plnog 13: piotr wojciechowski: security and control policy
DESCRIPTION
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator. Topic of Presentation: TBD Language: Polish Abstract: TBDTRANSCRIPT
POLITYKI BEZPIECZEŃSTWA I KONTROLI Piotr Wojciechowski (CCIE #25543)
ABOUT ME ¢ Senior Network Engineer MSO at VeriFone Inc. ¢ Previously Network Solutions Architect at one of top
polish IT integrators ¢ CCIE #25543 (Routing & Switching) ¢ Blogger – http://ccieplayground.wordpress.com ¢ Administrator of CCIE.PL board
� The biggest Cisco community in Europe � Over 7500 users � 3 admin, 5 moderators � 58 polish CCIEs as members, 20 of them actively posting � About 150 new topics per month � About 1000 posts per month � English section available
AGENDA ¢ Czym jest polityka bezpieczeństwa? ¢ Realizacja polityki bezpieczeństwa w IT ¢ Wdrażanie polityki bezpieczeństwa ¢ Audyty ¢ Jak stworzyć efektywną politykę bezpieczeństwa?
CZYM JEST POLITYKA BEZPIECZEŃSTWA?
CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Polityka bezpieczeństwa jest:
� Zbiorem spójnych, precyzyjnych reguł i procedur wg których dana organizacja buduje, zarządza oraz udostępnia zasoby
� Określa chronione zasoby � Dokumentem zgodnym z prawem
CZYM JEST POLITYKA BEZPIECZEŃSTWA? ¢ Co obejmuje polityka bezpieczeństwa:
� Całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy
� Nie ogranicza się jedynie do sieci komputerowej czy systemów lecz obejmuje całość działania i procesów, które następują w firmie
� Jest to dokument spisany � Jest dokumentem specyficznym dla każdej korporacji –
nie ma ogólnego szablonu gotowego do zastosowania � Musi być dokumentem znanym pracownikom
CYKL ŻYCIA POLITYKI BEZPIECZEŃSTWA
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ 6 podstawowych polityk definiujących pracę działu
IT oraz osób korzystających z infrastruktury IT ¢ Odpowiedni podział obowiązków w szczególności
nadzoru i kontroli spełnienia wymogów opisanych w polityce bezpieczeństwa
¢ Regularne audyty
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka dostępu do Internetu
� Czy użytkownicy są uprawnieni do korzystania z Internetu w celach prywatnych?
� Czy użytkownicy mogą sami ściągać i instalować oprogramowanie?
� Jakie aplikacje są niezbędne do prawidłowego działania korporacji i z jakich zasobów muszą korzystać?
� Jak mają być zabezpieczone komputery mające dostęp do Internety?
� Etc…
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Polityka kontroli email i mediów społecznościowych
� Bardzo prosta metoda wycieku informacji poufnych � Kontrola potencjalnego wycieku informacji � Ochrona wizerunku firmy � Pracownicy muszą być świadomi, że treść wiadomości
może być monitorowana
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola kluczy
� O fizycznych kluczach do drzwi i kłódek zapomina się często w epoce dwustopniowego uwierzytelniania
� Kto ma klucze do szafy w serwerowni w chwili obecnej? � Ile jest kompletów kluczy do każdego z pomieszczeń? � Kto może pobrać klucze? � W jaki sposób kontrolujemy czy klucze nie opuszczają
budynku celem wykonania kopi?
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola urządzeń mobilnych
� Nowoczesne urządzenia przechowują często więcej wrażliwych informacji niż komputery pracowników
� Mobilne urządzenia są łatwym punktem, przez który zagrożenie może przeniknąć do sieci
� Jakie urządzenia mobilne są dozwolone w naszej sieci? � Jaką konfigurację na nich wymuszamy? � Etc…
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Kontrola dostępu dla gości
� Polityka dotycząca postępowania z gośćmi w budynkach biurowych i data center ¢ Punkt rejestracji gości ¢ Wymóg towarzyszenia gościom w wyznaczonych strefach ¢ Identyfikatory gościa
� Odseparowana sieć WLAN dla gości z limitowanym dostępem do Internetu
REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT ¢ Non-Disclosure Agreement (NDA)
� Jasno zakomunikowana polityka pracownikom � Jasne określenie, że ochrona informacji dotyczy zarówno
komunikacji werbalnej jak i emaili, narzędzi społecznościowych czy komunikatorów
� Podpisanie NDA przez każdego z pracowników
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Scenariusz nierealny – polityka powstaje wraz z
uruchomieniem i rozwojem firmy ¢ Scenariusz prawdziwy – potrzeba biznesowa
wymusza stworzenie spójnej polityki bezpieczeństwa
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Kluczowe elementy polityki bezpieczeństwa
� Bezpieczeństwo fizyczne budynków i urządzeń � Bezpieczeństwo informacji � Wykrywanie i przeciwdziałanie nadużyciom � Wykrywanie oszustw � Zarządzanie ryzykiem � Business Continuity Planning (BCP) � Zarządzanie w sytuacjach kryzysowych
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Chronione informacje i procesy najlepiej podzielić
na kategorie, które prościej będzie opisywać w dokumentach, na przykład: � Grupy użytkowników lub procesów – marketing, dział
sprzedaży, administracja, księgowość itp. � Technologie – sieci, systemy, storage, backup � Cykl życia produktu – deployment, QA, production,
support � Elementy wewnętrzne i zewnętrzne – intranet, extranet,
WWW, VPN
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Gdy zidentyfikujemy obszary których ochronę
polityka bezpieczeństwa ma opisywać powinniśmy określić grupy użytkowników, którzy wymagają dostępu do informacji by wykonywać swoją pracę.
