1 1
Aspekty normalizacyjne zarz
Aspekty normalizacyjne zarz ą ą dzania dzania incydentami bezpiecze
incydentami bezpiecze ń ń stwa w stwa w kontek
kontek ś ś cie integralno cie integralno ś ś ci i dost ci i dost ę ę pno pno ś ś ci ci danych
danych
Janusz Cendrowski Asseco Systems S.A.
Komitet Techniczny Nr 182
Jako Jako ść ść danych w systemach informatycznych danych w systemach informatycznych
zak zak ł ł ad ad ó ó w ubezpiecze w ubezpiecze ń ń 25.III.2009 25.III.2009
Skr Skr ó ó ty i definicje ty i definicje
IB IB - - Incydent bezpieczeń Incydent bezpiecze ń stwa stwa
PBI PBI – – Polityka Bezpieczeń Polityka Bezpiecze ń stwa Informacji stwa Informacji
PZIB PZIB – – Proces Zarz Proces Zarz ą ą dzania Incydentami dzania Incydentami Bezpiecze
Bezpiecze ń ń stwa stwa
JO JO - - Jednostka organizacyjna Jednostka organizacyjna
IBTI IBTI - - Inspektor bezpieczeń Inspektor bezpiecze ństwa stwa teleinformatycznego
teleinformatycznego
SZBI SZBI – – System Zarzą System Zarz ądzania dzania Bezpiecze
Bezpieczeń ństwem Informacji stwem Informacji
3 3
Cel prezentacji Cel prezentacji
Przedstawienie poj Przedstawienie poj ę ę cia incydentu w PN- cia incydentu w PN - ISO/IEC ISO/IEC 27001 i
27001 i
PN-PN-ISO/IEC 20000ISO/IEC 20000
Przedstawienie normalizacyjnych aspekt Przedstawienie normalizacyjnych aspekt ó ó w w
zarzą zarz ądzania incydentami bezpiecze dzania incydentami bezpieczeń ństwa w normach stwa w normach
•• PN-PN-ISO/IEC 17799 (ISO/IEC 27002)ISO/IEC 17799 (ISO/IEC 27002)
•• TR ISO/IEC 18044TR ISO/IEC 18044
Przedstawienie powią Przedstawienie powi ąza zań ń procesu PZIB z innymi procesu PZIB z innymi procesami w IT
procesami w IT
Interpretacja przepis Interpretacja przepis ó ó w dotycz w dotycz ących ochrony ą cych ochrony informacji w zakresie zarz
informacji w zakresie zarzą ądzania IB dzania IB
Uwaga techniczna Uwaga techniczna
•• Znak (?) –Znak (?) – wwątpliwoątpliwośści prelegenta ci prelegenta
Przepisy Przepisy
[UODO] –[UODO] – Ustawa z dnia 29.08.1997 o ochronie danych Ustawa z dnia 29.08.1997 o ochronie danych osobowych (Dz. U. Nr 133 poz. 883)
osobowych (Dz. U. Nr 133 poz. 883)
[R1024] [R1024] –– RozporząRozporządzenie Ministra SWiA z 29.04.2004 w dzenie Ministra SWiA z 29.04.2004 w sprawie dokumentacji przetwarzania danych sprawie dokumentacji przetwarzania danych osobowych oraz warunk
osobowych oraz warunkóów technicznych i w technicznych i organizacyjnych jakim powinny odpowiada organizacyjnych jakim powinny odpowiadaćć
urzurząądzenia i systemy informatyczne sdzenia i systemy informatyczne słłuużążące do ce do przetwarzania danych osobowych (Dz.U. Nr 100 przetwarzania danych osobowych (Dz.U. Nr 100 poz. 1024)
poz. 1024)
[UOIN] [UOIN] –– Ustawa z dnia 22 stycznia 1999 o ochronie Ustawa z dnia 22 stycznia 1999 o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95) informacji niejawnych (Dz. U. Nr 11, poz. 95)
[R1433] [R1433] –– RozporząRozporządzenie Prezesa RM z dnia 25.08.2005 w dzenie Prezesa RM z dnia 25.08.2005 w sprawie okre
sprawie okreśślenia podstawowych wymagalenia podstawowych wymagańń bezpiecze
bezpieczeńństwa systemstwa systemóów i sieci w i sieci
teleinformatycznych (Dz.U. 171, poz. 1433) teleinformatycznych (Dz.U. 171, poz. 1433)
5 5
Kr Kr ó ó tki przegl tki przegl ą ą d d - - przepisy przepisy
[UIDP] –[UIDP] – Ustawa z dnia 17.02.2005 r. o Ustawa z dnia 17.02.2005 r. o informatyzacji dzia
informatyzacji działłalnoalnośści podmiotci podmiotóóww realizuj
realizująących zadania publiczne (Dz.U. Nr 64, cych zadania publiczne (Dz.U. Nr 64, poz. 565).
poz. 565).
