Zarządzanie bezpieczeństwem informacji

• Informacja - jeden z podstawowych zasobów organizacji, posiada wartość ekonomiczną

• Ochrona informacji - zagadnienie zarządcze
  i organizacyjne, a nie tylko techniczne

• Reguły ogólne - jak każda inna dziedzina zarządzania - cel, plany, polityki, instrumenty kontroli i oceny, rachunek kosztów i ryzyka, programy utrzymania dotychczasowych wyników oraz ciągłej poprawy

Błędne myślenie informatyków

Nie wystarczą zabezpieczenia techniczne

Edukacja pracowników

Dlaczego należy zarządzać bezpieczeństwem informacji?

• Konsekwencje naruszenia poszczególnych aspektów bezpieczeństwa informacji

• Poufność - przeciek do konkurencji, utrata zaufania kontrahentów

• Integralność - bałagan organizacyjny, przesyłanie nieaktualnych informacji

• Dostępność - niewłaściwe decyzje

• Konsekwencje utraty bezpieczeństwa informacji

• Naruszenie prawa

• Utrata zaufania kontrahentów

• Utrata konkurencyjności

• Konkretne straty finansowe

Regulacje prawne

• Naruszenie prawa

• Wymagania stawiane w szczególności przez ustawy

• Ustawa o ochronie informacji niejawnych

• Ustawa o ochronie danych osobowych

• Ustawa o ochronie baz danych

• Ustawa o rachunkowości

• Ustawa o prawie autorskim i prawach pokrewnych

• Prawo bankowe

• Prawo o publicznym obrocie papierami wartościowymi

• ...

Należy również pamiętać o innych aktach prawnych, które regulują funkcjonowanie danej branży

Standardy bezpieczeństwa

• Przesłanki tworzenia standardów

• Korzystanie z doświadczeń innych organizacji

• Katalogi najlepszych praktyk

• Ujednolicenie na arenie międzynarodowej

• Zdobywanie zaufania kontrahentów

• Możliwość dokonania audytu

• Certyfikacja

ISO/OSI

• Wyjaśnienie skrótów

• ISO - Międzynarodowa Organizacja Normalizacyjna

• IEC - Międzynarodowy Komitet Elektrotechniczny

• JTC1 - Połączony Komitet Techniczny

• SC27 - Podkomitet JTC1 „Techniki bezpieczeństwa systemów informatycznych

• PKN - Polski Komitet Normalizacyjny

• ISMS - (Information Security Management System) - System Zarządzania Bezpieczeństwem Informacji

• Oficjalne

• Tworzone przez organizacje standaryzacyjne

• Międzynarodowe np. ISO, IEC

• Regionalne np. CEN, ETSI, NAFTA

• Krajowe np. PKN

• Pozostałe

• Zalecenia firm, organizacji i stowarzyszeń branżowych, rozwiązania powszechnie stosowane przez firmy

Standardy oficjalne - powstają w drodze wieloetapowych uzgodnień, co spowalnia osiągnięcie rezultatów.

podział ma umowny charakter - pewne rozwiązania rozwijane przez firmy są później przekazywane organizacjom normalizacyjnym w celu ich opracowania

International Organization for Standardization, International Electrotechnical Commission

European Committee for Standardization

European Telecommunications Standards Institute

North American Free Trade Agreement

• Polskie Normy

• Przeznaczone są do stosowania w Polsce

• Stosowanie norm jest dobrowolne

• Niektóre wprowadzone odrębnymi przepisami do obowiązkowego stosowania

• Od czasu przystąpienia Polski do Unii Europejskiej tworzone przede wszystkim na podstawie tłumaczenia
  i zatwierdzania norm europejskich i światowych

• Polskie normy w zakresie bezpieczeństwa

• PN-I-02000:1998 Technika informatyczna -
  Zabezpieczenia w systemach informatycznych - Terminologia

• PN -I- 13335 - 1 - Technika Informatyczna -
  Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele zabezpieczeń systemów informatycznych

• PN -I- 13335 - 2 - Technika Informatyczna -
  Planowanie i zarządzanie bezpieczeństwem systemów informatycznych

• PN-ISO/IEC 17799:2003 Technika informatyczna -
  Praktyczne zasady zarządzania bezpieczeństwem informacji

PN-I-02000:1998 - definiuje terminologię zabezpieczeń w systemach informatycznych - stworzono leksykon w j. polskim

to przykładowe wskazanie na normy polskie, bo norm które choćby pośrednio dot bezp. sys jest znacznie więcej

• Przykładowe normy i standardy na podstawie których dokonuje się audytu bezpieczeństwa

• BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem informacji. Specyfikacja i wytyczne do stosowania”

• PN-I-07799-2:2005 „Systemy zarządzania bezpieczeństwem informacji. Specyfikacja i wytyczne do stosowania”

• ISO/IEC 17799:2005 „Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji”

• ISO/IEC 27001:2005 „Technologie informacyjne. Techniki zabezpieczeń. Systemy zarządzania bezpieczeństwem informacji. Wymagania”

• PN-I-13335-1:1999 „Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych”

• ISO/IEC/TR 13335-2:2003 „Planowanie i zarządzanie bezpieczeństwem systemów informatycznych”

• ISO/IEC/TR 13335-3:2003 „Techniki zarządzania bezpieczeństwem systemów informatycznych”

• ISO/IEC/TR 13335-4:2000 „Wybór zabezpieczeń”

• ISO/IEC/WD 13335-5:2001 „Zabezpieczenie dla połączeń z sieciami zewnętrznymi”

• ISO/IEC 15408-1 „Technologie informacyjne. Techniki zabezpieczeń. Kryteria oceny bezpieczeństwa informacji. Wprowadzenie i model podstawowy”

• ISO/IEC 15408-2 „Technologie informacyjne. Techniki zabezpieczeń. Kryteria oceny bezpieczeństwa informacji. Wymagania bezpieczeństwa funkcjonalnego”

• ISO/IEC 15408-3 „Technologie informacyjne. Techniki zabezpieczeń. Kryteria oceny bezpieczeństwa informacji. Wymagania zapewnienia bezpieczeństwa”

• PN-ISO/IEC 9798-3:2002 „Technika informatyczna. Techniki zabezpieczeń. Uwierzytelnianie podmiotów. Część 3: Mechanizmy stosujące techniki podpisu cyfrowego”

• PN-EN 60950:2002 „Bezpieczeństwo urządzeń techniki informatycznej”

• PN-EN 60950-1:2005 „Urządzenia techniki informatycznej. Bezpieczeństwo. Część 1: Wymagania podstawowe”

• PN-EN 60950-21:2005 „Urządzenia techniki informatycznej. Bezpieczeństwo. Część 21: Zdalne zasilanie”

• PN-92/T-20001.02 „Systemy przetwarzania informacji. Współdziałanie systemów otwartych (OSI). Podstawowy model odniesienia. Architektura zabezpieczeń”

• PN-ISO/IEC 13888-1:1999 „Technika informatyczna. Techniki zabezpieczeń. Niezaprzeczalność. Model ogólny”

• PN-ISO/IEC 13888-1:1999 „Technika informatyczna. Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy wykorzystujące techniki symetryczne”

• PN-ISO/IEC 13888-1:1999 „Technika informatyczna. Techniki zabezpieczeń. Niezaprzeczalność. Mechanizmy wykorzystujące techniki asymetryczne”

• PN-ISO/IEC 10118-2:1996 „Technika informatyczna. Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu wykorzystujące n-bitowy algorytm szyfrowania blokowego”

• PN-ISO/IEC 10118-3:1999 „Technika informatyczna. Techniki zabezpieczeń. Funkcje skrótu. Dedykowane funkcje skrótu”

• PN-ISO/IEC 10118-4:2001 „Technika informatyczna. Techniki zabezpieczeń. Funkcje skrótu. Funkcje skrótu wykorzystujące arytmetykę modularną”

• PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia”

• PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego”

• BS 7799-2:2002 „Systemy zarządzania bezpieczeństwem informacji. Specyfikacja i wytyczne do stosowania”

• PN-I-02000:2002 „Technika informatyczna. Zabezpieczenia w systemach informatycznych. Terminologia”

• PN-EN ISO 19011:2003 „Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego”

• BS 15000:2002 „Wymagania do zarządzania usługami IT”

• PD 3000 Complete Kit „Przewodnik zarządzania bezpieczeństwem informacji”

• PAS 56 „Zarządzanie ciągłością działania”

• COBIT „Control Objectives for Information and Related Technologies”

Standardy bezpieczeństwa

• Raport techniczny ISO/IEC TR 13335

• Standardy BS 7799

• ISO/IEC 17799

• PN - ISO/IEC 17799

• PN - I - 07799-2

• Rodzina norm ISO/IEC 2700x

• Współpraca ISO oraz IEC w ramach Połączonego Komitetu Technicznego JTC1

• Podkomitet SC 27 - technologia i metodyka zabezpieczeń

Raport techniczny ISO/IEC TR 13335

• Guidelines for the Management of IT Security (GMITS)

• składa się z pięciu części

• pierwsza część - od 1999r. - polska norma PN-I 13335-1

• druga część - od 2003r. - polska norma PN-I 13335-2

• przeznaczony dla działów informatyki

• dotyczy zagadnień technicznych,
  a nie rozwiązań organizacyjnych

• ISO/IEC/TR 13335-1 / PN-I-13335-1:

• Wytyczne do zarządzania bezpieczeństwem systemów informatycznych:

• terminologia, związki między pojęciami

• podstawowe modele

Pojęcia dot. bezpieczeństwa teleinformatycznego - zasób, podatność, zagrożenie, następstwo, ryzyko, zabezpieczenia. Związki między nimi w formie prostych modeli.

Relacje w modelu bezpieczeństwa

• ISO/IEC/TR 13335-2 / PN-I-13335-2:

• Planowanie i zarządzanie bezpieczeństwem systemów IT

• różne podejścia do prowadzenia analizy ryzyka

• plany zabezpieczeń

• znaczenie szkoleń i działań uświadamiających

• stanowiska pracy w instytucji związane z bezpieczeństwem

• ISO/IEC/TR 13335-3:

• Techniki zarządzania bezpieczeństwem systemów informatycznych:

• formułowanie trójpoziomowej polityki bezpieczeństwa

• rozwinięcie problematyki analizy ryzyka

• rozwinięcie problematyki implementacji planu zabezpieczeń

• reagowanie na incydenty

• ISO/IEC/TR 13335-4:

• Wybór zabezpieczeń:

• klasyfikacja i charakterystyka różnych form zabezpieczeń

• dobór zabezpieczeń ze względu na rodzaj zagrożenia
  i rodzaj systemu

• ISO/IEC/WD 13335-5:

• Zabezpieczenie dla połączeń z sieciami zewnętrznymi:

• dobór zabezpieczeń stosowanych do ochrony styku systemu
  z siecią zewnętrzną

Standardy BS 7799

• Brytyjski standard opracowany przez BSI
  (British Standards Institution) w 1998r.

• W składzie zespołu weszło wielu przedstawicieli brytyjskich organizacji oraz firm konsultingowych
  i przemysłowych

• Dokument - 2 części:

• BS 7799-1:1999 - kodeks praktyki, katalog zagadnień, jakie należy realizować dla potrzeb bezpieczeństwa informacji (Code of practice for Information Security Management)

• BS 7799-2:1999 - specyfikacja dla systemów zarządzania bezpieczeństwem informacji (ISMS - Information Security Management System)

• BS 7799-1 → ISO/IEC 17799 → PN - ISO/IEC 17799

• BS 7799-2 → PN - I- 07799-2

Pierwsza część została przyjęta przez organizację ISO jako standard ISO 17799 i dalej przyjęta do systemu „Polska Norma” jako PN-ISO/IEC 17799. Druga część normy (BS 7799-2) nie została przyjęta do systemu norm ISO, natomiast została przyjęta do systemu „Polska Norma” pod numerem PN-I-07799-2.

• BS 7799-1:1999

• Katalog zabezpieczeń - 127 punktów kontroli bezpieczeństwa informacji

• Zabezpieczenia podzielone na 10 rozdziałów - zakresów

• Dotyczy wszystkich form informacji

• Uwzględnia najnowsze sposoby prowadzenia działalności

• Użytkownicy mogą wybrać najwłaściwsze zabezpieczenia ze względu na specyfikę prowadzonej działalności

• Dobór na podstawie analizy ryzyka

Zabezpieczenia - organizacyjne, proceduralne, techniczne. Zapisy bardzo uniwersalne - np ochrona przed wrogim kodem, a nie system antywirusowy.

Wybór zabezpieczeń - należy jednak pamiętać, że jeżeli dokona się wyboru tylko niektórych opcji, to zabezpieczenie informacji może być dziurawe i przez to niewystarczające .... stąd rekomendowane jest, aby doboru dokonać na podstawie analizy ryzyka

• BS 7799-1 - 10 zakresów:

01. Polityka bezpieczeństwa

02. Organizacja bezpieczeństwa

03. Klasyfikacja i kontrola aktywów

04. Bezpieczeństwo osobowe

05. Bezpieczeństwo fizyczne i środowiskowe

06. Zarządzanie systemami i sieciami

07. Kontrola dostępu do systemu

08. Rozwój i utrzymanie systemu

09. Zarządzanie ciągłością działania

10. Zgodność

proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

1. Polityka bezpieczeństwa

• Polityka bezpieczeństwa informacji

2. Organizacja bezpieczeństwa

• Infrastruktura bezpieczeństwa informacji

• Bezpieczeństwo dostępu osób trzecich

• Zlecanie przetwarzania na zewnątrz

3. Klasyfikacja i kontrola aktywów

• Rozliczalność aktywów

• Klasyfikacja informacji

4. Bezpieczeństwo osobowe

• Bezpieczeństwo przy określaniu zakresów obowiązków
  i zarządzaniu zasobami ludzkimi

• Szkolenie użytkowników

• Reagowanie na naruszanie bezpieczeństwa
  i niewłaściwe funkcjonowanie systemu

5 Bezpieczeństwo fizyczne i środowiskowe

• Obszary bezpieczne

• Zabezpieczanie sprzętu

• Ogólne zabezpieczenia

6 Zarządzanie systemami i sieciami (bezpieczeństwo operacyjne)

• Procedury eksploatacji i zakresy odpowiedzialności

• Planowanie i odbiór systemu

• Ochrona przed złośliwym oprogramowaniem

• Procedury wewnętrzne

• Zarządzanie sieciami

• Postępowanie z nośnikami i ich bezpieczeństwo

• Wymiana danych i oprogramowania

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

• Kontrola dostępu do systemu

• Potrzeby biznesowe związane z dostępem do systemu

• Zarządzanie dostępem użytkowników

• Zakres odpowiedzialności użytkowników

• Kontrola dostępu do sieci

• Kontrola dostępu do systemów operacyjnych

• Kontrola dostępu do aplikacji

• Monitorowanie dostępu do systemu i jego użycia

• Komputery przenośne i praca na odległość

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

• Rozwój i utrzymanie systemu

• Wymagania bezpieczeństwa systemów

• Bezpieczeństwo systemów aplikacji

• Zabezpieczenia kryptograficzne

• Bezpieczeństwo plików systemowych

• Bezpieczeństwo w procesach rozwojowych i obsługi informatycznej

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

• Zarządzanie ciągłością działania

• Aspekty zarządzania ciągłością działania

10 Zgodność

• Zgodność z przepisami prawa

• Przeglądy polityki bezpieczeństwa i zgodności technicznej

• Rozważania dotyczące audytu systemu

Proszę zwrócić uwagę, że to co tradycyjnie wiążemy z bezpieczeństwem systemów informatycznych jest ujęte tylko w trzech z dziesięciu zakresów normy (6, 7, 8)

