Zarządzanie aktywami informacyjnymi

Transkrypt

System Zarządzania Bezpieczeństwem Informacji
od dobrych praktyk do certyfikacji ISO/IEC 27001
Zarządzanie aktywami informacyjnymi
System Zarządzania Bezpieczeństwem Informacji (SZBI – w literaturze anglojęzycznej ISMS –
Information Security Management System) określa, w jaki sposób Organizacja zarządza
bezpieczeństwem swych aktywów informacyjnych. Wbrew ciągle jeszcze panującej opinii SZBI nie
zajmuje się zarządzaniem bezpieczeństwem systemów komputerowych, lecz bezpieczeństwem
informacji, niezależnie od formy i nośników używanych do jej przechowywania i dystrybucji.
Przedmiotem zainteresowania SZBI będzie więc także informacja na nośnikach papierowych, a
nawet informacja przekazywana ustnie. Sprzęt komputerowy, urządzenia sieciowe itp. mają
znaczenie dla SZBI wynikające z ich znaczenia dla bezpieczeństwa informacji.
Opracowanie specjalnych standardów SZBI oraz wprowadzanie formalnego procesu audytu,
który kończy się wydaniem certyfikatu zgodności SZBI z formalnymi wymaganiami zestawionymi
w normie PN-ISO/IEC 27001. Nazewnictwo norm wprowadza nieco zamieszania, ponieważ ISO
stosuje numerację:
• ISO/IEC 27001 – Information Security Management System - Requirements
• ISO/IEC 27002 – Code of Practice for Information Security Management System
W Polsce numeracje jest nieco inna:
• PN-ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji - Wymagania
• PN-ISO/IEC 17799:2007 Praktyczne zasady zarządzania bezpieczeństwem informacji
Obie normy wywodzą się z norm British Standard: BS7799-2 (ISO/IEC 27001) oraz BS7799-1
(ISO/IEC 27002). Związek pomiędzy tymi normami jest dość oczywisty: Norma PN-ISO/IEC
27001 (a zwłaszcza jej załącznik A) jest podstawą certyfikacji SZBI i materiałem dla audytorów.
Norma PN-ISO/IEC 17799 jest przeznaczona przede wszystkim dla organizacji ustanawiających i
wdrażających SZBI oraz dla firm konsultingowych wspomagających to działanie. Postępowanie
według zaleceń normy PN-ISO/IEC 17799 powinno doprowadzić do ustanowienia SZBI, który
następnie zostanie poddany audytowi sprawdzającemu spełnienie przez ten system wymagań normy
PN-ISO/IEC 27001.
Norma ISO/IEC 27002 (PN-ISO/IEC 17799) określa kolejność postępowania podczas
ustanawiania SZBI oraz definiuje następujące podstawowe zagadnienia, które powinny być wzięte
pod uwagę podczas ustanawiania SZBI. Należy jednak zwrócić uwagę, że norma zawiera jak kązdy
tego typu dokument zawiera sformułowania ogólne, które powinny być odpowiednio dostosowane
do potrzeb Organizacji ustanawiającej i wdrażającej SZBI.
Działania wstępne
Pierwszym, niezbędnym i bardzo ważnym etapem jest spotkanie z kierownictwem Organizacji
oraz uzyskanie wsparcia Kadry Zarządzającej dla działań związanych z ustanawianiem SZBI.
Wdrożenie SZBI jest praktycznie niemożliwe bez aktywnego wsparcia kierownictwa, które musi
być przekonane o korzyściach biznesowych, które można uzyskać w wyniku wdrożenia SZBI.
W wyniku tego spotkania powinien powstać dokument, w którym powinny zostać zestawione
Rozdział 4: Zarządzanie aktywami informacyjnymi
(C) Tomasz Barbaszewski
Materiał szkoleniowy
str. 1 z 17
potrzeby Organizacji w zakresie zarządzania bezpieczeństwem informacji. Dokument ten powinien
zawierać zestawienie przewidywanych korzyści, które powinna uzyskać Organizacja w wyniku
ustanowienia SZBI oraz preliminarz kosztów z tym związanych, stanowi on bowiem bazę
niezbędną dla podjęcia decyzji biznesowej umożliwiającej dalsze działania.
Kolejnym krokiem jest określenie zakresu wprowadzania SZBI i przygotowanie dokumentu
definiującego ten zakres. Dokument ten wyznacza ramy dalszych działań, a więc powinien zostać
zaakceptowany przez kierownictwo Organizacji.
W tym miejscu warto podkreślić, że dokumenty opracowywane w ramach ustanawiania SZBI
powinny zawierać odpowiednią stronę informacyjną. Przykład formatu takiej strony umieszczono
na zakończenie tego rozdziału. Strony informacyjne znacznie ułatwiają nadzór nad procesem
wdrażania SZBI i powinny stanowić dobry przykład zarządzania informacją oraz jej
bezpieczeństwem.
