1 / 164

Przygotowanie do certyfikacji

Systemy Zarządzania Bezpieczeństwem Informacji dr inż. Andrzej Wójcik. Przygotowanie do certyfikacji. Cel zajęć.

Download Presentation

Przygotowanie do certyfikacji

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Systemy Zarządzania Bezpieczeństwem Informacji dr inż. Andrzej Wójcik Przygotowanie do certyfikacji

  2. Cel zajęć • Słuchacz poprzez interaktywne ćwiczenia, dotyczące faz wdrożenie w przykładowej firmie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI), zostanie przygotowany praktycznie i merytorycznie do certyfikacji przykładowej organizacji podanej semestrze . • Celem wykładów połączonych z ćwiczeniami będzie przygotowanie organizacji do audytu certyfikującego SZBI na zgodność ze standardem ISO 27001:2005

  3. Plan zajęć – cz. 1 • Wprowadzenie • Część 1 – Określenie zakresu i granic • Ćwiczenie nr 1. Ustalenie zakresu i granic SZBI • Część 2 – Określenie polityki SZBI • Ćwiczenie nr 2. Wzajemne zależności procesów • Ćwiczenie nr 3. Utworzenie polityki bezpieczeństwa • Część 3– Określenie podejścia do szacowania ryzyka • Ćwiczenie nr 4. Wycena aktywów • Część 4 – Identyfikacja ryzyk • Ćwiczenie nr 5. Identyfikacja aktywów • Część 5 – Analiza i ocena ryzyk • Ćwiczenie nr 6. Obliczenie ryzyka • Część 6 – Identyfikacja i ocena opcji postępowania z ryzykami • Ćwiczenie nr 7. Wybór zabezpieczeń • Część 7 – Przygotowanie deklaracji stosowania

  4. Plan zajęć – cz.2 • Część 8– Wdrożenie i eksploatacja SZBI • Ćwiczenie nr 8. Plan wdrożenia SZBI • Część 9 – Monitorowanie i przegląd SZBI • Ćwiczenie nr 8A. Wskaźniki efektywności • Część 10– Utrzymywanie i doskonalenie SZBI • Ćwiczenie nr 9. Programy szkolenia i uświadamiania • Część 11 – Rozdziały 5, 6, 7 i 8 • Ćwiczenie nr 9A. Przegląd kierownictwa. • Część 12– Zarządzanie ciągłością działania • Ćwiczenie nr 10. Plan ciągłości działania • Część 13 – Ostateczne wdrożenie • Ćwiczenie nr 11. Struktura SZBI • Część 14 – Certyfikacja i audyty • Ćwiczenie nr 12. Prezentacja przygotowania do certyfikacji SZBI poszczególnych grup

  5. Metodyka prowadzenia ćwiczeń • Ćwiczenia przygotowujące do wdrożenia i certyfikacji SZBI na zgodność ISO 27001 • Założenia do ćwiczeń • Podstawy normatywne • Informacje o przebiegu procesu wdrożenia i certyfikacji ISO 27001:2005

  6. WPROWADZENIE

  7. Certyfikacja i akredytacja • Certyfikacja - postępowanie, w którym strona trzecia daje pisemne zapewnienie o tym, że produkt, proces lub usługa spełnia określone wymagania. • Akredytacja - postępowanie, w którym upoważniona jednostka wydaje formalne oświadczenie, że organizacja lub osoba są kompetentne do wykonywania określonych zadań. Wiąże się to z inspekcją dotyczącą jakości usług wykonywanych przez akredytowaną osobę lub organizację. W Polsce upoważnioną jednostką akredytującą laboratoria oraz różne podmioty gospodarcze i instytucje inspekcyjne jest Polskie Centrum Akredytacji. Akredytacją uczelni wyższych zajmuje się Państwowa Komisja Akredytacyjna

  8. PCA - zadania • Polskie Centrum Akredytacji (PCA) jest Centralnym urzędem administracji nadzorowanym przez Ministerstwo Gospodarki i działa w oparciu o ustawę z dnia 30 sierpnia 2002 r. o systemie oceny zgodności. Jest to krajowa jednostka akredytująca. • Prowadzi ocenę i potwierdza kompetencje laboratoriów badawczych, laboratoriów wzorcujących, jednostek certyfikujących systemy zarządzania, jednostek certyfikujących wyroby, jednostek certyfikujących osoby, jednostek inspekcyjnych oraz innych podmiotów gospodarczych lub osób działających w systemie oceny zgodności. Podstawę oceny stanowią normy międzynarodowe. Formalnym potwierdzeniem kompetencji jest certyfikat akredytacji.

