Professional Documents
Culture Documents
ISO 27001 - Jarosław Wąsiński - Materiały Druk
ISO 27001 - Jarosław Wąsiński - Materiały Druk
NADZOROWANIE
AUDYTOWANIE
DZIEŃ 1.
WPROWADZENIE DO PROBLEMATYKI
WYMAGANIA PRAWNE
WYMAGANIA NORMY ISO/IEC 27001
ANALIZA RYZYKA
1
Wprowadzenie
KORZYŚCI STOSOWANIA TECHNOLOGII INFORMACYJNYCH I KOMUNIKACYJNYCH
(PRZYKŁADY)
Wprowadzenie
KORZYŚCI STOSOWANIA TECHNOLOGII INFORMACYJNYCH I KOMUNIKACYJNYCH
(PRZYKŁADY)
2
Wprowadzenie
ZAGROŻENIA ZWIĄZANE ZE STOSOWANIEM TECHNOLOGII
INFORMACYJNYCH I KOMUNIKACYJNYCH (PRZYKŁADY)
Wprowadzenie
ZAGROŻENIA ZWIĄZANE ZE STOSOWANIEM TECHNOLOGII
INFORMACYJNYCH I KOMUNIKACYJNYCH (PRZYKŁADY)
3
Wprowadzenie
PODEJŚCIE PROCESOWE
Wprowadzenie
PODEJŚCIE PROCESOWE
4
Wprowadzenie
PODEJŚCIE PROCESOWE
Wprowadzenie
PROCESY A OBIEG INFORMACJI
5
Wprowadzenie
PRZYKŁADY SYSTEMÓW, W KTÓRYCH DUŻE ZNACZENIE PRZYPISUJE SIĘ
DOKUMENTACJI
Wprowadzenie
SYSTEMY ZARZĄDZANIA A SYSTEMY INFORMATYCZNE
6
Wprowadzenie
SYSTEMY ZARZĄDZANIA A SYSTEMY INFORMATYCZNE
Wprowadzenie
SYSTEMY ZARZĄDZANIA A SYSTEMY INFORMATYCZNE
7
Wprowadzenie
BEZPIECZEŃSTWO INFORMACJI W MAŁYCH FIRMACH (Stosowanie wymagań normy ISO
27001 zamieszczonych w załączniku A na podstawie danych z 50 firm
Wprowadzenie
BEZPIECZEŃSTWO INFORMACJI W MAŁYCH FIRMACH (Stosowanie wymagań normy ISO
27001 zamieszczonych w załączniku A na podstawie danych z 50 firm
8
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH
9
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH
delegowanie, przez 98% firm, procesu zarządzanie własną stroną
INTERNETOWĄ, specjalistycznym firmom zewnętrznym,
fizyczne umieszczone na serwerach nadzorowanych przez firmy zewnętrzne
zawartości strony internetowej przedsiębiorstwa i aplikacji do obsługi
procesów, przy czym zaobserwowano, że pracownicy usługodawców,
szczególnie w sytuacji częstych rotacji na stanowiskach pracowniczych,
posiadają niewielką wiedzą na temat zabezpieczenia znajdujących się tam
informacji,
niską świadomość kierownictwa co do treści umów podpisywanych z
dostawcami usług informatycznych. Zarządzający pytani o bezpieczeństwo
informacji w Internecie oraz dysków sieciowych obsługiwanych przez serwery
zewnętrzne najczęściej odpowiadali, że reguluje to umowa ze specjalistyczną
firmą, przy czym zazwyczaj nie byli świadomi znaczenia klauzul umownych,
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH
10
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH
Wprowadzenie
PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W ZAKŁADACH
11
Wprowadzenie
Wprowadzenie
12
Wprowadzenie
13
ISO/IEC 27 001
SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI - WYMAGANIA
4. Kontekst organizacji
5. Przywództwo
6. Planowanie
7. Wsparcie
8. Działania operacyjne
9. Ocena wyników
10. Doskonalenie
14
Informacje ogólne o normie ISO/IEC 27 001
3. Terminy i definicje
15
3. Terminy i definicje
3. Terminy i definicje
16
4. Kontekst organizacji
4. Kontekst organizacji
17
4. Kontekst organizacji
4. Kontekst organizacji
18
PDCA – Koło Deminga
Plan
A P Do
Check
C D Action
5. Przywództwo
19
5.2. Polityka
20
6. Planowanie
21
6.1.2. Szacowanie ryzyka w bezpieczeństwie informacji
22
6.1.3. Postępowanie z ryzykiem w bezpieczeństwie informacji
METODY QFD
agań klienta
Pr z e gl ą d
OCENY PHA
ym
Burza mózgów
w
Metoda Delficka
Diagram Ishikawy
FMEA QFD
Karta kontrolna
Diagram Ishikawy
Zakupy
Arkusz analityczny
Diagram Pareto-Lorenza
FMEA
Karta kontrolna
Histogram
Arkusz analityczny
Histogram FMEA
23
Metoda FMEA
Metoda o charakterze prewencyjnym, wykorzystywaną przez
przedsiębiorstwa przy zapobieganiu i niwelowaniu skutków wad,
jakie mogą wystąpić w procesach projektowania i produkcji.