[R1766] [R1766] –– RozporząRozporządzenie RM z dnia 11.10.2005 w dzenie RM z dnia 11.10.2005 w sprawie okre
sprawie okreśślenia minimalnych wymagalenia minimalnych wymagańń dla system
dla systemóów teleinformatycznych w teleinformatycznych (Dz.U.212, poz. 1766)
(Dz.U.212, poz. 1766)
[Zal_BTI][Zal_BTI] Zalecenia dotycząZalecenia dotyczące bezpieczece bezpieczeństwa ństwa teleinformatycznego, ABW, wersja 1.1, teleinformatycznego, ABW, wersja 1.1, Warszawa
Warszawa –– grudzieńgrudzień 2006.2006.
[Zal_AZR] Szczegó[Zal_AZR] Szczegółłowe zalecenia dotyczowe zalecenia dotycząące analizy oraz ce analizy oraz zarzązarządzania ryzykiem w systemach i sieciach dzania ryzykiem w systemach i sieciach teleinformatycznych, wersja 1.2, ABW,
teleinformatycznych, wersja 1.2, ABW, Warszawa
Warszawa –– grudzieńgrudzień 2006.2006.
Polskie normy Polskie normy
[13335[13335-1] -1] –– PN-PN-II--1333513335--1:1999 Technika informatyczna 1:1999 Technika informatyczna -- Wytyczne do zarz
Wytyczne do zarząądzania bezpieczedzania bezpieczeńństwem stwem system
systemóów informatycznych w informatycznych –– PojPojęęcia i modele cia i modele bezpiecze
bezpieczeńństwa stwa
[27001] [27001] –– PN-PN-ISO/IEC 27001:2007 Technika ISO/IEC 27001:2007 Technika informatyczna
informatyczna –– Techniki bezpieczeTechniki bezpieczeństwa ństwa –– Systemy zarz
Systemy zarząądzania bezpieczedzania bezpieczeńństwem stwem informacji
informacji –– WymaganiaWymagania
[17799] [17799] –– PN-PN-ISO/IEC 17799:2007 Technika ISO/IEC 17799:2007 Technika informatyczna
informatyczna –– Techniki bezpieczeTechniki bezpieczeństwa ństwa –– Praktyczne zasady zarz
Praktyczne zasady zarząądzania dzania bezpiecze
bezpieczeńństwem informacjistwem informacji
[20000]–[20000]– PN-PN-ISO/IEC 20000ISO/IEC 20000--1:2007 1:2007 -- Technika Technika informatyczna
informatyczna -- ZarząZarządzanie usdzanie usłługami ugami -- CzęśćCzęść 1: 1:
Specyfikacja; PN
Specyfikacja; PN--ISO/IEC 20000ISO/IEC 20000--2:2007 2:2007 -- Technika informatyczna
Technika informatyczna -- ZarzZarządzanie usądzanie usłługami ugami --
7 7
Normy zagraniczne Normy zagraniczne
[18044] [18044] –– TR ISO/IEC 180044 TR ISO/IEC 180044 Information technology –Information technology – Security techniques
Security techniques –– Information securityInformation security incident management
incident management
Problem Problem
Relacja bezpiecze Relacja bezpiecze ń ń stwa informacji do stwa informacji do jako jako ś ś ci danych ci danych
Jako Jako ść ść danych rozumiana jako ich danych rozumiana jako ich
• • Integralno Integralno ść ść
• • Dost Dost ę ę pno pno ść ść
• • Autentyczno Autentyczno ść ść
Jak reagowa Jak reagowa ć ć na incydenty, na incydenty, ż ż eby eby zmniejszy
zmniejszy ć ć ich skutki i powtarzalno ich skutki i powtarzalno ść ść ? ?