  9. PCA cd. • PCA jest członkiem organizacji międzynarodowych zrzeszających jednostki akredytujące oraz sygnatariuszem porozumień międzynarodowych: • IAF (International Accreditation Forum, Inc.) międzynarodowa organizacja skupiająca jednostki akredytujące, jednostki certyfikujące i jednostki kontrolujące na całym świecie; • ILAC (International Laboratory Accreditation Cooperation) organizacja skupiająca jednostki akredytujące laboratoria badawcze i wzorcujące na całym świecie; • EA (European co-operation for Accreditation) organizacja skupiająca jednostki akredytujące laboratoria, jednostki certyfikujące i jednostki kontrolujące w Europie • Obecnie siedziba PCA znajduje się w Warszawie, przy ul. Szczotkarskiej 42

  10. Normalizacja stan prawny • Polska Norma(oznaczana symbolem PN) - norma o zasięgu krajowym, przyjęta w drodze konsensu i zatwierdzona przez krajową jednostkę normalizacyjną - Polski Komitet Normalizacyjny (PKN). Normy PN są powszechnie dostępne, ale nie bezpłatne, zaś ich dystrybucję kontroluje PKN. • Polskie Normy są opracowywane przez Komitety Techniczne – ciała złożone z ekspertów delegowanych przez instytucje zainteresowane normalizacją. PKN nie jest odpowiedzialny za treść norm i nie jest urzędem tworzącym przepisy techniczne, nadzoruje jedynie zgodność procesów opracowywania norm z przepisami wewnętrznymi PKN. Zatwierdzenie projektu przez PKN jest formalnym stwierdzeniem tej zgodności i nadaniem projektowi statusu normy krajowej.

  11. Normalizacja stan prawny • Do 31 grudnia 1993 roku stosowanie PN było obowiązkowe i pełniły one rolę przepisów. Nieprzestrzeganie postanowień PN było naruszeniem prawa. Od 1 stycznia 1994 roku stosowanie PN jest dobrowolne, przy czym do 31 grudnia 2002 istniała możliwość, przez właściwych ministrów i w pewnych przypadkach nakładania obowiązku stosowania PN. Od 1 stycznia 2003 stosowanie PN jest już całkowicie dobrowolne, z wyjątkiem działań wykonywanych ze środków publicznych, podlegających ustawie "Prawo zamówień publicznych", która nakłada obowiązek ich uwzględnieniaoraz innych ustaw i rozporządzeń ministrów

  12. Polska Norma a Unia Europejska • Od chwili ratyfikacji Traktatu ateńskiego 1 maja 2004 r., na mocy którego Polska stała się członkiem Unii Europejskiej Polski Komitet Normalizacyjny zajmuje się przede wszystkim wprowadzaniem do PN Norm Europejskich, tworzonych przez Europejski Komitet Normalizacyjny. Harmonizacja polskiego systemu norm technicznych była w procesie akcesyjnym jednym z warunków do spełnienia. • Normy Europejskie nie są powszechnie dostępne (nie można kupić Normy Europejskiej), są natomiast dostępne w implementacjach krajowych. W każdym kraju członkowskim UE i EFTA (EuropeanFree Trade Association - Europejskie Stowarzyszenie Wolnego Handlu) teksty norm krajowych wprowadzających Normy Europejskie są takie same. • Polska Norma wprowadzająca Normę Europejską ma oznaczenie PN-EN, niemiecka DIN-EN itd.

  13. Polska Norma a Unia Europejska cd. • Od chwili włączenia się w struktury Europejskich Organizacji Normalizacyjnych 1 stycznia 2004, a więc na 5 miesięcy przed akcesją Polski do UE, PKN uczestniczy w procesach tworzenia Norm Europejskich na równych prawach z innymi członkami UE i EFTA. Niezależnie od współpracy z Europejskimi Organizacjami Normalizacyjnymi PKN współpracuje z międzynarodowymi organizacjami normalizacyjnymi: • Międzynarodowa Organizacja Normalizacyjna (ISO - International Organization for Standardization) – członek założyciel • Międzynarodowa Komisja Elektrotechniczna (IEC - International ElectrotechnicalCommission) – od 1923 roku. • W obszarach nie objętych normalizacją europejską PKN wprowadza normy identyczne z normami międzynarodowymi. Te normy mają odpowiednio oznaczenie PN-ISO i PN-IEC.