• BS 7799-1

• luty 2000r. zgłoszony do organizacji ISO, jako podstawa ustanowienia międzynarodowego standardu zarządzania bezpieczeństwem informacji

• sierpień 2000r. - po uproszczonym procesie legalizacji nadany został mu numer ISO/IEC 17799:2000

• rozpoczęcie prac wkrótce po przyjęciu ISO/IEC 17799

• czerwiec 2005r. - publikacja ISO/IEC 17799 2. wydanie

• Zmiany w ISO/IEC 17799 2. wydanie

• ok. 5000 zmian merytorycznych w porównaniu
  z 1. wydaniem

• bardziej logiczna struktura dokumentu

• uwzględnienie zmian technologicznych

• wyeliminowanie błędów i pominięć

• BS 7799-2:1999

• Wytyczne, w jaki sposób zaprojektować, wdrożyć i poddać certyfikacji system zarządzania bezpieczeństwem informacji

• 6 etapów budowy systemów zarządzania bezpieczeństwem informacji (ISMS)

• BS 7799-2:1999 - etapy budowy ISMS

1. Określenie polityki bezpieczeństwa

2. Określenie zakresu objętego systemem ISMS

3. Przeprowadzenie oceny ryzyka

4. Zarządzanie ryzykiem

5. Wybór celów zabezpieczeń i punktów kontrolnych

6. Deklaracja stosowania

• BS 7799-2:2002

• 2002r. - nowe wydanie normy BS 7799-2

• Starsza wersja utraciła ważność

• Normę znacznie rozszerzono

• Zapewniono zgodność z normami zarządzania jakością EN ISO 9001 i środowiskiem EN ISO 14001

• Precyzyjna definicja ISMS

• BS 7799-2:2002

• System zarządzania bezpieczeństwem informacji:

• część całościowego systemu zarządzania instytucji, oparta na podejściu wynikającym z ryzyka biznesowego i odnosząca się do ustanowienia, wdrażania, monitorowania, utrzymywania oraz doskonalenia bezpieczeństwa informacji

• Jasne przesłanki doboru zabezpieczeń:

• Decyzje o zastosowaniu zabezpieczeń muszą być podejmowane na podstawie analizy ryzyka

• Cel nadrzędny - ciągłość działania instytucji

• Zabezpieczenia muszą odpowiadać specyfice organizacji

Jeśli wdrażając system zastosuje się standardowy zestaw zabezpieczeń może to okazać się niewystarczające lub dojdzie do przeinwestowania.

• System powinien sam się naprawiać:

• Zdolność do wykrywania błędów

• Eliminowanie błędów

• Modyfikacja systemu - udoskonalanie

• Odpowiednie procedury

Powinny być wdrożone procedury umożliwiające wykrywanie błędów.

Procedury eliminowania błędów, doskonalenia...

• BS 7799-2:2002

Schemat zarządzania:

PDCA

PLAN - DO - CHECK - ACT

PLANUJ - WYKONAJ - SPRAWDZAJ - DZIAŁAJ

6 etapów budowy ISMS

• BS 7799-2:2002 - PN - I- 07799-2

• Planuj:

„Ustanowienie polityki bezpieczeństwa, cele, zakres stosowania, procesy i procedury odpowiadające zarządzaniu ryzykiem oraz zwiększające bezpieczeństwo informacji, tak aby uzyskać wyniki zgodne z ogólnymi zasadami i celami instytucji”

• BS 7799-2:2002 - PN - I- 07799-2

• Wykonuj:

„Wdrożenie i eksploatacja polityki bezpieczeństwa, zabezpieczeń, procesów i procedur”

• Sprawdzaj:

„Szacowanie oraz tam, gdzie ma zastosowanie, pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa, cele i praktyczne doświadczenia oraz przekazywanie kierownictwu wyników przeglądu”

• Działaj:

„Podejmowanie działań korygujących i prewencyjnych w oparciu o wyniki przeglądu realizowanego przez kierownictwo, tak aby osiągnąć stałe doskonalenie ISMS”

• Planuj

• Zakres ISMS

• Polityka ISMS

• Podejście do oceny ryzyka

• Identyfikacja ryzyka

• Oszacowanie ryzyka

• Postępowanie z ryzykiem

• Wybór celów i punktów kontroli

• Deklaracja stosowania

• Aprobata kierownictwa

• Zakres ISMS

• Wdrażanie systemu należy rozpocząć się od zdefiniowania zakresu jakiego system będzie dotyczyć

• Czy ma on obejmować całą organizację?

• Jakich obszarów logicznych i fizycznych ma dotyczyć ?

• Polityka ISMS

• Ogólny dokument (a nie książka)

• Wymagania biznesowe i prawne danej organizacji

• Kryteria szacowania ryzyka

• Struktura organizacyjna

• Musi zostać zaakceptowany przez kierownictwo

Jest to dokument ogólny, który „wyznacza ogólny kierunek i zasady działania w odniesieniu do bezpieczeństwa informacji”, a nie jak to często widuje się w różnorakich opracowaniach - książka zawierająca wszystkie możliwe procedury

• Ryzyko

• Zdefiniowanie procesu analizy ryzyka

• Wyznaczenie kryteriów akceptowania ryzyka

• Przeprowadzenie analizy ryzyka

• Nie narzucono konkretnej metody analizy

• Proces musi być opisany

• Proces musi być powtarzalny

• Analiza ryzyka

• Określenie aktywów

• inwentaryzacja informacji, wyposażenia, oprogramowania, usług

• Zidentyfikowanie zagrożeń

• np. atak hakerów, kradzież tożsamości, podsłuch, etc.

• Zidentyfikowanie podatności

• np. brak kopii zapasowych, nieprzeszkolony personel, etc.

• Określenie skutków wykorzystania podatności przez zagrożenia

Analiza ryzyka nie jest prostą sprawą, ale w dobrze zorganizowanej instytucji, która wdrożyła normy zarządzania jakością i środowiskiem nie powinno być z tym problemu, za to w małych podmiotach można cały proces znacznie uprościć.

• Postępowanie z ryzykiem

• Na podstawie analizy podejmuje się decyzję co z robić z każdym ze zidentyfikowanych ryzyk

• Możliwości:

• zastosowanie zabezpieczeń

• przeniesienie ryzyka np. na ubezpieczyciela

• unikanie ryzyka

• zaakceptowanie ryzyka

• Podstawowy cel: ciągłość działania organizacji

Zaakceptowanie - nie ma systemów w 100% bezpiecznych z niektórymi rodzajami ryzyka trzeba się po prostu pogodzić, ale trzeba być świadomym ryzyka.

Należy podjąć decyzję mając na uwadze podstawowy cel.

