1.12k likes | 1.4k Views
Agenda. 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale ; a meninţări, vulnerabilităţi, riscuri , n ecesitatea asigurării securităţii informaţiilor obiectivă, legală, contractuală ; cadrul normativ) 2 . Sisteme de management al securităţii informaţiilor (SMSI)
E N D
Agenda 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale;ameninţări, vulnerabilităţi, riscuri, necesitatea asigurării securităţii informaţiilor obiectivă, legală, contractuală; cadrul normativ) 2. Sisteme de management al securităţii informaţiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea şi îmbunătăţirea SMSI 5. Certificarea unui SMSI
Securitatea informaţiei – necesitate, cerinţe, reglementări Ce sunt informaţiile? • Cunoştiinţe derivate din orice sursă • Informaţiile sunt date analizate, comunicate, înţelese • Sursa: “Information Security Management Handbook” – Auerbach Publications
Securitatea informaţiei – necesitate, cerinţe, reglementări Definiţia informaţiilor ? • Informaţiile sunt un bun al afacerii, care – ca oricare bun al companiei, are valoare şi trebuie protejat adecvat • Sursa: ISO/IEC 27001:2005: Introducere • Informaţiile trebuie protejate adecvat indiferent de forma pe care o iau sau de mijloacele prin care sunt păstrate sau comunicate • Sursa: ISO/IEC 27001:2005: Introducere
Accesul la informaţii • Tipărite • Pe suport electronic • Comunicate prin poştă clasică • Comunicate electronic • Video • Discuţii
Contextul Internet • Reţea globală • Acces rapid, ieftin, discret, fără urmă • Trafic în creştere • Oricine de oriunde • Arhitectură structural nesigură TCP-IP
Nivele de securitate • Instituţii guvernamentale – secrete de stat • Informaţii interne – confidenţiale/secret deserviciu • Domenii de activitate – secret profesional • Clienţi – confidenţialitate asumată (bănci) • Parteneri de afaceri – informaţii folosite în comun
Importanţa informaţiei • Protecţia informatiilor “business critical” • Competitie • Cash Flow • Cerinte legale • Reputatie • ?
Securitatea informaţiei – necesitate, cerinţe, reglementări Definiţia securităţii informaţiilor ? • Confidenţialitate Asigurarea că informaţia este accesibilă doar acelora care sunt autorizaţi să aibă acces. • Integritate Protejarea corectitudinii şi caracterului complet al informaţiei şi metodelor de procesare. • Disponibilitate Asigurarea că utilizatorii autorizaţi au acces la informaţii şi la bunurile asociate atunci când este necesar.
Securitatea informaţiei – necesitate, cerinţe, reglementări Obiectivele securităţii informaţiilor ? • Protejarea organizaţiei de o paletă largă de pericole şi ameninţări interne şi externe cu impact asupra securităţii informaţiilor • Asigurareacontinuităţii operaţiunilor • Minimizarea pagubelor şi maximizarea recuperării investiţiilor şi oprtunităţilor de afaceri • Menţinerea neştirbite a competivităţii, profitabilităţii, legalităţii, reputaţiei şi imaginii organizaţiei
Securitatea informaţiei – necesitate, cerinţe, reglementări Necesitatea asigurării SI: cerinţe, aşteptări, principii Cerinţe complexe şi dinamice – este necesar un proces de Management al Cerinţelor
Securitatea informaţiei – necesitate, cerinţe, reglementări Necesitatea asigurării SI: reducerea riscurilor, pierderilor Riscuri complexe şi dinamice – este necesar un proces de Management al Riscurilor
Securitatea informaţiei – necesitate, cerinţe, reglementări R I S C = • o pagubă (pierdere) potenţială pentru organizaţie în situaţia când o ameninţare exploatează o vulnerabilitate. Riscul este exprimat cel mai bine • derăspunsul la următoarele întrebări: • Ce se poate întâmpla (care este ameninţarea)? • Care este impactul sau consecinţa? • Care este frecvenţa (cât de des se poate întâmpla)?