  14. Ocena zgodności • System oceny zgodności reguluje Ustawa z dnia 30 sierpnia 2002 r. o systemie oceny zgodności (Dz.U. 2002 Nr 166 poz. 1360). Przeprowadzenie oceny zgodności upoważnia przedsiębiorcę do naniesienia na wyrób oznakowania CE, o ile dyrektywa to przewiduje. Oznakowanie CE świadczy o tym, że producent przeprowadził ocenę zgodnościoraz że bierze na siebie odpowiedzialność za bezpieczeństwo tego wyrobu.

  15. Certyfikacja systemów zarządzania • Certyfikacja SZ jest to działanie trzeciej strony (jednostki niezależnej od organizacji i jej klientów) wykazujące, że zidentyfikowany (e) proces (y) danej organizacji jest (są) zgodny (e) z wyspecyfikowanymi wymaganiami jednej normy lub wielu norm, przyjętej (ych) za podstawę certyfikacji.

  16. Relacje w zakresie oceny zgodności OCENA DRUGIEJ STRONY PIERWSZA STRONA Producent/dostawca usług DRUGA STRONA Odbiorca/Użytkownik OCENAPIERWSZEJ STRONY ZAUFANIE I ZAPEWNIENIE ZGODNOŚCI OCENA TRZECIEJ STRONY TRZECIA STRONA Jednostka certyfikująca

  17. Wprowadzenie Certyfikacja w informatyce

  18. System informatyczny system informatyczny to zbiór powiązanych ze sobą elementów, którego funkcją jest przetwarzanie danych za pomocą sprzętu komputerowego. Do elementów składowych tego systemu zalicza się: sprzęt, oprogramowanie, zasoby osobowe, elementy organizacyjne i informacyjne* *COTS (Commercial Off The Shelf) – oprogramowanie gotowe (z półki). * Na podstawie Certyfikacja w informatyce Jerzy Krawiec Grażyna Ożarek PKN Warszawa 2010

  19. Różnice w budowie jakości oprogramowania i sprzętu IT ….. sprzęt przekazywany klientowi jest zwykle wolny od usterek. Natomiast producenci oprogramowania oddają produkt użytkownikowi, doskonale zdając sobie sprawę z jego słabych stron. * Na podstawie Certyfikacja w informatyce Jerzy Krawiec Grażyna Ożarek PKN Warszawa 2010

  20. Przebieg procesu certyfikacji systemu IT • zapytanie ofertowe klienta – wniosek o wycenę kosztów; • przegląd wniosku; • ofertę na proces certyfikacji; • zawarcie umowy na proces certyfikacji; • informacje o składzie zespołu audytorskiego; • ocenę przygotowawczą (opcjonalnie na życzenie klienta); • audyt certyfikujący; • raport z audytu; • skorygowanie niezgodności, jeśli je stwierdzono; • ocenę działań korygujących; • decyzję o przyznaniu certyfikatu; • rozliczenie kosztów i przekazanie kopii raportu i dokumentacji klientowi; • wydanie certyfikatu; • nadzór nad systemem.

  21. Cele certyfikacji i warunki jej prowadzenia Na podstawie wniosków z audytu: • wydaje się certyfikat, jeżeli istnieją wystarczające dowody na zgodność, • nie wydaje się certyfikatu, jeżeli nie ma wystarczających dowodów na zgodność. • celem audytu jest pobranie „próbek” z systemu zarządzania jednostki organizacyjnej, więc nie ma 100 % gwarancji zgodności z wymaganiami. Jednostka certyfikująca powinna: • mieć publicznie dostępną deklarację, że rozumie znaczenie bezstronności i obiektywizmu, • w prowadzeniu certyfikacji systemów zarządzania, • zarządzać konfliktami interesów, • zapewniać bezstronność i obiektywność swojej działalności.

