Polityka bezpieczeństwa instytucji
dr inż. Grzegorz Bliźniuk
Bezpieczeństwo systemów informatycznych
wykład 3
Plan wykładu 3
1. Analiza ryzyka bezpieczeństwa
2. Wymagania zabezpieczeń i strategia ich wyboru
3. Dobór zabezpieczeń
4. Reguły tworzenia polityk bezpieczeństwa poziomu
I, II i III
5. Podsumowanie
Analiza ryzyka
bezpieczeństwa
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 4
Analiza ryzyka bezpieczeństwa
Źródła złożoności zagadnienia zapewnienia bezpieczeństwa:
Bezpieczeństwo
informacji
Złożoność
systemów
ICT
Nieprzerwane
zmiany w
systemach ICT
Trudne
środowisko
zagrożeń
Skomplikowane
procesy
zarządzania
Nieprzewidywalny
czynnik ludzki
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 5
Analiza ryzyka bezpieczeństwa
Ryzyko /risk/, to
prawdopodobieństwo wykorzystania przez
zagrożenie podatności zasobu (zasobów) w celu ich
naruszenia lub zniszczenia.
Analiza ryzyka /risk analysis/, to proces identyfikacji ryzyka,
określania jego źródeł, wyodrębniania i ustalania wielkości
obszarów wymagających zabezpieczeń.
Scenariusz ryzyka /risk scenario/ przedstawia
sposób
wykorzystania przez
zagrożenie (grupę zagrożeń) jakiejś
podatności (grupy podatności).
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 6
Analiza ryzyka bezpieczeństwa
Ocena ryzyka /risk evaluation/ polega na
porównaniu
szacowanego ryzyka z
założonymi kryteriami ryzyka w celu
wyznaczenia powagi ryzyka
.
Oszacowanie ryzyka /risk assesment/, to proces oceny
znanych i postulowanych
zagrożeń oraz podatności,
przeprowadzony w celu
określenia spodziewanych strat i
ustalenia stopnia
akceptowalności działania systemu
(źródła
zagrożeń,
ich
listy
rankingowe,
koszty
zabezpieczeń, redukcja kosztów ryzyka itd.).
Zarządzanie ryzykiem /risk management/, całościowy
proces identyfikacji, monitorowania oraz eliminowania lub
minimalizowania
prawdopodobieństwa
zaistnienia
niepewnych
zdarzeń, które mogą mieć negatywny wpływ
na zasoby systemu informatycznego.
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 7
Analiza ryzyka bezpieczeństwa
Postępowanie z ryzykiem (traktowanie ryzyka) /risk
treatment/ polega na wyborze i
wdrożeniu środków
wpływających na zmianę wielkości ryzyka
.
Akceptacja ryzyka /risk acceptance/, to decyzja
zarządu
instytucji,
dopuszczająca pewien zidentyfikowany stopień
ryzyka,
podejmowana
zazwyczaj
z
przyczyn
ekonomicznych
(brak
środków
finansowych)
lub
technicznych (brak
możliwości technicznych).
Zarządzanie bezpieczeństwem systemów ICT /ICT
security management/, to
zespół procesów zmierzających
do
osiągnięcia i utrzymywania w systemach ICT
ustalonego
poziomu
bezpieczeństwa
(poufności,
integralności,
dostępności,
autentyczności
i
niezawodności).
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 8
Analiza ryzyka bezpieczeństwa
Krzywa redukcji ryzyka:
P
oz
iom
b
ez
piec
ze
ńs
tw
a
nakłady
100 %
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 9
Analiza ryzyka bezpieczeństwa
Relacje elementów bezpieczeństwa:
RYZYKO
ZABEZPIECZENIA
WYMAGANIA
WARTOŚĆ
ZASOBY
PODATNOŚCI
ZAGROŻENIA
wykorzystuj
ą
zwiększają
zwiększają
chronią przed
narażają
posiadają
zwiększają
analiza
wskazuje
realizowane
przez
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 10
Analiza ryzyka bezpieczeństwa
Rodzaje analizy ryzyka:
1.
O wysokim poziomie
ogólności – prowadzona w
sposób ogólny i zgrubny
2.
Nieformalna
analiza
ryzyka
–
prowadzona
szczegółowo przez fachowców, ale bez wykorzystania
specjalistycznych metod i
narzędzi oceny
3.