Securitatea informaţiei – necesitate, cerinţe, reglementări Ameninţările - surse accidentale sau voite de evenimente. Ameninţarea exploatează o vulnerabilitate Vulnerabilităţile -slăbiciuni asociate resurselor (specifice mediului fizic, personalului, managementului, administraţiei, resurselor hardware, software, comunicaţii etc). Cauzează daune numai dacă sunt exploatate de ameninţări
Vulnerabilitati - Amenintati - Riscuri exploatează Ameninţări Vulnerabilităţi cresc expun protejează Măsuri de control Riscuri Bunuri reduc indică au cresc impun Impact Cerinţe de protecţie
Securitatea informaţiei – necesitate, cerinţe, reglementări Liste de ameninţări - exemple • Securitatea fizică şi a mediului • Incendiu • Atac cu bombă • Cutremur • Contaminare mediu • Inundaţie • Fulger • Furt • Preturbaţii industriale • Vandalism • Securitatea echipamentului • Defecţiune aer condiţionat • Particule conductive • Atac cu bombă • Contaminare • Cădere alimentare • Deranjament hardware • Eroare de întreţinere • Software dăunător • Accesarea reţelei de persoane neautorizate • Eroare de utilizator
Securitatea informaţiei – necesitate, cerinţe, reglementări Liste de vulnerabilităţi - exemple • Administrare calculator şi reţea • Linii de comunicaţie neprotejate (interceptare) • Puncte de conexiune neprotejate (infiltrare comunicaţii) • Lipsa mecanismelor de identificare şi autentificare (substituire identitate) • Transferul parolelor în clar (accesare reţea de utilizatori neautorizaţi) • Linii dial-up (accesare reţea de utilizatori neautorizaţi) • Administrare reţea neadecvată (supraîncărcare trafic) • Sistem de control al accesului / politică de dezvoltare şi întreţinere • Interfaţă de utilizator complicată (eroare de utilizator) • Lipsa unei proceduri de ştergere a mediilor de stocare înainte de reutilizare (utilizare neautorizată software) • Lipsa unui control adecvat al modificărilor (defecţiuni software) • Administrare defectuoasă a parolelor (substituire identitate)
Securitatea informaţiei – necesitate, cerinţe, reglementări Asigurarea SI = ţinerea sub control a riscurilor • Tratarea riscurilor este rezultatul unui proces de management al riscurilor şi constă în: - Aplicarea măsurilor de control adecvate pentru reducerea riscurilor - Înţelegerea şi acceptarea conştientă a riscurilor în măsura în care sunt satisfăcute politica organizaţională şi criteriile de acceptare a riscului - Eliminarea riscului(renunţarea la unele activităţi; mutarea unor bunuri în zone mai puţin expuse; renunţarea la procesarea unor informaţii sensibile) - Transferarea riscurilor asociate activităţii altor părţi (asigurare, outsourcing)
Securitatea informaţiei – necesitate, cerinţe, reglementări • Factori care influenţează conceperea, elaborarea • şi implementarea unei strategii de securitate: - mărimea organizaţiei şi complexitatea proceselor - cerinţele de securitate determinate de multiple provocări (interconectarea sistemelor, spionajul corporativ, terorismul cibernetic, conştientizarea angajaţilor) • - volumul sporit al informaţiilor sensibile/critice • - profilul activităţii, nevoile şi obiectivele organizaţiei - ameninţările şi vulnerabilităţile prezente la adresa informaţiilor prelucrate, stocate şi / sau transmise (de natură umană, legate de minimizarea costurilor, de natură tehnică sau externe) • - gradul de securitate a sistemelor informatice folosite gradul de interconectare a sistemelor şi serviciilor- interconectarea reţelelor interne cu cele publice (Internet) sau private - volumul resurselor (umane şi financiare)disponibile- nivelul de cultură şi tradiţie în domeniul securităţii inf.
