Wytyczne i zalecenia dotyczące tworzenia polityk...

Bezpieczeństwo systemów komputerowych.

Wytyczne i zalecenia dotyczące tworzenia polityk bezpieczeństwa.

Normy i standardy.

1

Autor: Maciej Krysztofiak

Seminarium 2004 – PP, SKiSR

Temat seminarium: Wytyczne i zalecenia dot. tworzenia polityk

bezpiecze?stwa. Normy i standardy.

Seminarium 2004 – PP, SKiSR2

Plan prezentacji

Wytyczne i zalecenia dotycz ce tworzenia polityki bezpiecze stwa. Normy i standardy.ą ń

Polityka bezpiecze stwa:ń● Definicja● Dokument● Analiza ryzyka● Wdrażanie ● Korzyści z wdrażania polityki

Normy

Audyt

Outsourcing

Podsumowanie


Czym jest polityka bezpiecze stwa?ń


Polityka bezpiecze stwań jest zbiorem spójnych, precyzyjnych i zgodnych z obowi zuj cym prawem przepisów, reguł i ą ąprocedur, według których dana organizacja buduje, zarz dza ąoraz udost pnia zasoby i systemy informacyjne i informatyczne. ęOkre la ona, które zasoby maj być chronione i w jaki sposób. ś ąOczywi cie jej postulaty musz odpowiadać oczekiwaniom ś ąwła ciciela systemów i zgromadzonych w nich informacji. śW polityce bezpiecze stwa nie chodzi tylko o sporz dzenie listy ń ązakupów i czynno ci, które trzeba wykonać obecnie, ale te ś żm.in. o wskazanie mo liwych rodzajów naruszenia żbezpiecze stwa w przyszło ci (np. utrata i kradzie informacji, ń ś żnieautoryzowany dost p), scenariuszy post powania w takich ę ęsytuacjach i działa , które pozwol unikn ć powtórzenia si ń ą ą ędanego incydentu.


Dokument bezpiecze stwań


Wymiernym aspektem polityki bezpiecze stwa jest tak zwany ńdokument polityki bezpiecze stwań , który zawiera (okre la) śodpowiednie zasady, wytyczne, nakazy i zakazy, a tak e stopie ż ńswobody korzystania z sieci wewn trznej i zewn trznej.ę ę W ka dej firmie powinien znajdować si oficjalny dokument ż ępolityka bezpiecze stwa ń zawieraj cy jasn i precyzyjn definicj ą ą ą ębezpiecze stwa informacji i zwi zan z ni polityk ochrony. ń ą ą ą ę

Dokument polityki bezpiecze stwań jest podstaw dla rozpocz ciaą ę jakichkolwiek działa zwi zanych z ochron informacji w firmie.ń ą ą

O opracowaniu i wdro eniu polityki bezpiecze stwa decyduje ż ńzarz d, natomiast w jej tworzeniu oprócz personelu technicznego ąmusz uczestniczyć pracownicy ró nych działów - zwykli ą żu ytkownicy. To oni b d podlegać przyj tym regułom, ich opinia ż ę ą ęmo e wi c zapobiec np. nadmiernym, niemo liwym do ż ę żwprowadzenia restrykcjom w dost pie do zasobów. ę


Dokument bezpiecze stwa (2)ń


Etapy tworzenie dokumentu polityki bezpiecze stwa w du ej cz ci s zbie ne z ń ż ęś ą żetapami tworzenia tej polityki. ● Etap pierwszy: zdefiniowanie zagro e ż ń● Etap drugi: konstruowanie zabezpiecze ńorganizacyjnych ● Etap trzeci: formowanie tre ci dokumentu ś


Analiza ryzyka


Podstawą prac jest przeprowadzenie analizy ryzyka związanego z przetwarzaniem informacji.

Analiza ryzyka to systematyczny podział na kategorie zagro e danych i rodków im ż ń śprzeciwdziałaj cych oraz okre lenie planu ą śdziałania, który wi kszo ć zasobów (technicznych i ę śpozatechnicznych) skieruje przeciw najbardziej prawdopodobnemu ryzyku.