¢ Gdy określimy niezbędne zasoby przeprowadzamy analizę ryzyka związaną z wykradzeniem, uszkodzeniem lub zniszczeniem informacji
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Analiza ryzyka
� Skomplikowany proces zależny od formy prowadzonego biznesu
� Powinien zawierać potencjalne scenariusze, które mogą zagrozić prowadzonemu biznesowi i szacować koszty, które firma poniesie, gdyby scenariusz się zrealizował
� Powinien zawierać szacunek trzech scenariuszy: ¢ Expected ¢ Worst-case ¢ Best-case
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA ¢ Polityka bezpieczeństwa, procedury czy wdrażane
technologie muszą być adekwatne do ryzyka, prowadzonego biznesu oraz dostępnych środków na ich wdrożenie i utrzymanie
¢ Analiza ROI pozwala określić, czy koszt wdrożenia danego rozwiązania nie przekracza kosztu scenariusza worst-case utraty danych
WDRAŻANIE POLITYKI BEZPIECZEŃSTWA
AUDYTY
AUDYTY ¢ Czym jest audyt?
� Proces ocenienia czy przyjęta polityka bezpieczeństwa odpowiednio chroni zasoby informacyjne korporacji
� Proces weryfikacji odpowiedniego wdrożenia i przestrzegania przyjętej polityki
� Trzy główne obszary analizy: ¢ Audyt techniczny ¢ Ochrona fizyczna ¢ Proces zarządzania informacją
� Testy penetracyjne to nie audyt!
AUDYTY ¢ Audyty mogą być wewnętrzne lub zewnętrzne ¢ Audyty zewnętrzne najczęściej przeprowadzane na
potrzeby uzyskania certyfikacji produktu, wdrożenia lub procesu.
¢ Ma na celu pokazanie słabości polityk bezpieczeństwa i pozwolić poprawić znalezione błędy
¢ Wykorzystywane są narzędzia automatyzujące proces ale rola audytora jest bardzo ważna
¢ 4 etapy przeprowadzania audytu
AUDYTY ¢ Etap I – przygotowanie
� Wyspecyfikowanie obszarów audytu � Zebranie dokumentacji o procesach � Zebranie informacji o strukturze korporacji i
stanowiskach � Zebranie informacji o zasobach sprzętowych i
programowych � Zapoznanie się z politykami i procedurami � Etc…
AUDYTY ¢ Etap II – ustalenie celów audytu
� Weryfikacja procedur związanych z krytycznymi systemami
� Weryfikacja świadomości pracowników � Weryfikacja procesu współpracy z podmiotami
zewnętrznymi � Proces kontroli zmian � Business continuity � Etc…
AUDYTY ¢ Etap III – zbieranie danych do audytu
� Rozmowa z pracownikami � Przegląd logów systemowych � Weryfikacja wdrożenia procedur w życie � Kontrola fizyczna obiektów czy sprzętu � Kontrola procedur backupu i odzyskiwania danych � Kontrola procesu niszczenia nośników � Etc…
AUDYTY ¢ Etap IV – analiza danych i raport końcowy
� Podsumowanie zebranych danych � Wyspecyfikowanie obszarów wymagających poprawy � Wyspecyfikowanie zaleceń do poprawy � Wykazanie obszarów niezgodności ze standardami pod
kątem których audyt był przeprowadzany � Etc…
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA?
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Czym jest efektywna polityka bezpieczeństwa?