9 9
Definicje incydent
Definicje incydent ó ó w w
[20000] [20000]
• • Incydent Incydent – – ka ka ż ż de zdarzenie, kt de zdarzenie, kt ó ó re nie nale re nie nale ż ż y do y do standardowej operacji us
standardowej operacji usł ł ugi i kt ugi i kt óre powoduje ó re powoduje lub mo
lub moż że powodowa e powodować ć przerw przerw ę ę w dostarczaniu tej w dostarczaniu tej usł us ł ugi lub redukcję ugi lub redukcj ę jej jako jej jako ści ś ci
[27001], [17799], [18044] [27001], [17799], [18044]
• • incydent zwi incydent zwi ązany z bezpiecze ą zany z bezpieczeń ństwem stwem informacji
informacji jest to pojedyncze zdarzenie lub seria jest to pojedyncze zdarzenie lub seria niepo
niepo żą żą danych lub niespodziewanych zdarze danych lub niespodziewanych zdarze ń ń
zwią zwi ązanych z bezpiecze zanych z bezpieczeń ństwem informacji, kt stwem informacji, któ ó re re stwarzaj
stwarzaj ą ą znaczne prawdopodobie znaczne prawdopodobie ństwo ń stwo zak zak ł ł ócenia dzia ó cenia dział ł ań a ń biznesowych i zagra biznesowych i zagra żaj ż aj ą ą
bezpiecze
bezpiecze ń ń stwu informacji stwu informacji
Definicje incydent
Definicje incydent ó ó w w
[20000] [27001]
Co Zdarzenie Pojedyncze zdarzenie lub
seria niepożądanych lub niespodziewanych
zdarzeń Cecha,
sposób wykrycia
które nie należy do standardowej operacji
usługi
związanych z bezpieczeństwem
informacji, Skutek które powoduje lub może
powodować przerwę w dostarczaniu tej usługi
lub
redukcję jej jakości
które stwarzają znaczne prawdopodobieństwo
zakłócenia działań biznesowych
zagrażająi
bezpieczeństwu informacji
11 11
Rodzaje incydent
Rodzaje incydent ó ó w w - - przyk przyk ł ł ady ady
Tylko [20000]
Incydent SLA [20000] i [27001]
Incydent SLA i IB Tylko [27001]
IB Spadek wydajności
spowodowany większą ilością użytkowników
niż przewidziano
Awaria sprzętu (dostępność)
Zablokowanie systemu spowodowane brakiem
umiejętności użytkowników
Błąd /awaria/
oprogramowania Atak malware (integralność,
dostępność)
Włamanie i usunięcie danych (integralność,
dostępność)
Ujawnienie informacji, wykorzystanie w celach prywatnych (Naruszenie
poufności)
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Rozdzia Rozdzia ł ł 13 [17799] 13 [17799]
• • Zg Zg ł ł aszanie zdarze aszanie zdarze ń ń
ZgłZgłaszanie zdarzeaszanie zdarzeńń związwiązanych z bezpieczezanych z bezpieczeńństwem stwem informacji
informacji
ZgłZgłaszanie saszanie słabołabośści systemu bezpieczeci systemu bezpieczeńństwastwa
• • Zarz Zarz ą ą dzanie incydentami zwi dzanie incydentami zwi ą ą zanymi z zanymi z bezpiecze
bezpiecze ństwem informacji ń stwem informacji
OdpowiedzialnośćOdpowiedzialność i proceduryi procedury
WyciąWyciąganie wnioskganie wnioskóów z incydentów z incydentów zwiw zwiąązanych z zanych z bezpiecze
bezpieczeńństwem informacjistwem informacji
Gromadzenie materiałGromadzenie materiału dowodowegou dowodowego
13 13
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Zg Zg ł ł aszanie zdarze aszanie zdarze ń ń zwią zwi ą zanych z zanych z bezpiecze
bezpiecze ń ń stwem informacji stwem informacji
• • Niezw Niezw ł ł oczne zg oczne zg ł ł aszanie zdarzeń aszanie zdarze ń zwi zwi ązanych z ą zanych z bezpiecze
bezpiecze ń ń stwem informacji poprzez odpowiednie stwem informacji poprzez odpowiednie kana kana ł ł y y
• • Odpowiednie procedury Odpowiednie procedury
Poprawne zachowanie użPoprawne zachowanie użytkownikaytkownika
•• Opisanie szczegóOpisanie szczegółółóww
•• Zakaz samodzielnej reakcji bez zgłZakaz samodzielnej reakcji bez zgłoszenia (?)oszenia (?)
Formularze zgłFormularze zgłoszeniaoszenia
Zwrotne informowanieZwrotne informowanie
Proces dyscyplinarnyProces dyscyplinarny
• • Zawsze dost Zawsze dost ę ę pny punkt zg pny punkt zg ł ł oszenia oszenia
• • R R ównie ó wnie ż ż personel stron trzecich personel stron trzecich
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Zg Zg ł ł aszanie s aszanie s ł ł aboś abo ści systemu bezpiecze ci systemu bezpieczeń ń stwa stwa
• • Zg Zg ł ł aszanie zaobserwowanych lub podejrzewanych aszanie zaobserwowanych lub podejrzewanych s s ł ł abo abo ś ś ci bezpiecze ci bezpiecze ń ń stwa w systemach lub stwa w systemach lub
usł us ł ugach przez wszystkich pracownik ugach przez wszystkich pracownik ó ó w i w i reprezentant
reprezentant ó ó w stron trzecich. w stron trzecich.
