bezpieczny i niezawodny system it w organizacji - przegląd kluczowych aspektów bezpieczeństwa i...
DESCRIPTION
Bezpieczny i niezawodny system IT w organizacji - przegląd kluczowych aspektów bezpieczeństwa i oceny ryzyka procesu planowania i wdrożeniaTRANSCRIPT
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
BIN GIGACON – Bezpieczeństwo i Niezawodność Systemów IT
Katowice, 19 czerwca 2013r.
Bezpieczny i niezawodny system IT w organizacji przegląd kluczowych aspektów bezpieczeństwa i oceny ryzyka procesu planowania i wdrożenia
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jakie znamy dzisiaj zagrożenia?
2
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jak to rozumiemy?
3
Bezpieczny i niezawodny system IT
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Czy tak zazwyczaj zaczynamy?
4
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jakie zadania z zakresu bezpieczeństwa IT?
5
Wykonanie klasyfikacji
(BIA)
Przygotowanie wymagań
bezpieczeństwa IT
do RFI/RFP
Wykonanie analizy ryzyka
Wykonanie BIA umowy
(wsparcie/utrzymanie)
Weryfikacja klasyfikacji BIA
Definiowanie Projektowanie
Wykonywanie Wdrożenie
Wymagania zależne od rodzaju i specyfiki danej organizacji oraz świadczonych usług
Ustalenie właścicielstwa
Akceptacja sposobu zdalnych
połączeń do organizacji
Ustalenie klauzul do umowy
Ustalenie architektury IT
Opracowanie procedur
Przygotowanie SIEMa
Wykonanie testów
bezpieczeństwa
Testy odbiorcze z instalacji Opracowanie BCP/DRP
Szkolenia (uświadamiające)
Monitorowanie niezgodności,
plan naprawczy(rekomendacje)
Agenda
Przegląd bezpieczeństwa Opracowanie matryc ról
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co to jest klasyfikacja BIA ?
6
Wycena i określenie odpowiednich poziomów
ochrony zasobów informacji (danych)
w odniesieniu do związanych z nim ryzyk!!!!
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co to są zasoby informacyjne (dane)?
7
NIE WSZYSTKIE ZASOBY INFORMACJI (DANE)
MAJĄ TAKĄ SAMĄ WARTOŚĆ I KRYTYCZNOŚĆ DLA ORGANIZACJI
W zależności od przyjętej klasyfikacji, inne będą koszty zabezpieczenia
zasobów informacji (danych)!!!!!
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jak mierzymy i oceniamy poziomy ochrony zasobów informacji (danych)?
8
Mierzalność i ocena zasobu informacji /danych/ określana jest w trzech obszarach ryzyka:
POUFNOŚĆ – jako skutek nieautoryzowanego ujawnienia zasobów informacji /danych/
INTEGRALNOŚĆ – jako skutek nieautoryzowanej zmiany zasobów informacji /danych/
DOSTĘPNOŚĆ – jako skutek braku dostępności zasobów informacji /danych/
CIA
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jak rozpoczynamy klasyfikację BIA?
9
gdzie będą znajdować się zasoby informacyjne (dane)
kto będzie ich właścicielem
co dokładnie będą zawierać
jak ważne będą dla organizacji / firmy
jak dużą stratę może spowodować ich ujawnienie bądź modyfikacja
czy ich modyfikacja może mieć znaczący wpływ na działalność operacyjną
czy utrata bądź niedostępność danych zaburzy kluczowe procesy organizacji
kto będzie miał do nich dostęp
jaki powinien być maksymalny czas odtworzenia danych po awarii
z jakiego okresu czasu dopuszczalna jest trwała utrata danych
jakie ryzyka dla przedmiotowych danych mogą zaburzyć bieżącą działalność operacyjną
Podstawowe pytania w trakcie warsztatów klasyfikacji BIA:
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Kto jest zaangażowany w klasyfikację BIA?
10
Właściciel Biznesowy – przekazuje informacje związane
z aspektami biznesowymi systemu/aplikacji, istotne
dla oceny dostępności i krytyczność danych oraz ważności
zasobów informacji (danych) w celu wyceny ryzyka straty.
Właściciel Zasobów – przekazuje informacje istotne
z punktu przyszłego zarządzania systemem/aplikacją
oraz wspiera Właściciela Biznesowego
Ekspert IT – przekazuje informacje związane z
technologią, konfiguracją, administracją, architekturą IT
oraz wspiera Właściciela Biznesowego
Oficer Bezpieczeństwa – przekazuje informacje
związane z bezpieczeństwem systemu i koordynuje ocenę
ryzyka zaproponowaną przez wszystkich Uczestników BIA
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Jakie wymagania bezpieczeństwa do RFP?
11 11
• W jaki sposób będzie spełnione wymaganie dot. wymagań określonych w ustawie o ochronie
danych osobowych (jeżeli będą przetwarzane dane osobowe)?
• W jaki sposób będzie spełniona kontrola dostępu logicznego do systemu IT?
• W jaki sposób dane zawarte w systemie IT będą chronione przed utratą poufności i
integralności
• W jaki sposób dostawca zapewnia bezpieczeństwo rozwoju i utrzymania systemu IT?
• W jaki sposób zapewniona jest rozliczalność działań użytkowników i reakcje na nieuprawnione działania.