• Wybór celów i punktów kontroli

• wybór wymagań według których należy zbudować system zarządzania bezpieczeństwem informacji

• Deklaracja stosowania

• uzasadnienie wyboru wymagań

• sposób implementacji każdego wymagania

• dokumentowanie

• Akceptacja kierownictwa

• kończy etap ustanawiania systemu zarządzania bezpieczeństwem informacji

• zaangażowanie kierownictwa ważne z punktu widzenia normy - poświęcono mu cały rozdział 5

• BS 7799-2:2002

• Wykonaj

• Plan postępowania z ryzykiem

• Implementacja planu postępowania z ryzykiem

• Implementacja wymagań

• Szkolenia i uświadamianie

• Zarządzanie działaniami

• Zarządzanie zasobami

• Zarządzanie incydentami

Na tym etapie implementujemy plan i poszczególne wymagania, wdrażamy stosowne procedury zapewniające sprawne działanie systemu w tym procedury jak najszybszego wykrywania incydentów i podejmowania reakcji.

szkolenia są bardzo ważym elementem

• Sprawdzaj

• Prowadzenie monitoringu

• Przeglądy efektywności ISMS

• Przeglądy ryzyka szczątkowego i akceptowanego

• Wewnętrzne audyty ISMS

• Przeglądy ISMS przez zarząd

• Rejestracja istotnych działań i zdarzeń

B. ważna cecha systemu - zdolność do samodoskonalenia. Musza być wbudowane stosowne mechanizmy. Ten etap w zasadzie nie ma początku i końca - musi przebiegać w sposób ciągły.

• Działaj

• Implementacja udoskonaleń

• Działania korygujące, wyciąganie wniosków, wymiana doświadczeń

• Informowanie o podejmowanych działaniach, uzgadnianie

• Weryfikacja udoskonaleń

Procedury reagowania na błędy muszą mieć konkretne efekty - należy podjąć stosowne działania - korygujące i prewencyjne

Rodzina norm ISO/IEC 2700x

• ISO 27000 - słownictwo i terminologia

• ISO 27001 - odpowiednik BS 7799 - 2, specyfikacja systemów zarządzania bezpieczeństwem informacji

• ISO 27002 - ma zastąpić ISO 17799:2005
  w kwietniu 2007r., praktyczne zasady zarządzania bezpieczeństwem, zestawia zabezpieczenia
  i najlepsze praktyki

Najnowsza rodzina standardów ISO/IEC w zakresie BI.

• ISO 27003 - wytyczne dla implementacji.

• ISO 27004 - zarządzanie bezpieczeństwem informacji - wskaźniki i pomiary - nowe uregulowanie

• ISO 27005 - zarządzanie ryzykiem bezpieczeństwa informacji - opublikowana w grudniu 2005

Jeśli wdrażając system zastosuje się standardowy zestaw zabezpieczeń może to okazac się niewystarczające lub dojdzie do przeinwestowania.

• ISO/IEC 27001:

• opublikowany 15 października 2005r.

• zastępuje BS 7799 - 2:2002

• nadal oparty na modelu PDCA

• duży nacisk na zarządzanie ryzykiem (obowiązkowe)

• ciągły proces doskonalenia systemu

• podstawy audytu zewnętrznego i certyfikacji

• ISO/IEC 27001 a ISO/IEC 17799 (aneks)

• Systemy bezpieczeństwa informacji

• ISO/IEC 17799 - wytyczne

• ISO/IEC 27001 - wymagania, służy do certyfikacji

W aneksie do 27001 znajduje się wykaz zabezpieczeń opisanych w ISO/IEC 17799 zmiana dotyczy tego, że w teraz nie są to już wytyczne dotyczące zabezpieczeń a wymagania, jakim musi odpowiadać system.

ISO 27001

• Norma przygotowana dla potrzeb dostarczenia modelu dla ustanowienia, wdrażania, stosowania, monitorowania, przeglądania, utrzymywania i doskonalenia

Systemu Zarządzania Bezpieczeństwem Informacji

Na model mają wpływ:

• Potrzeby i cele,

• Wymagania bezpieczeństwa,

• Realizowane procesy,

• Struktura organizacji.

Wyżej wymienione czynniki zmieniają się w czasie.

• Norma może być wykorzystana w celu oceny zgodności przez:

• komórki wewnętrzne

• organizacje zewnętrzne

• Norma przyjmuje podejście procesowe dla:

• Ustanawiania

• Wdrażania

• Monitorowania

• Doskonalenia

Systemu Zarządzania Bezpieczeństwem Informacji

Proces - działanie, które wykorzystuje zasoby dla transformacji WE w WY

• Podejście procesowe do SZBI dotyka:

• Zrozumienia potrzeby ustanowienia polityki i celów

• Stosowanych zabezpieczeń

• Monitorowania wydajności i efektywności

• Stałego doskonalenia

• Podejście procesowe do SZBI

• Wymóg vs. oczekiwanie

• Wymóg: naruszenie bezpieczeństwa nie może przysporzyć szkód finansowych

• Oczekiwanie: w przypadku wystąpienia poważnego incydentu, będzie można stosować odpowiednie procedury celem minimalizacji skutków

• Planuj - ustanowienie polityki bezpieczeństwa, celów, zakresów stosowania procesów i procedur odpowiednich dla zarządzania ryzykiem

• Wykonuj - wdrożenie polityki bezpieczeństwa

• Sprawdzaj - szacowanie oraz pomiar wykonania procesów w odniesieniu do polityki bezpieczeństwa

• Działaj - podejmowanie działań korygujących
  i prewencyjnych na podstawie wyników audytów wewnętrznych i innych źródeł

ISO 27001 - terminy i definicje

• Aktywa

• Wszystko co posiada wartość dla organizacji

• Dostępność

• Zapewnienie, że informacja jest dostępna przez upoważnioną jednostkę

• Poufność

• Zapewnienie, że informacja jest dostępna tylko dla upoważnionych do tego jednostek

• Integralność

• Zapewnienie ochrony kompletności informacji

• Bezpieczeństwo informacji

• Zachowanie poufności, integralności i dostępności informacji oraz innych właściwości

• Zdarzenie związane z bezpieczeństwem informacji

• Wystąpienie pewnego stanu systemu (usługi, sieci) wskazujące na prawdopodobne naruszenie polityki bezpieczeństwa lub awarie zabezpieczeń, lub też wcześniej nie znanej sytuacji, mogącej być istotną ze względów bezpieczeństwa

• Incydent związany z bezpieczeństwem informacji

• Pojedyncze (lub nie) niespodziewane wydarzenie, które może zagrażać realizacji działań oraz stanowić zagrożenie dla bezpieczeństwa informacji

• System zarządzania bezpieczeństwem informacji

• To część całościowego systemu zarządzania odnosząca się do ustanawiania, … i udoskonalania bezpieczeństwa informacji

• Ryzyko

• Prawdopodobieństwo tego, że określone zagrożenie wykorzysta słabość zasobu (grupy zasobów) w celu spowodowania strat

• Analiza ryzyka

• Określenie źródeł ryzyka

• Szacowanie ryzyka

• Określenie wielkości ryzyka

• Ocena ryzyka

• Wyznaczanie wagi ryzyka

• Postępowanie z ryzykiem

• Wdrożenie środków modyfikujących ryzyko

• Deklaracja stosowania

• Dokument, w którym opisano cele stosowania zabezpieczeń oraz zabezpieczenia, które mają zastosowanie w SZBI danej organizacji

ISO 27001 - cele stosowania zabezpieczeń i zabezpieczenia

• A.5. Polityka bezpieczeństwa

• Dokument polityki bezpieczeństwa informacji

• Przegląd informacji polityki bezpieczeństw

Dokument polityki powinien zostać zatwierdzony przez kierownictwo, opublikowany i udostępniony w odpowiedni sposób wszystkim pracownikom i odpowiednim stronom zewnętrznym.

Polityka bezpieczeństwa powinna być poddawana regularnemu przeglądowi, a w przypadku istotnych zmian powinna zapewniać, że pozostaje ciągle przydatna, adekwatna i skuteczna.

• A.6. Organizacja bezpieczeństwa informacji

• Zaangażowanie kierownictwa w bezpieczeństwo informacji

• Koordynacja bezpieczeństwa informacji

• Przypisywanie obowiązków związanych z bezpieczeństwem informacji

• Proces uwierzytelniania urządzeń służących do przetwarzania informacji

• Umowy o poufności

Kierownictwo powinno być aktywnie wspierać bezpieczeństwo wewnątrz organizacji poprzez czytelne instrukcje, wykazywane zaangażowanie, jasne przypisywanie zadań oraz uznanie obowiązków związanych z bezpieczeństwem informacji.

