Zarządzanie Bezpieczeństwem Informacji

advertisement
Zarządzanie Bezpieczeństwem
Informacji
Dr Tomasz Barbaszewski
Kraków, 2012
Tomasz [email protected]
Właściwości informacji
Relewantność
Informacja odpowiada na potrzeby odbiorcy
Informacja ma istotne znaczenie dla odbiorcy
Tomasz [email protected]
Właściwości informacji
Dokładność
Informacja jest adekwatna do poziomu wiedzy
odbiorcy
Informacja dokładnie i precyzyjnie określa
temat
Tomasz [email protected]
Właściwości informacji
Aktualność
Informacja nie jest „zakurzona”
Informacja jest aktualizowana zgodnie
z naturalnymi potrzebami
Prowadzone jest monitorowanie aktualności
informacji
Tomasz [email protected]
Właściwości informacji:
Kompletność
Informacja zawiera optymalną ilość danych
Dane zawarte w informacji mogą być
przetworzone w konkretną i przydatną
odbiorcy wiedzę
Szczegółowość informacji odpowiada
potrzebom odbiorcy
Tomasz [email protected]
Właściwości informacji:
Spójność
Poszczególne elementy i dane zawarte
W informacji współgrają ze sobą
Forma informacji jest adekwatna do treści
System aktualizacji danych odpowiada
celom, którym ma służyć
Tomasz [email protected]
Właściwości informacji:
Odpowiedniość
Forma prezentacji informacji jest oczywista
i nie prowadzi do błędnej interpretacji
Wszystkie elementy informacji – tekstowe,
graficzne i multimedialne muszą być
możliwe do odczytu przez użytkownika
Dodatkowe opisy odpowiadają treści
informacji
Tomasz [email protected]
Właściwości informacji:
Dostępność
Informacja dostępna jest uprawnionym
odbiorcom w każdym momencie oraz
o każdym miejscu kiedy jest im potrzebna
W systemach ICT należy preferować
dostępność 24 godzinną w cyklu 7 dniowym
Dostęp do informacji może podlegać
weryfikacji i kontroli
Tomasz [email protected]
Właściwości informacji:
Przystawalność
Informacja nie pozostaje w sprzeczność
z innymi informacjami, którymi dysponuje
odbiorca
Informacja jest zgodna z rzeczywistością
Informacja funkcjonuje w spójnym systemie
wzajemnej komunikacji
Tomasz [email protected]
Właściwości informacji:
Wiarygodność
Informacja zawiera prawdziwe dane
Informacja potwierdza prawdziwość danych
Informacja zawiera elementy upewniające
co do rzetelność przekazu
Tomasz [email protected]
Brak informacji lub jej niedostateczna
jakość prowadzi do braku możliwości
podjęcia decyzji
Brak przesłanek prowadzi do zakłócenia
procesu decyzyjnego
Tomasz [email protected]
Prezentacja informacji może być
nieadekwatna do jej faktycznej
treści.
Godna zaufania forma informacji
może skutkować uznaniu jej za
wiarygodną.
Tomasz [email protected]
35
30
25
20
Dane
15
10
5
0
PO
PiS
SLD
PSL
Tomasz [email protected]
Tomasz [email protected]
Henryk Batuta
Fikcyjna postać, której
życiorys umieszczono
w Wikipedii.
Wystąpiono nawet o zmianę
nazwy ulicy w Warszawie.
Tomasz [email protected]
System Zarządzania
Bezpieczeństwem Informacji
Information Security
Management System
Wdrażanie SZBI (ISMS) w praktyce:
Zdefiniowanie celów
● Rozpoznanie zagrożeń i analiza ryzyka
● Wyznaczenie punktów kontrolnych
● Wprowadzenie zmian, procedur i zaleceń
● Monitorowanie rezultatów
●
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Cel podstawowy:
Zapewnienie wysokiej jakości
informacji traktowanej jako ważny
składnik aktywów instytucji lub
przedsiębiorstwa warunkujący
sprawą realizację procesów
biznesowych.