Dzi ki temu mo liwe jest zidentyfikowanie ę żzagro e oraz okre lenie tych elementów systemów ż ń śprzetwarzaj cych informacje, w których ryzyko jest ąnajwi ksze. Pozwoli to w trakcie dalszych prac na ęzaproponowanie zabezpiecze chroni cych ń ąnajbardziej zagro one procesy informacyjne.ż


Analiza ryzyka (2)


Analiza ryzyka może być stosowana zarówno do nowych zasobów jak też do systemów będących już w trakcie eksploatacji. Można jej dokonać zarówno podczas projektowania systemu, przy planowaniu znacz cych zmian jak teą ż podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń.


Wdra anie polityki żbezpiecze stwań


Pocz tkiem sukcesu wdro enia polityki bezpiecze stwa ą ż ńjest jego odpowiedni plan (strategia) zawieraj cy ąnast puj ce etapy: ę ą

● Rozpoznanie problemu przetwarzania informacji w organizacji ● Tworzenie dokumentów Polityki Bezpiecze stwań ● Audyt bezpiecze stwa grup przetwarzanych ńinformacji ● Wdro enie Polityki Bezpiecze stwa Informacjiż ń ● Okresowe audyty bezpiecze stwań


Korzy ci ś


Korzy ci płyn ce z wdro enia ś ą ż polityki bezpiecze stwań to:

● Zgodno ć z wymaganiami prawnymi;ś● Pewniejsze działanie w sytuacji zagro eż ń powodowanych przez czynniki wewn trzne ię zewn trzne;ę● Ochrona ywotnych interesów organizacji;ż● Wysoka sprawno ć pracowników osi gana poprzez ś ą odpowiednie szkolenia;● Lepsza organizacja pracy;● Oszcz dno ci finansowe;ę ś● Utrzymanie przewagi nad konkurencj ;ą● Poprawa wizerunku firmy.


Straty wynikaj ce bezpo rednio z ą śbł dów zwi zanych z ę ą

niezabezpieczon informacj :ą ą


●Straty materialne (przeciek informacji do konkurencji, gorsze warunki kontraktu);●Odpowiedzialno ć karna lub cywilna;ś●Bałagan organizacyjny; ●Niezgodno ć lub sprzeczno ć danych;ś ś●Niewła ciwe decyzje; ś●Niezgodne z wymaganiami wykonanie pracy, niekompetencja.


Normy bezpiecze stwań


BS 7799-1:1999

BS 7799-2:1999

ISO / IEC 17799:2000

ISO / IEC TR 13335 PN-1 13335-1

ISO / IEC TR 13335 PN-1 13335-2

ISO / IEC TR 13335 PN-1 13335-3

Orange Book


BS 7799:1999


W roku 1995 BSI (British Standard Institute) przedstawił norm dotycz c zarz dzania bezpiecze stwem ę ą ą ą ńinformacji w przedsi biorstwach. Norma ta jest obecnie ęstosowana przez wiele firm, w których informacja stanowi podstawowy produkt (np. banki, towarzystwa ubezpieczeniowe, sieci sklepów). Ł cznie BS 7799 okre la ok. 130 szczegółowych ą śwymaga zwi zanych z szeroko rozumianym ń ąbezpiecze stwem informacji. ń Składa si z dwóch cz ci: ę ęśBS 7799-1:1999 i BS 7799-2:1999.Norma 7799 została zgłoszona do organizacji ISO (International Organization for Standardization), jako podstawa ustanowienia mi dzynarodowego standardu ęzarz dzania bezpiecze stwem informacjią ń w lutym 2000 roku. W sierpniu po uproszczonym procesie legalizacji nadany został jej numer ISO/IEC 17799:2000

BS 7799:1999 (2) BS 7799-1:1999 - standardowy kodeks praktyki, katalog zagadnie , jakie nale y realizować dla potrzeb bezpiecze stwa ń ż ńinformacji (Code of practice for Information Security Management); BS 7799-1:1999 definiuje 127 elementów kontroli i sterowania bezpiecze stwem informacji, ńpodporz dkowanych 10 grupom wymaga , co pozwala ą ńu ytkownikom na zidentyfikowanie najwła ciwszych ż śzabezpiecze w kontek cie specyfiki działalno ci, jak ń ś ś ąprowadz oraz otoczenia rynkowego i potrzeb w powy szym ą żzakresie. Aktualne, drugie wydanie normy kładzie szczególny nacisk na zarz dzanie ryzykiem, wskazuje tak e, e ą ż żu ytkownik nie jest zobowi zany do wdra ania wszystkich ż ą żtechnik przywołanych w cz ci pierwszej standardu, a tylko ęśtych uznanych za najistotniejsze i zapewniaj ce realizacj ą ęcelów. Katalog dotyczy wszystkich form informacji, w tym tak e ustnych i graficznych, powstaj cych z wykorzystaniem ż ątelefonów komórkowych i faksów. Standard uwzgl dnia ęnajnowsze formy działalno ci gospodarczej, np. gospodarka śelektroniczna, Internet, outsourcing, praca zdalna, urz dzenia ąprzeno ne. ś