• W jaki sposób zapewniona jest ciągłość działania i odporność na awarie
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Bezpieczna architektura, o co chodzi?
12 F
irew
al
Fire
wa
lls
Pra
co
wn
icy
Ad
min
istr
ato
rzy
Ws
pa
rcie
Sie
ć w
ew
nętr
zn
a
Sie
ć p
ub
lic
zn
a
Firewall/IPS
Web Servers
LoadBalancer
DM
Z
WebServices,SOA
Klienci
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co to jest analiza ryzyka?
13
Określone działanie skierowane do obniżenia wpływu ryzyka
na zasoby informacji (dane) i podejmowanie odpowiednich
środków przeciwdziałania i minimalizacji ryzyka
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co powinna obejmować analiza ryzyka?
14
Zdefiniowanie planu naprawczego (działań mitygujących ryzyka) lub ich akceptację
Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny
Określenie prawdopodobieństwa wystąpienia zdarzenia
Określenie zagrożeń i potencjalnych podatności
Weryfikację zgodność wymagań bezpieczeństwa (techniczna i organizacyjna)
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet
15
Zgodność wymagań bezpieczeństwa, czyli co?
Obsza organizacyjny:
• Polityki bezpieczeństwa
• Standardy
• Ustawy/Rozporządzenia/Regulacje
• Procedury
• Normy
• Instrukcje
• Wytyczne
Obszar techniczny:
• Kontrola dostępu
(autentykacja/autoryzacja)
• Ochrona danych
(przesyłanie/przechowywanie)
• Konfiguracja infrastruktury/systemów/DB
• Monitoring i logowanie zdarzeń
• Role systemowe/stanowiskowe
• Technologia/architektura
• Hosting/Cloud Computing
• Zdalne wsparcie
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet
16
Analiza ryzyka w praktyce
-określenie zagrożeń i potencjalnych podatności
-określenie prawdopodobieństwa wystąpienia zdarzenia
-określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny
Zagrożenie – zjawisko wywołane wskutek istnienia podatności
Podatność - luka, błąd, która może zostać wykorzystana przez dane zagrożenie
Prawdopodobieństwo zdarzenie – szacowane następstwo, które może wystąpić w określonym czasie
(np. PRAWDOPODOBNE, MOŻLIWE, MAŁO PRAWDOPODOBNE)
Wielkość ryzyka określa kombinacja podatności i prawdopodobieństwa, które może wynikać z zagrożenia
i spowodować straty określone w klasyfikacji BIA (np. WYSOKIE, ŚREDNIE lub NISKIE)
Działania mitygujące powinny zostać określone w trakcie analizy ryzyka i
zostać wdrożone przed uruchomieniem produkcyjnym systemu IT lub usługi.
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co oznaczają działania mitygujące ryzyko?
17
Podstawowa matryca ryzyk – różna, w zależności od przyjętego modelu w organizacji
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Podsumowanie oceny ryzyka
18
Uproszczony model zarządzania ryzykiem
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Klauzule umowne, jakie i kiedy?
19
1. Prawo do akceptacji podwykonawców, jakich Zleceniobiorca zamierza użyć w celu
świadczenia lub wykonania części usługi Zleceniodawcy
2. PES (kwalifikacje, tożsamość, kompetencje, referencje) Zleceniobiorcy/Podwykonawcy
3. Fizyczny dostęp do zasobów Zleceniodawcy (serwerownie, poruszanie się po budynku)
4. Logiczny dostęp do zasobów Zleceniodawcy (dostęp do infrastruktury LAN)
5. Zdalny dostęp do zasobów Zleceniodawcy ( w jaki sposób, kiedy i jak)
6. Umowa poufności (NDA)
7. Sposób i zakres przekazywania danych do Zleceniobiorcy oraz listy kontaktowe i komunikacja
8. Sposób ochrony danych, wymagane przez Zleceniodawcę od Zleceniobiorcy
9. Szczególne zapisy dot. przetwarzania w chmurze (Cloud Computing)
10. Określone procedury reagowania na incydenty/zdarzenia przez Zleceniobiorcę
11. Prawo Zleceniodawcy (lub wyznaczonej firmy audytorskiej) do audytu Zleceniobiorcy
w zakresie świadczenia usługi i powierzonych danych organizacji/’know-how’
w celu świadczenia usług określonych w przedmiocie umowy
11. Zasady zwrotu przekazanych danych / ‘know-how’ w przypadku zakończenia współpracy
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Co przed wdrożeniem i w trakcie?
20
Weryfikacja klasyfikacji BIA
Przeglądy bezpieczeństwa
Security review
Testy odbiorcze instalacji
Szkolenia (uświadaiające)
Monitorowanie niezgodności (rekomendacji)
Wdrożenie
Opracowanie procedur
Opracowanie matryc ról
Przygotowanie SIEMa
Opracowanie BCP/DRP
Wykonanie testów bezpieczeństwa (penTest, kodu)
Wykonywanie
Wdrożenie
Do not put content
on the brand
signature area
Do not put content
on the brand
signature area
Orange
RGB= 255,102,000
Light blue
RGB= 180,195,225
Dark blue
RGB= 000,000,102
Grey
RGB= 150,150,150
ING colour balance
Guideline
www.ing-presentations.intranet Pytania?
21
Grzegorz Długajczyk
ING Bank Śląski
ul. Sokolska 34,
40-086 Katowice