  22. Certyfikacja systemów zarządzania w informatyce W dziedzinie informatyki proces certyfikacji oparty na Polskich Normach jest prowadzony w odniesieniu do: • Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) – zgodnie z wymaganiami normy PN‑ISO/IEC 27001:2007 [4], będącej implementacją normy międzynarodowej ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements; • Systemu Zarządzania Usługami Informatycznymi (SZUI) – zgodnie z wymaganiami norm PN‑ISO/IEC 20000-1:2007 [2] i PN-ISO/IEC 20000-2:2007 [3], będących implementacją norm międzynarodowych odpowiednio ISO/IEC 20000-1:2005 Information technology – Service management – Part 1: Specification i ISO/IEC 20000-2:2005 Information technology – Service management – Part 2: Code of practice. • W najbliższym czasie certyfikacja systemów zarządzania ciągłością działania (SZCD) na zgodność z normą BS 25999 (odpowiednik ISO 22301). • Proces certyfikacji może być prowadzony przez stronę druga lub stronę trzecią, które mają odpowiednie kompetencje (w Polsce akredytacji udziela Polskie Centrum Akredytacji – PCA).

  23. Proces zarządzania programem audytu W programie audytów należy uwzględniać działania niezbędne do zaplanowania rodzajów i liczby audytów, zorganizowania ich oraz odpowiedniego zapewnienia zasobów do ich skutecznego przeprowadzenia w określonym czasie. Instytucja nie ma ograniczeń co do liczby programów audytów. Kierownictwo instytucji powinno ustalić uprawnienia do zarządzania programem audytów.* * Na podstawie Certyfikacja w informatyce Jerzy Krawiec Grażyna Ożarek PKN Warszawa 2010

  24. Standardowy proces audytu • Raport z audytu certyfikacyjnego powinien zawierać: • podsumowanie przeglądanej dokumentacji; • analizę ryzyka dotyczącego organizacji klienta; • całkowity czas audytu z uwzględnieniem czasu na: przegląd dokumentacji, ocenę analizy ryzyka, • audyt w siedzibie oraz czas opracowania raportu z audytu; • metodykę badań stosowanych podczas audytu oraz uzasadnienie jej wyboru.

  25. Podstawy normatywne audytowania (wybór) • PN-ISO/IEC 27006:2009 Technika informatyczna – Techniki bezpieczeństwa – Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania bezpieczeństwem informacji • PN-ISO/IEC 17021:2007 Ocena zgodności – Wymagania dla jednostek prowadzących auditowanie i certyfikację systemów zarządzania. • PN-EN ISO 19011:2003 Wytyczne dotyczące auditowania systemów zarządzania jakością i/lub zarządzania środowiskowego.

  26. Procedury działania Przygotowanie do certyfikacji na zgodność z PN-ISO/IEC 27001:2007

  27. Model Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z PN-ISO/IEC 27001 • polityka bezpieczeństwa, • organizacja bezpieczeństwa, • zarządzanie aktywami, • bezpieczeństwo zasobów ludzkich, • bezpieczeństwo fizyczne i środowiskowe, • zarządzanie systemami i sieciami, • kontrola dostępu, • pozyskiwanie, rozwój i utrzymanie systemów informatycznych, • zarządzanie incydentami bezpieczeństwa, • zarządzanie ciągłością działania, • zapewnienie zgodności z regulacjami wewnętrznymi i prawnymi.

  28. Planuj Zainteresowanestrony Wymagania i oczekiwania dotyczące bezpieczeństwainformacji Zainteresowanestrony Zarządzanie bezpieczeństweminformacji Ustanowienie SZBI Działaj Wykonaj Wdrożeniei eksploatacja SZBI Utrzymywanie i doskonalenie SZBI Monitorowanie i przegląd SZBI Sprawdź Model PDCA Planuj – Wykonaj – Sprawdź – Działaj – zastosowanie w procesach SZBI

  29. Podstawy normatywne certyfikowania SZBI (wybór) • PN-ISO/IEC 27001:2007 Technika informatyczna – Techniki zabezpieczenia – Systemy zarządzania bezpieczeństwem informacji – Wymagania Modele referencyjne wdrażania (dobre praktyki) SZBI: • PN-ISO/IEC 17799:2007 Technika informatyczna – Techniki zabezpieczenia - Praktyczne zasady zarządzania bezpieczeństwem informacji

  30. Etapy wdrażania SZBI zgodnego z PN-ISO/IEC 27001 • Model (PDCA) Planuj – Wykonaj – Sprawdź – Działaj użyty w ISO/IEC 27001: 2005 • Podejście procesowe wdrożenia SZBI: • Ustanowienia SZBI (Planuj) • Wdrożenia i eksploatacji SZBI (Wykonaj) • Monitorowania i przeglądu SZBI (Sprawdź) • Utrzymywania i doskonalenia SZBI (Działaj)