Formalna analiza ryzyka
– prowadzona przez
specjalistyczne firmy doradcze z wykorzystaniem
specjalistycznych
narzędzi do analizy ryzyka
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 11
Analiza ryzyka bezpieczeństwa
Schemat
ogólny
analizy ryzyka:
START
Określenie granic systemów
Identyfikacja zasobów
Wycena zasobów
Identyfikacja zależności między nimi
Ocena zagrożeń
Ocena podatności
Identyfikacja istniejących
i planowanych zabezpieczeń
Zbiorcze określenie wielkości ryzyka i
jego charakteru
KONIEC
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 12
Analiza ryzyka bezpieczeństwa
Kumulowanie i normalizacja
wartości ryzyka – ocena
następstw dla różnych incydentów jest sprowadzania do
porównywalnej skali – najlepiej liczbowej. Następnie
poszczególne grupy ocen cząstkowych są kumulowane
(sumowane, agregowane) do
wspólnych ocen (wartości)
zbiorczych.
Listy rankingowe
zagrożeń, macierze predefiniowanych
wartości zagrożeń i podatności, analiza częstości
występowania zagrożeń, metody redukcji ryzyka –
częste czynności podczas analizy ryzyka.
Szczegóły w
podręczniku na stronach: 97-105 (będzie wymagane na testach i zaliczeniu
przedmiotu).
Wymagania zabezpieczeń i
strategia ich wyboru
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 14
Wymagania zabezpieczeń i strategia ich wyboru
Wskazówki dla formułowania wymagań:
1.
Nie
mogą być one zbyt szczegółowe. Muszą być jednak
opisane na tyle precyzyjnie, aby
mogły być oceniane.
2.
Powinny
odnosić się do ogólnych zagadnień
bezpieczeństwa teleinformatycznego na poziomie II, a
nie
do
specyfiki
poszczególnych
systemów
informatycznych i innych
rozwiązań technologicznych z
poziomu III
3.
Uszczegółowienie wymagań jest realizowane na etapie
doboru konkretnych
zabezpieczeń.
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 15
Wymagania zabezpieczeń i strategia ich wyboru
Rodzina norm ISO 27000:
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 16
Wymagania zabezpieczeń i strategia ich wyboru
Zdefiniowanie, uzyskanie oraz utrzymanie poziomu
bezpieczeństwa
informacji adekwatnego do potrzeb Organizacji wymaga
wdrożenia
systemu
zarządzania bezpieczeństwem informacji (ISMS – Information
Security Management System). ISMS i SZBI
są w tej normie
traktowane
równoważnie (PN ISO/IEC 27001:2005).
System zarządzania
bezpieczeństwem informacji,
zgodny z wymaganiami normy
ISO/IEC 27001:2005, opiera
się na modelu zarządzania
PDCA (Plan-Do-Check-Act)
Model systemu zarządzania
bezpieczeństwem informacji
Ź
ró
dł
o:
M
.T
ab
or
, T
IC
O
N
S
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 17
Wymagania zabezpieczeń i strategia ich wyboru
Ź
ró
dł
o:
M
.T
ab
or
, T
IC
O
N
S
Procesy wdrażania ISMS a PBI (PN ISO/IEC 27001:2005):
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 18
Wymagania zabezpieczeń i strategia ich wyboru
Ź
ró
dł
o:
M
.T
ab
or
, T
IC
O
N
S
Ważne normy międzynarodowe, będące Polskimi Normami:
1.
PN ISO/IEC 27001:2007 Systemy
zarządzania bezpieczeństwem
informacji. Wymagania
2.
PN
ISO/IEC
17799:2007
Praktyczne
zasady
zarządzania
bezpieczeństwem informacji
3.
PN-I-13335-1:
1999
Pojęcia
i
koncepcje
zarządzania
bezpieczeństwem systemów informatycznych
4.
PN EN ISO 19011:2003: Wytyczne
dotyczące audytowania systemów
zarządzania jakością
5.
PN
ISO/IEC
27002:2007
Praktyczne
zasady
zarządzania
bezpieczeństwem informacji
6.
PN EN ISO 19011:2003: Wytyczne
dotyczące audytowania systemów
zarządzania jakością
7.
ISO/IEC 27005:2008 Information Security Risk Management
8.
ISO/IEC 27004:2009 ISMS Measurement
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 19
Wymagania zabezpieczeń i strategia ich wyboru
Ź
ró
dł
o:
M
.T
ab
or
, T
IC
O
N
S
Ważne inne normy, dokumenty i metodyki:
1.
ISO 31000:2009 Principles and Guidelines
2.
ISO Guide 73:2009
– Risk Management – Vocabulary
3.
ANZ 4360 Risk Management
4.
PAS 56 Business Continuity Management (odpowiednik: norma
brytyjska BS25999-1)
5.
