Wdrażanie i korzyści z systemu

bezpieczeństwa informacji
wg serii norm ISO 27000

Paweł Kamecki
Międzynarodowa Szkoła Jakości
Warszawa, 22 luty 2007

MSJ VIII vk zatw KP

 Program

1. Zapoznanie z rodziną norm ISO/IEC 27000.

2. Ćwiczenie 1
3. Identyfikowanie wymagań bezpieczeństwa
informacji.
4. Analiza ryzyka
5. Kryteria oceny ryzyka biznesowego w modelu EFQM
6. Ćwiczenie 2
7. Zintegrowany system zarządzania

MSJ VIII vk zatw KP

 Dlaczego potrzeba zarządzać bezpieczeństwem informacji?
System informacyjny to nie jest system informatyczny
Zarządzanie bezpieczeństwem informacji to nie to samo co
zarządzanie bezpieczeństwem systemów informatycznych

‰ Przedsiębiorstwa niemieckie ponoszą rocznie straty przekraczające 150

mln EU wskutek tracenia przez pracowników czasu na szukanie
niepotrzebnych informacji w Internecie.
‰ Amerykańskie banki w wyniku tradycyjnych napadów tracą średnio
jednorazowo ok. 8000 USD, podczas gdy przeciętna kradzież informacji
z systemu komputerowego -100.000 USD, a oszustwo komputerowe
kosztuje bank ok. pół miliona dolarów.
‰ W Wielkiej Brytanii roczne straty z powodu oszustw komputerowych
na ponad 580 mln GBP
‰ Parę liczb - w 2005 roku
‰Średnia liczba prób phisingu 2500/400ms
‰Liczba nowych wirusów WN32 1800/miesiąc
‰Liczba odmów usługi 1400/dzień
MSJ VIII vk zatw KP
 Wartość informacji

9 Informacja jest współcześnie jednym z

najżywotniejszych zasobów organizacji

9 Przez wieki ludzie nauczyli się chronić inne zasoby

(pieniądze, materiały, wyroby) lecz ochrona
informacji jest jeszcze w stadium powstawania.

Ochrona informacji to zagadnienie

zarządcze i organizacyjne a nie tylko techniczne!

Bezpieczeństwo informacji - warunkiem przetrwania organizacji

MSJ VIII vk zatw KP
 Normy serii ISO IEC 27000
‰ ISO 27000 - słownictwo i terminologia (definicje dla wszystkich
standardów z tej serii)
‰ ISO 27001 - specyfikacja systemów zarządzania bezpieczeństwem
informacji, wymagania
‰ ISO 27002 – odpowiednik ISO 17799:2005, praktyczne zasady zarządzania
bezpieczeństwem, zestawia zabezpieczenia i najlepsze praktyki.
‰ ISO 27003 – wytyczne dla implementacji.
‰ ISO 27004 – zarządzanie bezpieczeństwem informacji - wskaźniki i
pomiary.
‰ ISO 27005 - Zarządzanie ryzykiem bezpieczeństwa informacji, termin
opublikowania to grudzień 2005, ISO 27005 ma zastąpić BS 7799 Część 3.
‰ ISO 27006 – Wymagania akredytacyjne dla organizacji certyfikujących

Inne przydatne normy: ISO 9001, ISO 90003 i ISO 12207

MSJ VIII vk zatw KP

 Co to jest bezpieczeństwo informacji?

Poufność – zapewnienie, że
informacja jest dostępna jedynie osobom
upoważnionym

Integralność – zapewnienie
dokładności i kompletności informacji
oraz metod przetwarzania

Dostępność - zapewnienie ze osoby

upoważnione mają dostęp do informacji i
związanych z nią aktywów wtedy gdy jest
to potrzebne

Bezpieczeństwo informacji – zabezpieczenie

poufności, integralności i dostępności informacji
MSJ VIII vk zatw KP
 Jak zidentyfikować wymagania
bezpieczeństwa?
1. Z wymagań prawa
2. Z wymagań kontraktowych
(z klientami, dostawcami i pracownikami)

3. Z celów biznesowych, wewnętrznych zasad i procesów firmy.

4. Z analizy ryzyk
odnoszących się do aktywów
firmy

MSJ VIII vk zatw KP

 Wymagania prawne
1. Kodeks Karny
2. O prawie autorskim i prawach pokrewnych
3. O ochronie danych osobowych
4. O podpisie elektronicznym
5. O ochronie baz danych
6. O świadczeniu usług drogą elektroniczną
7. Prawo Telekomunikacyjne
8. O informatyzacji działalności podmiotów realizujących zadania publiczne
9. O elektronicznych instrumentach płatniczych
10. O gromadzeniu, przetwarzaniu i przekazywaniu informacji kryminalnych
11. O ochronie niektórych praw konsumentów oraz odpowiedzialności za
produkt niebezpieczny
12. O ochronie informacji niejawnych
.....

