1 / 107

Agenda

Agenda. 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale ; a meninţări, vulnerabilităţi, riscuri , n ecesitatea asigurării securităţii informaţiilor obiectivă, legală, contractuală ; cadrul normativ) 2 . Sisteme de management al securităţii informaţiilor (SMSI)

alvis
Télécharger la présentation

Agenda

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Agenda 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale;ameninţări, vulnerabilităţi, riscuri, necesitatea asigurării securităţii informaţiilor obiectivă, legală, contractuală; cadrul normativ) 2. Sisteme de management al securităţii informaţiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea şi îmbunătăţirea SMSI 5. Certificarea unui SMSI

  2. Securitatea informaţiei – necesitate, cerinţe, reglementări Ce sunt informaţiile? • Cunoştiinţe derivate din orice sursă • Informaţiile sunt date analizate, comunicate, înţelese • Sursa: “Information Security Management Handbook” – Auerbach Publications

  3. Securitatea informaţiei – necesitate, cerinţe, reglementări Definiţia informaţiilor ? • Informaţiile sunt un bun al afacerii, care – ca oricare bun al companiei, are valoare şi trebuie protejat adecvat • Sursa: ISO/IEC 27001:2005: Introducere • Informaţiile trebuie protejate adecvat indiferent de forma pe care o iau sau de mijloacele prin care sunt păstrate sau comunicate • Sursa: ISO/IEC 27001:2005: Introducere

  4. Informaţii?

  5. Informaţiile afacerii

  6. Accesul la informaţii • Tipărite • Pe suport electronic • Comunicate prin poştă clasică • Comunicate electronic • Video • Discuţii

  7. Contextul Internet • Reţea globală • Acces rapid, ieftin, discret, fără urmă • Trafic în creştere • Oricine de oriunde • Arhitectură structural nesigură TCP-IP

  8. Nivele de securitate • Instituţii guvernamentale – secrete de stat • Informaţii interne – confidenţiale/secret deserviciu • Domenii de activitate – secret profesional • Clienţi – confidenţialitate asumată (bănci) • Parteneri de afaceri – informaţii folosite în comun

  9. Importanţa informaţiei • Protecţia informatiilor “business critical” • Competitie • Cash Flow • Cerinte legale • Reputatie • ?

  10. Securitatea informaţiei – necesitate, cerinţe, reglementări Definiţia securităţii informaţiilor ? • Confidenţialitate Asigurarea că informaţia este accesibilă doar acelora care sunt autorizaţi să aibă acces. • Integritate Protejarea corectitudinii şi caracterului complet al informaţiei şi metodelor de procesare. • Disponibilitate Asigurarea că utilizatorii autorizaţi au acces la informaţii şi la bunurile asociate atunci când este necesar.

  11. Securitatea informaţiei – necesitate, cerinţe, reglementări Obiectivele securităţii informaţiilor ? • Protejarea organizaţiei de o paletă largă de pericole şi ameninţări interne şi externe cu impact asupra securităţii informaţiilor • Asigurareacontinuităţii operaţiunilor • Minimizarea pagubelor şi maximizarea recuperării investiţiilor şi oprtunităţilor de afaceri • Menţinerea neştirbite a competivităţii, profitabilităţii, legalităţii, reputaţiei şi imaginii organizaţiei

  12. Securitatea informaţiei – necesitate, cerinţe, reglementări Necesitatea asigurării SI: cerinţe, aşteptări, principii Cerinţe complexe şi dinamice – este necesar un proces de Management al Cerinţelor

  13. Securitatea informaţiei – necesitate, cerinţe, reglementări Necesitatea asigurării SI: reducerea riscurilor, pierderilor Riscuri complexe şi dinamice – este necesar un proces de Management al Riscurilor

  14. Securitatea informaţiei – necesitate, cerinţe, reglementări R I S C = • o pagubă (pierdere) potenţială pentru organizaţie în situaţia când o ameninţare exploatează o vulnerabilitate. Riscul este exprimat cel mai bine • derăspunsul la următoarele întrebări: • Ce se poate întâmpla (care este ameninţarea)? • Care este impactul sau consecinţa? • Care este frecvenţa (cât de des se poate întâmpla)?

  15. Securitatea informaţiei – necesitate, cerinţe, reglementări Ameninţările - surse accidentale sau voite de evenimente. Ameninţarea exploatează o vulnerabilitate Vulnerabilităţile -slăbiciuni asociate resurselor (specifice mediului fizic, personalului, managementului, administraţiei, resurselor hardware, software, comunicaţii etc). Cauzează daune numai dacă sunt exploatate de ameninţări

  16. Vulnerabilitati - Amenintati - Riscuri exploatează Ameninţări Vulnerabilităţi cresc expun protejează Măsuri de control Riscuri Bunuri reduc indică au cresc impun Impact Cerinţe de protecţie

  17. Securitatea informaţiei – necesitate, cerinţe, reglementări Liste de ameninţări - exemple • Securitatea fizică şi a mediului • Incendiu • Atac cu bombă • Cutremur • Contaminare mediu • Inundaţie • Fulger • Furt • Preturbaţii industriale • Vandalism • Securitatea echipamentului • Defecţiune aer condiţionat • Particule conductive • Atac cu bombă • Contaminare • Cădere alimentare • Deranjament hardware • Eroare de întreţinere • Software dăunător • Accesarea reţelei de persoane neautorizate • Eroare de utilizator