BS 7799:1999 (3) BS 7799-2:1999 - standardowa specyfikacja dla systemów zarz dzania bezpiecze stwem informacji (ISMS - Information ą ńSecurity Management Systems).

BS 7799-2:1999 ilustruje, w jaki sposób zaprojektować, wdro yć i poddać certyfikacji system zarz dzania ż ąbezpiecze stwem informacji (ISMS - Information Security ńManagement Systems).

Norma wskazuje na sze cioetapowy proces kreowania i śwdro enia zaprojektowanych rozwi za ; odwołuje si do ż ą ń ękonieczno ci okre lenia wszystkich aktywów informacyjnych i ś śoszacowania ich istotno ci dla organizacji. ś




ISO / IEC 17799:2000 Praktyczne zasady zarz dzania bezpiecze stwem ą ń

informacji.


ISO 1799:2000, stworzona przez Mi dzynarodow ę ąOrganizacj Normalizacyjn (ISO), okre la ę ą ś sposoby post powania z informacj w firmie, zwracaj c uwag ę ą ą ęna poufno ć, dost pno ć i spójno ć danych. ś ę ś śJest to szczególnie wa ne w organizacjach żprzetwarzaj cych dane poufne, prowadz cych ą ąprodukcj specjaln oraz obawiaj cych si ę ą ą ęnieuczciwych działa konkurencji. Norma wskazuje ńpodstawowe zagadnienia i okre la metody i rodki ś śkonieczne dla zabezpieczenia informacji. Norma ta zawiera 10 działów maj cych krytyczny ąwpływ na bezpiecze stwo szeroko rozumianego ńsystemu informacji.


ISO / IEC 17799:2000 (2)


Norma okre la wymagania dotycz ce konkretnych rozwi za w ś ą ą ńobszarach:

● odpowiedzialno ć kierownictwa (Policy) ś● organizacja systemu bezpiecze stwa (Organizational ń

Information Protection) ● skalowanie zabezpiecze i nadzór nad zasobami (Control and ń

sensitivity of assets) ● czynniki ludzki (People Issues) ● ochrona fizyczna zasobów (Physical Protection) ● zarz dzanie systemem i infrastruktur (System and ą ą

Infrastructure Management) ● kontrola dost pu do zasobów (System access control) ę● utrzymywanie i rozwój systemu (Systems development and

maintenance) ● planowanie zmian (Business continuity planning) ● zgodno ć z wymaganiami zewn trznymi (Compliance)ś ę


ISO/IEC TR 13335 Raport techniczny


Normą związan z ISO/IEC 17799 jest raport ątechniczny czyli dokument ni szej wagi ni norma- ż żISO/IEC TR 13335 składaj cy si z pi ciu cz ci, z ą ę ę ęśktórych pierwsza jest polsk norm (PN-I 13335-1- ą ąWytyczne do zarz dzania bezpiecze stwem ą ńsystemów informatycznych: terminologia, zwi zki ąmi dzy poj ciami, podstawowe modele) .ę ęustanowion w 2001 roku. Raport ten jest ąprzeznaczony dla działów informatyki i dotyczy zagadnie technicznych a nie rozwi za ń ą ńorganizacyjnych.


ISO/IEC TR 13335 (2)


* ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwemsystemów informatycznych:- terminologia, związki między pojęciami,- podstawowe modele.* ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów IT- różne podejścia do prowadzenia analizy ryzyka,- plany zabezpieczeń,- rola szkoleń i działań uświadamiających,- stanowiska pracy w instytucji związane z bezpieczeństwem.


ISO/IEC TR 13335 (3)


* ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych:- formułowanie trójpoziomowej polityki bezpieczeństwa,- rozwinięcie problematyki analizy ryzyka,- rozwinięcie problematyki implementacji planu zabezpieczeń,- reagowanie na incydenty.* ISO/IEC/TR 13335-4: Wybór zabezpieczeń:- klasyfikacja i charakterystyka różnych form zabezpieczeń,- dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu.* ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi:- dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną.