Zakres działań zmierzających do ustanowienia SZBI powinien zostać ew. skorygowany oraz
zaakceptowany przez Kierownictwo Organizacji oraz powinien być zgodny z zaleceniami normy
PN-ISO/IEC 17799. Mamy więc już na samym początku drogi do czynienia z prostym cyklem P-DC-A.
Inwentaryzacja aktywów
Ostatnim i bardzo ważnym krokiem jest przeprowadzanie inwentaryzacji zasobów
informacyjnych i sporządzenie spisu aktywów będących w dyspozycji organizacji. W zadaniu tym
pomocne będzie podejście procesowe i przyporządkowanie aktywów informacji realizowanych
przez Organizację procesów biznesowych. Jeśli Organizacja wdrożyła już odpowiednie normy
rodziny ISO 9000 przygotowanie takiej bazy danych będzie znacznie ułatwione. Spis aktywów
informacyjnych Organizacja może również przygotować we własnym zakresie.
W spisie aktywów mogą się znaleźć (przykładowo) następujące pozycje:
Aktywa niematerialne:
•
•
•
•
•
•
•
•
•
Informacje w formie cyfrowej,
Informacje w innej (nie cyfrowej) formie,
Oprogramowanie (kody wynikowe oraz licencje na wykorzystywanie programów),
Oprogramowanie – kody źródłowe wraz z licencjami i dokumentacją,
Bazy i zbiory danych,
Wzory dokumentów,
Bazy wiedzy,
Dokumentacje techniczne,
Archiwa.
Aktywa materialne związane z przetwarzaniem informacji:
str. 2 z 17
•
•
•
•
•
•
Serwery i farmy serwerów,
Komputery obliczeniowe, klastry itp.
Urządzenia sieciowe,
Stacjonarne komputery osobiste,
Komputery przenośne (wszystkie rodzaje),
Urządzenia peryferyjne itp...
Zasoby ludzkie.
Inwentaryzację należy przeprowadzić wykorzystując odpowiednio przygotowane arkusze spisowe:
Numer inwentarzowy:
Opis:
Właściciel:
Zarządzający:
Użytkownicy:
Lokalizacja:
Klasyfikacja:
Okres ważności:
Sposób likwidacji:
Kopia awaryjna (wykonywanie):
Kopia awaryjna (przechowywanie):
Wymagania:
Dostępność:
Integralność:
Poufność:
Sporządził:
Dnia:
Zatwierdził:
Dnia:
Jednostka organizacyjna:
Organizacja:
str. 3 z 17
Najczęściej do oceny wartości aktywu stosuje się skalę trójstopniową dla określenia stopnia
wymagań:
• niski – wartość 1
• średni – wartość 2.
• wysoki – wartość 3.
Za miarę wartości aktywu przyjmuje się sumę wartości przypisanych stawianym wymaganiom,
na przykład:
• dostępność = 3
• integralność = 2
• poufność = 1
• Wartość aktywu = 6
Wartości aktywów zostaną użyte w następnym etapie – analizie ryzyka.
Arkusze spisowe będą się oczywiście różnic w zależności od rodzaju spisywanego aktywu.
Opisując na przykład serwer lub komputer osobisty należy ocenić wymagania zbiorczo – dla
wszystkich danych, które są nich przechowywane lub przetwarzane i przyjąć za obowiązujące
najwyższe wymaganie.
str. 4 z 17
Klasyfikacja informacji
Klasyfikacja informacji jest podstawą ZSBI. Organizacja wprowadzająca ZSBI powinna
ustanowić Politykę Klasyfikacji Informacji (zał. A.7.2.1 do PN-ISO/IEC 27001). Polityka powinna
umożliwiać przypisanie każdej tworzonej lub otrzymywanej informacji do określonej grupy.
Zalecane jest utworzenie co najmniej 3 grup klasyfikacyjnych informacji, lecz w razie potrzeby (np.
przetwarzanie w organizacji danych niejawnych w sensie Ustawy) organizacja może zdefiniować w
Polityce Kwalifikowania Informacji więcej grup.
Klasyfikacja informacji powinna jednoznacznie określać warunki przypisania informacji do
określonej grupy oraz osobę odpowiedzialną za dokonanie takiego przypisania.
Właściciel informacji
Pojęcie właściciela informacji nie jest związane z klasycznym pojęciem własności (np. w sensie
praw autorskich), ponieważ prawa do informacji tworzonych w Organizacji, a dla informacji
otrzymywanych z zewnątrz są określane przez ich prawnych właścicieli. Właściciel informacji w
systemie SZBI określa osobę odpowiedzialną za zarządzanie tą informacją. Jest to zazwyczaj
kierownik działu, w którym informacja powstała lub osoba, która otrzymała takie uprawnienia.
Właściciel informacji dokonuje jej zakwalifikowania do określonej w Polityce Kwalifikowania
Informacji grupy i dokonuje jej odpowiedniego oznaczenia. Właściciel informacji jest jedyną osobą
uprawnioną do zmiany kwalifikacji informacji. Zmiana kwalifikacji informacji nie może być
dokonywana „w górę”, to znaczy informacja o niższym stopniu ochrony nie może być przeniesiona
do grupy, dla której przewidziano wyższy stopień ochrony.