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Ochrona danych osobowych:
USTAWA z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych z późniejszymi
zmianami (Dz.U.2007.176.1238)
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Ochrona własności intelektualnej:
USTAWA z dnia 4 lutego 1994 r.
o Prawie Autorskim i Prawach Pokrewnych
z późniejszymi zmianami (Dz.U.2002.197.1662)
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Ochrona informacji niejawnych:
USTAWA z dnia 5 sierpnia 2010 r.
o Ochronie Informacji Niejawnych
z późniejszymi zmianami (Dz.U.2010.182.1228)
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Dla podmiotów realizujących zadania
publiczne:
USTAWA z dnia 17 lutego 2005 r.
o Informatyzacji Podmiotów Realizujących
Zadania Publiczne
z późniejszymi zmianami (Dz.U.2005.64.565)
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
USTAWA z dnia 17 lutego 2005 r.
o Informatyzacji Podmiotów Realizujących
Zadania Publiczne jest uzupełniana przez
Rozporządzenia Między innymi tzw. Krajowe Ramy Operacyjności
(obecnie w końcowym etapie wprowadzania):
§ 14. 1. Podmiot realizujący zadania publiczne opracowuje
ustanawia, wdraża i eksploatuje, monitoruje i przegląda
oraz utrzymuje i doskonali system zarządzania
bezpieczeństwem informacji...
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Dla podmiotów realizujących zadania
publiczne:
USTAWA z dnia 6 września 2001 r.
o Dostępie do Informacji Publicznej
z późniejszymi zmianami (Dz.U.2001.112.1198)
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Zabezpieczenie realizacji procesów
realizowanych przez organizację:
Informacje
Proces
Informacje
Zasoby
informacji
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Wspomaganie procesu decyzyjnego
dzięki zapewnieniu wysokiej jakości
dostarczanej informacji
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Wspomaganie procesu decyzyjnego
dzięki zapewnieniu wysokiej jakości
dostarczanej informacji
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Zapewnienie wysokiego
poziomu zaufania do Partnera
przy zachowaniu sprawnej
wymiany informacji
Formalizacja SZBI – rodzina
Norm ISO/IEC 27000
Tomasz [email protected]
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Ochrona przed utratą prestiżu
organizacji:
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Bez uświadomienia zagrożenia nie da się
zbudować skutecznego systemu zabezpieczeń!
Celem ustanowienia i prowadzenie SZBI jest
OCHRONA INFORMACJI – a nie ochrona sprzętu
lub oprogramowania komputerowego.
Mechanizmy ochrony sprzętu i oprogramowania
pełnią rolę służebną w stosunku do ochrony
INFORMACJI.
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Podstawowe zagrożenie – czynnik ludzki:
●
●
Świadomość kadry zarządzającej o znaczeniu
jakości informacji dla sprawnego działania
organizacji oraz o konieczności jej ochrony
Zrozumienie przez wszystkie osoby
zaangażowane w proces przetwarzania
informacji obowiązków wynikających
konieczności jej ochrony
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Podstawowe zagrożenie – czynnik ludzki:
Zakazy – skuteczne w przypadku,
gdy są znane i respektowane
Wymuszanie określonych zachowań
Jest często odbierane jako szykana
Świadomość zagrożenia i dostosowanie
zachowania do sytuacji... Skuteczne,
lecz trudne w praktyce
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Podstawowe zagrożenie – czynnik ludzki:
„Zarówno kary jak i nagrody stanowią w każdej
sytuacji czynnik silnie zniechęcający do
podejmowania twórczej pracy, gdyż odbierają
człowiekowi jego naturalną wewnętrzną motywację
pozytywnego działania.”
Prof. A.J.Blikle w „Doktryna Jakości”
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Dostęp do informacji:
Zbiór
partnera
Kierownictwo
Pracownicy
Własny zbiór
informacji
Zbiór
partnera
Reszta Świata
Zbiór
partnera
Klienci
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Wprowadzanie informacji (KAŻDEJ!!!)
●
●
Niekontrolowane wprowadzenie informacji
do systemu jest poważnym zagrożeniem,
Dopuszczenie do braku kontroli nad
wprowadzanymi informacjami może
doprowadzić do zagrożenia dla całego
systemu!
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Wprowadzanie informacji (KAŻDEJ!!!)
Remedia:
●
●
Ciągłe uświadamianie użytkowników systemu,
Ustanowienie skutecznego system kontroli jakości
(uwierzytelnienie, integralność, niezaprzeczalność...)
informacji wprowadzanej do systemu.
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Kopiowanie informacji (w dowolnej formie)
Kopia cyfrowa (plik) nie jest odróżnialna od
oryginału!
●
Konieczne jest ustanowienie procedur związanych
z wykonywaniem kopii (także „papierowych”) oraz
systemu zarządzania kopiami (kontrola zgodności
z oryginałem, ilości, przechowywania oraz usuwania
lub fizycznego niszczenia kopii.