• • Odbiorca zg Odbiorca zg ł ł oszenia oszenia
Kierownictwo (?)Kierownictwo (?)
Dostawca usłDostawca usług ug
• • Zakaz testowania podatno Zakaz testowania podatno ści na w ś ci na w łasn ł asną ą r r ę ę k k ę ę
15 15
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Odpowiedzialno Odpowiedzialno ść ść i procedury w zakresie i procedury w zakresie zarz zarz ą ą dzania IB dzania IB
• • Szybka, skuteczna i uporz Szybka, skuteczna i uporz ą ą dkowana reakcja dkowana reakcja
odpowiedzialnośćodpowiedzialność kierownictwakierownictwa
procedury procedury
• • Wykorzystanie system Wykorzystanie system ó ó w monitorowania w monitorowania
• • R R ó ó ż ż ne procedury reagowania na r ne procedury reagowania na r ó ó ż ż ne IB ne IB
awarie systemawarie systemóów informacyjnych i utrata usw informacyjnych i utrata usłługiugi
wystąwystąpienie zpienie złołośśliwego koduliwego kodu
odmowa usłodmowa usługiugi
błąbłąd danych (?)d danych (?)
naruszenie poufnośnaruszenie poufności i integralnoci i integralnośścici
niewłniewłaaśściwe uciwe użżycie systemycie systemóów informacyjnychw informacyjnych
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Odpowiedzialno Odpowiedzialno ść ść i procedury w zakresie i procedury w zakresie zarz zarz ą ą dzania IB dzania IB cd cd . .
• • Analiza i identyfikacja przyczyny IB Analiza i identyfikacja przyczyny IB
• • Ograniczanie zasi Ograniczanie zasi ę ę gu gu
• • Dzia Dzia ł ł ania naprawcze ania naprawcze
• • Raportowanie Raportowanie
• • Gromadzenie i zabezpieczanie Gromadzenie i zabezpieczanie ś ś lad lad ó ó w audytowych w audytowych lub podobnych dowod
lub podobnych dowodó ów w
• • Nadz Nadz ó ó r nad dzia r nad dzia ł ł aniami odtwarzaj aniami odtwarzaj ą ą cymi cymi
17 17
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Wyci Wyci ą ą ganie wniosk ganie wniosk ów z incydent ó w z incydent ów ó w
zwi zwi ą ą zanych z bezpiecze zanych z bezpiecze ń ń stwem informacji stwem informacji
• • Mechanizmy umo Mechanizmy umo żliwiaj ż liwiaj ące liczenie i ą ce liczenie i monitorowanie rodzaj
monitorowanie rodzaj ó ó w, rozmiar w, rozmiar ó ó w i koszt w i koszt ó ó w w incydent
incydent ó ó w zwi w zwi ą ą zanych z bezpiecze zanych z bezpiecze ń ń stwem stwem informacji.
informacji.