Postępowanie z informacją
Niezależnie od tego, do jakiej grupy należy informacja Polityka Klasyfikacji Informacji musi
określać sposoby postępowania z informacją:
1.
2.
3.
4.
5.
Sposób oznaczania informacji,
Odpowiedzialność osób tworzących lub otrzymujących informację,
Warunki kopiowania informacji oraz postępowania z kopiami,
Sposoby i warunki dystrybucji informacji,
Sposoby archiwizacji informacji lub nieodwracalnego jej usunięcia.
Sposoby postępowania z informacją powinny być uzależnione od grupy, do której informacja
została zakwalifikowana przez jej właściciela. Polityka Kwalifikowania Informacji powinna
jednoznacznie definiować sposoby postępowania z informacją i określać poziomy, jakim powinny
odpowiadać jej podstawowe atrybuty – dostępność, integralność oraz poufność.
str. 5 z 17
Przykładowa Polityka Kwalifikowania Informacji
Dokument określający Politykę Kwalifikowania Informacji powinien spełniać ogólne
wymagania dla dokumentów tworzonych w ramach ustanawiania SZBI (część informacyjna) oraz
powinna mu towarzyszyć odpowiednia deklaracja stosowania.
Polityka Kwalifikowania Informacji powinna określać co najmniej trzy grupy kwalifikacyjne:
1. Informacje ogólnodostępne (publiczne),
2. Informacje do użytku wewnętrznego w ramach Organizacji,
3. Informacje poufne, o podwyższonym stopniu ochrony i ograniczonym obiegu wewnątrz
organizacji.
Informacje ogólnodostępne (publiczne)
Do grupy tej należy kwalifikować informacje spełniające następujące warunki:
1. Informacja jest przeznaczona do powszechnego wykorzystywania. Okresowa utrata
dostępności do informacji nie stanowi zagrożenia dla ciągłości działania Organizacji i
ryzyko z tym związane określono jako akceptowalne.
2. Zachowanie integralności informacji posiada ograniczone (np. wizerunkowe) znaczenie dla
Organizacji. Utrata integralności nie rodzi skutków finansowych lub prawnych dla
Organizacji.
3. Poufność nie jest zachowywana.
W grupie tej znajdą się więc wszelkie informacje marketingowe, broszury, zawartość
publicznych stron WWW (łączenie z BIP – Biuletynem Informacji Publicznej), publicznie dostępne
raporty finansowe, katalogi i wszelkie inne informacje udostępniane bez konieczności spełnienia
przez ich odbiorcę jakichkolwiek warunków – np. automatycznie generowane odpowiedzi na pocztę
elektroniczną w okresie urlopu pracownika.
W pewnych przypadkach może być konieczne zachowanie integralności informacji
przeznaczonych do udostępniania publicznego (np. aktów prawnych lub ich projektów,
dokumentacji zamówień publicznych, kody oprogramowania itp.). W razie takiej konieczności w
Polityce Kwalifikowania Informacji należy przewidzieć dodatkową podgrupę, do której będą
kwalifikowane informacje udostępniane publicznie, lecz o podwyższonym stopniu ochrony i
zastosować dodatkowe mechanizmy kontroli integralności dystrybuowanej informacji oraz
przewidzieć możliwość weryfikacji jej integralności przez odbiorcę.
str. 6 z 17
Oznaczanie informacji przeznaczonych do udostępniania publicznego
Polityka Kwalifikowania Informacji powinna określać sposób oznaczania przynależności
informacji go określonej grupy. W przypadku informacji udostępnianych publicznie dość rzadko
stosuje się umieszczanie tego oznaczenia wewnątrz samej informacji (choć zdarzają się wyjątki –
np. IBM Disclosed Bulletin).
Zarządzanie informacją wymaga jednak, aby towarzyszył jej dodatkowy rekord (metryczka)
informacyjna zawierająca dane o:
1. Właścicielu informacji,
2. Zakwalifikowaniu informacji do grupy udostępnianych publicznie i ew. dodatkowych
mechanizmach ochrony,
3. Okresie obowiązywania informacji,
4. Sposobie archiwizacji informacji lub o jej braku.
Szczegółowy format takiego rekordu jest pozostawiony do decyzji organizacji i zazwyczaj
uzależniony od wykorzystywanego systemu obiegu dokumentów.
Wiele przykładów Polityki Kwalifikowania Informacji nie przewiduje co prawda obowiązku
wprowadzania jakichkolwiek oznaczeń dla informacji udostępnianych publicznie, jest to jednak
niekorzystne choćby z tego względu, że znajomość okresu ważności informacji znacznie ułatwia
organizację usuwania nieaktualnych informacji z systemu (lub ich archiwizowanie) i tym samym
zapobiega możliwym nieporozumieniom.