Zalecenia
w
zakresie
bezpieczeństwa
producentów
wykorzystywanych przez
Zamawiającego systemów i aplikacji.
6.
Seria
zaleceń National Security Agency w zakresie platform
wykorzystywanych przez
Zamawiającego (uznawane za najlepsze
wytyczne dla platform i
systemów operacyjnych oraz aplikacji dla tzw.
off-the shelf products).
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 20
Wymagania zabezpieczeń i strategia ich wyboru
Wzorcowa lista
wymagań według PN ISO/IEC 17799, PN
ISO/IEC 27001:
Zagadnienia
bezpieczeństwa
3.
Polityka
bezpieczeństwa
4.
Organizacja
bezpieczeństwa
5.
Klasyfikacja i kontrola
aktywów
6.
Bezpieczeństwo osobowe
7.
Bezpieczeństwo fizyczne i środowiskowe
8.
Zarządzanie systemami i sieciami
9.
Kontrola
dostępu do systemu
10.
Rozwój i utrzymanie systemu
11.
Zarządzanie ciągłością działania
12.
Zgodność
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 21
Wymagania zabezpieczeń i strategia ich wyboru
Fragment szablonu CITS (Corporate IT Strategies):
3.
Polityka
bezpieczeństwa
1. Polityka
bezpieczeństwa informacji
1. Dokument polityki
bezpieczeństwa informacji
1.
Dokument polityki zatwierdzony przez kierownictwo
2.
Dokument polityki zatwierdzony i
udostępniony pracownikom
3.
Zawartość dokumentu polityki bezpieczeństwa
1.
Oświadczenie
kierownictwa
o
intencjach
kierownictwa
dotyczących celów i zasad bezpieczeństwa
2.
Krótkie wyjaśnienie polityki bezpieczeństwa, zasad, standardów i
wymagań zgodności mających szczególne znaczenie dla
instytucji
3.
……………………………………………………………….
Pozostałe, istotne informacje na temat CITS w podręczniku na
stronach 278-279, w normie PN ISO/IEC 17799.
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 22
Wymagania zabezpieczeń i strategia ich wyboru
Zasady wydawania ocen dla
wymagań:
NS
– nie spełnione
SP
– spełnione
NR
– nie rozstrzygnięte. Audytor nie jest w stanie
przyporządkować jednoznacznej oceny. Przed
rozpoczęciem audytu wszystkie wymagania mają
ten status.
ND
– nie dotyczy. Nie ma zastosowania. Pozostaje
obojętne dla spełnienia innych wymagań.
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 23
Wymagania zabezpieczeń i strategia ich wyboru
Zasady kumulacji
wyników ocen dla wymagań:
NS
SP
NR
ND
NS
NS
NS
NS
NS
SP
NS
SP
NR
SP
NR
NS
NR
NR
NR
ND
NS
SP
NR
ND
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 24
Wymagania zabezpieczeń i strategia ich wyboru
Ogólny schemat tworzenia listy wymagań bezpieczeństwa instytucji:
Szablon
CITSL
Cele bezpieczeństwa
CITO
Otoczenie prawne
LE
Lista oszacowanych
ryzyk RA
Wzorce wymagań
RSR
Strategie - wymagania
CITS
Szablon
CITS
CITO
– Corporate IT Security Overview, LE – Legal Environment, RA – Risk Assessed, RSR – Reference IT
Security Requirements, CITS
– Corporate IT Strategies, CITSL – Corporate IT Security Level.
Szczegóły: rozdziały 14 i 15 podręcznika
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 25
Wymagania zabezpieczeń i strategia ich wyboru
Pętla poprawy systemu bezpieczeństwa instytucji:
Instytucja stosująca
technologie
teleinformatyczne
Przystosowanie do zmian w instytucji,
jej systemach i otoczeniu
Zarządzanie zmianami i monitorowanie
Trójpoziomowy
system bezpieczeństwa
instytucji
Podatności
Zagrożenia
Reakcja na zmiany czynników ryzyka
ocena
ryzyka
Reakcja
na zmianę
Wykryto
zmianę
Decyzje
korygujące
Bieżący poziom bezpieczeństwa
Dobór zabezpieczeń
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 27
Dobór zabezpieczeń
Cele
bezpieczeństwa jako podstawowe źródło wymagań – podejście
dobre dla instytucji,
które mają dość zróżnicowany zbiór celów
bezpieczeństwa.
