Zarządzanie Bezpieczeństwem Informacji Dr Tomasz Barbaszewski Kraków, 2012 Tomasz [email protected] Właściwości informacji Relewantność Informacja odpowiada na potrzeby odbiorcy Informacja ma istotne znaczenie dla odbiorcy Tomasz [email protected] Właściwości informacji Dokładność Informacja jest adekwatna do poziomu wiedzy odbiorcy Informacja dokładnie i precyzyjnie określa temat Tomasz [email protected] Właściwości informacji Aktualność Informacja nie jest „zakurzona” Informacja jest aktualizowana zgodnie z naturalnymi potrzebami Prowadzone jest monitorowanie aktualności informacji Tomasz [email protected] Właściwości informacji: Kompletność Informacja zawiera optymalną ilość danych Dane zawarte w informacji mogą być przetworzone w konkretną i przydatną odbiorcy wiedzę Szczegółowość informacji odpowiada potrzebom odbiorcy Tomasz [email protected] Właściwości informacji: Spójność Poszczególne elementy i dane zawarte W informacji współgrają ze sobą Forma informacji jest adekwatna do treści System aktualizacji danych odpowiada celom, którym ma służyć Tomasz [email protected] Właściwości informacji: Odpowiedniość Forma prezentacji informacji jest oczywista i nie prowadzi do błędnej interpretacji Wszystkie elementy informacji – tekstowe, graficzne i multimedialne muszą być możliwe do odczytu przez użytkownika Dodatkowe opisy odpowiadają treści informacji Tomasz [email protected] Właściwości informacji: Dostępność Informacja dostępna jest uprawnionym odbiorcom w każdym momencie oraz o każdym miejscu kiedy jest im potrzebna W systemach ICT należy preferować dostępność 24 godzinną w cyklu 7 dniowym Dostęp do informacji może podlegać weryfikacji i kontroli Tomasz [email protected] Właściwości informacji: Przystawalność Informacja nie pozostaje w sprzeczność z innymi informacjami, którymi dysponuje odbiorca Informacja jest zgodna z rzeczywistością Informacja funkcjonuje w spójnym systemie wzajemnej komunikacji Tomasz [email protected] Właściwości informacji: Wiarygodność Informacja zawiera prawdziwe dane Informacja potwierdza prawdziwość danych Informacja zawiera elementy upewniające co do rzetelność przekazu Tomasz [email protected] Brak informacji lub jej niedostateczna jakość prowadzi do braku możliwości podjęcia decyzji Brak przesłanek prowadzi do zakłócenia procesu decyzyjnego Tomasz [email protected] Prezentacja informacji może być nieadekwatna do jej faktycznej treści. Godna zaufania forma informacji może skutkować uznaniu jej za wiarygodną. Tomasz [email protected] 35 30 25 20 Dane 15 10 5 0 PO PiS SLD PSL Tomasz [email protected] Tomasz [email protected] Henryk Batuta Fikcyjna postać, której życiorys umieszczono w Wikipedii. Wystąpiono nawet o zmianę nazwy ulicy w Warszawie. Tomasz [email protected] System Zarządzania Bezpieczeństwem Informacji Information Security Management System Wdrażanie SZBI (ISMS) w praktyce: Zdefiniowanie celów ● Rozpoznanie zagrożeń i analiza ryzyka ● Wyznaczenie punktów kontrolnych ● Wprowadzenie zmian, procedur i zaleceń ● Monitorowanie rezultatów ● Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Cel podstawowy: Zapewnienie wysokiej jakości informacji traktowanej jako ważny składnik aktywów instytucji lub przedsiębiorstwa warunkujący sprawą realizację procesów biznesowych. Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Ochrona danych osobowych: USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z późniejszymi zmianami (Dz.U.2007.176.1238) Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Ochrona własności intelektualnej: USTAWA z dnia 4 lutego 1994 r. o Prawie Autorskim i Prawach Pokrewnych z późniejszymi zmianami (Dz.U.2002.197.1662) Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Ochrona informacji niejawnych: USTAWA z dnia 5 sierpnia 2010 r. o Ochronie Informacji Niejawnych z późniejszymi zmianami (Dz.U.2010.182.1228) Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Dla podmiotów realizujących zadania publiczne: USTAWA z dnia 17 lutego 2005 r. o Informatyzacji Podmiotów Realizujących Zadania Publiczne z późniejszymi zmianami (Dz.U.2005.64.565) Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji USTAWA z dnia 17 lutego 2005 r. o Informatyzacji Podmiotów Realizujących Zadania Publiczne jest uzupełniana przez Rozporządzenia Między innymi tzw. Krajowe Ramy Operacyjności (obecnie w końcowym etapie wprowadzania): § 14. 