MSJ VIII vk zatw KP

 Analiza ryzyk i zarządzanie ryzykiem

MSJ VIII vk zatw KP

 Norma PN/ISO/IEC 27001-2005
PN ISO IEC 17799-2005
Spis treści
0. Przedmowa
0.1 Postanowienia ogólne
0.2 Podejście procesowe
0.3 Zgodność z innymi systemami zarządzania
1. Zakres normy
2. Powołania normatywne
3. Terminy i definicje
4. System zarządzania bezpieczeństwem informacji (SZBI)
5. Wewnętrzne audity SZBI
6. Odpowiedzialność kierownictwa
7. Przegląd SZBI dokonywany przez kierownictwo
8. Doskonalenie SZBI

Załącznik A (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia

Załącznik B (informacyjny) Wytyczne OECD do stosowania normy
Załącznik C (informacyjny) Powiązania między ISO 9001:2000, ISO 14001:2004 a niniejszą Normą Międzynarodową

MSJ VIII vk zatw KP

 4.2 Ustanowienie i zarządzanie SZBI
Ustanowienie SZBI
- Zdefiniować zakres SZBI
- Zdefiniować Polityki i zasady
- Zidentyfikować ryzyka
- Oszacować ryzyka
- Wybrać cele i zabezpieczenia*
- Opracować deklarację
stosowania
Utrzymanie i doskonalenie
- Wdrożyć zidentyfikowane usprawnienia
- Podąć działania korygujące i
zapobiegawcze
- Zakomunikować o wynikach
PLANUJ DZIAŁAJ akcji i uzgodnić z
zainteresowanymi stronami
- Upewnić się, że osiągnięto
Ciągłe oczekiwane rezultaty
Doskonalenie

Monitorowanie i przegląd
- realizować procedury
WYKONAJ SPRAWDŹ monitorowania
Wdrożenie i stosowanie
- Zdefiniować plan - prowadzić regularne
postępowania z ryzykiem przeglądy efektywności
- Wdrożyć plan - prowadzić audyty wewnętrzne
postępowania z ryzykiem
w zaplanowanych odstępach czasu
- Wdrożyć wybrane
zabezpieczenia aby
osiągnąć cele i wymagania
- Szkolić i zarządzać eksploatacją
*Załącznik A

MSJ VIII vk zatw KP

 Załącznik A -- PN ISO IEC 17799-2005
dobre praktyki zarządzania bezpieczeństwem
0 Wprowadzenie
1. Zakres stosowania
2. Definicje i terminy
3. Struktura normy
Zarząd, A4 Szacowanie i postępowanie z ryzykiem
dyrektorzy A5 Polityka bezpieczeństwa
A6 Organizacja bezpieczeństwa informacji
A7 Zarządzanie aktywami
Dział personalnyÆ
A8 Bezpieczeństwo zasobów ludzkich
Ochrona fizyczna A9 Bezpieczeństwo fizyczne i środowiskowe
A10 Zarządzanie systemami i sieciami
Admin. sieci i aplikacji
A11 Kontrola dostępu
A12 Pozyskiwanie rozwój i otrzymanie systemów
informacyjnych
A13 Zarządzanie incydentami związanymi z
Wszyscy Æ bezpieczeństwem informacji
A14 Zarządzanie ciągłością działania
Dział prawny, Æ A15 Zgodność
informatycy

MSJ VIII vk zatw KP

 Powiązania pomiędzy punktami normy
A4 A5 i A6 Zarządzanie i organizacja
A7 Zarządzanie aktywami
Ludzie A8
A9 Bezpieczeństwo fizyczne i środowiskowe

a
acj
ik
un
A10 Zarządzanie

m
systemami i sieciami

Ko
A 11 Kontrola dostępu
(do systemów i aplikacji)
A 13 Zarządzanie
incydentami bezp. A12 Pozyskanie rozwój i utrzymanie
Systemów Informacyjnych

A 14 Planowanie
ciągłości działania A 15 Zgodność
MSJ VIII vk zatw KP
 Podejście procesowe w systemie zarządzania
bezpieczeństwem informacji

Procesy należy
• Zidentyfikować i zrozumieć
• Wdrożyć i stosować
• Monitorować i przeglądać
• Stale doskonalić na podstawie obiektywnego
pomiaru

Prawidłowa identyfikacja procesów SZBI

zintegrowanego z systemem zarządzania jakością
jest krytycznym czynnikiem sukcesu.
MSJ VIII vk zatw KP
 Proces
Zbiór działań wzajemnie powiązanych lub wzajemnie
oddziaływujących, które przekształcają wejścia w wyjścia