Zarządzanie kopiami informacji udostępnianych publicznie
Informacje zakwalifikowane do tej grupy mogą być powielane bez ograniczeń w dowolnej
formie. Nie można więc zaliczyć do tej grupy utworów w rozumieniu Prawa Autorskiego, chyba, że
właściciel tych praw dopuścił taką możliwość (np. odpowiednią licencją „Creative Commons”,
licencją GPL lub inną licencją publiczną).
Odpowiedzialność za zarządzanie kopią informacji (w szczególności za jej aktualność) spoczywa
na odbiorcy informacji, który tą kopię wykonał.
Dystrybucja informacji udostępnianych publicznie
Nie podlega ograniczeniom, jeśli nie narusza ogólnych przepisów prawa.
Usuwanie informacji udostępnianych publicznie
Nie określa się żadnych dodatkowych wymagań – w przypadku informacji w formie
elektronicznej w postaci pliku wystarcza standardowe skasowanie go z wykorzystaniem
standardowej funkcji systemu operacyjnego, nośniki zawierające informacje zakwalifikowane do tej
grupy (papier, tworzywa sztuczne, urządzenia elektroniczne itp.) mogą być przekazywane do
recyklingu.
str. 7 z 17
Informacje o istotnym znaczeniu dla Organizacji (do użytku wewnętrznego)
Do tej grupy kwalifikowane są informacje o istotnym znaczeniu dla funkcjonowania Organizacji,
do których dostęp powinny mieć jedynie osoby pozostające w związku prawnym z Organizacją (np.
w stosunku zatrudnienia). Udostępnienie tych informacji osobom (zarówno fizycznym, jak i
prawnym), które nie pozostają w takim związku wymaga formalnej autoryzacji i zgody osób
zarządzających Organizacją.
Ewentualne ujawnienie lub przejęcie informacji należących do tej grupy przez osoby
nieuprawnione nie może skutkować ryzykiem poważnego zakłócenia działania Organizacji.
Atrybuty jakości informacji zakwalifikowanych do tej określa się następująco:
1. Dostępność – ograniczona do osób posiadających odpowiednie autoryzacje, dystrybucja
informacji jedynie do osób uprawnionych,
2. Integralność – weryfikacja integralności informacji jest obowiązkowa,
3. Poufność – nie jest wymagana, lecz odbiorcy informacji są zobowiązani do ochrony
otrzymywanych informacji należących do tej grupy.
W grupie tej powinny się znaleźć wszelkie informacje niezbędne do sprawnego działania
Organizacji – obowiązujące procedury, zarządzenia, materiały szkoleniowe, okólniki, raporty,
kontrakty i porozumienia z podmiotami zewnętrznymi, wewnętrzne listy mailingowe i książki
telefoniczne, dokumentacje projektowe i wykonawcze, dokumenty wymieniane z innymi
podmiotami (wydawane decyzje itp.), dane osobowe itp.
Oznaczanie informacji
Informacje o istotnym znaczeniu dla Organizacji powinny być wyraźnie oznaczone odpowiednią
adnotacją – np. „Do użytku wewnętrznego”. Oznaczenie to powinno być integralną częścią
informacji (np. znajdować się w nagłówku informacji umieszczanym na każdej jej stronie).
Niezależnie od umieszczenia odpowiedniego oznaczenia informacji powinna towarzyszyć opisana
w poprzednim rozdziale metryczka informacyjna.
Dodatkowe mechanizmy ochrony
Właściciel informacji dokonuje klasyfikacji informacji, wprowadza odpowiednie jej oznaczenie
oraz określa listę osób, którym informacja ma być udostępniona.
Odbiorca informacji jest odpowiedzialny za odpowiednie zabezpieczenie informacji podczas jej
przetwarzania oraz przechowywania, niezależnie od formy i nośnika, na którym informacja jest
przechowywana.
str. 8 z 17
Zarządzanie kopiami
Kopie informacji „do użytku wewnętrznego” mogą być wykonywane jedynie przez
pracowników Organizacji lub przez współpracujące z nią podmioty, których upoważnieni
przedstawicieli podpisali z Organizacją odpowiedni dokument o zachowaniu poufności (tak zwany
NDA – NonDisclosure Agreement).
Kopia informacji „do użytku wewnętrznego” podlega takim samym zasadom ochrony jak jej
oryginał.
Dystrybucja informacji „do użytku wewnętrznego”
Wewnątrz Organizacji:
1. w przypadku przekazywania informacji na nośniku należy go umieścić w odpowiedniej
kopercie poczty wewnętrznej,
2. do dystrybucji w postaci elektronicznej dopuszczalne jest jedynie wykorzystywanie
wewnętrznego systemu poczty elektronicznej wyposażonego w mechanizm zapobiegający
przypadkowemu lub zamierzonemu wysłaniu informacji na adres zewnętrzny.
Na zewnątrz Organizacji:
1. Na nośnikach – odpowiednio zabezpieczony list polecony za potwierdzeniem odbioru lub
przesyłka kurierska,
2. W postaci elektronicznej – poczta elektroniczna wyposażona w działający mechanizm
szyfrowania przesyłek.