Metodą FMEA, można:
oszacować ryzyko pojawienia się w wyrobie lub procesie wad
(niezgodności, błędów),
ocenić konsekwencje wad i zidentyfikować przyczyny
niedoskonałości,
zaproponować rozwiązania prewencyjne lub korygujące.
Wykorzystanie wyników analizy metodą FMEA umożliwia:
konsekwentne i trwałe eliminowanie wad wyrobu lub procesu oraz
unikanie wystąpienia rozpoznanych, jak również jeszcze nieznanych wad
dla nowych wyrobów i procesów.
24
Metoda FMEA - etapy
postępowania przy wdrożeniu
25
Wzorzec dla przyjmowania wartości wskaźnika Z
Kryterium
Skala Z- Poziom wrażliwości informacji
1
PD - Informacja publicznie dostępna interesariuszy
2
PD - Informacja publicznie dostępna dla pracowników
3-4
5-6 W - Informacja wewnętrzna wrażliwa
W - Informacja wewnętrzna bardzo wrażliwa
7-8
PC - Informacja prawnie chroniona wrażliwa
9
PC - Informacja prawnie chroniona bardzo wrażliwa
10
7 Utrata nadzoru nad bezpieczeństwem (w tym incydenty) ujawniają się często, DPMO >50 000
pracownicy posiadają niskie kwalifikacje i niskie zaangażowanie, a źródłem
8 błędów jest przede wszystkim pracownik DPMO >100 000
Utrata nadzoru nad bezpieczeństwem (w tym incydenty) prawie pewna, stan DPMO >300 000
otoczenia, zastosowane urządzenia ich stan techniczny i praca oraz personel
9
sprzyjają powstawaniu niezgodności w obszarze bezpieczeństwa.
*DPMO (Defects per Milion Opportunities) – Liczba niezgodności/wad/przyczyn wad na milion możliwości
Źródło: opracowanie własne na podstawie Hamrol A., Zarządzanie jakością z przykładami,
Wydawnictwo Naukowe PWN, Warszawa 2005, s. 334-335
26
Wzorzec dla przyjmowania wartości wskaźnika W
Kryterium W – Punktowa ocena skuteczności wykrywalności potencjalnej utraty nadzoru nad bezpieczeństwem (w tym
Skala incydentów)
Bardzo wysoka - Stosowane środki kontroli i nadzorowania dają prawie Przykład: Skuteczność wykrywalności**
pewność wykrycia utraty nadzoru nad bezpieczeństwem (w tym (od 96% do 100%)
1
incydentów).
Przykład: Skuteczność wykrywalności (od
91% do 95%)
2
Wysoka – Stosowane środki kontroli i nadzorowania dają dużą szansę Przykład: Skuteczność wykrywalności (od
wykrycia utraty nadzoru nad bezpieczeństwem (w tym incydentów). 86% do 90%)
3
Przykład: Skuteczność wykrywalności (od
81% do 85%)
4
Przeciętna – stosowane środki kontroli i nadzorowania dają dużą szansę lub Przykład: Skuteczność wykrywalności
wykrycia utraty nadzoru nad bezpieczeństwem (w tym incydentów), jednak (od 71% do 80%)
5
ze względu na ograniczone możliwości kontroli 100% są one ograniczone.
lub Przykład: Skuteczność wykrywalności
(od 61% do 70%)
6
Niska – Jest bardzo prawdopodobne, że stosowane środki kontroli Przykład: Skuteczność wykrywalności (od
i nadzorowania nie wykryją utraty nadzoru nad bezpieczeństwem (w tym 51% do 60%)
7
incydentów).