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Gromadzenie materia Gromadzenie materia ł ł u dowodowego u dowodowego
• • Zgromadzenie, zachowanie i przedstawienie Zgromadzenie, zachowanie i przedstawienie materia
materia łu dowodowego zgodnie z zasadami ł u dowodowego zgodnie z zasadami materia
materia łu dowodowego obowi ł u dowodowego obowią ązuj zuj ącymi w ą cymi w odpowiednim prawodawstwie
odpowiednim prawodawstwie
• • Procedury zbierania i przedstawiania materiał Procedury zbierania i przedstawiania materia łu u dowodowego na potrzeby post
dowodowego na potrzeby postę ępowania powania
• • Dopuszczalno Dopuszczalno ść ść materia materia ł ł u dowodowego u dowodowego
ZgodnośćZgodność systemósystemów informacyjnych z opublikowanymi w informacyjnych z opublikowanymi normami lub praktycznymi zasadami tworzenia takiego normami lub praktycznymi zasadami tworzenia takiego materia
materiałłu dowodowegou dowodowego
• • Zabezpieczania materia Zabezpieczania materia ł ł u dowodowego u dowodowego
Utrzymanie jakośUtrzymanie jakości i kompletnoci i kompletnościści
19 19
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Gromadzenie materia Gromadzenie materia ł ł u dowodowego u dowodowego
•• „dla dokument„dla dokumentóów papierowychw papierowych: orygina: oryginałł jest bezpiecznie jest bezpiecznie przechowywany wraz z informacj
przechowywany wraz z informacją, kto znalazą, kto znalazłł dokument, dokument, gdzie, kiedy i kto by
gdzie, kiedy i kto byłł świadkiem tego zdarzenia; kaświadkiem tego zdarzenia; każde żde śledztwo mośledztwo możże wykazae wykazaćć, , żże oryginae oryginałł nie zostałnie został naruszony”naruszony”
•• „dla dokument„dla dokumentóów na nośw na nośnikach komputerowychnikach komputerowych: zaleca si: zaleca sięę utworzenie obrazu lub kopii (zale
utworzenie obrazu lub kopii (zależżnie od stosownych nie od stosownych wymaga
wymagańń) wszelkich no) wszelkich nośnikśnikóów wymiennych; zaleca siw wymiennych; zaleca sięę zapisanie informacji znajduj
zapisanie informacji znajdująących sicych sięę na dyskach twardych na dyskach twardych lub w pami
lub w pamięęci komputera, aby zapewnici komputera, aby zapewnićć ich dostęich dostępnopnośćść; ; zaleca si
zaleca sięę zachowanie zapisózachowanie zapisów wszelkich dziaw wszelkich działłaańń podczas podczas procesu kopiowania oraz aby proces ten odbywa
procesu kopiowania oraz aby proces ten odbywałł sięsię w w obecno
obecnośści ci śświadkwiadkóów; zaleca siw; zaleca sięę przechowywanie przechowywanie oryginalnego no
oryginalnego nośśnika i dziennika zdarzenika i dziennika zdarzeńń w sposw sposóób b bezpieczny i nienaruszony (je
bezpieczny i nienaruszony (jeśśli to niemoli to niemożżliwe, to co liwe, to co najmniej jeden obraz lustrzany lub kopi
najmniej jeden obraz lustrzany lub kopięę))””
Zarz Zarz ą ą dzanie incydentami w [17799] dzanie incydentami w [17799]
Gromadzenie materia Gromadzenie materia ł ł u dowodowego u dowodowego
• • Przeprowadzanie wszelkich dzia Przeprowadzanie wszelkich dzia ła ł ań ń śledczych na ś ledczych na kopiach materia
kopiach materia ł ł u dowodowego u dowodowego
• • Ochrona integralno Ochrona integralno ści wszystkich materia ś ci wszystkich materia ł ł ó ó w w dowodowych
dowodowych
• • Nadzorowanie kopiowania materia Nadzorowanie kopiowania materia ł ł ó ó w przez w przez zaufany personel
zaufany personel
• • Zapisanie informacji Zapisanie informacji
czas i miejsce kopiowaniaczas i miejsce kopiowania
podmiot wykonujpodmiot wykonująącycy
narzęnarzędzia lub programydzia lub programy
21 21
Przyk
Przyk ł ł ad procesu zarz ad procesu zarz ą ą dzania IB dzania IB
Przyk Przyk ł ł adowy proces zarz adowy proces zarz ą ą dzania IB (PZIB) dzania IB (PZIB)
• • Procedura zg Procedura zg ł ł aszania IB aszania IB
• • Procedura zgł Procedura zg ł aszania podatno aszania podatno ści ś ci
• • Procedura monitorowania Procedura monitorowania usuwania skutk usuwania skutk ów ó w awarii, atak
awarii, atakó ów w malware malware i zdarzeń i zdarze ń losowych losowych
• • Procedury realizowane przez Pion IT (ich procesy) Procedury realizowane przez Pion IT (ich procesy)
Procedury reagowania na awarieProcedury reagowania na awarie
Itd. Itd. itpitp………
• • Procedura reagowania na naruszenie Procedura reagowania na naruszenie bezpiecze
bezpiecze ństwa ń stwa
• • Procedura gromadzenia materia Procedura gromadzenia materia ł ł u dowodowego u dowodowego
W W ł ł a a ś ś ciciel procesu ciciel procesu
• • Pion bezpiecze Pion bezpiecze ń ń stwa organizacji stwa organizacji
Powi Powi ą ą zania z innymi procesami zania z innymi procesami
Proces Proces HelpDesk HelpDesk –> PZBI – > PZBI
• • Zg Zg ł ł aszanie narusze aszanie narusze ń ń bezpiecze bezpiecze ń ń stwa stwa
• • Informowanie o incydentach, SLA kt Informowanie o incydentach, SLA kt óre s ó re s ą ą IB IB
Procesy utrzymania IT Procesy utrzymania IT
• • Naprawianie awarii itp. Naprawianie awarii itp.