Agenda 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale;ameninţări, vulnerabilităţi, riscuri; necesitatea asigurării securităţii informaţiilor (obiectivă, legală, contractuală; cadrul normativ) 2. Sisteme de management al securităţii informaţiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea şi îmbunătăţirea SMSI 5. Certificarea unui SMSI
Ce este un SMSI? • S.M.S.I. • parte a sistemului de management al unei organizaţii, bazată pe analiza riscurilor, destinată elaborării, implementării, operării, supravegherii, menţinerii şi îmbunătăţirii securităţii informaţiilor • Standarde aplicabile • ISO 9001/2008 - Cerinţe pentru sistemele de management al calităţii • ISO 27002/2005 - Ghid practic pentru managementul securităţii informaţiilor • ISO 27001/2005 – Sisteme de management al securităţii informaţiilor – Specificaţii şi instrucţiuni de aplicare • Abordare cuprinzătoare, coerentă a problematicii
10 cerinţe importate care trebuie sa fie indeplinite de un SMSI - Existenta unei Politici de Securitate - Alocarearesponsabilitatilor pentru securitate - Realizarea de training si educare pentru securitatea informatiei - Raportareaincidentelor de securitate - Control pentru “malicious code” - Existenta unui plan de continuare a afacerii “business continuity plan” - Existenta controlului asupra proprietatii intelectuale - Protejareadocumentelor si inregistrarilor companiei - Respectarea (conformitatea)legilor pentru Protectia Datelor - Demonstrateaconformitatii cu politicile de securitate
In concluzie: de ce avem nevoie de un SMSI? • Pentru a proteja informatia de un numar alarmant de amenintari, pentru a asigura continuitatea afacerii si pentru a maximiza intoarcerea investitiei facute precum si a oportunitatilor de afacere
Stadii evolutive în domeniul SI · securitatea informaţiei privită ca un joc(adoptarea unor tehnici şi instrumente de securitate ale căror funcţii sunt descoperite mai degrabă empiric decât în urma apelării la literatura de specialitate) · conştientizarea nevoii de securitate(a apărut atunci când organizaţiile au realizat că informaţiile pe care le deţin merită a fi protejate, prin proceduri minimale. Foarte puţine au trecut însă la documentarea adecvată a sistemului) · achiziţionarea unor soluţii sigure de securitate(o parte din bugetul departamentului IT este dedicată soluţiilor de securitate, iar organizaţia cercetează serios metode moderne şi sigure de a-şi securiza comunicaţiile şi a se proteja împotriva atacurilor) · securitatea informaţiei este tratată ca o necesitate prioritară, respectiv ca un sistem de management (o securitate a informaţiei puternică a devenit un avantaj în cadrul competiţiei în afaceri iar bugetul alocat securităţii este separat de cel al departamentului IT).
Roluri si responsabilităţi în SMSI • Top managementul • aprobă scopul SMSI, angajamentul, obiectivele, politica de securitate a informaţiilor şi toate documentele aferente SMSI; • emite decizii pentru numirea comitetului de securitate şi a responsabilului cu securitatea; • aprobă declaraţia de aplicabilitate a SMSI şi deciziile de tratare a fiecărui risc în parte; • aprobă planul de tratare a riscurilor şi toate acţiunile manageriale suplimentare pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate; • aprobă planurile de auditare a SMSI; efectuează analiza de management pentru SMSI şi aprobă procesele verbale ale şedinţelor de analiză, precum şi acţiunile corective şi preventive necesare îmbunătăţirii SMSI; • aprobă resursele necesare pentru proiectarea, menţinerea şi îmbunătăţirea SMSI.
Roluri si responsabilităţi în SMSI • Responsabilul cu securitatea (RS) • defineştepolitica de securitate a informaţiilor, procedurile şi măsurile de securitate; • defineşte şi obţine aprobărilor pentru responsabilităţile de securitate (tabel de securitate, document aprobat de managerul general); • strânge informaţii despre politicile de securitate existente (ce funcţionează şi ce nu; cum se comunică riscurile; cum se stabilesc priorităţile proiectelor; cum sunt structurate procesele de securitate); • urmăreşteaplicarea eficientă a politicilor de securitate; • dezvoltă, implementează şi îmbunătăţeştemăsurile în domeniul securităţii informaţiilor; • supraveghează toate procesele de securitate din firmă; • răspunde de managementul incidentelor de securitate şi de răspunsul la incidente; • coordoneazăprocesul de conştientizare şi pregătire al personalului în domeniu SI; • orientează proprietarii resurselor (PR) în toate problemele ce ţin de SI.
Roluri si responsabilităţi în SMSI • Proprietarul resurselor • răspunde de activele date în responsabilitate (informaţii; software; echipamente de calcul şi de comunicaţii; aplicaţii; servicii; oameni; active intangibile; proprietatea poate fi atribuită unui proces al afacerii, unui set de activităţi, unei aplicaţii sau unui set stabilit de date). • Împreună cu RS, PR răspunde de: • - identificarea cerinţelor de securitate ale afacerii; • - asigurarea clasificării corespunzătoare a informaţiilor şi resurselor critice; • - revizuirea permanentă a ghidurilor de clasificare a informaţiilor; • - definirea şi supunerea aprobării managerului general, a drepturilor de acces la informaţii pentru toţi utilizatorii resurselor informaţionale sau ale reţelei necesare acestora pentru a-şi îndeplini sarcinile de serviciu (procesul de administrare a utilizatorului - AU), precum şi modul/metoda de rezolvare a excepţiilor de la regulile generale stabilite pentru aceste permisiuni.