  31. Ustanowienie SZBI • Określenie zakresu i granic • Określenie polityki • Określenie podejścia do szacowania ryzyka • Identyfikacja ryzyk – aktywa, zagrożenia, podatności i konsekwencji utraty poufności, integralności oraz dostępności aktywów • Szacowanie i ocena ryzyk – konsekwencje, realne prawdopodobieństwo nastąpienia naruszenia bezpieczeństwa, wdrożone zabezpieczenia • Identyfikacja i ocena wariantów postępowania z ryzykami – zastosowanie odpowiednich zabezpieczeń, zaakceptowanie ryzyk, unikanie ryzyk, przeniesienie ryzyk na inne strony • Wybór celów stosowania zabezpieczeń i zabezpieczeń do postępowania z ryzykami (Załącznik A)

  32. Ustanowienie SZBI • Uzyskanie akceptacji kierownictwa dla zaproponowanych ryzyk szczątkowych • Uzyskanie upoważnienia kierownictwa na wdrożenie i eksploatację SZBI • Przygotowanie deklaracji stosowania

  33. Etap pierwszy – planowanie • Inwentaryzacja zasobów, która powinna obejmować wszystkie zasoby: fizyczne (tj. budynek, sprzęt komputerowy, biurowy, sejfy itp.), informacyjne w postaci tradycyjnej i elektronicznej (tj. bazy danych klientów, sprawozdania finansowo-księgowe, dane kadrowe, informacje o przetargach itp.), osobowe (pracownicy, eksperci, dostawcy itp.), wartości niematerialne i prawne (tj. licencje, know-how, patenty itp.) zgodnie ze zdefiniowanym zakresem SZBI. • Identyfikacja i klasyfikacja danych oraz informacji przetwarzanej w organizacji. Przetwarzane informacje powinny być podzielone na grupy, powiązane ze sobą w logiczny sposób. Grupy te należy oszacować pod względem wartości, jakie stanowią dla organizacji. W zależności od tego, jak są cenne i na jakich atrybutach bezpieczeństwa danych i informacji22 (Rysunek 5.2) szczególnie nam zależy, przypisuje się im odpowiednie poziomy ochrony23. Poziomy ochrony definiują sposób postępowania z danymi i informacją w zakresie ich oznaczania, przechowywania, kopiowania, niszczenia, archiwizowania oraz udostępniania podmiotom wewnętrznym i zewnętrznym. Przyjętą metodę klasyfikacji informacji należy opisać, ponieważ na przestrzeni czasu – z różnych przyczyn – przynależność danej grupy informacji do określonego poziomu ochrony może ulec zmianie. Szczegółowy wykaz grup informacji, wraz z przypisanym im poziomem ochrony oraz właścicielem grupy (osobą, która bezpośrednio odpowiada za daną grupę) warto umieścić w odpowiedniej tabeli. Dane przetwarzane w organizacjach występują w różnych formach – należy wymienić wszystkie objęte bezpieczeństwem informacji, w tym również formę werbalną.

  34. Etap pierwszy – planowanie cd. • Analiza ryzyka. Zagrożenie bezpieczeństwa informacji związane jest z pojęciem podatności. Podatność definiuje się jako wrażliwy punkt systemu lub lukę w systemie. Uszkodzenie systemu jest wynikiem wykorzystania istniejącej podatności. Podatność jest związana z zasobami fizycznymi, personalnymi, organizacyjnymi, prawnymi. Niektóre podatności nie zależą od człowieka – związane są z tzw. siłami wyższymi, inne wynikają z błędów ludzkich. Nie wszystkie istniejące podatności zagrażają danym i informacjom w tym samym stopniu. Aby zabezpieczyć te, które z dużym prawdopodobieństwem mogłyby zostać wykorzystane, należy przeprowadzić analizę ryzyka24. Zarządzanie ryzykiem związanym z bezpieczeństwem informacji zostało przedstawione w ISO/IEC 27005. Norma ta m.in. podpowiada, jakiego rodzaju ryzyko i w jakim obszarze może wystąpić, ponadto prezentuje etapy analizy ryzyka, czyli identyfikowanie ryzyka, estymowanie ryzyka oraz ocenę ryzyka, ale także postępowanie z ryzykiem w tym akceptowanie ryzyka. Warto dodać, że każde ryzyko jest tylko częściowo redukowane przez nawet najlepsze zabezpieczenia. Zawsze pozostaje tzw. ryzyko szczątkowe25 i każdy menedżer powinien to sobie uświadomić, a zarząd zaakceptować. Przyjęta w organizacji metoda analizy ryzyka powinna być opisana z uwagi na okresowe powtarzanie badania (z powodu zastosowania nowych zabezpieczeń lub obniżenia poziomu ochrony ryzyka może ulec zmianie). Badanie tą samą metodą umożliwia porównywanie wyników. Wyniki analizy ryzyka powinny być zawarte w formalnym raporcie zaakceptowanym przez zarząd.