Proces monitorowania Proces monitorowania - - > PZIB > PZIB
• • Bezpo Bezpo średnie alarmy z system ś rednie alarmy z systemó ów monitorowania w monitorowania
• • Bezpo Bezpo średnie incydenty z system ś rednie incydenty z systemó ów zarz w zarz ądzania ą dzania zdarzeniami
zdarzeniami
• • Itd. itp.. Itd. itp..
23 23
Powi Powi ą ą zania z innymi procesami zania z innymi procesami
PZIB PZIB - - > Proces zarzą > Proces zarz ą dzania ryzykiem dzania ryzykiem
• • Uwzgl Uwzgl ę ę dnianie wniosk dnianie wniosk ó ó w z IB w zarz w z IB w zarz ą ą dzaniu dzaniu ryzykiem
ryzykiem
PZIB PZIB - - > Proces zarz > Proces zarz ą ą dzania konfiguracj dzania konfiguracj ą ą
• • Natychmiastowa zmiana niebezpiecznej Natychmiastowa zmiana niebezpiecznej konfiguracji
konfiguracji
PZIB PZIB - - > Proces zarz > Proces zarz ą ą dzania zmianami dzania zmianami
• • Wniosek o zmianę Wniosek o zmian ę
PZIB PZIB - - > Proces zarz > Proces zarz ą ą dzania ci dzania ci ą ą g g ł ł o o ś ś ci ci ą ą dzia dzia ł ł ania ania
• • Uruchamianie planu BCP Uruchamianie planu BCP
Zarz Zarz ą ą dzanie incydentami w [18044] dzanie incydentami w [18044]
4 procesy 4 procesy
• • Planowania i przygotowania Planowania i przygotowania
• • Stosowania Stosowania
• • Przegl Przegl ą ą du du
• • Doskonalenia Doskonalenia
• • => Model PCDA znany m.in. z [27001] => Model PCDA znany m.in. z [27001]
25 25
Zarz Zarz ą ą dzanie incydentami w [18044] dzanie incydentami w [18044]
Planowania i przygotowania Planowania i przygotowania
• • Polityka Polityka zarz zarz ądzania ą dzania incydentami incydentami
• • Struktura Struktura zarzą zarz ądzania dzania incydentam incydentam i i
ISIRT –ISIRT – InformationInformation Security IncidentSecurity Incident ResponseResponse TeamTeam
Wsparcie z zewnąWsparcie z zewnątrz trz –– np. CERTnp. CERT
• • Dostosowanie PZI do Dostosowanie PZI do
Polityki BezpieczeńPolityki Bezpieczeństwa Informacjistwa Informacji
PolitykąPolityką ZarzZarząądzania Ryzykiem dzania Ryzykiem
• • Opracowanie procedur Opracowanie procedur
• • Szkolenie, u Szkolenie, u ś ś wiadamianie wiadamianie
• • Testy Testy
Zarz Zarz ą ą dzanie incydentami w [18044] dzanie incydentami w [18044]
Stosowanie Stosowanie
• • Wykrywanie i raportowanie Wykrywanie i raportowanie
ŹrŹróóddłło o –– użużytkownik lub system monitorujytkownik lub system monitorującyący
• • Zbieranie dodatkowych informacji w celu oceny Zbieranie dodatkowych informacji w celu oceny
• • Reakcja Reakcja
Tryb -Tryb - natychmiastowa lub nienatychmiastowa lub nie
DziałDziałania pania późóźniejsze niejsze –– incydent incydent „pod kontrol„pod kontroląą””
WdrożWdrożenie planenie planóów kryzysowych i planw kryzysowych i planóów BCP/DRP w BCP/DRP -- incydent
incydent „„poza kontrolpoza kontroląą””
Komunikacja wewnęKomunikacja wewnętrzna oraz z organami trzna oraz z organami śścigania i cigania i innymi zainteresowanymi podmiotami
innymi zainteresowanymi podmiotami
Gromadzenie i analiza materiałGromadzenie i analiza materiału dowodowegou dowodowego
Dokumentowanie działDokumentowanie działaańń i decyzjii decyzji
27 27
Zarz Zarz ą ą dzanie incydentami w [18044] dzanie incydentami w [18044]
Przegl Przegl ą ą d d
• • Dalsza analiza materiał Dalsza analiza materia ł ów dowodowych ó w dowodowych
• • Wnioski Wnioski
• • Propozycje zmian w istniej Propozycje zmian w istniej ą ą cych systemach cych systemach (mechanizmach) zabezpiecze
(mechanizmach) zabezpiecze ń ń
Warstwa technicznaWarstwa techniczna
Warstwa organizacyjno-Warstwa organizacyjno-proceduralna proceduralna
• • Propozycje zmian w zarz Propozycje zmian w zarz ą ą dzaniu IB dzaniu IB
Funkcjonowanie ISIRTFunkcjonowanie ISIRT
ZawartośćZawartość procedur procedur
Zarz Zarz ą ą dzanie incydentami w [18044] dzanie incydentami w [18044]
Doskonalenie Doskonalenie
• • Zmiany w zarz Zmiany w zarz ą ą dzaniu ryzykiem dzaniu ryzykiem
• • Zmiany w organizacji bezpiecze Zmiany w organizacji bezpiecze ń ń stwa i samej PBI stwa i samej PBI
• • Propozycje wdro Propozycje wdro żenia nowych system ż enia nowych systemó ów w zabezpiecze
zabezpiecze ń ń
29 29
Incydenty w przepisach Incydenty w przepisach
[UOIN] [UOIN] - - „ „ naruszenie ochrony naruszenie ochrony ” ”
• • Art. 18, ust 9. Art. 18, ust 9.
