460 likes | 587 Views
Ergonomia procesów informacyjnych. Ochrona zasobów. Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia : Przypadkowe, Celowe. Zagrożenia zamierzone. Pasywne : monitorowanie, podgląd, Aktywne : Powielanie programów, Oszustwa,
E N D
Ochrona zasobów Obejmuje ochronę: • Systemów komputerowych, • Ludzi, • Oprogramowania, • Informacji. Zagrożenia: • Przypadkowe, • Celowe.
Zagrożenia zamierzone • Pasywne: • monitorowanie, • podgląd, • Aktywne: • Powielanie programów, • Oszustwa, • Wymuszanie przerw w pracy systemu, • Wykorzystanie sprzętu służbowego do celów prywatnych, • Ujawnianie i usuwanie informacji gospodarczych.
Zagrożenia losowe • Zewnętrzne: • Temperatura, wilgotność, • Wyładowania atmosferyczne, • Awarie (zasilania, klimatyzacji, wodociągowe), • Katastrofy • Kataklizmy, • Wewnętrzne: • Błędy administratora, • Defekty programowe lub sprzętowe, • Błędy użytkowników, • Zgubienie, zniszczenie danych.
Zabezpieczenia • Fizyczne – zamykane pomieszczenia, szafy, przepustki, identyfikatory, • Techniczne – urządzenia i oprogramowanie, alarmy, monitoring, • Administracyjne – polityka bezpieczeństwa, analiza zagrożeń i ryzyka, procedury bezpieczeństwa, szkolenia i uświadamianie.
Ocena ryzyka • Identyfikacja zagrożeń, • Ocena prawdopodobieństwa wystąpienia strat, • Ocena podatności zasobów na zagrożenia, • Ocena strat i zniszczeń (potencjalnych), • Identyfikacja działań minimalizujących ryzyko i potencjalne straty, • Dokumentowanie, • Opracowanie planów działań prewencyjnych.
Polityka zabezpieczania • Polityka ogólnego planu zabezpieczeń, (Na wysokim poziomie ogólności) • Polityka struktury programu zabezpieczeń, (Specyficzna dla każdej organizacji) • Polityka zorientowana na przedsięwzięcia, (Skoncentrowana na zadaniach bieżących organizacji) • Polityka zorientowana na systemy (Na poziomie ewidencji zasobów i zagrożeń). Według: National Institute of Standards and Technology (NIST) USA
Strategie zabezpieczania Fazy wdrażania strategii: • Zrozumienie sytuacji obecnej, • Zdefiniowanie środowiska najbardziej pożądanego, • Ocena rozwiązań alternatywnych, najbardziej pożądanych, ocena ryzyka, • Określenie najlepszej procedury postępowania, • Rozpoczęcie wykonania planu.
Kategorie zabezpieczeń Kategoria A – ochrona zweryfikowana (formalna specyfikacja projektu zabezpieczeń i formalny model polityki zabezpieczeń), Kategoria B – ochrona narzucona (bezpieczeństwo wielopoziomowe, dostęp narzucony), Kategoria C – ochrona uznaniowa (użytkownik może odebrać lub nadać komuś innemu prawa dostępu), Kategoria D – ochrona minimalna (nie zawiera mechanizmów zabezpieczających). Według: Ministerstwo Obrony USA; raport: Kryteria oceny wiarygodności systemów komputerowych (Orange Book).
Kryteria oceny systemów informatycznych • Poufność – ochrona przed ujawnieniem informacji, • Integralność – ochrona przed modyfikacją, • Dostępność – gwarancja uprawnionego dostępu, • Rozliczalność – określenie i weryfikacja odpowiedzialności, • Autentyczność – weryfikacja tożsamości, • Niezawodność – gwarancja odpowiedniego zachowania się systemu.
Cz. 1.Polityka bezpieczeństwa informacji System Bezpieczeństwa Informacji
System bezpieczeństwa informacji (SBI) • Akty prawne • Tworzenie dokumentacji SBI • Polityka Bezpieczeństwa, • Instrukcja Zarządzania Systemem, • Inne (zalecenia, instrukcje, procedury). • Wdrożenie SBI • Eksploatowanie i opieka nad SBI
Dlaczego wdraża się SBI? • Wymogi ustawowe • Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, • Dążenie do doskonalenia organizacji • Informacje zawarte w oświadczeniu o intencjach
Polityka Bezpieczeństwa • Struktury organizacyjne SBI, • Oszacowanie ryzyka, • Kształcenie w zakresie bezpieczeństwa informacji, • Opis obszaru w którym przetwarzane są informacje, • Opis przetwarzanych informacji, • Opis środków technicznych i organizacyjnych, • Audyty SBI.