3. Telefaxem – pod warunkiem uwierzytelnienia numeru odbiorcy.
Usuwanie informacji „do użytku wewnętrznego”
Należy zastosować mechanizmy uniemożliwiające odzyskanie usuwanej informacji „do użytku
wewnętrznego”. Informacja i wszystkie jej kopie muszą być bezwarunkowo usunięta po upływie
terminu jej ważności lub na udokumentowane polecenie jej Właściciela. Za archiwizację informacji
„do użytku wewnętrznego” odpowiada jej Właściciel.
1. Dokumenty w postaci papierowej – należy użyć niszczarki dokumentów,
2. Dokumenty na nośnikach elektronicznych – w przypadku wycofania nośnika (np. krążka
CD/DVD) z dalszego użycia należy go przekazać to odpowiedniego działu (np. IT) w celu
przeprowadzenia likwidacji. Nośniki, na których niemożliwe jest skasowanie danych (np.
CD Read Only) należy przed przekazaniem uszkodzić fizycznie. Z nośników, na których
możliwe jest kasowanie danych należy przed przekazaniem do likwidacji skasować wszelkie
informacje stosując standardowe mechanizmy systemu operacyjnego (np. procedurę
formatowania).
str. 9 z 17
3. Jeśli nośnik (np. komputer), na którym znajduje się informacja „do użytku wewnętrznego”
podlegająca usunięciu będzie w dalszym ciągu wykorzystywany przez tego samego
użytkownika należy skasować tą informację posługując się standardowymi mechanizmami
systemu operacyjnego. W przypadku przekazywania nośnika (komputera, dysku
przenośnego itp.) innemu użytkownikowi należy skasować wszelkie zawarte na nim
informacje „do użytku wewnętrznego” i przekazać go wyznaczonemu działowi w celu
zakończenia procedury kasowania zawartych na nim informacji.
Informacje poufne
Grupa informacji poufnych obejmuje informacje o kluczowym znaczeniu dla Organizacji. Do
grupy tej należy kwalifikować wszelkie informacje, których ujawnienie nieuprawnionym osobom
lub podmiotom może skutkować istotnym zakłóceniem działania Organizacji, niekorzystnymi
konsekwencjami prawnymi, finansowymi lub technicznymi, naruszeniem własności intelektualnej
itp. Grupa ta może obejmować np. wynagrodzenia pracowników, dane medyczne, dokumenty
finansowe, opracowania działów rozwoju, dokumentacje techniczne, plany biznesowe itp.
Nadzorowane atrybuty informacji poufnych:
1. Dostępność – ograniczona jedynie do osób wyznaczonych przez Właściciela informacji.
2. Integralność – ściśle kontrolowana z wykorzystaniem mechanizmów kryptograficznych
(funkcje skrótu, podpisy cyfrowe, certyfikaty itp.).
3. Poufność – wymagana. Informacja musi być szyfrowana lub skutecznie zabezpieczona w
sposób fizyczny. Korzystanie z informacji jest dozwolone jedynie w pomieszczeniach, do
których dostęp jest kontrolowany i w których nie mogą przebywać bez nadzoru osoby
nieuprawnione.
Oznaczanie informacji
Musi być umieszczone przez Właściciela w sposób trwały na każdej stronie dokumentu i
zawierać numer jego egzemplarza oraz liczbę sporządzonych egzemplarzy. Oznaczenie podlega
kontroli integralności identycznej jak stosowana dla całego dokumentu.
Dodatkowe mechanizmy ochrony
Osoba sporządzająca dokument poufny w porozumieniu z jego Właścicielem jest
odpowiedzialna za jego dystrybucję jedynie do osób umieszczonych na przygotowanej liście. Na
liście dystrybucyjnej mogą być umieszczane jedynie osoby, a nie np. Działy Organizacji. Lista
zawiera numer egzemplarza dokumentu, który został dostarczony danej osobie.
Odbiorca informacji poufnej jest zobowiązany do potwierdzenia faktu jej otrzymania i może z
niej korzystać jedynie w sposób gwarantujący zachowanie jej poufności oraz przechowywania
informacji poufnej w taki sposób, aby żadne inne osoby nie mogły uzyskać do niej dostępu.
str. 10 z 17
Zarządzanie kopiami
Kopiowanie informacji poufnej w jakikolwiek sposób jest zabronione. W przypadku
konieczności uzyskania dodatkowego egzemplarza dokumentu lub przeniesienia go na inny nośnik
wymagane jest każdorazowe uzyskanie zezwolenia Właściciela informacji, który dokona rejestruje
ten fakt na liście dystrybucyjnej danej informacji.
Dystrybucja informacji poufnej
Wewnątrz Organizacji:
1. przekazanie nośnika z informacją umieszczonego w zamkniętej kopercie przez umyślnego
pracownika,
2. W formie elektronicznej – jedynie pod warunkiem wykorzystywania wewnętrznego systemu
poczty elektronicznej skonfigurowanego w taki sposób, aby nie było możliwe dostarczanie
poczty na adresy zewnętrzne. Wymagane jest obustronne uwierzytelnienie nadawcy i
odbiorcy, zapewnienie integralności oraz szyfrowanie przesyłanych danych.