START
Wybór BSR zgodnego z prawem
Wybór BSR jako praktyki wzorcowej
Wym. elementarne dla każdego CITO
Analiza otoczenia prawnego LE
Analiza oszacowań ryzyka RA
Analiza spójności CITS
KONIEC
Cele
CITO
Prawo
LE
Ryzyko
RA
Wzorce
wymagań
RSR
Wymagania
CITS
1
3
4
5
6
2
BSR
– Basis ITC Security
Requirements
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 28
Dobór zabezpieczeń
Wymagania na podstawie listy wzorcowej,
pochodzącej z norm:
START
Wybór BSR zgodnego z prawem
Wybór BSR jako praktyki wzorcowej
Analiza celów CITO
Analiza otoczenia prawnego LE
Analiza oszacowań ryzyka RA
Analiza spójności CITS
KONIEC
Cele
CITO
Prawo
LE
Ryzyko
RA
Wymagania
CITS
1
4
5
7
3
2
Analiza wzorców RSR
Lista
RSR
6
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 29
Dobór zabezpieczeń
Wymagania na podstawie
wyników analizy ryzyka:
1.
Dobre
podejście dla instytucji narażonych na znaczne ryzyko –
wychodzimy od listy ryzyka (RA), po wstawieniu
wymagań podstawowych
(BSR),
2.
Uwzględnienie otoczenia prawnego (LE)
3.
Przegląd wymagań referencyjnych (RSR) w celu uzupełnienia wymagań
4.
Wykonanie analizy
spójności wymagań (CITS)
5.
Wyodrębnienie (selekcja i scalenie) z wykorzystaniem szablonów:
1.
RA
2.
CITO
3.
LE
4.
RSR
Reguły tworzenia polityk
bezpieczeństwa dla
poziomów I, II i III
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 31
Reguły tworzenia polityk bezpieczeństwa …
Trójpoziomowy model odniesienia celów, strategii i
polityki
bezpieczeństwa informacji i usług w instytucji jest
kluczowy
dla
kompleksowego
ujęcia
zagadnień
bezpieczeństwa.
Model jest istotny dla przedstawienia
ogólnej koncepcji
architektury
bezpieczeństwa w instytucji. Wychodzi się w
nim od potrzeb
wynikających z zadań biznesowych lub
społecznych, realizowanych przez instytucję, dochodząc do
szczegółów jej teleinformatyki i zasad organizacyjnych.
Wychodząc od takiego modelu można uporządkować w
podejściu hierarchicznym kwestie prawne, organizacyjne,
osobowe,
technologiczne,
fizyczne,
socjologiczne,
kulturowe, psychologiczne
– wszystko to, co istotnie
wpływa na poziom bezpieczeństwa informacji i usług w
instytucji.
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 32
Reguły tworzenia polityk bezpieczeństwa …
W
trójpoziomowy, modelu odniesienia bazuje się na
trzech kluczowych
pojęciach:
Cel
– identyfikuje co ma być osiągnięte
Strategia
– określa, w jaki sposób osiągać
zamierzony cel (zamierzone cele)
Polityka
– określa, co konkretnie ma być
realizowane, aby
osiągać założenia strategii i jakie
przy tym
mają być przestrzegane zasady
Polityka
bezpieczeństwa stanowi szczegółową
podstawę działań instytucji w zakresie osiągania
pożądanego poziomu bezpieczeństwa informacji i
usług.
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 33
Reguły tworzenia polityk bezpieczeństwa …
Poziomy
szczegółowości modelu trójpoziomowego:
Instytucja
CELE
– STRATEGIA - POLITYKA
Bezpieczeństwo w instytucji
CELE
– STRATEGIA - POLITYKA
Bezpieczeństwo systemów
teleinformatycznych w instytucji
CELE
– STRATEGIA - POLITYKA
Bezpieczeństwo systemu
teleinformatycznego nr 1
CELE
– STRATEGIA - POLITYKA
Bezpieczeństwo systemu
teleinformatycznego nr 2
CELE
– STRATEGIA - POLITYKA
Inne obszary strategiczne instytucji
CELE
– STRATEGIA - POLITYKA
Inne obszary polityk w instytucji
CELE
– STRATEGIA - POLITYKA
I
II
III
Nr poziomu:
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 34
Reguły tworzenia polityk bezpieczeństwa …
Poziom I
– Bezpieczeństwo w instytucji:
1.
Sprecyzowanie podstawowych zasad
bezpieczeństwa i wytycznych dla
całej instytucji
2.
Wyrażamy je w postaci celów, strategii i polityk bezpieczeństwa dla całej
instytucji
3.
Bardzo istotne na pierwszym poziomie jest zapewnienie
legalności zasad
bezpieczeństwa - ich zgodności z prawem zewnętrznym w stosunku do
instytucji i jej
wewnętrznymi regulacjami
4.
