompetencje
Zapewnienie, że cały personel w SZBI ma stosowne kompetencje
Zdefiniowanie koniecznych kompetencji
Szkolenia i ocenę skuteczności szkoleń
Prowadzenie zapisów dot. edukacji, szkoleń, umiejętności, doświadczenia, kwalifikacji
(Check)
Wewnętrzne audyty SZBI
Przeglądy SZBI mają na celu określenie czy cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury są zgodne z normą, prawem
Powinny być realizowane w oczekiwany sposób
O czasie, o właściwym zakresie, wskazywać czynności poaudytowe
Przegląd zarządu SZBI
Przeglądy zarządzania w zaplanowanych odstępach czasu w celu zapewnienia jego poprawności, odpowiedzialności i skuteczności
Dane wejściowe: wyniki audytów, informacje zwrotne, podatności i zagrożenia, rezultaty pomiarów skuteczności, działań poprzeglądowych, zaleceń
Dane wyjściowe: aktualizacja planu postępowania z ryzykiem, modyfikacja procedur dot. Bezpieczeństwa i inne
(Act)
Doskonalenie SZBI
Działania korygujące
Eliminacja przyczyny niezgodności związanych
z wdrożeniem i stosowaniem SZBI
Identyfikacja niezgodności
Stwierdzenie przyczyny niezgodności
Oceny potrzeby działań
Wskazanie działań, ich udokumentowanie (zapisy)
Przegląd podjętych działań
Działania prewencyjne
Wskazanie działań podejmowanych w celu ochrony przed potencjalnymi niezgodnościami
z wymaganiami SZBI
Identyfikacja potencjalnych niezgodności i przyczyn
Ocena potrzeby działań
Wskazanie działań, ich udokumentowanie (zapisy)
Przegląd podjętych działań prewencyjnych
Zarządzanie bezpieczeństwem informacji - wykłady
3