Na zewnątrz Organizacji:
1. Na nośniku umieszczonym w zabezpieczonej przed otwarciem przesyłce poleconej za
zwrotnym potwierdzeniem odbioru.
2. W formie przekazu elektronicznego – jedynie pod warunkiem wykorzystywania
bezpiecznego kanału komunikacyjnego (bezpiecznej wirtualnej sieci prywatnej w trybie
tunelowania – np. ESP IPSec).
Usuwanie informacji poufnej
Usuwanie informacji poufnej podlega podobnym procedurom, jak przewidziane dla informacji
do użytku wewnętrznego pod warunkiem stosowania niszczarek dokumentów posiadających
odpowiedni certyfikat.
Nośniki typu Read Only (CD ROM, DVD ROM) muszą być zostać skutecznie zniszczone
fizycznie. Z nośników umożliwiających zapis pliki zawierające informacje poufne należy usunąć
stosując program realizujący wielokrotny zapis danych losowych (np. wipe, eraser lub podobne).
Wycofywane lub przekazywane nośniki należy całkowicie skasować i przekazać do do działu IT.
str. 11 z 17
Uwagi końcowe
Przedstawiona powyżej Polityka Kwalifikowania Informacji jest jedynie przykładem i powinna
być dostosowana do potrzeb konkretnej Organizacji wynikających z przeprowadzonej analizy
ryzyka. W wielu przypadkach wprowadzane jest pojęcie informacji niekwalifikowanej, która nie
jest przedmiotem tej Polityki, a więc niejako pozostaje poza SZBI. Osobiście uważam takie
rozwiązanie za nieprawidłowe, ponieważ nie istnieje informacja, która nie posiada żadnego (choćby
wizerunkowego) znaczenia dla Organizacji.
W organizacjach administracyjnych starannego potraktowania wymagają informacje
udostępniane w ramach obowiązujących Biuletynach Informacji Publicznych. Są to informacje,
które muszą być z mocy ustawy dostępne bez ograniczeń, jednak niewątpliwie muszą posiadać
atrybut kontroli integralności. Z tego też względu wiele urzędów udostępnia te informacje w formie
zeskanowanych dokumentów „papierowych”, przeciwko czemu protestują (i słusznie) organizacje
pozarządowe, ponieważ przy sporządzaniu swych opinii pragnęłyby posługiwać się dokumentami
w postaci edytowalnej.
Wymagania dla poszczególnych grup informacji określane w Polityce Kwalifikowania
Informacji powinny być również dostosowane do wymagań organizacji, a co najważniejsze nie
powinny kolidować z wymaganiami aktów prawnych wyższego rzędu – aby wymienić jedynie
Ustawy o ochronie danych osobowych lub informacji niejawnych. Informacje chronione z mocy
ustaw nie powinny pozostawać poza ustanawianym systemem zarządzania bezpieczeństwem
informacji.
Zakwalifikowanie aktywu informacyjnego jest podstawą do jego wyceny dla potrzeb analizy
ryzyka – na przykład:
Klasyfikacja aktywu:
Dostępność
Integralność
Poufność
Wartość aktywu
Informacja publiczna:
Średnia - 2
Niska - 1
Brak - 1
4
Do użytku wewnętrznego
Wysoka - 3
Średnia - 2
Średnia - 2
7
Informacja poufna
Wysoka- 3
Wysoka - 3
Wysoka - 3
9
str. 12 z 17
Ocena i szacowanie zagrożeń i podatności
Pojęcia te są często błędnie interpretowane. Najlepiej posłużyć się przykładem – komputer PC
ze standardowym systemem operacyjnym, bez jakichkolwiek dodatkowych zabezpieczeń
niewątpliwie charakteryzuje się wysokim poziomem podatności, jeśli jednak umieścimy go w
klatce Faraday’a, nie podłączymy do sieci komputerowej i powierzymy do użytkowania jednemu
użytkownikowi to poziom zagrożenia należy ocenić jako bardzo niewielki.
Odwrotnie, ten sam komputer wyposażony w zaawansowane programy zabezpieczające, lecz
podłączony bezpośrednio do sieci Internet będzie charakteryzować się niskim poziomem
podatności, lecz wysokim - zagrożenia.
Oceny podatności i zagrożeń dokonujemy także zazwyczaj w skali trójstopniowej – identycznie jak
wartości aktywów.
Ostatnim etapem jest oszacowanie prawdopodobieństwa wystąpienia niekorzystnego zdarzenia.
Przypisujemy mu wagi liczbowe – najczęściej od 1 (zdarzenie nie występuje lub jego
prawdopodobieństwo jest znikome) do 5 (zdarzenie występuje często lub jest bardzo
prawdopodobne).
str. 13 z 17
Przykładowy schemat analizy ryzyka:
Inwentaryzacja aktywów
Wycena wartości aktywów - W
Identyfikacja zagrożeń i podatności – Z i V
Oszacowanie prawdopodobieństwa - P
Ocena poziomu ryzyka R=W*Z*V
Wpływ na działalność biznesową - B:
0 – bez znaczenia
...