Wskaźnik

2Wydział 1Klient
Cel procesu
6
Opis / Notatka

6N
Wydział

Zapytanie ofertowe Oferta

3 N
Wydział 5Wydział Wydział 3

Dane wejściowe Dane wyjściowe

4

Opis
3 / Notatka

13 N

13
Opis / Notatka Decyzja

Pieniądze Maszyny
Personel Technologie środowisko
MSJ VIII vk zatw KP
 4.3 Wymagania dotyczące dokumentacji

Dokumentacja SZBI powinna obejmować:

ƒ Udokumentowaną politykę bezpieczeństwa oraz celów stosowania
zabezpieczeń
ƒ Zakres SZBI oraz procedury i zabezpieczenia służące realizacji
SZBI
ƒ Raport z szacowania ryzyka
ƒ Plan postępowania z ryzykiem
ƒ Udokumentowane procedury potrzebne organizacji oby efektywnie
planować, wykonywać, sterować procesami bezpieczeństwa
informacji
ƒ Zapisy wymagane przez normę
ƒ Deklarację stosowania zawierającą:
• Cele stosowania zabezpieczeń oraz zabezpieczenia z Załącznika A
• Uzasadnienia ich wyboru
• Powody wykluczenia zabezpieczeń
• Ewentualne dodatkowe zabezpieczenia nie uwzględnione w
załączniku A
MSJ VIII vk zatw KP
 Struktura dokumentów SZBI

Podręcznik SZBI
Zakres systemu,
Polityka
deklaracja stosowania
SZBI

Procedury procesy Procedury,

Kto, jak, kiedy, gdzie procesy

Instrukcje, listy
Jak realizować konkretne kontrolne,
działania i zadania formularze

Cele szczegółowe zapisy

Zapewniają obiektywne dowody na
zgodność z wymogami SZBI
MSJ VIII vk zatw KP
 Istotne zabezpieczenia
Bezpieczeństwo zasobów ludzkich
8.1. Bezpieczeństwo przed zatrudnieniem
Zaufanie że osoba przyjmowana do pracy będzie w stanie zachować poufność powinno być
poparte obiektywnymi dowodami i uwzględnione na etapie przyjmowania do pracy, w
umowach o pracę oraz monitorowane podczas okresu zatrudnienia danej osoby oraz po
jego ukończeniu.
8.1.1 Role i odpowiedzialności
8.1.2 Postępowanie sprawdzające
8.1.3 Zasady i warunki zatrudnieni
8.2 Podczas zatrudnienia
8.2.1 Odpowiedzialność kierownictwa
8.2.2 Szkolenia personelu (w zakresie bezpieczeństwa)
8.2.3 Postępowanie dyscyplinarne
8.3. Zakończenie lub zmiana zatrudnienia
8.2.1 Odpowiedzialność związana z zakończeniem zatrudnienia
8.2.2 Zwrot aktywów
8.2.3 Odebranie praw dostępu

Bezpieczeństwo w w kontaktach ze stronami trzecimi

MSJ VIII vk zatw KP

 Istotne zabezpieczenia -
Zarządzanie incydentami związanych z bezpieczeństwem
informacji
13.2 Zgłaszanie zdarzeń
13.1.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem informacji
13.1.2 Zgłaszanie słabości systemu bezpieczeństwa
13.2 Zarządzanie incydentami związanymi z bezpieczeństwem i
doskonaleniem
13.2.1 Odpowiedzialności i procedury
13.2.3 Wyciąganie wniosków
13.2.3 Gromadzenie materiału dowodowego

Rożne nazwy „problemów” :

– Niezgodności
– Incydenty
– Zdarzenia
– Słabości

MSJ VIII vk zatw KP

 Istotne zabezpieczenia - Zarządzanie aktywami
A7.1.1 Inwentaryzacja aktywów takich jak:
1. Zbiory danych, pliki, dokumentacja systemu, instrukcje, materiały
szkoleniowe, procedury, plany ciągłości działania...
2. Oprogramowanie; aplikacje, systemowe, narzędziowe...
3. Aktywa fizyczne: sprzęt komputerowy, sieciowy, peryferyjny,
zasilacze....
4. Usługi takie jak: usługi obliczeniowe, telekomunikacyjne, infrastruktury
technicznej, ogrzewanie, oświetlenie, klimatyzacja...)
5. Personel, wizerunek firmy, zaufanie
A7.1.2 Własność aktywów
Określenie zadań właścicieli aktywów

A7.1.3 Akceptowane użycie aktywów

Określenie zasad dopuszczalnego korzystania z informacji i
aktywów

A7.2 Klasyfikacja i oznaczanie informacji

MSJ VIII vk zatw KP

 Analiza ryzyka
Należy zidentyfikować główne
Zrozumieć biznes zależności pomiędzy działalnością
biznesową a miejscami podatnymi na
zagrożenia.
Można to robić zarówno „od góry do
dołu” jak i „od dołu do góry”

ƒ Co jest czynnikiem sukcesu firmy?