Działania związane z bezpieczeństwem informacji będą koordynowane przez przedstawicieli różnych części organizacji, wykonujących różne działania i pełniących różne funkcje.

Wszystkie obowiązki związane z bezpieczeństwem informacji powinny być jasno określone.

Określone zostaną i poddawane będą regularnej analizie umowy o poufności lub nie ujawnianiu informacji odzwierciedlające potrzebę ochrony informacji w organizacji.

• Kontakty z władzami

• Kontakty z grupami zainteresowania

• Niezależny przegląd bezpieczeństwa informacji

• Identyfikacja ryzyka wynikającego z dostępu osób trzecich

• Kwestia bezpieczeństwa podczas kontaktów z klientami

• Kwestia bezpieczeństwa w umowach z osobami trzecimi

Będą utrzymywane właściwe kontakty z odpowiednimi władzami.

Będą utrzymywane właściwe kontakty z grupami zainteresowania lub z innymi specjalistycznymi forami bezpieczeństwa oraz stowarzyszeniami profesjonalistów.

Podejście organizacji do zarządzania bezpieczeństwem informacji oraz jego wdrożenia, będzie poddawane niezależnemu przeglądowi z zaplanowaną częstotliwością lub w przypadku powstania znacznych zmian we wdrożeniu bezpieczeństwa.

Zostanie określone ryzyko dla informacji, organizacji oraz urządzeń przetwarzających informacje podczas procesów biznesowych związanych ze stronami zewnętrznymi, przed udzieleniem dostępu zostaną wdrożone odpowiednie zabezpieczenia.

Umowy umożliwiające dostęp osób trzecich do urządzeń służących do przetwarzania, przekazywania lub zarządzania informacjami organizacji lub urządzeniami przetwarzającymi informacje lub dodawanie produktów lub usług do urządzeń przetwarzających informacje powinny bazować na formalnych zapisach zawierających wszystkie istotne wymogi bezpieczeństwa.

• A.7. Zarządzanie aktywami

• Inwentaryzacja aktywów

• Własność aktywów

• Możliwe do zaakceptowania korzystanie z aktywów

• Wytyczne do klasyfikacji informacji

• Oznaczanie i postępowanie z informacją

Należy stworzyć i utrzymywać inwentaryzację wszystkich ważnych aktywów związanych z każdym systemem informacyjnym.

Właścicielem wszelkich informacji i aktywów związanych z urządzeniami przetwarzającymi informacje i powinna być wyznaczona część organizacji.

Zasady możliwego do zaakceptowania korzystania z aktywów i związanych z nimi urządzeniami przetwarzającymi informacje powinny być określone, udokumentowane i wdrożone.

Informacja powinna być zaklasyfikowana ze względu na swoją wartość, przepisy prawne, stopień wrażliwości i wagę dla organizacji.

Należy zdefiniować zestaw procedur oznaczania informacji i postępowała z informacją, zgodnych z przyjętym w organizacji schematem klasyfikacji.

• A.8. Bezpieczeństwo osobowe

• Przed zatrudnieniem

• Role i odpowiedzialności

• Sprawdzanie podczas naboru

• Zasady i warunki zatrudnienia

• Podczas zatrudnienia

• Odpowiedzialność kierownictwa

• Świadomość, edukacja i szkolenia dotyczące bezpieczeństwa informacji

• Postępowanie dyscyplinarne

Role i zakresy odpowiedzialności dotyczące bezpieczeństwa, które zostały sformułowane w polityce bezpieczeństwa informacji danej organizacji, powinny być udokumentowane w zakresach obowiązków przypisanych do stanowisk.

Na etapie składania podania o zatrudnienie należy przeprowadzić weryfikację personelu zatrudnionego na czas nieokreślony, określony oraz zleceniobiorców. Weryfikacja powinna być przeprowadzona w zgodzie z odpowiednimi regulacjami prawnymi, wymaganiami regulacyjnymi i etycznymi oraz powinna być proporcjonalna do wymagań biznesowych, klasyfikacji informacji, które będą nadawane.

Częścią zobowiązań kontraktowych pracowników, wykonawców oraz użytkowników reprezentujących stronę trzecią, powinna być zgoda oraz podpisanie zasad i warunków umowy zatrudnienia, precyzującej ich obowiązki oraz obowiązki organizacji w zakresie bezpieczeństwa.

Kierownictwo będzie wymagało od pracowników, kontrahentów i użytkowników stanowiących strony trzecie, by stosowali środki bezpieczeństwa zgodnie z ustanowioną polityką i procedurami.

Wszyscy pracownicy organizacji (i osoby trzecie) powinny przejść właściwe i okresowo uaktualniane szkolenie w zakresie polityk i procedur odpowiednich dla funkcji, którą pełnią w pracy.

Należy opracować sposób prowadzenia formalnego postępowania dyscyplinarnego w stosunku do pracowników, którzy naruszyli procedury i polityki bezpieczeństwa informacji.

• Po zakończeniu (zmianie) zatrudnienia

• Odpowiedzialność związane z zakończeniem zatrudnienia

• Zwrot aktywów

• Odebranie praw dostępu

Odpowiedzialności związane z wykonaniem zakończenia lub zmianą zatrudnienia powinny być zdefiniowane i przypisane.

Wszyscy pracownicy, kontrahenci i osoby trzecie powinni oddać wszystkie aktywa należące do organizacji, a które są w ich posiadaniu, przed zakończeniem zatrudnienia, kontraktu lub umowy.

Należące do pracowników, kontrahentów i osób trzecich prawa dostępu do informacji i środków przetwarzania informacji, powinny być im odebrane przed zakończeniem zatrudnienia, kontaktu lub umowy.

• A.9. Bezpieczeństwo fizyczne i środowiskowe

• Granice bezpieczeństwa fizycznego

• Fizyczne zabezpieczenie wejścia

• Zabezpieczenie biur, pomieszczeń i urządzeń

• Ochrona przed zagrożeniami zewnętrznymi środowiskowymi

• Praca w obszarach bezpiecznych

• Publiczny dostęp - obszary dostaw i załadunku

Organizacja powinna wprowadzić granice obszarów bezpiecznych (mury, bramy wejściowe, recepcje), w których znajdują się informacje i urządzenia do przetwarzania informacji.

Należy chronić obszary bezpieczne (przed nieuprawnionym personelem).

Należy chronić biura, pomieszczenia i urządzenia.

Należy chronić przed ogniem, powodzią, trzęsieniem, eksplozją, rozruchami społecznymi i innymi katastrofami naturalnymi.

Należy chronić obszar bezpieczny.

Należy kontrolować obszary dostaw i załadunku.

• Rozmieszczenie sprzętu i jego ochrona

• Podtrzymywanie zasilania

• Bezpieczeństwo okablowania

• Utrzymanie sprzętu

• Zabezpieczenie sprzętu poza siedzibą

• Bezpieczne usuwanie lub ponowne użycie sprzętu

• Wynoszenie mienia

Sprzęt powinien być rozmieszczony lub chroniony w taki sposób, aby ograniczyć ryzyko.

Sprzęt należy chronić przed awariami zasilania i zakłóceniami elektrycznymi.

Należy chronić okablowanie zasilające i telekomunikacyjne przed podsłuchem/uszkodzeniem.

Należy zapewnić dostępność i integralność.

Należy sprawdzać nośniki w celu upewnienia się czy wszystkie istotne dane zostały usunięte.

Sprzęt, informacje, oprogramowanie należące do organizacji nie powinno być wynoszone bez zezwolenia.