5 – średni
...
9 - katastrofalny
Całkowite ryzyko = R*B
Opracowany w ten sposób materiał jest podstawą do podjęcia decyzji biznesowych –
zaakceptowania ryzyka, podjęcia działań zmierzających do ograniczenia poziomu ryzyka i jego
wpływu na działalność biznesową lub delegacji ryzyka. Ewentualne decyzje o wprowadzeniu
dodatkowych zabezpieczeń lub podjęcie działań organizacyjnych zmierzających do ograniczenia
wpływu ryzyka wymaga ponownego przeprowadzenia analizy ryzyka (cykl P-D-C-A).
str. 14 z 17
Analiza ryzyka jest bazą do przygotowania Planu Postępowania z Ryzykiem. Plan ten powinien
zawierać:
• zestawienie zidentyfikowanych ryzyk,
• propozycje działań, które należy podjąć w związku ze zidentyfikowanym i ocenionym
ryzykiem (wdrożenie zabezpieczeń, opracowanie odpowiednich procedur, wprowadzenie
zmian organizacyjnych),
• zasoby, które są niezbędne do realizacji planu postępowania z ryzykiem,
• priorytety realizacji umieszczonych w planie działań,
• osoby odpowiedzialne za realizację działań przewidzianych w planie,
• proponowany harmonogram realizacji działań.
Kolejnym dokumentem jest Deklaracja Stosowania. Dokument zawiera zestawienie powodów
oraz celów wprowadzenia zabezpieczeń, a także opis samych zabezpieczeń. Deklaracja stosowania
powinna również zawierać krótkie uzasadnienie merytoryczne wyboru określonych zabezpieczeń.
Forma Deklaracji Stosowania może być dowolna, lecz w praktyce jest ona zdeterminowana
wynikami analizy ryzyka:
• zidentyfikowane ryzyko wraz z jego oceną,
• cel wprowadzenia zabezpieczenia,
• wybór sposobu zabezpieczenia,
• opis zabezpieczenia wraz z uzasadnieniem,
• spodziewane efekty zastosowania zabezpieczeń.
Powyższe dokumenty po ich opracowaniu są przedkładane Kierownictwu Organizacji w celu:
• akceptacji pozostawionych szczątkowych ryzyk,
• zatwierdzenia i wdrożenia Planu Postępowania z Ryzykiem.
Akceptacja Planu Postępowania z Ryzykiem raz Deklaracji Stosowania kończy wstępny etap
ustanawiania SZBI i umożliwia przystąpienie do opracowywania Programu Implementacji SZBI.
Uwagi praktyczne
Etap wstępny ustanawiania SZBI ma bardzo duże znaczenie dla powodzenia i szybkiego
przeprowadzenia tego przedsięwzięcia. Nie jest to możliwe bez wsparcia Kierownictwa
Organizacji. Należy jednak również zwrócić uwagę na uzyskanie zrozumienia dla podejmowanych
działań przez pracowników zatrudnionych w Organizacji. Podczas spotkania z Kierownictwem
warto zwrócić uwagę, że odpowiednia polityka informacyjna, ew. wspomagana krótkimi
szkoleniami powinna być głównie nastawiona na wzmocnienie motywacji wewnętrznej
pracowników i ich identyfikowania się z celami Organizacji, do którym należy również zarządzanie
bezpieczeństwem informacji. Podejmowane podczas ustanawiania i wdrażania SZBI działania są
niekiedy postrzegane jako ograniczenie swobody pracowników – zwłaszcza dotyczy to
pracowników o wyższej pozycji służbowej. Kształtowanie świadomości pracowników o znaczeniu
aktywów informacyjnych w nowoczesnej Organizacji wpływa także bardzo korzystnie na ich
efektywność. Wdrażanie SZBI jest znakomitą okazją do przekonania pracowników, że zarówno
str. 15 z 17
informacja, jak i środki techniczne wykorzystywane do jej dystrybucji, przetwarzania oraz
przechowywania są powierzonymi im środkami produkcji i powinni dbać we własnym interesie o
wykorzystywanie ich zgodnie z przeznaczeniem – to znaczy do realizacji procesów biznesowych
Organizacji.
Ustanowienie SZBI wiąże się z wprowadzeniem szeregu procedur – nie powinno się wymuszać
ich stosowania – postępowanie zgodnie z tymi procedurami powinno być dla pracownika naturalne
i oczywiste. Tylko wówczas procedury (a tym samym zasady bezpieczeństwa informacji) nie będą
omijane. Procedury powinny być więc w miarę proste i ściśle związane z zadaniami, które
wykonuje pracownik. Związek pomiędzy procedurami bezpieczeństwa i możliwością sprawnej
pracy powinien stać się dla każdego pracownika jasny i oczywisty.