Zasady
bezpieczeństwa na pierwszym poziomie dotyczą kluczowych
zasobów instytucji, tj.:
•
Ciągłości działania instytucji, w tym jej procesów biznesowych,
•
Zdolności produkowania swoich wyrobów lub świadczenia usług,
•
Pozytywnego wizerunku instytucji
5.
Identyfikowane
są relacje zadań statutowych i reguł bezpieczeństwa
instytucji
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 35
Reguły tworzenia polityk bezpieczeństwa …
Poziom II
– Bezpieczeństwo teleinformatyczne instytucji:
1.
Polityka
bezpieczeństwa jest rozumiana jako zbiór praw,
zasad
postępowania i praktyk w jaki sposób wrażliwe i
krytyczne informacje w zasobach teleinformatycznych
są
dystrybuowane,
zarządzane i chronione w instytucji i jej
systemach teleinformatycznych
2.
Mówiąc inaczej, są to zasady bezpiecznej eksploatacji
aktywów teleinformatycznych instytucji
3.
Dotyczą całości procesu wytwarzania, przetwarzania,
przesyłania i przechowywania informacji
4.
Bierze
się również pod uwagę istotne dla bezpieczeństwa
zagadnienia z otoczenia teleinformatyki instytucji (np. zakres
istotnej informacji, jej
postać, jej wpływ na teleinformatykę
instytucji)
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 36
Reguły tworzenia polityk bezpieczeństwa …
Poziom III
– Bezpieczeństwo poszczególnych systemów
teleinformatycznych instytucji:
1.
Działa tutaj zasada najsłabszego ogniwa – najsłabiej
chroniony system
będzie potencjalną furtką dla incydentów
bezpieczeństwa
2.
Polityka
bezpieczeństwa na tym poziomie dotyczy zbioru
reguł, zasad i najlepszych praktyk zastosowanych dla ochrony
konkretnego systemu teleinformatycznego instytucji
3.
Bierze
się tutaj pod uwagę indywidualne właściwości
chronionego systemu (technologie, architektura,
własności
urządzeń, świadomość użytkowników, reguły prawne)
4.
Zbiór polityk bezpieczeństwa dla poszczególnych systemów
wynika ze strategii
bezpieczeństwa teleinformatycznego
instytucji z poziomu II
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 37
Reguły tworzenia polityk bezpieczeństwa …
Hierarchiczna struktura dokumentacji
bezpieczeństwa:
POLITYKA DZIAŁANIA (MISJA) INSTYTUCJI
POLITYKA BEZPIECZEŃSTWA INSTYTUCJI
POLITYKA BEZPIECZEŃSTWA SYSTEMÓW
TELEINFORMATYCZNYCH INSTYTUCJI
POLITYKA BEZPIECZEŃSTWA SYSTEMÓW
TELEINFORM. ODDZIAŁU INSTYTUCJI
POLITYKA BEZPIECZEŃSTWA
SYSTEMU NR 1
POLITYKA BEZPIECZEŃSTWA
SYSTEMU NR n
INNE POLITYKI
INSTYTUCJI
POZIOM I
POZIOM II
POZIOM IIa
opcjonalny
POZIOM III
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 38
Reguły tworzenia polityk bezpieczeństwa …
Do samodzielnego przestudiowania z
podręcznika:
1.
Zasady dla
poziomów II i III: w szczególności
rozdział 16, 18, 19,
2.
Przykład polityki dla poziomu I: dodatek I
3.
Przykład polityki dla poziomu II: dodatek II
4.
Przykład ISMS: dodatek III
Uwaga:
znajomość zagadnień ze wskazanych powyżej fragmentów
podręcznika może być wymagana na testach
Bezpieczeństwo systemów informatycznych, wykład 2, slajd 39
Podsumowanie
1. Tworzenie polityk bezpieczeństwa informacji jest
zagadnieniem multidyscyplinarnym
2. Na rynku działają firmy wyspecjalizowane w tym
zagadnieniu
3. Nie poruszyliśmy kwestii akredytacji SZBI, prowadzącej
do uzyskiwania odpowiednich certyfikatów przez
instytucje – jest to odrębne zagadnienie
4. Obecnie popularne jest podejście bazujące na ISMS z
norm 17799 i 27001, które nie jest sprzeczne z
trójpoziomowym modelem odniesienia
5. Wykład nie wyczerpuje tematyki polityk bezpieczeństwa,
a jedynie wskazuje wybrane, kluczowe zagadnienia
dziękuję za uwagę