Przykład: Skuteczność wykrywalności (od
41% do 50%)
8
Bardzo niska – z dużą pewnością można sądzić, że przy pomocy Przykład: Skuteczność wykrywalności
stosowanych środków kontroli nie zostaną wykryte: utrata nadzoru nad (poniżej 41%)
9 bezpieczeństwem (w tym incydenty).
Niemożliwa – nie są znane środki kontroli i nadzorowania umożliwiające wykrycie utraty nadzoru nad bezpieczeństwem
10 (w tym incydentów).
Źródło: Źródło: opracowanie własne na podstawie Hamrol A., Zarządzanie jakością z przykładami, Wydawnictwo
Naukowe PWN, Warszawa 2005, s. 334-335.
*Skuteczność wykrywalności
Liczba wykrytych
Skuteczność przyczyn wad
wykrywalności = X 100
[%] Liczba ujawnionych
przyczyn wad ogółem
27
Sposób wyznaczania wartości progowej WPR
Wartość graniczna
Wskaźnik Wartość Opis dla wartości wskaźnika
(WPR)
Z 9 PC - Informacja prawnie chroniona wrażliwa
WPR = Z x R x W
R 3 Utrata nadzoru nad bezpieczeństwem (w tym incydenty) zdarza się rzadko, błąd
urządzenia zdarza się rzadko i jest wynikiem złego działania jego podzespołów lub
oprogramowania. Utrata nadzoru nad bezpieczeństwem ujawniająca się w wyniku
błędu pracownika może mieć miejsce, ale jest czymś wyjątkowym. (DPMO > 100)
Źródło: opracowanie
własne.
28
Cechy prawidłowo formułowanych celów
USTALANIE CELÓW:
S ZCZEGÓŁOWY Precyzyjne, zrozumiałe, z określonym
rezultatem
7. Wsparcie
7.1. Zasoby
7.2. Kompetencje
Organizacja powinna:
29
Zadania
Kompetencje
Odpowiedzialność
Zadania
Kompetencje
Odpowiedzialność
Zadania
Kompetencje
Odpowiedzialność
7.3. Uświadamianie
7.4. Komunikacja
30
7.5. Udokumentowane informacje
31
Dokumentacja
II II II II
o Egzemplarze w innych aplikacjach elektronicznych
o Elektroniczny egzemplarz wzorcowy K ie ru nek zwięks zan ia stopn ia
uszcze góławiania dys pozycji
Zarządzenia, zamie szczonych w
Regulaminy, poszczeg ólnych dokumentach
Kodeksy
Procedury
itp. III III III III
Egzemplarz na tradycyjnym nośniku
IV IV IV IV IV IV
o Egzemplarze w innych aplikacjach elektronicznych
o Elektroniczny egzemplarz wzorcowy
Zapisy, IV IV IV IV IV
IV
oznaczenia,
formularze, Rysunek . Układ hierarchiczny
tabele informacyjne, ….
E gzemplarz na tradycyjnym nośniku dokumentacji systemowej
Poziomy hierarchii d okumen ta cji ora z ich rela cje
Źródło: opracowanie własne.
8. Działania operacyjne
32
8.2. Szacowanie ryzyka w bezpieczeństwie informacji
9. Ocena wyników
UWAGA Aby wybrane metody zostały uznane za poprawne, ich wyniki powinny być porównywalne i
powtarzalne.
33
9.2. Audyt wewnętrzny
Organizacja powinna:
• c) zaplanować, ustanowić, wdrożyć i utrzymywać program (programy) audytów, w tym
częstość audytów, metody, odpowiedzialność, wymagania dotyczące planowania oraz
raportowanie. Program (programy) audytów powinien (powinny) uwzględniać
znaczenie procesów objętych audytem oraz wyniki poprzednich audytów;
• d) zdefiniować kryteria audytu i zakres każdego audytu;
• e) wybierać audytorów i prowadzić audyty w sposób zapewniający obiektywność i
bezstronność procesu audytu;
• f) zapewnić przedstawianie wyników audytów właściwym członkom kierownictwa;
• g) zachować udokumentowane informacje jako dowód realizacji programu
(programów) audytów i wyników audytów.