Pozostałe normy bezpiecze stwa ń


PN-EN 60300-2:1998 - Zarz dzanie niezawodno ci . Elementy i ą ś ązadania programu niezawodno ci. Norma ta dotyczy urz dze i ś ą ńsystemów zawieraj cych oprogramowanie. ąPN-IEC 863:1996 - Przedstawienie wyników prognozowania nieuszkadzalno ci, obsługiwalno ci i gotowo ci. Norma zestawia ś ś śzagadnienia, które powinny być brane pod uwag podczas ęprzedstawiania informacji dotycz cych prognozowania ilo ciowych ą ścharakterystyk nieuszkadzalno ci, obsługiwalno ci i gotowo ci ś ś śsystemów, właczaj c w to sprz t, oprogramowanie i czynnik ludzkią ę .PN-ISO 9000-3:1994 oraz PrPN- ISO 9000-3 Wytyczne do stosowania normy ISO 9001 podczas opracowywania, dostarczania i obsługiwania oprogramowania. Wytyczne te powinny być stosowane podczas zawierania umów dotycz cych oprogramowania. ąPN- ISO/ IEC 2382-1: 1996 - Słownik terminologiczny.Zawiera 144 terminy z dziedzin : terminy ogólne, reprezentacja informacji, sprz t komputerowy, oprogramowanie, programowanie, ęaplikacje i ich u ytkownik ko cowym zabezpieczenia informacyjne i ż ńzarz dzanie danymią .


Orange Book


Poj cie bezpiecznego (jest u ywany równie termin ę ż żwiarygodnego) systemu operacyjnego zostało sformułowane ju ż w 1985 roku, gdy ogłoszono ameryka sk ń ą Orange Book - Trusted Computer Systems Evaluation Criteria. Dokument ten opracowany został w Departamencie Obrony USA. Zawiera opis kryteriów przydziału analizowanych systemów do odpowiednich klas bezpiecze stwa, informacje nt. sposobu wykonywania ńanaliz bezpiecze stwa a tak e zalecenia dotycz ce ń ż ązapewniania bezpiecze stwa systemu informatycznego. ń


Orange Book (2)7 poziomów bezpiecze stwa ń


W dokumencie tym Departament Obrony USA zdefiniował siedem poziomów bezpiecze stwa ńkomputerowego systemu operacyjnego. Ró ne poziomy okre laj ró ne sposoby ż ś ą żzabezpieczania sprz tu, oprogramowania i ędanych. Klasyfikacja ma charakter „zawierania”, co oznacza, e wy sze poziomy ż żmaj wszystkie cechy poziomówą ni szych.ż

Orange Book zawiera równie ż rozdział o zaleceniach dotycz cą ych sposobów wykonywania analizy systemu. W ród zalece ś ńtych s informacje o składzie personelu ąwykonuj cego analiz , o czasie wykonywania ą ęanalizy i inne.


Audyt


W zakresie bezpiecze stwa teleinformatycznego ń AUDYTEM nazywa si post powanie sprawdzaj ce sposób wykonania i stan ę ę ązabezpiecze systemu teleinformatycznego na zgodno ć z ń śokre lonymi wymaganiami lub standardami (np. ISO/IEC ś17799), wykonywane przez stron niezale n (w Polsce np. ę ż ąprzez ABW), maj ce na celu m.in.: ą

- ocen jako ci systemu bezpiecze stwa, ę ś ń- wykazanie, e informacja przetwarzana w systemie żteleinformatycznym została zabezpieczona zgodnie z ustaleniami pomi dzy zleceniodawcę ą, a zespołem buduj cym ąsystem bezpiecze stwa, ń- wykazanie, e system bezpiecze stwa spełnia wymagania ż ńnorm i standardów w tym zakresie, - wydanie certyfikatu bezpiecze stwa teleinformatycznego dla ńsprawdzanego systemu.