„Pe„Pełłnomocniknomocnik ochronyochrony podejmujepodejmuje działdziałaniaania zmierzajązmierzającece do wyjado wyjaśśnienianienia okolicznośokolicznościci naruszenianaruszenia przepisóprzepisóww o o ochronie
ochronie informacjiinformacji niejawnychniejawnych, zawiadamiaj, zawiadamiająącc oo tymtym kierownika
kierownika jednostkijednostki organizacyjnej, a w organizacyjnej, a w przypadkuprzypadku naruszenia
naruszenia przepisprzepisóóww oo ochronieochronie informacjiinformacji niejawnychniejawnych, , oznaczonych
oznaczonych klauzuląklauzulą „poufne„poufne”” lublub wyżwyższsząą,, rórównieżwnież włwłaaśściwciwąą słsłuużżbbęę ochronyochrony pańpaństwastwa””..
• • Art. 71, ust. 5, p. d) Art. 71, ust. 5, p. d)
ObowiąObowiązek informowania SOP przez jednostkzek informowania SOP przez jednostkęę zlecajązlecającącą przetwarzanie IN, o naruszeniach ochrony informacji przetwarzanie IN, o naruszeniach ochrony informacji niejawnych u zleceniobiorcy
niejawnych u zleceniobiorcy
Incydenty w przepisach Incydenty w przepisach
[R1433] [R1433]
• • Par. 4 Obowi Par. 4 Obowi ą ą zki Kierownika JO zki Kierownika JO
p. 4 –p. 4 – analiza staniu bezpieczeńanaliza staniu bezpieczeństwa oraz zapewnienie stwa oraz zapewnienie usuni
usunięęcia stwierdzonych nieprawidcia stwierdzonych nieprawidłłowoowośścici
•• reagowanie na incydenty?reagowanie na incydenty?
p. 6 –p. 6 – zawiadomienie SOP o incydencie bezpieczeńzawiadomienie SOP o incydencie bezpieczeństwa stwa teleinformatycznego (klauzula
teleinformatycznego (klauzula „„poufnepoufne”” i wyżi wyższe))sze))
31 31
Incydenty w przepisach Incydenty w przepisach
Zalecenia [Zal_BTI Zalecenia [ Zal_BTI] ]
• • System informowania o incydentach System informowania o incydentach
obowiąobowiązek informowania IBTI o IBzek informowania IBTI o IB
• • Kontrole i audyty Kontrole i audyty
prowadzone przez IBTI i administratoróprowadzone przez IBTI i administratorów w celu w w celu wykrycia IB
wykrycia IB
• • Wyja Wyja ś ś nianie okoliczno nianie okoliczno ś ś ci IB przez IBTI ci IB przez IBTI
• • Prawo Prawo żą żą dania wsparcia od personelu IT dania wsparcia od personelu IT
• • Pe Pe ł ł nomocnik nomocnik
działdziałania i wnioski do kierownika JO w zakresie ania i wnioski do kierownika JO w zakresie dodatkowych zabezpiecze
dodatkowych zabezpieczeńń
Incydenty w przepisach Incydenty w przepisach
Zalecenia [Zal_AZR Zalecenia [ Zal_AZR] ]
• • Procedury zg Procedury zg ł ł aszania i badania przyczyn IB aszania i badania przyczyn IB
• • Świadome i efektywne reagowanie oraz Ś wiadome i efektywne reagowanie oraz wyci wyci ą ą ganie wniosk ganie wniosk ó ó w w
[UODO] i [R1024] [UODO] i [R1024]
• • ABI powinien nadzorowa ABI powinien nadzorowa ć ć przestrzeganie zasad przestrzeganie zasad ochrony (art. 36 ust 3)
ochrony (art. 36 ust 3)
• • Brak przepis Brak przepis ów dot. monitorowania ó w dot. monitorowania bezpiecze
bezpiecze ństwa i reagowania na incydenty ń stwa i reagowania na incydenty
Dlaczego wię Dlaczego wi ę kszość kszo ść przepis przepis ów nie wykorzystuje ó w nie wykorzystuje
33 33
Przepisy o informatyzacji Przepisy o informatyzacji
Ustawa o informatyzacji [UIDP] z 2005 r. Ustawa o informatyzacji [UIDP] z 2005 r.