Ochrona danych • Dane osobowe: „Każda informacja dotycząca osoby fizycznej, pozwalająca na określenie jej tożsamości” • Pozostałe dane: • Dane finansowe, • Dane związane z prowadzoną działalnością, • Inne dane „wewnętrzne”.
Oświadczenie o intencjach - dlaczego • Mając na uwadze akty prawne dotyczące ochrony danych komputerowych, • Uwzględniając szeroko rozumiane dobro klientów, powiązanych instytucji organizacji, własnego przedsiębiorstwa i pracowników, • Dążąc do ciągłego rozwoju i usprawniania własnej organizacji,
Oświadczenie o intencjach – deklarowanedziałania • Zdąża się do zapewnienia maksymalnej, możliwej ochrony eksploatowanego systemu informatycznego. • Wdrożona zostanie Polityka Bezpieczeństwa i jej postanowienia będą egzekwowane w maksymalnym, uzasadnionym zakresie. • Dążyć się będzie do ciągłego podnoszenia poziomu bezpieczeństwa danych przetwarzanych w zasobach informatycznych przedsiębiorstwa.
DYREKTOR GAI POLITYKA BEZPIECZEŃSTWA INFORMACJI GABI AI GRUPY INFORMACJI ABI GABS AS SYSTEMY PRZETWARZANIA ABS Pion administracyjny/ informatyczny Pionbezpieczeństwa Zarządzanie informacją (TISM)
DYREKTOR GAI GABI POLITYKA BEZPIECZEŃSTWA GRUPA INFORMACJI AI ABI AS GABS ABS SYSTEM PRZETWARZANIA Pion administracyjny Pion bezpieczeństwa Struktura systemu bezpieczeństwa (TISM)
Zakres PB (1) • 1.CEL I ZAKRES DOKUMENTU • 2.DEFINICJA BEZPIECZEŃSTWA INFORMACJI • 3.OŚWIADCZENIE O INTENCJACH • 4.WYJAŚNIENIE TERMINOLOGII UŻYTEJ W POLITYCE, PODSTAWOWE DEFINICJE, ZAŁOŻENIA • 5.ANALIZA RYZYKA • 6.OKREŚLENIE OGÓLNYCH I SZCZEGÓLNYCH OBOWIĄZKÓW W ODNIESIENIU DO ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI
Zakres PB (2) • 7.OKREŚLENIE DZIAŁÓW ORGANIZACYJNYCH ORAZ STANOWISK ODPOWIEDZIALNYCH ZA WDRAŻANIE I PRZESTRZEGANIE ZASAD POLITYKI • 8.WYMAGANIA DOTYCZĄCE KSZTAŁCENIA W DZIEDZINIE BEZPIECZEŃSTWA, ODPOWIEDZIALNE OSOBY, ZAKRES SZKOLENIA • 9.SPOSÓB ZGŁASZANIA, KONSEKWENCJE I ODPOWIEDZIALNOŚĆ NARUSZENIA POLITYKI BEZPIECZEŃSTWA • 10.ZAKRES ROZPOWSZECHNIANIA DOKUMENTU
Zakres PB (3) • 11.WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE. • 12.WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH. • 13.OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI
Zakres PB (4) • 14.OKREŚLENIE POZIOMU BEZPIECZEŃSTWA • 15.OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH • 16.WEWNĘTRZNY AUDYT BEZPIECZEŃSTWA DANYCH OSOBOWYCH I SYSTEMÓW DO ICH PRZETWARZANIA
Cz. 2.Zarządzanie systemem System Bezpieczeństwa Informacji
Instrukcja Zarządzania • Szczegółowe procedury dotyczące: • Uprawnień użytkowników systemu, • Archiwizacji danych, • Zabezpieczenia przed niepowołanym dostępem, • Zabezpieczenia antywirusowe, • Konserwacji systemu, • Przechowywania nośników, • Likwidacji zbiorów danych.