Audyt (2)


Zastosowanie dobrej polityki bezpieczeństwa i nawet najnowocześniejszych rozwi zaą ń technologicznych z zakresu bezpiecze stwa informacji - mogń ą okazać się niewystarczające. Zawsze pozostaje tzw. ,,czynnik ludzki'', a wi c bł dy w konfiguracji, nieumiej tne administrowanie ę ę ęczy te najzwyklejsze bł dy w działajż ę ącym oprogramowaniu lub pracy urządze sprz towych.ń ęDlatego te niezwykle wa ne staje si weryfikowanie ż ż ęu ywanych zabezpiecze , najlepiej przez specjalistów z ż ńzewnątrz, którzy gwarantują świe e spojrzenie na żzainstalowane zabezpieczenia i niejednokrotnie są w stanie wykryć miejsca wyst powania rozmaitych zagro e , co w ę ż ńefekcie umo liwi zapobiegni cie ewentualnym problemom w ż ęprzyszłości.


Outsourcing


Outside Resource Using, czyli wykorzystywanie zasobów zewn trznych jest najlepsz metod pozwalaj c ę ą ą ą ąskoncentrować si na działaniach zwi zanych ci le z ę ą ś śkierunkiem działalno ci przedsi biorstwa.ś ęIstot ą Outsourcingu IT jest wyodr bnienie i zlecenie na ęzewn trz działa zwi zanych z infrastruktur ą ń ą ąinformatyczn . Istniej ró ne mo liwo ci wykorzystania ą ą ż ż śzalet outsourcingu. Niektóre firmy decyduj si na pełne ą ęprzekazanie działa i odpowiedzialno ci zwi zanych z ń ś ąinformatyk , podmiotowi zewn trznemu. Istnieje ą ęmo liwo ć przekazania tylko niektórych procesów w ż śfirmie jako wsparcie i odci enie istniej cego działu ąż ąinformatyki w przedsi biorstwie. Zdarza si równie , e ę ę ż żmened erowie firm decyduj si na wykorzystanie firm ż ą ęzewn trznych do realizacji konkretnych projektów. ę


Zagadnienie zabezpieczenia informacji staje się z każdym dniem coraz istotniejszym problemem prowadzenia biznesu. Zależno ćś firm od wiarygodno ci, śdost pno ci, spójno ci i poufno ci gromadzonych ę ś ś śdanych zwi ksza si w miar przenoszenia biznesu od ę ę ętradycyjnie rozumianej produkcji do wyrafinowanych usług. Zwiększa si te iloę ż ćś danych chronionych przez prawo. W szybko zmieniaj cym si wiecie biznesu, ą ę śwdro enie i utrzymanie systemu bezpiecze stwa ż ńinformacji staje si zadaniem krytycznym, od którego ęmog zale eć losy organizacji, jej działanie i ą żwiarygodno ć. ś Po wej ciu Polski do Unii Europejskiej śstworzenie i wdro enie polityki bezpiecze stwa stało si ż ń ęobowi zkowe dla wszystkich firm – tych du ych jak i ą żtych najmniejszych.

Podsumowanie:



1. "IT Security Magazine" nr 7 20022. Rozporządzenie Prezesa RM z dnia 25 lutego 1999 w sprawie

podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Dz. U. Nr 18 poz. 162. Ustawa z dnia 22 stycznia 1999 o ochronie informacji niejawnych, Dz. U. Nr 11, poz. 95.,

3. Zalecenia Urzędu Ochrony Państwa dotyczące bezpieczeństwa teleinformatycznego, wersja 1.1, sierpień 2000,

4. BS 7799:1995 Code of practice for Information Security Management, , British Standard Institute,

5. Janusz Cendrowski, Ochrona informacji niejawnych cz. 5, Szkolenia specjalistyczne administratorów systemów i pracowników pionów ochrony, IT Security Magazine, nr 4(8) kwiecień 2000,

6. „Ocal swoje dane” - Biuletyn POLCOM 5 czerwiec 2002,7. Białas A.: Wspólne Kryteria - koncepcja i model bezpieczeństwa, IT

Security Magazine nr 11 (15) listopad 2000,8. Gazeta IT nr5(24) kwiecie 2004 – ń „Polityka bezpiecze stwa danych ń

w firmie - aspekt organizacyjny i prawny”,9. www.prim.com.pl/referaty/wdrazanie_iso17799.htm - wykład, dr

Andrzej Niemiec,10. Inne zasoby WWW.

Bibliografia

Wytyczne i zalecenia dotyczące tworzenia polityk...

Documents

Transcript of Wytyczne i zalecenia dotyczące tworzenia polityk...