  35. Etap pierwszy – planowanie cd. • Opracowanie Deklaracji stosowania. Deklaracja stosowania jest istotnym dokumentem z perspektywy PN-ISO/IEC 27001. Dokument ten może być sporządzony na podstawie Załącznika A zawartego w ww. normie, Tablica A.1 – Cele stosowania zabezpieczeń i zabezpieczenia. Ze zbioru zabezpieczeń zawartych w Tablicy A.1 należy wybrać odpowiednie dla danej organizacji cele stosowania zabezpieczeń oraz zabezpieczenia. Deklaracja stosowania to wykaz zabezpieczeń odnoszący się do konkretnego SZBI (funkcjonującego w danej organizacji), który został przygotowany i następnie wdrożony na podstawie PN-ISO/IEC 27001, Załącznik A. Odrzucenie zabezpieczeń z listy Załącznika A powinno być uzasadnione*. • Opracowanie procedur. Norma PN-EN/ISO 27001 wymaga ustanowienia udokumentowanych następujących procedur: • działań korygujących; • działań zapobiegawczych; • nadzoru nad dokumentami i zapisami; • prowadzenia audytów wewnętrznych. *Należy być przygotowanym na ewentualne pytania z tego zakresu kierowane ze strony audytorów przeprowadzających audyt certyfikacyjny.

  36. 1 Określenie zakresu SZBI 2 Określenie polityki SZBI Wskazanie systematycznego podejścia do szacowania ryzyka 3 4 Zidentyfikowanie rodzajów ryzyka Zidentyfikowanie i ocena wariantów traktowania ryzyka 5 Wskazanie celów stosowania zabezpieczeń oraz zabezpieczeń 6 Opracowanie deklaracji stosowania 7 Uzyskanie akceptacji kierownictwa dla ryzyk szczątkowych oraz autoryzacji wdrożenia i eksploatacji SZBI 8 Ustanowienie SZBI

  37. Część 1 – Określenie zakresu i granic

  38. Zakres i granice Określenie w kategoriach: • Charakterystyki działalności • Organizacji • Lokalizacji • Aktywów • Technologii Należy podać szczegółowe informacje wraz z uzasadnieniem wszelkich wyłączeń z zakresu

  39. Część 1 – Określenie zakresu i granic SZBI

  40. Zakres i granice cd. Należy uwzględnić obszary wzajemnego oddziaływania z: • Innymi systemami • Organizacjami • Dostawcami będącymi stroną trzecią • Zależności (wymagania dotyczące bezpieczeństwa SZBI)

  41. Zakres przykład definicji Usługi zlecone na zewnątrz Zadowolenie klienta Kurierzy Cała organizacja Badania Obszar objęty zakresem Zasoby ludzkie Administracja • Operacje • Ocena • Raport z oceny • Zatwierdzenie • Oferta • Dokumentacja • Wydatkowanie Dostawcy usług utrzymania zasobów Nadzór Media komunalne Technika informatyczna Marketing Kwestie prawne Finanse Ubezpieczenie Potrzeby klienta Usługodawcy zewnętrzni Dostawcy

  42. Połączenia intranetowe z innymi jednostkami organizacyjnymi przedsiębiorstwa, Połączenia ekstranetowe z partnerami biznesowymi, Połączenia zdalne z pracownikami pracującymi poza siedzibą organizacji, Wirtualne sieci prywatne, Sieci klientów, Łańcuchy dostawców, Umowy dotyczące poziomu usług, kontrakty, umowy dotyczące zlecenia usług na zewnątrz, Dostęp stron trzecich / usługodawców zewnętrznych Granice wymiany informacji

  43. Umowy o poziom usług, kontrakty • Porozumienia np. współpracy • Umowy o poziom usług/operacyjna umowa o poziom usług • Zasoby ludzkie, marketing, finanse, administracja, usługi prawne, informatyczne i badania • Kontrakty • Dostawcy usług utrzymania, usługodawcy zewnętrzni, ubezpieczenie, media komunalne i kurierzy, dostęp klientów z zewnątrz do aplikacji elektronicznych/zbiorów danych organizacji