1. Podmiot realizujący zadania publiczne opracowuje ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji... Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Dla podmiotów realizujących zadania publiczne: USTAWA z dnia 6 września 2001 r. o Dostępie do Informacji Publicznej z późniejszymi zmianami (Dz.U.2001.112.1198) Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Zabezpieczenie realizacji procesów realizowanych przez organizację: Informacje Proces Informacje Zasoby informacji Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Wspomaganie procesu decyzyjnego dzięki zapewnieniu wysokiej jakości dostarczanej informacji Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Wspomaganie procesu decyzyjnego dzięki zapewnieniu wysokiej jakości dostarczanej informacji Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Zapewnienie wysokiego poziomu zaufania do Partnera przy zachowaniu sprawnej wymiany informacji Formalizacja SZBI – rodzina Norm ISO/IEC 27000 Tomasz [email protected] Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Ochrona przed utratą prestiżu organizacji: Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Bez uświadomienia zagrożenia nie da się zbudować skutecznego systemu zabezpieczeń! Celem ustanowienia i prowadzenie SZBI jest OCHRONA INFORMACJI – a nie ochrona sprzętu lub oprogramowania komputerowego. Mechanizmy ochrony sprzętu i oprogramowania pełnią rolę służebną w stosunku do ochrony INFORMACJI. Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Podstawowe zagrożenie – czynnik ludzki: ● ● Świadomość kadry zarządzającej o znaczeniu jakości informacji dla sprawnego działania organizacji oraz o konieczności jej ochrony Zrozumienie przez wszystkie osoby zaangażowane w proces przetwarzania informacji obowiązków wynikających konieczności jej ochrony Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Podstawowe zagrożenie – czynnik ludzki: Zakazy – skuteczne w przypadku, gdy są znane i respektowane Wymuszanie określonych zachowań Jest często odbierane jako szykana Świadomość zagrożenia i dostosowanie zachowania do sytuacji... Skuteczne, lecz trudne w praktyce Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Podstawowe zagrożenie – czynnik ludzki: „Zarówno kary jak i nagrody stanowią w każdej sytuacji czynnik silnie zniechęcający do podejmowania twórczej pracy, gdyż odbierają człowiekowi jego naturalną wewnętrzną motywację pozytywnego działania.” Prof. A.J.Blikle w „Doktryna Jakości” Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Dostęp do informacji: Zbiór partnera Kierownictwo Pracownicy Własny zbiór informacji Zbiór partnera Reszta Świata Zbiór partnera Klienci Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Wprowadzanie informacji (KAŻDEJ!!!) ● ● Niekontrolowane wprowadzenie informacji do systemu jest poważnym zagrożeniem, Dopuszczenie do braku kontroli nad wprowadzanymi informacjami może doprowadzić do zagrożenia dla całego systemu! Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Wprowadzanie informacji (KAŻDEJ!!!) Remedia: ● ● Ciągłe uświadamianie użytkowników systemu, Ustanowienie skutecznego system kontroli jakości (uwierzytelnienie, integralność, niezaprzeczalność...) informacji wprowadzanej do systemu. Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Kopiowanie informacji (w dowolnej formie) Kopia cyfrowa (plik) nie jest odróżnialna od oryginału! ● Konieczne jest ustanowienie procedur związanych z wykonywaniem kopii (także „papierowych”) oraz systemu zarządzania kopiami (kontrola zgodności z oryginałem, ilości, przechowywania oraz usuwania lub fizycznego niszczenia kopii. Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Korzystanie z informacji bez jej modyfikowania Dostęp do informacji zawsze wiąże się z zagrożeniem jej upublicznienia. Co najmniej połowa naruszeń poufności informacji następuje przypadkowo, bez złej woli (a nawet świadomości) naruszającego. Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Modyfikowanie informacji Możliwość niekontrolowanego modyfikowania informacji jest bardzo poważnym zagrożeniem Konieczne jest ustanowienie systemu zarządzania modyfikowaniem informacji uwzględniającego każdorazowe i bezsporne odnotowanie tego faktu oraz towarzyszących mu okoliczności (tożsamości osoby, która modyfikacji dokonała) Tomasz [email protected] Ustanawianie SZBI Analiza zagrożeń Przechowywanie informacji Podczas przechowywania informacji nieuchronnie występuje zagrożenie jej utraty Utrata wielu informacji (know-how, dokumentacje techniczne i finansowe, archiwa wydanych decyzji) może mieć katastrofalne skutki dla realizacji zadań organizacji Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji Klasyfikacja informacji jest niezbędnym składnikiem Systemu Zarządzania Bezpieczeństwem Informacji Sposób klasyfikacji informacji powinien zostać precyzyjnie opisany w odpowiednim dokumencie oraz być zintegrowany z system zarządzania jakością wykorzystywanym przez organizację (podejście procesowe) Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji W najprostszym przypadku klasyfikacja informacji powinna uwzględniać następujące atrybuty: 1) Wartość aktywu informacji dla organizacji 2) Poziom zagrożenia 3) Poziom podatności Poszczególnym atrybutom możemy przyporządkować liczby naturalne – miarą zagrożenia jest ich suma Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji Wartość aktywu informacji - wynika przede wszystkim z analizy skutków utraty informacji dla realizacji zadań organizacji. - przyjęta wartość aktywu powinna wynikać z powiązania aktywu informacji z realizowanymi procesami biznesowymi oraz ich znaczenia dla organizacji i powinna uwzględniać uwarunkowania prawne Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji Poziom zagrożenia - określa się w zależności od niezbędnego stopnia udostępniania informacji (im szerzej jest udostępniana informacja tym zagrożenie jest większe), konieczności jej kopiowania itp... - Ocena poziomu zagrożenia jest subiektywna i może być określana w ramach organizacji, lecz powinna ją charakteryzować konsekwencja Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji Podatność - jest zależna od rodzaju udostępnianej informacji oraz technicznego sposobu jej udostępniania - Podatność jest miarą określającą możliwość jakiegokolwiek zakłócenia dostępu do inorformacji, jej zniekształcenia (celowego lub przypadkowego), nieuprawnionego rozpowszechnienia itp. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji – macierz ryzyka Z 0 0 0 1 1 1 2 2 2 P 0 1 2 0 1 2 0 1 2 0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 5 6 2 3 4 5 Wartość aktywu 9 Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji Jest wprowadzana przez organizację według przyjętego przez nią schematu. Klasyfikacja informacji nie podlegających zewnętrznym przepisom prawa może być dowolna, jednakże stosowany system musi być odpowiednio udokumentowany Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji – niezbędne elementy: 1) Inwentaryzacja informacji objętych SZBI 2) Opis wartości informacji dla organizacji 3) Opis sposobu postępowania z informacjami Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Klasyfikacja informacji – w praktyce 1) Nie powinna pokrywać wymagań prawnych (np. wymagań GIODO) 2) Powinna być przejrzysta i ograniczona do kilku (3-5 grup) informacji 3) Musi pozwolić użytkownikom na szybkie i jednoznaczne zakwalifikowanie dokumentu do odpowiedniej grupy 4) Informować użytkowników o sposobie postępowania z informacjami Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Dostęp do informacji 1) Uwierzytelnienie potwierdzenie tożsamości osoby lub urządzenia żądających dostępu do systemu informacyjnego 2) Autoryzacja Sprawdzenie, czy osoba lub urządzenie są uprawnione do korzystania z określonej funkcji systemu (np. dostępu do informacji) Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Uwierzytelnienie Najprostszy system: Login / password Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Uwierzytelnienie Karta chipowa lub token: ę Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Uwierzytelnienie