Ogólne zasady- administratorzy systemów - odpowiedzialność • Udostępnienie sprawnego sprzętu komputerowego i telekomunikacyjnego wraz ze sprawnymi systemami: operacyjnym, użytkowym i narzędziowym; • Właściwe ustawienie parametrów systemów operacyjnych i użytkowych; • Codzienną obsługę systemów; • Zagwarantowanie serwisu technicznego; • Określenie zasad postępowania w przypadku konieczności wyłączenia systemu, spowodowanego nagłym zdarzeniem losowym (takich jak zagrożenie bombowe, pożar, powódź).
Ogólne zasady- systemy • GABI może wyznaczyć administratora bezpieczeństwa informacji (ABI); • Główny administrator informacji (GAI) może wyznaczyć administratora informacji (AI) oraz wyznacza osobę zastępującą administratora informacji podczas jego nieobecności. • Dla każdego systemu o kluczowym znaczeniu, który nie przetwarza danych osobowych GABI może wyznaczyć administratora bezpieczeństwa informacji (ABI), a GAI administratora informacji (AI) oraz osobę zastępującą AI podczas jego nieobecności. • Zakres obowiązków administratorów bezpieczeństwa informacji (ABI) dla systemów przetwarzających dane osobowe opracowuje główny administrator bezpieczeństwa informacji (GABI); • Zakresy obowiązków administratorów informacji (AI), jeżeli występują, opracowuje główny administrator informacji (GAI);
Ogólne zasady- systemy kluczowe • Prowadzi się „Dziennik pracy systemu informatycznego”. • Tworzy się „Spis numerów telefonów do firm serwisowych”. • Prowadzi się „Rejestr kopii archiwalnych i awaryjnych”. • AS systemu przechowuje dokumentację techniczną sprzętu oraz oprogramowania wchodzącego w skład systemu. • AS w przypadku poważnych problemów z przetwarzaniem danych w systemie ma obowiązek powiadomić o tym fakcie: GABI oraz ABI. • Dla każdego systemu o kluczowym znaczeniu prowadzona jest ewidencja użytkowników.
Instrukcja zarządzania - Zakres Cz.1. • CEL I ZAKRES DOKUMENTU • WYJAŚNIENIE UŻYTEJ TERMINOLOGII • OGÓLNE ZASADY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM • PROCEDURY NADAWANIA UPRAWNIEŃ DO PRZETWARZANIA DANYCH I REJESTROWANIA TYCH UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM ORAZ WSKAZANIE OSOBY ODPOWIEDZIALNEJ ZA TE CZYNNOŚCI • PROCEDURY ROZPOCZĘCIA, ZAWIESZENIA I ZAKOŃCZENIA PRACY PRZEZNACZONE DLA UŻYTKOWNIKÓW SYSTEMU
Instrukcja zarządzania - Zakres Cz.2. • METODA I CZĘSTOTLIWOŚĆ TWORZENIA KOPII DANYCH ORAZ KOPII SYSTEMU INFORMATYCZNEGO • ZABEZPIECZENIE SYSTEMU INFORMATYCZNEGO PRZED DOSTĘPEM OSÓB NIEUPRAWNIONYCH • POSTĘPOWANIE W PRZYPADKU AWARII ORAZ NARUSZENIA OCHRONY DANYCH • PRZEGLĄD, KONSERWACJA I NAPRAWA SYSTEMU • OCHRONA SYSTEMU INFORMATYCZNEGO PRZED WIRUSAMI KOMPUTEROWYMI
Instrukcja zarządzania - Zakres Cz.3. • SPOSÓB I CZAS PRZECHOWYWANIA NOŚNIKÓW INFORMACJI • LIKWIDACJA ZBIORÓW DANYCH • POSTĘPOWANIE W WYPADKU KLĘSKI ŻYWIOŁOWEJ LUB KATASTROFY SPOWODOWANEJ SIŁĄ WYŻSZĄ • WYMAGANIA DOTYCZĄCE SPRZĘTU I OPROGRAMOWANIA ORAZ PRZESYŁANIA DANYCH • POSTANOWIENIA KOŃCOWE
Zalecenia techniczno-organizacyjne • Wdrożenie SBI • Zasady wdrożenia SBI, • Ramowy harmonogram, • Zalecenia organizacyjne • Prowadzenie dokumentacji, • Instruktaże, szkolenia, • Organizacja danych na serwerach, • Zalecenia techniczne • Archiwizacja danych, • Serwer – oprogramowanie, sprzęt.