ƒ Jakie procesy główne wspierają
działalność biznesową?
Procesy biznesowe ƒ Jakie systemy wspierają ww.
procesy?
ƒ Jakie są podatności tych
Przepływ informacji systemów i procesów?
ƒ Jakie zagrożenia?
Infrastruktura i zasoby

MSJ VIII vk zatw KP

 OCENA RYZYKA a ZARZĄDZANIE
RYZYKIEM

Skutki
PRZENIEŚ UNIKAJ

AKCEPTOWALNE REDUKUJ

prawdopodobieństwo

MSJ VIII vk zatw KP

 Podstawowe sposoby radzenia sobie z
ryzykiem

Identyfikowanie Ustalanie priorytetów Analiza ryzyka

Unikanie Transfer
Postępowanie
Akceptowanie Redukowanie Z ryzykiem

Ubezpieczanie Ponoszenie kosztów Finansowanie

ryzyka
Sprawdzanie

MSJ VIII vk zatw KP

 Trzy poziomy doskonałości w modelu EFQM

Kryteria Kryteria Kryteria Kryteria

zarządzania zarządzania zarządzania zarządzania
społ. odp. ryzykiem wiedzą innowacjami

Model
doskonałości

Podstawowe
koncepcje
MSJ VIII vk zatw KP
 System zarządzania ryzykiem
•Przegląd systemu
•Polityka zarządzania ryzykiem
•Zgodność ze standardami
•Relacje ze stronami zainteresowanymi
•Obowiązek informowania

Polit •Raport rozbieżności

yka

d
•Roczne planowanie i

lą
eg
przydzielanie zasobów

pla
z
Pr
•Planowanie wieloletnie

no
wa
M Komunikacja

nie
on
ito
ro nie
w e
an roż
ie d
W
•System monitorowania
•Raportowanie incydentów •Proces zarządzania ryzykiem

•Wewnętrzne i zewnętrzne audity •Główne procesy doskonalenia

•Zarządzanie zdarzeniami
MSJ VIII vk zatw KP
 Kryteria modelu zarządzania ryzykiem
Procesy
Poziom modelu i Samoocena
kryteriów w oparciu
o model EFQM

Poziom systemu ISO 9001

ISO 27001
ISP 14001
ISO 18000

Poziom oceny ISO 27004

ISO 13335
ryzyka procesów PST
AZ/NZS 4360
IRM
AIRM

Operacje
MSJ VIII vk zatw KP
 Wyniki samooceny i szacowania ryzyka

OPIS JAKOŚĆ
JAKOŚĆ

z mocne strony 12

22
14
z obszary do poprawy ŚRODOWISKO BEZPIECZEŃ
BEZPIECZEŃSTWO
I HIGIENA PRACY

BEZPIECZEŃ
BEZPIECZEŃSTWO
INFORMACJI

PROFIL PUNKTOWY 26

51 Tabele z analizą i oszacowanymi ryzykami

9 2
4
8 3 3
2
7 1 4
6 5
MSJ VIII vk zatw KP
 Dlaczego integrować systemy?

Bezpieczeństwo informacji
• System zarządzania jakością
Bezpieczeństwo • System zarządzania środowiskiem
pracy • System bezpieczeństwa pracy
Zarządzanie
biznesem

Środowisko • System zarządzania

bezpieczeństwem informacji
Jakość

Zarządzanie
finansami
Jeden zintegrowany system
zarządzania

Zespół auditorów

MSJ VIII vk zatw KP

 Dlaczego zintegrowany system zarządzania
jakością i bezpieczeństwem informacji?

• Objęcie całej działalności firmy w tym :

• Szczegółowo działy informatyczne
• Ochrona fizyczna
• Księgowość i działy ekonomiczne
• Firmy współpracujące, konsultanci, audytorzy ....
• Zwrócenie szczególnej uwagi na informacje i jej znaczenie
• Prowadzenie analizy ryzyka i zarządzania ryzykiem
• Zainteresowania technologiami informatycznymi i dlatego
większy udział informatyków
• Opracowanie planów zapewnienia ciągłości działania
• Zastosowanie podejścia procesowego i ciągłego
doskonalenia także w bezpieczeństwie informacji
• Jednolita dokumentacja i terminologia

MSJ VIII vk zatw KP

 Dziękuję

www.umbrella.org.pl
Paweł Kamecki
pawel.kamecki@umbrella.org.pl
501 794 877

MSJ VIII vk zatw KP