• • Mo Mo żliwo ż liwość ść kontroli [… kontroli [ … ] dzia ] dzia ł ł ania systemó ania system ów TI, w TI, u u ż ż ywanych do realizacji zada ywanych do realizacji zada ń ń publicznych publicznych
• • Rozporzą Rozporz ądzenie dot. minimalnych wymaga dzenie dot. minimalnych wymagań ń bezpiecze
bezpiecze ństwa [R1766] ń stwa [R1766]
§§ 2. Systemy teleinformatyczne u2. Systemy teleinformatyczne używane przez podmioty żywane przez podmioty publiczne do realizacji zada
publiczne do realizacji zadańń publicznych 1) powinny publicznych 1) powinny spełspełnianiaćć włwłaaściwościwośści i cechy w zakresie funkcjonalnoci i cechy w zakresie funkcjonalności, ści, niezawodno
niezawodnośści, uci, użżywalnoywalnośści, wydajnoci, wydajnośści, przenoszalnoci, przenoszalnośści ci i piel
i pielęęgnowalnognowalnośści, okreci, okreśślone lone w normach ISO w normach ISO zatwierdzonych przez krajow
zatwierdzonych przez krajowąą jednostkęjednostkę normalizacyjnąnormalizacyjną, , na etapie projektowania, wdra
na etapie projektowania, wdrażżania i modyfikowania ania i modyfikowania tych system
tych systemóów;w;
=> [17799], [20000]=> [17799], [20000]
Przepisy o informatyzacji Przepisy o informatyzacji
• • Cd. [R1766] Cd. [R1766]
§§ 3. 1. Podmiot publiczny opracowuje, modyfikuje w 3. 1. Podmiot publiczny opracowuje, modyfikuje w zależzależnoności od potrzeb oraz wdraści od potrzeb oraz wdrażża polityka politykęę
bezpiecze
bezpieczeńństwa dla systemstwa dla systemóów TI uw TI użżywanych przez ten ywanych przez ten podmiot do realizacji zada
podmiot do realizacji zadańń publicznych.publicznych.
2. Przy opracowywaniu polityki bezpieczeń2. Przy opracowywaniu polityki bezpieczeństwa, o ktstwa, o któórej rej mowa w ust. 1, podmiot publiczny powinien uwzgl
mowa w ust. 1, podmiot publiczny powinien uwzglęędniadniaćć postanowienia Polskich Norm z zakresu bezpiecze
postanowienia Polskich Norm z zakresu bezpieczeńństwa stwa informacji.
informacji.
35 35
Poziomy zarz
Poziomy zarz ą ą dzania IB dzania IB
Poziom podstawowy Poziom podstawowy
• • Wykorzystanie [17799] w zarz Wykorzystanie [17799] w zarz ą ą dzaniu dzaniu incydentami
incydentami
Opracowanie kilku podstawowych procedurOpracowanie kilku podstawowych procedur
Poziom procesowy Poziom procesowy
•• Zbudowanie procesZbudowanie procesóów w oparciu o [27001] i [17799] w w oparciu o [27001] i [17799]
oraz cz
oraz częśęściowo [20000]ciowo [20000]
•• Budowa i certyfikacja SZBI na zgodnoBudowa i certyfikacja SZBI na zgodnośćść z [27001]z [27001]
Poziom dojrzał Poziom dojrza ł y y
•• Doskonalenie Procesu ZarząDoskonalenie Procesu Zarządzania IB w oparciu o dzania IB w oparciu o [18044]
[18044]
• • Dzi Dzi ę ę kuj kuj ę ę za uwag za uwag ę ę
• • Kontakt Kontakt