Roluri si responsabilităţi în SMSI • Comitetul, forumul, echipa de securitate - coordonează executarea activităţilor de securitate în conformitate cu politica de securitate a informaţiilor; - identifică modul de tratare a neconformităţilor; - avizează politicile, metodologiile şi procedurile legate de securitatea informaţiilor; - avizează planurile de tratare a riscurilor; - analizează incidentele de securitate; - estimează gradul de adecvare a măsurilor de securitate a informaţiilor şi coordonează implementarea lor; - analizează modul de promovare a educaţiei, instruirii şi conştientizării personalului cu privire la securitatea informaţiilor în cadrul organizaţiei; - evaluează informaţiilor primite de la activităţile de monitorizare şi analiză a incidentelor de securitate; - face recomandări de acţiuni corective şi preventive, precum şi de acţiuni adecvate de răspuns la incidentele de securitate a informaţiilor; - identifică mutaţiile expunerii la ameninţări a informaţiilor şi a mijloacelor de procesare a acestora şi propunde reevaluări de risc.
Agenda 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale;ameninţări, vulnerabilităţi, riscuri; necesitatea asigurării securităţii informaţiilor (obiectivă, legală, contractuală; cadrul normativ) 2. Sisteme de management al securităţii informaţiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea şi îmbunătăţirea SMSI 5. Certificarea unui SMSI
# evaluarea riscurilor– abordare sistematică a: ¤ daunelor care ar putea rezulta în urma unei breşe de securitate ¤ probabilitatea realistă ca un astfel eveniment de securitate sa se produca# indicarea şi determinarea actiunilorde management potrivite şi a priorităţilor acestora# implementarea controalelorselectate pentru protecţia împotriva riscurilor# revizuiri periodice Ce reprezintă managementul riscurilor? [SR 17799]
Basic Assumption:There will be a failure What are theconsequences? Rating:Risk Exposure qualified & quantified Risks categorized& prioritized Mitigation/recoveryactions defined Mitigation/recoveryactions followed-up Results and decisions are documented Ce reprezintă managementul riscurilor?
- evaluarea riscurilor la care este expusă organizaţia- cerinţele legale, statutare, contractuale - setul specific de principii, obiective şicerinţe pentru procesarea informaţiei Cum se stabilesc cerinţele de securitate? [ISO 27002]
‚Organizaţia trebuie să stabilească o metodă de analiză a riscurilor care este adecvată pentru SMSI şi să identifice cerinţele de securitate, cerinţele legale şi regulatorii ale sale. Să stabilească politica şi obiectivele SMSI în vederea reducerii riscurilor la nivele acceptabile. Să determine criteriile pentru acceptarea riscurilor şi nivelele la care acestea pot fi acceptate.’(ISO 27001)
Schema ISO 27001:2005 A. Identificarea si analiza riscurilor : • a)identificarea resurselor • b)identificarea ameninţărilor la resurse • c)identificarea vulnerabilităţilor care pot fi exploatate de ameninţări • d)identificarea impactului pe care pierderea confidenţialităţii, integrităţii şi disponibilităţii îl pot avea asupra resurselor
Schema ISO 27001:2005 B. Evaluarea riscurilor : a)evaluarea prejudiciului care poate rezulta dintr-un incident de securitate, luând în calcul consecinţele potenţiale ale pierderii confidenţialităţii, integrităţii şi disponibilităţii resurselor; b)evaluarea realistică a probabilităţii de apariţie a unui incident având în vedere ameninţările şi vulnerabilităţile predominante asociate cu aceste resurse, ca şi măsurile de control (protecţie) existente; c) estimarea nivelului riscurilor; d)determinarea dacă riscul este acceptabil sau necesită tratare în baza criteriilor de acceptare stabilite.