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Korzystanie z informacji bez jej modyfikowania
Dostęp do informacji zawsze wiąże się z zagrożeniem
jej upublicznienia.
Co najmniej połowa
naruszeń poufności
informacji następuje
przypadkowo, bez złej
woli (a nawet świadomości)
naruszającego.
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Modyfikowanie informacji
Możliwość niekontrolowanego modyfikowania
informacji jest bardzo poważnym zagrożeniem
Konieczne jest ustanowienie systemu zarządzania
modyfikowaniem informacji uwzględniającego
każdorazowe i bezsporne odnotowanie tego faktu
oraz towarzyszących mu okoliczności (tożsamości
osoby, która modyfikacji dokonała)
Tomasz [email protected]
Ustanawianie SZBI
Analiza zagrożeń
Przechowywanie informacji
Podczas przechowywania informacji nieuchronnie
występuje zagrożenie jej utraty
Utrata wielu informacji (know-how, dokumentacje
techniczne i finansowe, archiwa wydanych decyzji)
może mieć katastrofalne skutki dla realizacji zadań
organizacji
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Klasyfikacja informacji jest niezbędnym składnikiem
Systemu Zarządzania Bezpieczeństwem Informacji
Sposób klasyfikacji informacji powinien zostać
precyzyjnie opisany w odpowiednim dokumencie
oraz być zintegrowany z system zarządzania jakością
wykorzystywanym przez organizację (podejście
procesowe)
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
W najprostszym przypadku klasyfikacja informacji
powinna uwzględniać następujące atrybuty:
1) Wartość aktywu informacji dla organizacji
2) Poziom zagrożenia
3) Poziom podatności
Poszczególnym atrybutom możemy przyporządkować
liczby naturalne – miarą zagrożenia jest ich suma
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Wartość aktywu informacji - wynika przede wszystkim z analizy skutków utraty
informacji dla realizacji zadań organizacji.
- przyjęta wartość aktywu powinna wynikać
z powiązania aktywu informacji z realizowanymi
procesami biznesowymi oraz ich znaczenia dla
organizacji i powinna uwzględniać uwarunkowania
prawne
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Poziom zagrożenia - określa się w zależności od niezbędnego stopnia
udostępniania informacji (im szerzej jest udostępniana
informacja tym zagrożenie jest większe), konieczności
jej kopiowania itp...
- Ocena poziomu zagrożenia jest subiektywna i może
być określana w ramach organizacji, lecz powinna
ją charakteryzować konsekwencja
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Podatność - jest zależna od rodzaju udostępnianej informacji
oraz technicznego sposobu jej udostępniania
- Podatność jest miarą określającą możliwość
jakiegokolwiek zakłócenia dostępu do inorformacji,
jej zniekształcenia (celowego lub przypadkowego),
nieuprawnionego rozpowszechnienia itp.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji – macierz ryzyka
Z
0
0
0
1
1
1
2
2
2
P
0
1
2
0
1
2
0
1
2
0
0
1
2
1
2
3
2
3
4
1
1
2
3
2
3
4
3
4
5
5
6
2
3
4
5
Wartość aktywu
9
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Jest wprowadzana przez organizację według
przyjętego przez nią schematu.
Klasyfikacja informacji nie podlegających
zewnętrznym przepisom prawa może być
dowolna, jednakże stosowany system musi
być odpowiednio udokumentowany
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji – niezbędne elementy:
1) Inwentaryzacja informacji objętych SZBI
2) Opis wartości informacji dla organizacji
3) Opis sposobu postępowania z informacjami
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji – w praktyce
1) Nie powinna pokrywać wymagań prawnych
(np. wymagań GIODO)
2) Powinna być przejrzysta i ograniczona do
kilku (3-5 grup) informacji
3) Musi pozwolić użytkownikom na szybkie
i jednoznaczne zakwalifikowanie dokumentu
do odpowiedniej grupy
4) Informować użytkowników o sposobie
postępowania z informacjami
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Dostęp do informacji
1) Uwierzytelnienie potwierdzenie tożsamości osoby lub
urządzenia żądających dostępu do systemu
informacyjnego
2) Autoryzacja Sprawdzenie, czy osoba lub urządzenie są
uprawnione do korzystania z określonej
funkcji systemu (np. dostępu do informacji)
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Najprostszy system: Login / password
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Karta chipowa lub token:
ę
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Metody biometryczne
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Czy dane są
prawidłowe
NIE
Akcja bezpieczeństwa
TAK
Dostęp do systemu
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie – akcje bezpieczeństwa
Zablokowanie możliwości powtórnej autoryzacji na
określony czas – np. 30 sekund
Zablokowanie konta w systemie np. po 3-5 nieudanych
próbach uwierzytelnienia
Zanotowanie zdarzenia w dzienniku systemowym
Włączenie alarmu bezpieczeństwa
Awaryjne wyłączenie systemu
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie urządzeń
Jednostronne – klient przekazuje informacje uwierzytelniające
Serwerowi
Dwustronne – uwierzytelniają się obie strony
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie informacjami uwierzytelniającymi
Informacje uwierzytelniające identyfikują użytkownika
lub urządzenie w systemie – muszą być więc
skutecznie chronione!