• A.10. Zarządzanie komunikacją

• Dokumentowanie procedur stosowania

• Zarządzanie zmianami

• Podział obowiązków

• Rozdział urządzeń testujących i operacyjnych

• Usługi dostawcy

• Monitorowanie i przegląd usług świadczonych przez strony 3

• Zarządzanie zmianami w usługach świadczonych przez s. 3

• Zarządzanie wydajnością

Procedury stosowania, wskazywane przez politykę bezpieczeństwa, powinny być udokumentowane, utrzymane i dostępne dla wszystkich urzędników.

Zmiany w urządzeniach/systemach powinny być kontrolowane.

Obowiązki i obszary odpowiedzialności powinny być rozdzielone tak, aby ograniczyć możliwości nieuprawnionej modyfikacji lub nadużycia aktywów.

Należy zapewnić, że trzecia strona wdraża stosuje i utrzymuje środki bezpieczeństwa, definicje usług oraz poziomy dostaw zawarte w umowie o świadczenie usług ze stroną trzecią.

Usługi, raporty i zapisy dostarczone przez stronę trzecią będą regularnie monitorowane i poddawane przeglądom.

Zmiany w świadczeniu usług, włącznie z utrzymywaniem i ulepszaniem istniejących polityk, procedur i zabezpieczeń będą zarządzane.

W celu zapewnienia właściwej wydajności zasobów, wykorzystanie zasobów powinno być monitorowane.

• Akceptacja systemu

• Ochrona przed szkodliwym oprogramowaniem

• Ochrona przed mobilnym oprogramowaniem

• Archiwizacja informacji

• Zabezpieczenie sieci

• Bezpieczeństwo usług sieciowych

• Zarządzanie wymiennymi nośnikami komputerowymi

• Niszczenie nośników

Określone zostaną kryteria akceptacji dla nowych systemów informacyjnych, uaktualnień i nowych wersji, a podczas opracowywania i przed akceptacją będą przeprowadzane odpowiednie testy systemu.

Powinny być wdrożone środki wykrywania i ochrony przed szkodliwym oprogramowaniem.

Oprogramowanie mobilne powinno być tak skonfigurowane, aby działało zgodnie z polityką bezpieczeństwa.

Kopie zapasowe powinny być stosowane i testowane zgodnie z polityką archiwizacyjną.

Należy chronić sieć i aplikacje korzystające z sieci.

Środki bezpieczeństwa, poziomy usług i wymagania będą zidentyfikowane i zawarte w dowolnej umowie o usługach sieciowych (bez względu na to, czy są świadczone wewnątrz, czy pozyskiwane z zewnątrz.

Należy stosować procedury do zarzadzania dyskami wymiennymi.

Nośniki, które nie są dłużej używane powinny być skutecznie i bezpiecznie niszczone.

• Procedury postępowania z informacją

• Bezpieczeństwo dokumentacji systemu

• Polityka i procedury wymiany informacji

• Umowy dotyczące wymiany

• Transport nośników fizycznych

• Przesyłanie poczty elektronicznej

• Systemy informacji dotyczące biznesu

• Handel elektroniczny

• Transakcje on-line

Należy opracować procedury postępowania i przechowywania informacji.

Należy chronić dokumentację przed nieuwierzytelnionym dostępem.

Ochrona wymiany informacji będzie realizowana poprzez zastosowanie wszystkich rodzajów urządzeń komunikacyjnych, formalne polityki, procedury i zabezpieczenia wymiany.

Między organizacją a stronami trzecimi zawarte będą umowy odnośnie wymiany informacji.

Transportowane nośniki powinny być chronione przed nieuprawnionym dostępem.

Informacje przekazywane za pośrednictwem wiadomości elektronicznych będą odpowiednio chronione.

Zostaną opracowane i wdrożone polityki i procedury chroniące informacje związane z systemami informacji dotyczących działalności.

Informacje związane z prowadzeniem elektronicznej działalności handlowej, przekazywane przez sieci publiczne, będą chronione przed oszustwami.

Informacje przekazywane w trakcie transakcji on-line będą chronione przed niekompletną transmisją, niewłaściwym skierowaniem, nieuprawnionym ujawnieniem/zmianą/powieleniem informacji.

• Informacje dostępne publicznie

• Rejestry audytów

• Korzystanie z systemu monitoringu

• Ochrona informacji zawartych w rejestrach

• Rejestry administratora i operatora

• Rejestry błędów

• Synchronizacja zegarów

Integralność informacji udostępnionych w ogólnie dostępnym systemie będzie chroniona, aby zapobiec nieuwierzytelnionym modyfikacjom.

Rejestry z audytów zapisujące działania, wyjątki, zdarzenia związane z bezpieczeństwem informacji będą wytwarzane i zachowywane przez uzgodniony okres czasu.

Zostaną określone procedury korzystania z urządzeń przetwarzających informacje dla celów monitoringu, a rezultaty działań monitorujących będą analizowane.

Urządzenia do rejestrowania i informacje w rejestrach będą chronione przed dostępem osób nieuprawnionych.

Działania administratora i operatora systemu powinny być rejestrowane.

Błędy będą rejestrowane, analizowane i poddane odpowiednim działaniom.

Zegary będą synchronizowane w stosunku do uzgodnionego, dokładnego źródła czasu.

• A.11. Kontrola dostępu

• Polityka kontroli dostępu

• Rejestracja użytkowników

• Zarządzanie przywilejami

• Zarządzanie hasłami

• Przegląd praw dostępu

• Używanie haseł

• Pozostawienie sprzętu użytkownika bez opieki

• Polityka czystego biurka i czystego ekranu

Wymagania dotyczące KD powinny być zdefiniowane i udokumentowane.

Przyznawanie dostępu do systemów i usług należy oprzeć na formalnej procedurze rejestrowania/wyrejestrowywania.

Przyznawanie i używanie przywilejów powinno być ograniczone i kontrolowane.

Przydzielanie haseł powinno być kontrolowane zgodnie z formalnym procesem zarządzania.

Kierownictwo powinno regularnie przeprowadzać formalny przegląd praw dostępu użytkowników.

Wybór/używanie haseł powinno być realizowane zgodnie ze sprawdzonymi praktykami bezpieczeństwa.

Od użytkowników należy wymagać, aby zapewniali właściwą ochronę sprzętu.

Zostanie przyjęta jasna polityka dla biurek (dot. dokumentów i dysków wymiennych) oraz jasna polityka dla monitorów (dot. Urządzeń przetwarzających informacje).

• Polityka korzystania z usług sieciowych

• Uwierzytelnianie użytkowników przy połączeniach zewn.

• Identyfikacja sprzętu w sieci

• Ochrona zdalnych portów diagnostycznych

• Rozdzielanie sieci

• Kontrola połączeń sieciowych

• Kontrola dróg połączeń w sieciach

• Bezpieczne procedury rejestracji

Użytkownicy powinni mieć zapewniony bezpośredni dostęp tylko do tych usług, do których mają uprawnienia.

Dostęp zdalnych użytkowników powinien być uwierzytelniony.

Rozważy się zastosowanie automatycznej identyfikacji dla połączeń z określonych lokalizacji i urządzeń.

Dostęp do portów diagnostycznych powinien być ograniczony i zabezpieczony.

Sieć powinna być rozdzielona z uwagi na grupy usług/użytkowników/systemów.

Możliwości połączeń pomiędzy użytkownikami we współużytkowanych sieciach powinny być ograniczone, uwzględniając politykę kontroli dostępu.

Drogi połączeń nie mogą naruszać polityki KD aplikacji biznesowych.

Dostęp do SO powinien być zabezpieczony procedurą rejestrowania (logowania).