� Wiele kryteriów zależnych od charakteru prowadzonego biznesu
� Szczegółowe wytyczne muszą uwzględniać strukturę korporacji i podział obowiązków
� Nie może być oderwana od rzeczywistości
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium I
Polityka bezpieczeństwa odpowiednio definiuje cele bezpieczeństwa przedsiębiorstwa minimalizując
ryzyko operacyjne
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium II
Polityka bezpieczeństwa odpowiednio zabezpiecza przedsiębiorstwo przed naruszeniami polityki i
działaniami prawnymi osób trzecich
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Kryterium III
Polityka bezpieczeństwa została przedstawiona pracownikom (także kontraktowym) pracującym na
różnych szczeblach hierarchii, jest przez nich zrozumiała a stosowanie nadzorowane przez
przełożonych
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada1
� Wybierz i stosuj jedną prostą strukturę wszystkich dokumentów definiujących politykę bezpieczeństwa
¢ Trzy typu dokumentów – polityka globalna, standardy, procedury
¢ Jedna struktura – prościej pracować grupowo, prostszy w odbiorze przekaz dla czytelnika
¢ Ułatwia audyt i wdrożenie narzędzi bezpieczeństwa
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 2
� Zapisz wszystko w dokumentach
¢ Nie zostawiaj miejsca na niedopowiedzenia czy interpretację
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 3
� Przypisz odpowiedzialność za poszczególne zadania z zakresu bezpieczeństwa do konkretnych osób lub/i stanowisk
¢ Jasność co do odpowiedzialności konkretnych osób także w przypadku rotacji na stanowiskach
¢ Ułatwia zarządzanie dokumentem i jego aktualizację ¢ Wskazane osoby są także odpowiedzialne za egzekwowanie
przestrzegania polityki bezpieczeństwa od swoich podwładnych ¢ Audyty oparte o ISO17799 czy COBIT wymagają jasnego
przypisania ról
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 4
� Zastosuj jeden z dostępnych szablonów zgodnych z ISO nieznacznie go modyfikując
¢ ISO-IEC 17799:2005 dostarcza podział na 10 domen bezpieczeństwa możliwy do wdrożenia w każdej korporacji
¢ Podział na domeny bezpieczeństwa ułatwia przeprowadzanie audytów spójności i kompletności stworzonych polityk
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 5
� Przeprowadzaj analizę ryzyka
¢ Polityka bezpieczeństwa powinna zawierać informację jak często i w jaki sposób analiza ryzyka jest przeprowadzana
¢ Analiza ryzyka pozwala oszacować jaki poziom bezpieczeństwa jest odpowiedni dla korporacji
¢ Dokument końcowy powinien zawierać informacje kto akceptuje ryzyko, kto akceptuje wyjątki, jak długo one powinny trwać, jakie narzędzia kontroli należy wdrożyć
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 6
� Komunikuj politykę bezpieczeństwa jasno i regularnie
¢ Często pięta achillesowa całego procesu J ¢ Pracownicy powinni nie tylko być informowani o zmianach ale
potwierdzić zapoznanie się z nimi ¢ Pracownicy i kontraktorzy muszą być świadomi i rozumieć
swoją rolę w przestrzeganiu polityki bezpieczeństwa ¢ Szkolenia z zakresu polityk bezpieczeństwa dla pracowników
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 7
� Zdefiniuj proces reakcji na naruszenie polityki bezpieczeństwa i procedur
¢ Zdefiniuj czym jest naruszenie polityki ¢ Załącz procedurę raportowania naruszenia polityki oraz
postępowania w takim przypadku ¢ Powiadom pracowników o ścieżce postępowania i możliwych
konsekwencjach
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 8
� Przeprowadzaj audyty polityk bezpieczeństwa
¢ Regularny audyt jest wymogiem nie tylko standardów ale i dobrej praktyki
¢ Dla standardów i procedur stwórz scenariusze testowe pozwalające sprawdzić je w praktyce
¢ Audyt techniczny nie jest zadaniem skomplikowanym, audyt ludzi może być nie lada wyzwaniem
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 9
� Automatyzuj procesy
¢ Ułatwia audyt i utrzymanie spójności polityki bezpieczeństwa ¢ Automatyzacja narzędzi dystrybucji procedur bezpieczeństwa ¢ Automatyzacja weryfikacji zapoznania się ze zmianami ¢ Automatyzacja weryfikacji wdrożenia szablonów ¢ Etc etc etc
JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ BEZPIECZEŃSTWA? ¢ Zasada 10
� Czy wiesz gdzie jest najsłabsze ogniwo?
QUESTIONS?
THANK YOU