Dokumentowanie działań podczas ustanawianie SZBI
Podczas wdrażania SZBI powstaja szereg dokumentów i zestawień. Najprawdopodobniej (cykl
P-D-C-A) będą one podlegały korektom. Warto więc już podczas etapu wstępnego zadbać o
właściwy i przejrzysty sposób zarządzania nimi.
Każdy dokument, niezależnie od tego, czy będzie przechowywany w postaci klasycznej, czy
elektronicznej powinien zawierać odpowiednią metryczkę informacyjną:
Tytuł dokumentu:
Identyfikator dokumentu:
Klasyfikacja informacji:
Wersja:
Opracował:
Data opracowania:
Zatwierdził:
Lista dystrybucyjna:
Otrzymują:
Cel przekazania:
Lista zmian:
Wersja Strona Data: Opis dokonanej zmiany:
Wprowadził Zatwierdził
str. 16 z 17
Powyższa wersja jest oczywiście przykładowa. Jeśli Organizacja wykorzystuje system
zarządzania dokumentami to oczywiście może być on stosowany także do dokumentów związanych
z ustanawianiem SZBI.
Rola konsultanta przy wdrażaniu SZBI
Wbrew powszechnej opinii ustanowienie SZBI nie jest zadaniem zbyt trudnym – jest jednak
niewątpliwie zadaniem złożonym. Wiele Organizacji może się podjąć realizacji takiego projektu
własnymi siłami, jednak należy sie liczyć z tym, że spowoduje to konieczność wyłączenia (lub
przynajmniej ograniczenia) kilku pracowników z realizacji standardowych zadań. Dodatkowo brak
dobrej znajomości procesu ustanawiania SZBI, niezbędnych dokumentów itp. powoduje, że ryzyko
niepowodzenia audytu przedcertyfikacyjnego jest duże, a konieczność podejmowania wielu prób
wydłuża czas realizacji projektu i oczywiście zwiększa jego koszty.
Przeciwstawnym rozwiązaniem jest zaangażowanie specjalistycznej firmy konsultingowej. Nie
należy jednak liczyć na to, że będzie ona w stanie dobrze wykonać swoje zadania bez codziennej
współpracy z wieloma pracownikami Organizacji. Każda Organizacja ma bowiem swoją specyfikę
oraz wypracowane sposoby działania i traktowania informacji. W dużych jednostkach
przeprowadzenie pełnej i kompletnej inwentaryzacji aktywów oraz poprawne określenie ich
wartości może się okazać wręcz niemożliwe. Oczywiście wiele niezbędnych do przystąpienia do
ustanowienia SZBI danych jest dostępnych rutynowo w Organizacji (w działach Inwentaryzacji,
Bezpieczeństwa, IT itp.) jednak moja praktyka wykazała, że niezbędna jest ich weryfikacja – np.
wiele posiadanych i zinwentaryzowanych licencji na wykorzystywanie oprogramowania nie jest
faktycznie wykorzystywanych, na niektórych serwerach (np. WWW) jest wykorzystywane Wolne i
Otwarte lecz nie jest to nigdzie zewidencjonowane (brak jest również wymaganej kopii licencji
GPL), komputery osobiste bywają często wykorzystywane do innych zadań itp.
Rzetelne przeprowadzenie inwentaryzacji aktywów nie jest w takiej sytuacji możliwe bez ścisłej
współpracy z pracownikami Organizacji.
Bardzo korzystnym rozwiązaniem, które znakomicie sprawdza się w praktyce jest nawiązanie
współpracy z doświadczonym konsultantem, lecz pozostawienie części zadań w gestii pracownika
organizacji. Pracownik ten powinien móc efektywnie współpracować z działami Organizacji oraz z
konsultantem, którego zadaniem będzie wówczas przygotowywanie odpowiednich ankiet oraz
zbiorcze opracowywanie danych. W ten sposób utrzymany zostaje dobry kontakt z pracownikami
Organizacji i otrzymywane dane są poprawne i wiarygodne, a równocześnie dokumenty i procedury
opracowywane w procesie ustanawiania SZBI odpowiadają wymaganiom formalnym. Wielu
konsultantów współpracuje z jednostkami certyfikującymi i dzięki temu znają oni wymagania ich
audytorów. Unika się dzięki temu przykrych niespodzianek i konieczności powtarzania audytów.
Dodatkowo oddelegowany do współpracy z konsultantem pracownik zdobywa wiedzą praktyczną
w zakresie ustanawiania i wdrażania SZBI i może pełnić funkcję audytora wewnętrznego.
str. 17 z 17

Zarządzanie aktywami informacyjnymi

Transkrypt

Podobne dokumenty

Bezpieczne wykorzystywanie systemu teleinformatycznego Karta

Bezpieczeństwo informacji – wdrożenie, certyfikacja i

Zasady zarządzania bezpieczeństwem informacji przy realizacji

wstęp - Tomasz Barbaszewski

System Zarządzania Bezpieczeństwem Informacji SZKOLENIA

PDF by LASER