  44. Przedstawiony na piśmie zakres SZBI Przykład 1 Świadczenie usług finansowych, takich jak pożyczki i leasing przez centralę mieszczącą się w Azji i ma oddziały w całej Europie. Obejmuje to świadczenie usług wspomagających, takich jak nadzór, zmianę harmonogramu spłat oraz inkaso płatności. Głównym składnikiem aktywów firmy jest jego siła robocza a sprzęt komputerowy i oprogramowanie służą do wspomagania działalności.

  45. Przykład 2 definicji zakresu SZBI Zakres i granice stosowania SZBI w firmie XXX Firma XXX dla zapewnienia bezpieczeństwa informacji zdefiniowała zakres Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) zgodnie z wymaganiami normy PN-EN ISO/IEC 27001, który obejmuje: • lokalizację główną w Warszawie przy ul. ZZZ pod nazwą Centrum Przetwarzania Danych. • Lokalizację pomocniczą w Łodzi przy ul. WWW pod nazwą Zapasowe Centrum Przetwarzania Danych W wymienionych lokalizacjach realizowane są usługi kolokacji i administracji serwerowniami, poprzez wykorzystanie następujących procesów biznesowych: • Podstawowych dotyczących eksploatacji i utrzymania oraz planowania i rozwoju, w tym m.in.: • usługi kolokacji; • usługi nadzoru nad procesami transmisji danych; • usługi dostępu do Internetu; • nadzoru i monitoringu parametrów środowiskowych kolokacji; • transmisji danych do styku z węzłami zewnętrznymi; • usługi dzierżawy włókien do węzłów zewnętrznych; • procesy gwarantujące ciągłość działania w pomieszczeniach kolokacyjnych; • zarządzanie bezpieczeństwem fizycznym i środowiskowym. • Pomocniczych – wsparcia organizacyjno-technicznego, pozyskiwania klienta, nadzoru nad zgodnością z prawem, zarządzania zasobami ludzkimi; • Nadzoru i kontroli– wynikające z zaleceń normatywnych ISO 27001. Celem realizacji opisanych procesów, udostępniane są niezbędne aktywa informacyjne wymagane przez zapisy normatywne i przydzielone decyzją Kierownictwa po akceptacji wyników procesu szacowania ryzyka. • Zakres SZBI obejmuje wszystkie niezbędne procesy biznesowe podlegające celom i zabezpieczeniom zgodnie z ISO27001 i mają zastosowanie dla klientów zewnętrznych, dostawców usług, stron trzecich i innych organizacji, jak i dla usług realizowanych na potrzeby wewnętrzne firmy XXX. • Wykluczenia • Z zakresu Systemu Zarządzania Bezpieczeństwem Informacji wykluczone są procesy techniczne zachodzące w pozostałych węzłach telekomunikacyjnych sieci YYY wraz z powiązaną z nimi infrastrukturą zewnętrzną, oraz procesy biznesowe realizowane w oparciu o wykluczoną infrastrukturę.

  46. Przygotowanie do certyfikacji - ćwiczenia Ćwiczenie nr 1. Ustalenie zakresu i granic SZBI

  47. Polecenia do wykonania w ćwiczeniu nr 1: • Na podstawie dostarczonego opisu firmy GeoHosting S.A. należy rozważyć jakie wyroby lub usługi są dostarczane. • (a) Przygotować prezentację graficzną zakresu i granic w sposób omówiony lub ukazany na slajdach. Ukazać powiązania między obszarami wewnątrz i na zewnątrz zakresu. • (b) Utworzyć pisemny zakres, który będzie odpowiadał prezentacji graficznej. • (c) Utworzyć topologię schemat systemów informatycznych objętych podanym przez siebie zakresem. • (d) Utworzyć listę sprzętu komputerowego, urządzeń sieciowych i oprogramowania objętego podanym przez siebie zakresem. • (e) Należy określić wszelkie umowy, porozumienia (MOU), umowy o poziom usług (SLA) i operacyjne umowy o poziom usług (OLA), które dotyczyłyby podanego przez siebie zakresu. • Przedstawić odpowiedź w prezentacji PowerPoint.