• Identyfikacja i potwierdzenie tożsamości klienta

• System zarządzania hasłami

• Użycie systemowych programów narzędziowych

• Upłynięcie czasu sesji

• Ograniczenie czasu trwania połączenia

• Ograniczenie dostępu do informacji

• Izolowanie systemów wrażliwych

• Komputery przenośne i komunikacja oraz praca na odległość

Wszyscy użytkownicy powinni posiadać unikalne ID oraz powinna być wybrana odpowiednia technika weryfikacji tożsamości użytkownika.

Systemy zarządzania hasłami powinny opierać się na efektywnych, interaktywnych mechanizmach zapewniających hasła odpowiedniej jakości.

Użycie systemowych programów narzędziowych, które mogłyby mieć pierwszeństwo przed środkami kontroli systemu i aplikacji powinno być ograniczone i ściśle kontrolowane.

Nieaktywne sesje zostaną zakończone po określonym czasie braku aktywności.

W celu zapewnienia dodatkowego bezpieczeństwa aplikacjom o wysokim ryzyku, należy ograniczać czas trwania połączenia.

Dostęp użytkowników do informacji i funkcji w aplikacji powinien być ograniczony zgodnie z polityką KD.

Systemy wrażliwe powinny być instalowane.

Należy przyjąć formalną politykę postępowania i odpowiednie środki bezpieczeństwa, uwzględniające ryzyko związane z pracą z komputerami przenośnymi.

Należy opracować i stosować politykę i procedury pracy na odległość.

• A.12. Uzyskiwanie, rozwój i utrzymanie systemów informacyjnych

• Analiza i specyfikacja wymagań bezpieczeństwa

• Potwierdzenie ważności danych wejściowych

• Kontrola wewnętrznego przetwarzania

• Integralność wiadomości

• Walidacja danych wyjściowych

Wymagania biznesowe dotyczące nowych systemów informacyjnych lub rozszerzenie istniejących systemów powinny uwzględniać wymagania dotyczące zabezpieczeń.

Dane WE systemów/aplikacji powinny podlegać walidacji.

Do systemów/aplikacji należy wprowadzić potwierdzenie ważności wyników przetwarzania.

Powinny być określone wymagania dla zapewnienia ochrony integralności wiadomości w aplikacjach.

Dane WY systemów/aplikacji powinny podlegać walidacji.

• Polityka używania zabezpieczeń kryptograficznych

• Zarządzanie kluczami

• Kontrola oprogramowania operacyjnego

• Ochrona systemowych danych testowych

• Kontrola dostępu do kodu źródłowego programu

• Procedury kontroli zmian

Należy opracować i rozwijać politykę używania zabezpieczeń kryptograficznych do ochrony informacji.

Zarządzanie kluczami powinno być wdrożone w celu pomocy organizacji w używaniu technik kryptograficznych.

Należy zapewnić kontrolę wprowadzania oprogramowania dla eksploatowanych systemów.

Dane testowe powinny być uważnie wybierane/chronione /kontrolowane.

Należy chronić kod źródłowy.

Wprowadzenie zmian powinno być ściśle kontrolowane przed użyciem formalnych procedur kontroli zmian.

• Techniczny przegląd aplikacji po zmianach w OS

• Ograniczenia dotyczące zmian w pakietach oprogramowania

• Przeciek informacji

• Prace rozwojowe nad oprogramowaniem powierzone firmie zewnętrznej

• Kontrola podatności technicznych

Po przeprowadzeniu zmian system systemy aplikacji należy poddać przeglądowi i testom w celu upewnienia się, że nie powstały negatywne skutki dla bezpieczeństwa organizacji.

Należy unikać zmian w pakietach oprogramowania, a jeśli są one konieczne, to należy je ściśle kontrolować.

Powinno się zapobiegać możliwościom przecieku informacji.

Należy zastosować zabezpieczenia w celu ochrony prac rozwojowych nad oprogramowaniem powierzonych firmie zewnętrznej.

Odpowiednio wcześniej należy uzyskać informacje o podatnościach technicznych stosowanych systemów i ocenić związane z tymi punktami ryzyko organizacji.

• A.13. Zarządzanie wydarzeniami

• Raportowanie wydarzeń związanych z bezpieczeństwem informacji (kiedy, komu ?)

• Raportowanie słabych punktów (kontrahenci)

• Zakres odpowiedzialności (kierownictwa)

• Nauka z incydentów związanych z bezpieczeństwem

• Gromadzenie dowodów

Raportowanie wiadomości związanych z bezpieczeństwem informacji powinno być realizowane przez odpowiednie kanały kierownicze.

Wszyscy pracownicy/kontrahenci/użytkownicy systemów i informacji będącymi stronami trzecimi będą zobowiązani odnotowywać i raportować wszystkie słabe punkty.

Zakres odpowiedzialności kierownictwa i procedury powinny być ustanowione w celu szybkiej reakcji na incydenty związane z bezpieczeństwem informacji.

Na miejscu będą dostępne mechanizmy umożliwiające określenie ilości/rodzaju/rozmiaru/kosztów incydentów.

Jeżeli działania przeciwko osobie lub organizacji, występujące po wykryciu incydentu związanego z bezpieczeństwem informacji wymagają kroków prawnych, zostaną zebrane dowody, które będą zachowane i przedstawione w sposób zgodny z zasadami dowodów zawartymi w odpowiedniej jurysdykcji.

• A.14. Zarządzanie ciągłością działania

• Proces BCM

• Ciągłość działania a szacowanie ryzyka (BIA)

• Tworzenie planów ciągłości działania

• Struktura planowania ciągłości działania (zgodność)

• Ocena planów ciągłości działania

Proces BCM powinien być wdrożony i utrzymany w celu spełnienia wymagań związanych z bezpieczeństwem informacji potrzebnych do uzyskania ciągłości działania.

Powinny być określone zdarzenia, które mogą spowodować przerwę w procesie biznesowym, ich wpływ i ewentualne konsekwencje takiego zdarzenia dla bezpieczeństwa informacji.

Powinny zostać opracowane plany ciągłości działania zapewniające utrzymanie lub przywracanie w wymaganym czasie działań biznesowych po przerwach lub awariach.

Należy upewnić się, że wszystkie plany ciągłości działania są ze sobą zgodne.

Plany ciągłości działania powinny być regularnie testowane.

• A.15. Zgodność z przepisami prawa

• Określenie odpowiednich przepisów prawa

• Prawo do własności intelektualnej

• Zabezpieczanie zapisów organizacji

• Ochrona danych osobowych

• Zapobieganie nadużywaniu urządzeń przetwarzających informacje

Należy wprowadzić odpowiednie procedury zapewnienia zgodności z wymaganiami prawnymi.

Należy chronić ważne zapisy organizacji przed utratą/zniszczeniem/sfałszowaniem zgodnie z wymaganiami wynikającymi ustaw/zarządzeń/umów.

Należy chronić dane osobowe.

• Regulacje dotyczące zabezpieczeń kryptograficznych

• Zgodność z politykami bezpieczeństwa

• Sprawdzanie zgodności technicznej

• Zabezpieczenie audytu systemu (stabilność SO)

• Ochrona narzędzi audytu systemu (dostęp)

Zabezpieczenia kryptograficzne powinny być używane zgodnie z prawem.

Należy zapewnić, aby wszystkie procedury związane z bezpieczeństwem były zgodne z politykami i normami bezpieczeństwa.

Należy odpowiednio planować i uzgadniać działania i potrzeby związane z audytem wymagające sprawdzania systemów operacyjnych.

Należy właściwie chronić dostęp do narzędzi audytu.