34
10. Doskonalenie
10. Doskonalenie
35
DZIEŃ 2.
WYMAGANIA NORMY ISO/IEC 27001
AUDYTOWANIE
WYMAGANIA PRAWNE
Załącznik A
(normatywny)
Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia
36
Załącznik A
(normatywny)
Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia
A.10 Kryptografia
A.10.1 Zabezpieczenia kryptograficzne
A.11 Bezpieczeństwo fizyczne i środowiskowe
A.11.1 Obszary bezpieczne
A.11.2 Sprzęt
A.12 Bezpieczna eksploatacja
A.12.1 Procedury eksploatacyjne i odpowiedzialność
A.12.2 Ochrona przed szkodliwym oprogramowaniem
A.12.3 Kopie zapasowe
A.12.4 Rejestrowanie zdarzeń i monitorowanie
A.12.5 Nadzór nad oprogramowaniem produkcyjnym
A.12.6 Zarządzanie podatnościami technicznymi
A.12.7 Rozważania dotyczące audytu systemów informacyjnych
A.13 Bezpieczeństwo komunikacji
A.13.1 Zarządzanie bezpieczeństwem sieci
A.13.2 Przesyłanie informacji
Załącznik A
(normatywny)
Wzorcowy wykaz celów stosowania zabezpieczeń i zabezpieczenia
37
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY
(UE) 2016/679
38
ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY
(UE) 2016/679
39
SANKCJE KARNE – WIĘKSZA SKUTECZNOŚĆ
RESPEKTOWANIA PRAWA
40
OCHRONA PRYWATNOŚCI – DZIAŁANIA ZAMIERZONE
41
INSPEKTOR OCHRONY DANYCH
> Za niepowołanie IOD przewiduje się kary do 10 mln EURO (do 2% rocznego
światowego obrotu dla firmy – zastosowanie ma kwota wyższa).
42
OCENA SKUTKÓW PRZETWARZANIA
43
ADMINISTRATORZY I GRUPY ORGANIZACJI
> Jeśli ryzyko jest duże, należy informować również właściciela danych – wysoki
koszt procedury i ryzyko utraty wizerunku.
> Jeśli ADO nie ma obowiązku poinformowania GIODO o naruszeniu to i tak musi
prowadzić rejestr naruszeń.
44
DANE WRAŻLIWE – DANE SZCZEGÓLNYCH KATEGORII
- danych genetycznych,
-danych biometrycznych (nowość) w tym:
45
DZIAŁANIA ZWIĄZANE Z „PROFILOWANIEM”
> Osoba, której dane dotyczą ma prawo by nie podlegać decyzji opartej na
podstawie czynności związanej z profilowaniem – jeśli wywiera skutki prawne
lub wpływa na nią.
46
OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH
Dodatkowe kryteria:
Dodatkowe kryteria:
47
OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH
Dodatkowe kryteria:
- usunięcia danych,
- ograniczenia przetwarzania,
- prawo przenoszenia danych,
- prawo do cofnięcia zgody (jeśli wcześniej wyraziła zgodę na
przetwarzanie danych).
> Konieczna weryfikacja - czy zgodę wyraziło dziecko, rodzic lub prawny
opiekun – wymagane wdrożenie racjonalnych rozwiązań weryfikacyjnych.
48
AUDYTOWANIE SYSTEMÓW ZARZĄDZANIA
wg ISO 19011
Przeprowadzenie auditów
49
Audit wewnętrzny składa się z następujących etapów:
50
Krok pierwszy
PYTANIA DOTYCZĄCE SKUTECZNOŚCI PROCESU
Krok drugi
PYTANIA DOTYCZĄCE:
51
Krok trzeci
PYTANIA WYNIKAJĄCE Z:
• Wymaganie
• Błąd
• Dowód
52
Wymagania – mogą pochodzić z różnych źródeł np.:
53
Zachowanie podczas auditu – znaczenie gestów
GŁOWA I RAMIONA
54
Postawa
Oczy
55