Należy opracować i wdrożyć odpowiednie procedury
zarządzania informacjami uwierzytelniającymi oraz
przeszkolić użytkowników w korzystaniu z nich
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Reguły nadawania nazwy użytkownika (LOGIN NAME)
- muszą być jednakowe dla w ramach organizacji,
- nazwa użytkownika powinna być zrozumiała dla ludzi,
- hasło dostępu powinno być znane jedynie użytkownikowi,
- użytkownik powinien mieć możliwość zmiany hasła,
- „trudność” hasła powinna być kontrolowana,
- należy określić warunki obowiązkowej zmiany haseł,
- w przypadku stosowania zaawansowanych metod
uwierzytelnienia (karty, biometria) należy opracować
odpowiednie procedury.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie dostępem użytkowników do systemu:
- udzielanie dostępu do systemu (wydanie danych
uwierzytelniających musi następować w zgodnie
z wdrożoną procedur, które muszą uwzględniać aktualny
status użytkownika (stosunek pracy, wykonywanie
zlecenia itp.),
- Należy opracować i wdrożyć procedury związane
z czasowymi nieobecnościami użytkownika (urlop,
wyjazd służbowy, choroba) oraz postępowaniem
w przypadku zakończenia pracy z systemem (odejście,
zakończenie zlecenia itp.).
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie dostępem użytkowników do systemu:
- procedury związane z uzyskiwaniem dostępu do systemu
muszą być skorelowane z klasyfikacją informacji oraz
stanowiskiem służbowym użytkownika
- wszelkie informacje utworzone, przetworzone lub
pozostające w dyspozycji użytkownika w przypadku
ustania stosunku służbowego nie są usuwane, lecz
podlegają archiwizacji na okres przewidziany procedurą.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie dostępem użytkowników do systemu:
- udzielanie dostępu do systemu (wydanie danych
uwierzytelniających musi następować w zgodnie
z wdrożoną procedur, które muszą uwzględniać aktualny
status użytkownika (stosunek pracy, wykonywanie
zlecenia itp.),
- Należy opracować i wdrożyć procedury związane
z czasowymi nieobecnościami użytkownika (urlop,
wyjazd służbowy, choroba) oraz postępowaniem
w przypadku zakończenia pracy z systemem (odejście,
zakończenie zlecenia itp.).
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Zestawienie zastosowanych środków:
Opracowana Polityka Bezpieczeństwa
Informacji – dział „Zarządzanie dostępem
do systemu” wraz z odpowiednimi
załącznikami (wzory rejestrów itp.).
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Cel:
zapewnienie w siedzibie podmiotu ochrony
przetwarzanych informacji przed nieautoryzowanym
dostępem fizycznym, uszkodzeniami lub
zakłóceniami
Środki:
Wprowadzenie obszarów chronionych fizycznie,
w których są przechowywane lub przetwarzane
Informacje (np. dane osobowe).
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Środki (cd.):
➔ Zabezpieczenie serwerowni,
➔ Zabezpieczenie stacji roboczych,
➔ Kontrola dostępu i wykorzystywania
urządzeń peryferyjnych,
➔ Przechowywanie kopii papierowych
(hard copies) oraz zarządzanie nimi.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Zestawienie zastosowanych środków:
Opracowana Polityka Bezpieczeństwa
Informacji – dział „Bezpieczeństwo
Fizyczne”
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Udział „stron trzecich”:
Rozbudowa lub modernizacja systemu,
➔ Serwisowanie systemu,
➔ Wykorzystywanie zewnętrznych usług
informatycznych (outsourcing,
przetwarzanie w chmurze),
➔ Postępowanie z wycofywanymi urządzeniami.