System zarządzania bezpieczeństwem informacji (Plan)

• Ustanowienie i zarządzanie SZBI

• Ustanowienie SZBI

• Wdrożenie i stosowanie SZBI

• Monitorowanie i przegląd SZBI

• Utrzymanie i doskonalenie SZBI

• Dokumentacja SZBI

• Nadzór nad dokumentami i zapisami

(Do)

• Odpowiedzialność kierownictwa

• Zaangażowanie kierownictwa

• Zarządzanie zasobami

• Zapewnienie zasobów

• Szkolenie, uświadamianie i kompetencje

(Check)

• Wewnętrzne audyty SZBI

• Przegląd zarządu SZBI

(Act)

• Doskonalenie SZBI

• Działania korygujące

• Działania prewencyjne

(Plan)

Ustanowienie i zarządzanie SZBI

• Ustanowienie SZBI

• Ustalić zakres i granice SZBI

• Określić podejście do oceny ryzyka

• Wskazać metodę oceny ryzyka

• Wyznaczyć kryteria akceptowania ryzyka

• Określić ryzyka

• Aktywa i ich właściciele

• Zagrożenia dla aktywów

• Podatności

• Skutki (w przypadku utraty CIA)

• Analiza i ocena ryzyka

• Ocenić szkody biznesowe

• Ocenić realne prawdopodobieństwa naruszenia bezpieczeństwa

• Ocenić poziomy ryzyk

• Stwierdzić czy ryzyko jest akceptowalne

• Zidentyfikować warianty postępowania z ryzykiem

• Zastosowanie zabezpieczeń

• Zaakceptowanie ryzyk w sposób świadomy

• Unikanie ryzyk

• Transfer ryzyka

• Wybrać cele stosowania zabezpieczeń oraz zabezpieczenia

• Wybór z zał. A normy ISO 27001

• Nie jest to katalog zamknięty

• Uzyskać zgodę kierownictwa na ryzyka

• Uzyskać poparcie do wdrażania SZBI

• Przygotować deklarację stosowania

• Cele stosowania zabezpieczeń i zabezpieczenia do wdrożenia i już wdrożonych

• Wyłączenia z listy z zał. A wraz z wyjaśnieniem

• Ustanowienie i zarządzanie SZBI

• Wdrożenie i stosowanie SZBI

• Sformułować plan postępowania z ryzykiem

• Wdrożyć plan postępowania z ryzykiem w celu osiągnięcia zidentyfikowanych celów stosowania zabezpieczeń

• Wdrożyć zabezpieczenia

• Zdefiniować pomiary efektywności zabezpieczeń do oceny skuteczności zabezpieczeń

• Wdrożyć programy uświadamiania i szkolenia

• Zarządzanie stosowaniem SZBI

• Zarządzanie zasobami SZBI

• Wdrażać procedury wykrywania i reakcji na incydenty

• Monitorowanie i przegląd SZBI

• Monitorować zabezpieczenia, aby

• Wykrywać błędy

• Identyfikować naruszenia bezpieczeństwa

• Oceniać czy działania podjęte w celu usunięcia problemu były skuteczne

• Wykonywać regularne przeglądy skuteczności SZBI biorąc pod uwagę informacje zwrotne

• Mierzyć skuteczność zabezpieczeń

• Dokonywać przeglądów oceny ryzyka

• Uwzględniać zmiany w organizacji, technologii, celach biznesowych, procesach, zagrożeniach, zabezpieczeniach, prawie

• Przeprowadzać audyty wewnętrzne (რ)

• Przeprowadzać przeglądy realizowane przez kierownictwo

• Uaktualniać plany dotyczące bezpieczeństwa uwzględniając wyniki przeglądów

• Rejestrować zdarzenia mogące mieć wpływ na SZBI

• Utrzymanie i doskonalenie SZBI

• Wdrażać zidentyfikowane udoskonalenia

• Podejmować działania prewencyjne/korekcyjne

• Informować o wynikach działań

• Zapewniać, że udoskonalenia spełniają stawiane cele

Dokumentacja SZBI

• Nadzór nad dokumentami i zapisami

• Dokumentacja powinna zawierać

• Deklaracje polityki i celów SZBI

• Zakres SZBI

• Procedury służące realizacji SZBI

• Opis metodyki oceny ryzyka

• Raport oceny ryzyka

• Plan postępowania z ryzykiem

• Udokumentowane procedury potrzebne do zapewnienia efektywnego planowania i stosowania SZBI

• Zapisy wymagane przez normę i deklarację stosowania

Uwaga! Dokumentacja może mieć dowolną formę lub dowolny rodzaj nośnika

• Nadzór nad dokumentami

• Dokumenty powinny być chronione i nadzorowane

• Procedury udokumentowane:

• aktualizacji, zapewnienia czytelności dokumentów,

• dostępności, zapewnienia najnowszych wersji

• zapewnienia, że rozpowszechnianie dokumentów jest kontrolowane

Uwaga! Dokumentacja może mieć dowolną formę lub dowolny rodzaj nośnika

• Nadzór nad zapisami

• Ustanowienie oraz utrzymanie odpowiednich zapisów

• Zapewnienie ochrony, nadzoru zapisów

• Zapewnienie czytelności zapisów

• Zapisy dot. procesów i incydentów

Przykłady zapisów: księgi gości, raporty audytowe, logi

(Do)

Odpowiedzialność kierownictwa

• Zaangażowanie kierownictwa

• Ustanowienie polityki bezpieczeństwa

• Zapewnienie, że cele bezpieczeństwa zostały ustanowione

• Określenie ról i zakresów odpowiedzialności

• Informowanie organizacji o znaczeniu spełnienia celów bezpieczeństwa informacji i skutkach prawnych

• Zapewnienie wystarczających zasobów dla SZBI

• Decydowanie o kryteriach akceptowalności ryzyk

• Przeprowadzanie audytów wewnętrznych i przeglądów zarządu

• Zapewnienie zasobów

• Zapewnić zasoby niezbędne do stosowania, przeglądu, utrzymania i doskonalenia SZBI

• Zapewnić zasoby potrzebne do utrzymania odpowiedniego bezpieczeństwa

• Zapewnić zasoby niezbędne do spełnienia wymagań natury prawnej

• Szkolenie, uświadamianie i kompetencje

• Zapewnienie, że cały personel w SZBI ma stosowne kompetencje

• Zdefiniowanie koniecznych kompetencji

• Szkolenia i ocenę skuteczności szkoleń

• Prowadzenie zapisów dot. edukacji, szkoleń, umiejętności, doświadczenia, kwalifikacji

(Check)

Wewnętrzne audyty SZBI

• Przeglądy SZBI mają na celu określenie czy cele stosowania zabezpieczeń, zabezpieczenia, procesy i procedury są zgodne z normą, prawem

• Powinny być realizowane w oczekiwany sposób

• O czasie, o właściwym zakresie, wskazywać czynności poaudytowe

Przegląd zarządu SZBI

• Przeglądy zarządzania w zaplanowanych odstępach czasu w celu zapewnienia jego poprawności, odpowiedzialności i skuteczności

• Dane wejściowe: wyniki audytów, informacje zwrotne, podatności i zagrożenia, rezultaty pomiarów skuteczności, działań poprzeglądowych, zaleceń

• Dane wyjściowe: aktualizacja planu postępowania z ryzykiem, modyfikacja procedur dot. Bezpieczeństwa i inne

(Act)

Doskonalenie SZBI

Działania korygujące

• Eliminacja przyczyny niezgodności związanych
  z wdrożeniem i stosowaniem SZBI

• Identyfikacja niezgodności

• Stwierdzenie przyczyny niezgodności

• Oceny potrzeby działań

• Wskazanie działań, ich udokumentowanie (zapisy)

• Przegląd podjętych działań

Działania prewencyjne

• Wskazanie działań podejmowanych w celu ochrony przed potencjalnymi niezgodnościami
  z wymaganiami SZBI

• Identyfikacja potencjalnych niezgodności i przyczyn

• Ocena potrzeby działań

• Wskazanie działań, ich udokumentowanie (zapisy)

• Przegląd podjętych działań prewencyjnych

Zarządzanie bezpieczeństwem informacji - wykłady

3

---