  48. Etap drugi – wdrożenie i eksploatacja SZBI Etap wdrożenia i eksploatacji SZBI powinno się rozpocząć od opracowania harmonogramu działań wdrażających. W tym celu należy przygotować Plan postępowania z ryzykiem. Dokument Plan postępowania z ryzykiem przedstawia zabezpieczenia, które będą zastosowane w celu ograniczenia zidentyfikowanego ryzyka, zwykle poprzez odwołanie się do zabezpieczeń zaproponowanych w PN-ISO/IEC 27001. Plan ten szczegółowo określa podejmowane działania, wskazując rodzaj ryzyka, termin wdrożenia zabezpieczeń ograniczających to ryzyko oraz osoby odpowiedzialne za wykonanie zadań. Działania te powinny być realizowane zgodnie z dokumentacją SZBI przygotowaną na podstawie PN-ISO/IEC 27001 oraz PN-ISO/IEC 17799. Wdrożenie harmonogramu29 wymaga współpracy ze wszystkimi komórkami organizacyjnymi, a w szczególności takimi jak: IT, finansowa, kadrowa, prawna, administracyjno-gospodarcza. Podstawowym celem tej współpracy jest wprowadzenie zabezpieczeń w formie fizycznej (zamki, kłódki), informatycznej (hasła, identyfikatory, zapory), mentalnej (szkolenia uświadamiające) i organizacyjnej (zarządzenia, procedury). Należy także zdefiniować mierniki umożliwiające ocenę skuteczności zabezpieczeń oraz porównywanie tej skuteczności w określonych odstępach czasu. Całość prac powinna być koordynowana przez pełnomocnika ds. bezpieczeństwa informacji.

  49. Etap trzeci – monitorowanie i przegląd SZBI Utrzymanie realnego bezpieczeństwa informacji opartego na wdrożonym SZBI wymaga ciągłego monitorowania działań. Monitorowanie działań ma na celu wykrywanie błędów w wynikach przetwarzania, wykrywanie incydentów lub prób naruszenia bezpieczeństwa oraz zapewnienie przestrzegania wdrożonych procedur. Okresowe przeglądy SZBI mają za zadanie weryfikację skuteczności działania zabezpieczeń pod kątem spełnienia wymagań bezpieczeństwa, sprawdzenie aktualności oszacowanego wcześniej ryzyka (na skutek różnych przyczyn może ono ulec zmniejszeniu lub zwiększeniu). Zalecane się także przeprowadzanie planowych audytów wewnętrznych, podczas których mogą być analizowane różnego rodzaju zapisy z funkcjonowania systemu. Zapisy te stanowią świadectwo potwierdzające zgodność z wymaganiami oraz skuteczność funkcjonowania SZBI. Między innymi potwierdzają (w szczególności przed audytorami), że ustanowiony i wdrożony system sprawdza się w praktyce i jest efektywny (umożliwia osiąganie założonych celów).

  50. Etap czwarty – utrzymywanie i doskonalenie SZBI Utrzymywanie bezpieczeństwa informacji na oczekiwanym poziomie wymaga stałych działań doskonalących. Działania te mogą być podejmowane na podstawie danych z monitoringu funkcjonującego SZBI oraz raportów z audytów wewnętrznych i zewnętrznych. Ujawnienie ewentualnych słabości umożliwi podjęcie działań korygujących w postaci nowych zabezpieczeń. Działania doskonalące warto opierać nie tylko na wnioskach wyciąganych z własnych doświadczeń, ale także na doświadczeniach innych organizacji (wszędzie gdzie to możliwe warto stosować benchmarking). Przed główną oceną – oceną certyfikacyjną – można podjąć decyzję o przeprowadzeniu audytu sprawdzającego sprawność funkcjonowania SZBI. Zadanie to najlepiej zlecić zewnętrznemu konsultantowi. Ocena przedcertyfikacyjna jest to kompleksowe, dokładne badanie mające na celu upewnienie się, że wdrożony SZBI zawiera wszystkie niezbędne zabezpieczenia*. Podczas tego audytu m.in. Szczególną uwagę zwraca się na dokument Deklaracja stosowania oraz Plan postępowania z ryzykiem. Zatem przed wszczęciem procesu certyfikacyjnego jednostka certyfikująca będzie wymagać od klienta posiadania udokumentowanego i wdrożonego SZBI. *Warto jednak pamiętać o istnieniu tzw. ryzyka szczątkowego, którego – mimo zainstalowania najlepszych zabezpieczeń – nie jesteśmy w stanie wyeliminować.

More Related