➔
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Udział „stron trzecich”:
Wzory umów z dostawcami i usługodawcami
uwzględniające zachowanie bezpieczeństwa
informacji
➔ Wykorzystywanie zewnętrznych usług
informatycznych (outsourcing,
przetwarzanie w chmurze),
➔ Postępowanie z wycofywanymi urządzeniami.
➔
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Zestawienie zastosowanych środków:
Opracowana Polityka Bezpieczeństwa
Informacji – wymagania wobec dostawców
sprzętu, oprogramowania oraz usług.
W uzasadnionych przypadkach należy
Wymagać certyfikacji ISO 20000
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Cel:
Minimalizacja ryzyka awarii systemów oraz
zapewnienie ciągłości ich działania.
Środki:
Procedury serwisowania sprzętu,
Kontrola integralności oprogramowania oraz
plików systemowych, instalacji poprawek
i uzupełnień.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Cel:
Ochrona informacji transmitowanych przez
sieci komputerowe
Środki:
Ochrona fizyczna okablowania i urządzeń,
Filtracja przesyłanych informacji,
Ochrona kryptograficzna.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Norma TEMPEST
Ochrona przed
ujawniającą
emisją
elektromagnetyczną
Informacje niejawne
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Realizacja bezpiecznych
transmisji sieciowych
wymaga stosowania
specjalnych urządzeń
oraz ekranowanego
okablowania
Niezbędne do ochrony
Informacji niejawnych
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Szyfrowanie transmisji - metoda ochrony transmisji w sieciach
niechronionych fizycznie.
- w warstwie fizycznej (sieci militarne),
- w warstwie połączenia (rzadko),
- w warstwie sieci,
- w warstwie aplikacji (niebezpieczne!)
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Ochrona kryptograficzna transmisji wymaga
ustanowienia procedur zarządzania kluczami
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Działania organizacyjne:
Precyzyjna delegacja zadań związanych
obsługą systemu informatycznego:
●
Administrator Systemu Informatycznego (ASI),
●
Administrator Bezpieczeństwa Informacji (ABI).
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
ASI:
Sprawuje nadzór nad pracą systemu
informatycznego,
● Odpowiada za instalację oraz konfigurację
oprogramowania, wprowadzanie aktualizacji
oraz poprawek i uzupełnień,
● Realizuje wszelkie zadania związane z bieżącą
eksploatacją i serwisem systemu,
● Świadczy pomoc dla użytkowników.
●
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Prowadzi nadzór nad bezpieczeństwem
informacji w organizacji,
● Zarządza kwalifikacją informacji,
● Prowadzi ewidencję osób uprawnionych
do wykorzystywania oraz przetwarzania
informacji kwalifikowanych,
● Wydaje odpowiednie zalecenia dla ASI
związane z ochroną informacji.
●
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Podejmuje odpowiednie działania w razie
stwierdzenie naruszenia bezpieczeństwa
informacji lub podejrzenia takich naruszeń,
● Prowadzi nadzór nad serwisowaniem,
naprawami oraz likwidacją urządzeń, na
których składowane są informacje
kwalifikowane.
●
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Sprawuje nadzór nad obiegiem dokumentów
zawierających informacje kwalifikowane,
● Opracowuje oraz nadzoruje procedury
archiwizacji danych kwalifikowanych,
● Opracowuje procedury obowiązujące
w przypadku awarii systemu informacyjnego
oraz organizuje przeszkolenie pracowników
w tym zakresie.
●
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Monitoruje na bieżąco i w razie potrzeby
wprowadza modyfikacje SZBI,
● Organizuje oraz nadzoruje działania
związane z prowadzeniem audytów SZBI
(zarówno wewnętrznych, jak i zewnętrznych),
● Składa okresowe raporty z działania SZBI
zarządowi organizacji.
●
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Cel: Ochrona informacji – nie komputerów!
Ochrona fizyczna:
Urządzenia techniczne, które umożliwiają składowanie
danych powinny być chronione fizycznie.
Polityka bezpieczeństwa powinna definiować obszary
przetwarzania danych, mechanizmy kontroli dostępu
do tych obszarów oraz warunki, które powinny
spełniać osoby z nich korzystające.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Lp. Adres - budynek
Nr pomieszczenia
1
33-222 Kraków,
ul. Kowalskiego 10
12, 201, 203, 210
2
01-333 Warszawa,
ul. Batuty 2
401, 403
3
00-212 Lublin,
ul. Hoża 12
11, 12, 13, 14
Kopie zapasowe danych są przechowywane w szafie ogniotrwałej
w pomieszczeniu nr.12 w Krakowie, ul.Kowalskiego 10.