Norma PN-ISO/IEC 27001:2007 Bezpieczeństwo Informacji
Norma PN-ISO/IEC 27001 • Jest tłumaczeniem (bez zmian) angielskiej wersji normy międzynarodowej ISO/IEC 27001 • Zastępuje normę PN-I-07799-2:2005 • Obejmuje: • Technika informatyczna • Techniki bezpieczeństwa • Systemy zarządzania bezpieczeństwem informacji
Podejście procesowe • Podejście: Plan-Do-Check-Act (PDCA) Planuj – Wykonuj – Sprawdzaj – Działaj: • Planuj – stworzenie SZBI • Wykonuj – wdrożenie i eksploatacja SZBI • Sprawdzaj – monitorowanie i przegląd SZBI • Działaj – utrzymanie i doskonalenie SZBI
Zgodność z innymi systemami • Dostosowana do ISO 9001:2000 i ISO 14001:2004 • Wspieranie spójnego wdrażania z innymi normami dotyczącymi zarządzania • Norma 27001 została tak zaprojektowana, aby umożliwić organizacji dopasowanie lub zintegrowanie swojego SZBI z innymi systemami
Zawartość normy • Terminy i definicje • System zarządzania bezpieczeństwem informacji (SZBI) • Odpowiedzialność kierownictwa • Wewnętrzne audyty SZBI • Przeglądy SZBI (realizowane przez kierownictwo) • Doskonalenie SZBI • Załączniki
SZBI • Ustanowienie SZBI • Wdrożenie i eksploatacja SZBI • Monitorowanie i przegląd SZBI • Utrzymanie i doskonalenie SZBI • Wymagania dotyczące dokumentacji • Jakie dokumenty • Nadzór nad dokumentami • Nadzór nad zapisami
Odpowiedzialność kierownictwa • Zaangażowanie kierownictwa • Kierownictwo powinno okazać swoje zaangażowanie (w: U W E M P U D) • Zarządzanie zasobami • Zapewnienie zasobów – organizacja powinna zapewnić potrzebne zasoby • Szkolenie, uświadamianie i kompetencje – organizacja powinna zapewnić, że cały personel, któremu przypisano odpowiedzialności w SZBI ma kompetencje do realizacji zadań
Wewnętrzne audyty SZBI • Organizacja powinna przeprowadzać wewnętrzne audyty SZBI w zaplanowanych odstępach czasu • Wymagania i odpowiedzialność za planowanie i przeprowadzanie audytów powinny być udokumentowane w procedurze • Kierownictwo odpowiada za brak opóźnień w eliminacji odstępstw i ich przyczyn
Przeglądy SZBI (kierowonictwo) • Kierownictwo powinno przeprowadzać przeglądy SZBI w a zaplanowanych odstępach czasu • Nie rzadziej niż raz w roku • Przegląd powinien zawierać ocenę możliwości doskonalenia SZBI i potrzeby zmian • Wyniki powinny być udokumentowane a zapisy przechowywane
Doskonalenie SZBI • Ciągłe doskonalenie • Organizacja powinna w sposób ciągły poprawiać skuteczność SZBI • Działania korygujące • W celu przeciwdziałania niezgodnością organizacja powinna podejmować w celu wyeliminowania ich przyczyn • Działania zapobiegawcze • Organizacja powinna podejmować działania zapobiegawcze
Załącznik A • Załącznik A - normatywny; • Cele stosowania zabezpieczeń i zabezpieczenia • Lista celów i zabezpieczeń podana w tym załączniku nie wyczerpuje wszystkich możliwości i organizacja może/powinna rozważyć zastosowanie innych
Załączniki B i C • Załącznik B - informacyjny • Zasady OECD i Norma Międzynarodowa • Wytyczne OECD dotyczące bezpieczeństwa systemów informacyjnych i sieci (OECD- Organization for Economic Co-operation and Development) • Załącznik C - informacyjny • Opisuje powiązania z normami ISO 9001:2000 ISO 14001:2004