Schema ISO 27001:2005 C. Identificarea şi evaluarea opţiunilor de tratare a riscurilor (Tratarea riscurilor) a)aplicarea măsurilor adecvate; b)acceptare în cunoştinţă de cauză şi argumentat, în condiţiile satisfacerii polticii organizaţiei şi a criteriilor de acceptare a riscurilor; c)eliminarea riscurilor; d)transferarea riscurilor altor părţi. D. Selectarea obiectivelor şi măsurilor pentru tratarea riscurilor
Evaluarea Riscurilor: Probabilitate Consecinte Nivel de risc Procesul de MR Stabilirea Contextului Identificarea/analiza Riscurilor Comunică şi consultă Monitorizare şi Analiză Tratarea Riscurilor
Ameninţările - surse accidentale sau voite de evenimente Exploatează o vulnerabilitate Factori de analiză: Resursa Acces Actor Motivaţie Impact Vulnerabilităţile -slăbiciuni asociate resurselor în: Mediul fizic Personal, management, administraţie Hardware, software, comunicaţii Cauzează daune numai dacă sunt exploatate de ameninţări Exemple Identificarea ameninţărilor şi vulnerabilităţilor
Calculul riscurilor Metode cantitative • AV – valoarea resursei SMSI • EF – factorul de expunere (valoarea procentuala a impactului din valoarea resursei) • SLE = AV x EF (Ex. 150.000 lei X 25%= 37.500 lei pierdere la o aparitie a riscului) • SLE – impactul unui risc la o aparitie • ARO – rata (frecventa) de manifestare a incidentului • ALE – impactul total estimat al riscului • ALE = SLE x ARO (Ex. 37.500 lei X 0,1 - o frecventa a riscului de 1 la 10 ani= 3.700 lei)
Calculul riscurilorMetode calitativeExemplu de calcul: evaluarea separată a ameninţărilor şi vulnerabilităţilor
Calculul riscurilor Metode cantitative Avantaje • Caracter obiectiv • Formalism convenabil top-managementului • Faciliteaza analiza cost-efect • Se preteaza aplicatiilor software Dezavantaje • Lipsa unor valori unanim recunoscute pentru factorii de expunere sau ratele de aparitie • Dificultatea de aplicare completa a metodei • Complexitate mare • Credibilitate scazuta
Calculul riscurilor - Metode calitative • Avantaje • permite elaborarea metodei adecvate organizatiei • suport intuitiv pentru managementul riscurilor organizatiei • permite stabilirea de prioriati in tratarea riscurilor • costurile de aplicare sunt reduse • adecvata abordarii PDCA • Dezavanje • o anumita doza de subiectivism • suport redus pentru analiza cost/efect
Tratamentul riscurilor • Aplicarea măsurilor de control adecvate pentru reducerea riscurilor • Înţelegerea şi acceptarea conştientă a riscurilor în măsura în care sunt satisfăcute politica organizaţională şi criteriile de acceptare a riscului • Eliminarea riscului • Renunţarea la unele activităţi • Mutarea unor bunuri în zone mai puţin expuse • Renunţarea la procesarea unor informaţii sensibile • Transferarea riscurilor asociate activităţii altor părţi • Asigurare, outsourcing, scoaterea din S.M.S.I
Selectarea măsurilor de control • ISO 27002 • ISO 27001 Alte criterii • Uşurinţa utilizării • Transparenţa în raport cu utilizatorul • Sprijinul asigurat utilizatorului • Eficienţa măsurii de control • Tipul de funcţie realizat: prevenire, împiedicare, detecţie, refacere, corectare, monitorizare, semnalizare • Asigurarea unui echilibru între funcţii • Factorul de cost • Acţiune • Reducerea probabilităţii ca ameninţarea sau vulnerabilitatea să cauzeze un incident • Asigură respectarea cerinţelor legale sau de activitate • Reduce impactul în caz de incident • Detectează evenimentele nedorite, reacţionează şi contracarează
Avantajele managementului riscurilor informatice? • Creşterea gradului de conştientizare a riscurilor de securitate şi a practicilor recomandate pentru utilizatorii de calculatoare • Asigurarea resurselor umane şi de competenţă pentru administratorii de reţele şi alte funcţiiimportante în asigurarea obiectivelor de securitate informatică • Utilizarea eficace si eficienta a soluţiilor tehnice destinate sporirii gradului de securitate informatică • Prevederea unor proceduri şi a unor capacităţi corespunzătoare de răspuns la incident; business continuity, disaster rocovery, survivability