Klucze awaryjne są dostępne:
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Środki ochrony fizycznej:
- dostęp do pomieszczeń (zamki patentowe,
szyfrowe, systemy kontroli dostępu),
- Monitorowanie dostępu do pomieszczeń,
- Przechowywanie kopii „papierowych”,
- Niszczenie zbędnych kopii dokumentów,
- Procedury wykorzystywania komputerów
przenośnych i przenośnych nośników
danych.
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
Bezpieczeństwo dostępu sieciowego:
Systemy klient-serwer,
● Systemy scentralizowane,
● VDI – Virtual Desktop Infrastructure,
● Cloud Computing.
●
Tomasz [email protected]
Ustanawianie SZBI
Mechanizmy i praktyki
System Klient – Serwer:
Użytkownicy korzystają z komputerów PC,
● Serwery udostępniają użytkownikom
zasoby niezbędne do przetwarzania danych,
● Przetwarzanie danych odbywa się lokalnie
z wykorzystaniem oprogramowania pracującego
na komputerach osobistych użytkowników.
●
Tomasz [email protected]
Ustanawianie SZBI
System Klient-Serwer
Tomasz [email protected]
Ustanawianie SZBI
System Klient-Serwer
Tomasz [email protected]
Ustanawianie SZBI
System Klient-Serwer
Technologia terminalowa (cienkiego klienta):
- przetwarzanie centralne,
- brak składowania danych na stanowiskach
pracy,
- przetwarzanie danych odbywa się na
komputerach centralnych w bezpiecznej
serwerowni.
Ułatwia opracowywanie Polityki Bezpieczeństwa
Tomasz [email protected]
Ustanawianie SZBI
System terminalowy
Tomasz [email protected]
Ustanawianie SZBI
System terminalowy
Tomasz [email protected]
Ustanawianie SZBI
System terminalowy
Wirtualizacja pulpitu:
Użytkownik posiada przydzielony odrębny
komputer PC (fizyczny lub wirtualny), katóry
jest zlokalizowany w zabezpieczonetj strefie,
● Użytkownik korzysta z przydzielonego mu
komputera za pomocą końcówki (terminala)
graficznego.
●
Tomasz [email protected]
Ustanawianie SZBI
Wirtualny pulpit - VDI
Tomasz [email protected]
Ustanawianie SZBI
Wirtualny pulpit - VDI
Tomasz [email protected]
VDI w sieci rozległej
Tomasz [email protected]
Ustanawianie SZBI
Cloud Computing
Użytkownicy korzystają z uniwersalnego
interfejsu – najczęściej przeglądarki,
● Wszelkie zasoby – moc obliczeniowa,
oprogramowanie, pamięć dyskowa itp.
są udostępniane w sieci,
● Użytkownicy nie korzystają z tych zasbów
na zasadach usługi.
●
Tomasz [email protected]
Ustanawianie SZBI
Cloud Computing
Tomasz [email protected]
Tomasz [email protected]
Network Security
Tomasz [email protected]
Network Security
Filtracja ruchu (Firewalls),
● Ochrona przed złośliwymi programami,
● Filtracja niechcianych informacji (SPAM),
● Uwierzytelnienie stron,
● Uwierzytelnienie użytkownika,
● Niezaprzeczalność i integralność,
● Poufność.
ABI powinien wybrać określić poziomy
ochrony oraz wykorzystywane mechanizmy.
●
Tomasz [email protected]
Network Security
Tomasz [email protected]
Network Security
Złośliwe programy (wirusy):
Wykorzystywanie terminali,
● Zdalne przeglądanie poczty elektronicznej,
● Praca w środowisku chmury (cloud
Computing),
● Wykorzystywanie odpowiedniego oraz
● Aktualnego oprogramowania antywirusowego.
●
Tomasz [email protected]
Network Security
Mechanizmy kryptograficzne:
Uwierzytelnianie stron – szyfry niesymetryczne,
klucze prywatno / publiczne,
● Niezaprzeczalność i integralność – funkcje
skrótu i podpis cyfrowy,
● Poufność – szybkie szyfry symetryczne.
●
Tomasz [email protected]
Network Security
Tomasz [email protected]
Podstawowe czynniki
sukcesu:
Przejrzysty i konsekwentny projekt
systemu,
Starannie opracowana Polityka
Bezpieczeństwa,
Właściwy dobór mechanizmów
zabezpieczejących.
Tomasz [email protected]
Download