Metody biometryczne Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Uwierzytelnienie Czy dane są prawidłowe NIE Akcja bezpieczeństwa TAK Dostęp do systemu Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Uwierzytelnienie – akcje bezpieczeństwa Zablokowanie możliwości powtórnej autoryzacji na określony czas – np. 30 sekund Zablokowanie konta w systemie np. po 3-5 nieudanych próbach uwierzytelnienia Zanotowanie zdarzenia w dzienniku systemowym Włączenie alarmu bezpieczeństwa Awaryjne wyłączenie systemu Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Uwierzytelnienie urządzeń Jednostronne – klient przekazuje informacje uwierzytelniające Serwerowi Dwustronne – uwierzytelniają się obie strony Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Zarządzanie informacjami uwierzytelniającymi Informacje uwierzytelniające identyfikują użytkownika lub urządzenie w systemie – muszą być więc skutecznie chronione! Należy opracować i wdrożyć odpowiednie procedury zarządzania informacjami uwierzytelniającymi oraz przeszkolić użytkowników w korzystaniu z nich Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Reguły nadawania nazwy użytkownika (LOGIN NAME) - muszą być jednakowe dla w ramach organizacji, - nazwa użytkownika powinna być zrozumiała dla ludzi, - hasło dostępu powinno być znane jedynie użytkownikowi, - użytkownik powinien mieć możliwość zmiany hasła, - „trudność” hasła powinna być kontrolowana, - należy określić warunki obowiązkowej zmiany haseł, - w przypadku stosowania zaawansowanych metod uwierzytelnienia (karty, biometria) należy opracować odpowiednie procedury. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Zarządzanie dostępem użytkowników do systemu: - udzielanie dostępu do systemu (wydanie danych uwierzytelniających musi następować w zgodnie z wdrożoną procedur, które muszą uwzględniać aktualny status użytkownika (stosunek pracy, wykonywanie zlecenia itp.), - Należy opracować i wdrożyć procedury związane z czasowymi nieobecnościami użytkownika (urlop, wyjazd służbowy, choroba) oraz postępowaniem w przypadku zakończenia pracy z systemem (odejście, zakończenie zlecenia itp.). Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Zarządzanie dostępem użytkowników do systemu: - procedury związane z uzyskiwaniem dostępu do systemu muszą być skorelowane z klasyfikacją informacji oraz stanowiskiem służbowym użytkownika - wszelkie informacje utworzone, przetworzone lub pozostające w dyspozycji użytkownika w przypadku ustania stosunku służbowego nie są usuwane, lecz podlegają archiwizacji na okres przewidziany procedurą. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Zarządzanie dostępem użytkowników do systemu: - udzielanie dostępu do systemu (wydanie danych uwierzytelniających musi następować w zgodnie z wdrożoną procedur, które muszą uwzględniać aktualny status użytkownika (stosunek pracy, wykonywanie zlecenia itp.), - Należy opracować i wdrożyć procedury związane z czasowymi nieobecnościami użytkownika (urlop, wyjazd służbowy, choroba) oraz postępowaniem w przypadku zakończenia pracy z systemem (odejście, zakończenie zlecenia itp.). Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Zestawienie zastosowanych środków: Opracowana Polityka Bezpieczeństwa Informacji – dział „Zarządzanie dostępem do systemu” wraz z odpowiednimi załącznikami (wzory rejestrów itp.). Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Cel: zapewnienie w siedzibie podmiotu ochrony przetwarzanych informacji przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami Środki: Wprowadzenie obszarów chronionych fizycznie, w których są przechowywane lub przetwarzane Informacje (np. dane osobowe). Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Środki (cd.): ➔ Zabezpieczenie serwerowni, ➔ Zabezpieczenie stacji roboczych, ➔ Kontrola dostępu i wykorzystywania urządzeń peryferyjnych, ➔ Przechowywanie kopii papierowych (hard copies) oraz zarządzanie nimi. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Zestawienie zastosowanych środków: Opracowana Polityka Bezpieczeństwa Informacji – dział „Bezpieczeństwo Fizyczne” Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Udział „stron trzecich”: Rozbudowa lub modernizacja systemu, ➔ Serwisowanie systemu, ➔ Wykorzystywanie zewnętrznych usług informatycznych (outsourcing, przetwarzanie w chmurze), ➔ Postępowanie z wycofywanymi urządzeniami. ➔ Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Udział „stron trzecich”: Wzory umów z dostawcami i usługodawcami uwzględniające zachowanie bezpieczeństwa informacji ➔ Wykorzystywanie zewnętrznych usług informatycznych (outsourcing, przetwarzanie w chmurze), ➔ Postępowanie z wycofywanymi urządzeniami. ➔ Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Zestawienie zastosowanych środków: Opracowana Polityka Bezpieczeństwa Informacji – wymagania wobec dostawców sprzętu, oprogramowania oraz usług. W uzasadnionych przypadkach należy Wymagać certyfikacji ISO 20000 Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Cel: Minimalizacja ryzyka awarii systemów oraz zapewnienie ciągłości ich działania. Środki: Procedury serwisowania sprzętu, Kontrola integralności oprogramowania oraz plików systemowych, instalacji poprawek i uzupełnień. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Cel: Ochrona informacji transmitowanych przez sieci komputerowe Środki: Ochrona fizyczna okablowania i urządzeń, Filtracja przesyłanych informacji, Ochrona kryptograficzna. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Norma TEMPEST Ochrona przed ujawniającą emisją elektromagnetyczną Informacje niejawne Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Realizacja bezpiecznych transmisji sieciowych wymaga stosowania specjalnych urządzeń oraz ekranowanego okablowania Niezbędne do ochrony Informacji niejawnych Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Szyfrowanie transmisji - metoda ochrony transmisji w sieciach niechronionych fizycznie. - w warstwie fizycznej (sieci militarne), - w warstwie połączenia (rzadko), - w warstwie sieci, - w warstwie aplikacji (niebezpieczne!) Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Ochrona kryptograficzna transmisji wymaga ustanowienia procedur zarządzania kluczami Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Działania organizacyjne: Precyzyjna delegacja zadań związanych obsługą systemu informatycznego: ● Administrator Systemu Informatycznego (ASI), ● Administrator Bezpieczeństwa Informacji (ABI). Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki ASI: Sprawuje nadzór nad pracą systemu informatycznego, ● Odpowiada za instalację oraz konfigurację oprogramowania, wprowadzanie aktualizacji oraz poprawek i uzupełnień, ● Realizuje wszelkie zadania związane z bieżącą eksploatacją i serwisem systemu, ● Świadczy pomoc dla użytkowników. ● Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki ABI: Prowadzi nadzór nad bezpieczeństwem informacji w organizacji, ● Zarządza kwalifikacją informacji, ● Prowadzi ewidencję osób uprawnionych do wykorzystywania oraz przetwarzania informacji kwalifikowanych, ● Wydaje odpowiednie zalecenia dla ASI związane z ochroną informacji. ● Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki ABI: Podejmuje odpowiednie działania w razie stwierdzenie naruszenia bezpieczeństwa informacji lub podejrzenia takich naruszeń, ● Prowadzi nadzór nad serwisowaniem, naprawami oraz likwidacją urządzeń, na których składowane są informacje kwalifikowane. ● Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki ABI: Sprawuje nadzór nad obiegiem dokumentów zawierających informacje kwalifikowane, ● Opracowuje oraz nadzoruje procedury archiwizacji danych kwalifikowanych, ● Opracowuje procedury obowiązujące w przypadku awarii systemu informacyjnego oraz organizuje przeszkolenie pracowników w tym zakresie. ● Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki ABI: Monitoruje na bieżąco i w razie potrzeby wprowadza modyfikacje SZBI, ● Organizuje oraz nadzoruje działania związane z prowadzeniem audytów SZBI (zarówno wewnętrznych, jak i zewnętrznych), ● Składa okresowe raporty z działania SZBI zarządowi organizacji. ● Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Cel: Ochrona informacji – nie komputerów! Ochrona fizyczna: Urządzenia techniczne, które umożliwiają składowanie danych powinny być chronione fizycznie. Polityka bezpieczeństwa powinna definiować obszary przetwarzania danych, mechanizmy kontroli dostępu do tych obszarów oraz warunki, które powinny spełniać osoby z nich korzystające. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Lp. Adres - budynek Nr pomieszczenia 1 33-222 Kraków, ul. Kowalskiego 10 12, 201, 203, 210 2 01-333 Warszawa, ul. Batuty 2 401, 403 3 00-212 Lublin, ul. Hoża 12 11, 12, 13, 14 Kopie zapasowe danych są przechowywane w szafie ogniotrwałej w pomieszczeniu nr.12 w Krakowie, ul.Kowalskiego 10. Klucze awaryjne są dostępne: Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Środki ochrony fizycznej: - dostęp do pomieszczeń (zamki patentowe, szyfrowe, systemy kontroli dostępu), - Monitorowanie dostępu do pomieszczeń, - Przechowywanie kopii „papierowych”, - Niszczenie zbędnych kopii dokumentów, - Procedury wykorzystywania komputerów przenośnych i przenośnych nośników danych. Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki Bezpieczeństwo dostępu sieciowego: Systemy klient-serwer, ● Systemy scentralizowane, ● VDI – Virtual Desktop Infrastructure, ● Cloud Computing. ● Tomasz [email protected] Ustanawianie SZBI Mechanizmy i praktyki System Klient – Serwer: Użytkownicy korzystają z komputerów PC, ● Serwery udostępniają użytkownikom zasoby niezbędne do przetwarzania danych, ● Przetwarzanie danych odbywa się lokalnie z wykorzystaniem oprogramowania pracującego na komputerach osobistych użytkowników. ● Tomasz [email protected] Ustanawianie SZBI System Klient-Serwer Tomasz [email protected] Ustanawianie SZBI System Klient-Serwer Tomasz [email protected] Ustanawianie SZBI System Klient-Serwer Technologia terminalowa (cienkiego klienta): - przetwarzanie centralne, - brak składowania danych na stanowiskach pracy, - przetwarzanie danych odbywa się na komputerach centralnych w bezpiecznej serwerowni. Ułatwia opracowywanie Polityki Bezpieczeństwa Tomasz [email protected] Ustanawianie SZBI System terminalowy Tomasz [email protected] Ustanawianie SZBI System terminalowy Tomasz [email protected] Ustanawianie SZBI System terminalowy Wirtualizacja pulpitu: Użytkownik posiada przydzielony odrębny komputer PC (fizyczny lub wirtualny), katóry jest zlokalizowany w zabezpieczonetj strefie, ● Użytkownik korzysta z przydzielonego mu komputera za pomocą końcówki (terminala) graficznego. ● Tomasz [email protected] Ustanawianie SZBI Wirtualny pulpit - VDI Tomasz [email protected] Ustanawianie SZBI Wirtualny pulpit - VDI Tomasz [email protected] VDI w sieci rozległej Tomasz [email protected] Ustanawianie SZBI Cloud Computing Użytkownicy korzystają z uniwersalnego interfejsu – najczęściej przeglądarki, ● Wszelkie zasoby – moc obliczeniowa, oprogramowanie, pamięć dyskowa itp. są udostępniane w sieci, ● Użytkownicy nie korzystają z tych zasbów na zasadach usługi. ● Tomasz [email protected] Ustanawianie SZBI Cloud Computing Tomasz [email protected] Tomasz [email protected] Network Security Tomasz [email protected] Network Security Filtracja ruchu (Firewalls), ● Ochrona przed złośliwymi programami, ● Filtracja niechcianych informacji (SPAM), ● Uwierzytelnienie stron, ● Uwierzytelnienie użytkownika, ● Niezaprzeczalność i integralność, ● Poufność. ABI powinien wybrać określić poziomy ochrony oraz wykorzystywane mechanizmy. ● Tomasz [email protected] Network Security Tomasz [email protected] Network Security Złośliwe programy (wirusy): Wykorzystywanie terminali, ● Zdalne przeglądanie poczty elektronicznej, ● Praca w środowisku chmury (cloud Computing), ● Wykorzystywanie odpowiedniego oraz ● Aktualnego oprogramowania antywirusowego. ● Tomasz [email protected] Network Security Mechanizmy kryptograficzne: Uwierzytelnianie stron – szyfry niesymetryczne, klucze prywatno / publiczne, ● Niezaprzeczalność i integralność – funkcje skrótu i podpis cyfrowy, ● Poufność – szybkie szyfry symetryczne. ● Tomasz [email protected] Network Security Tomasz [email protected] Podstawowe czynniki sukcesu: Przejrzysty i konsekwentny projekt systemu, Starannie opracowana Polityka Bezpieczeństwa, Właściwy dobór mechanizmów zabezpieczejących. Tomasz [email protected]