  18. Securitatea informaţiei – necesitate, cerinţe, reglementări Liste de vulnerabilităţi - exemple • Administrare calculator şi reţea • Linii de comunicaţie neprotejate (interceptare) • Puncte de conexiune neprotejate (infiltrare comunicaţii) • Lipsa mecanismelor de identificare şi autentificare (substituire identitate) • Transferul parolelor în clar (accesare reţea de utilizatori neautorizaţi) • Linii dial-up (accesare reţea de utilizatori neautorizaţi) • Administrare reţea neadecvată (supraîncărcare trafic) • Sistem de control al accesului / politică de dezvoltare şi întreţinere • Interfaţă de utilizator complicată (eroare de utilizator) • Lipsa unei proceduri de ştergere a mediilor de stocare înainte de reutilizare (utilizare neautorizată software) • Lipsa unui control adecvat al modificărilor (defecţiuni software) • Administrare defectuoasă a parolelor (substituire identitate)

  19. Securitatea informaţiei – necesitate, cerinţe, reglementări Asigurarea SI = ţinerea sub control a riscurilor • Tratarea riscurilor este rezultatul unui proces de management al riscurilor şi constă în: - Aplicarea măsurilor de control adecvate pentru reducerea riscurilor - Înţelegerea şi acceptarea conştientă a riscurilor în măsura în care sunt satisfăcute politica organizaţională şi criteriile de acceptare a riscului - Eliminarea riscului(renunţarea la unele activităţi; mutarea unor bunuri în zone mai puţin expuse; renunţarea la procesarea unor informaţii sensibile) - Transferarea riscurilor asociate activităţii altor părţi (asigurare, outsourcing)

  20. Securitatea informaţiei – necesitate, cerinţe, reglementări • Factori care influenţează conceperea, elaborarea • şi implementarea unei strategii de securitate: - mărimea organizaţiei şi complexitatea proceselor - cerinţele de securitate determinate de multiple provocări (interconectarea sistemelor, spionajul corporativ, terorismul cibernetic, conştientizarea angajaţilor) • - volumul sporit al informaţiilor sensibile/critice • - profilul activităţii, nevoile şi obiectivele organizaţiei - ameninţările şi vulnerabilităţile prezente la adresa informaţiilor prelucrate, stocate şi / sau transmise (de natură umană, legate de minimizarea costurilor, de natură tehnică sau externe) • - gradul de securitate a sistemelor informatice folosite gradul de interconectare a sistemelor şi serviciilor- interconectarea reţelelor interne cu cele publice (Internet) sau private - volumul resurselor (umane şi financiare)disponibile- nivelul de cultură şi tradiţie în domeniul securităţii inf.

  21. Agenda 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale;ameninţări, vulnerabilităţi, riscuri; necesitatea asigurării securităţii informaţiilor (obiectivă, legală, contractuală; cadrul normativ) 2. Sisteme de management al securităţii informaţiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea şi îmbunătăţirea SMSI 5. Certificarea unui SMSI

  22. Ce este un SMSI? • S.M.S.I. • parte a sistemului de management al unei organizaţii, bazată pe analiza riscurilor, destinată elaborării, implementării, operării, supravegherii, menţinerii şi îmbunătăţirii securităţii informaţiilor • Standarde aplicabile • ISO 9001/2008 - Cerinţe pentru sistemele de management al calităţii • ISO 27002/2005 - Ghid practic pentru managementul securităţii informaţiilor • ISO 27001/2005 – Sisteme de management al securităţii informaţiilor – Specificaţii şi instrucţiuni de aplicare • Abordare cuprinzătoare, coerentă a problematicii

  23. 10 cerinţe importate care trebuie sa fie indeplinite de un SMSI - Existenta unei Politici de Securitate - Alocarearesponsabilitatilor pentru securitate - Realizarea de training si educare pentru securitatea informatiei - Raportareaincidentelor de securitate - Control pentru “malicious code” - Existenta unui plan de continuare a afacerii “business continuity plan” - Existenta controlului asupra proprietatii intelectuale - Protejareadocumentelor si inregistrarilor companiei - Respectarea (conformitatea)legilor pentru Protectia Datelor - Demonstrateaconformitatii cu politicile de securitate

  24. In concluzie: de ce avem nevoie de un SMSI? • Pentru a proteja informatia de un numar alarmant de amenintari, pentru a asigura continuitatea afacerii si pentru a maximiza intoarcerea investitiei facute precum si a oportunitatilor de afacere

  25. Stadii evolutive în domeniul SI · securitatea informaţiei privită ca un joc(adoptarea unor tehnici şi instrumente de securitate ale căror funcţii sunt descoperite mai degrabă empiric decât în urma apelării la literatura de specialitate) · conştientizarea nevoii de securitate(a apărut atunci când organizaţiile au realizat că informaţiile pe care le deţin merită a fi protejate, prin proceduri minimale. Foarte puţine au trecut însă la documentarea adecvată a sistemului) · achiziţionarea unor soluţii sigure de securitate(o parte din bugetul departamentului IT este dedicată soluţiilor de securitate, iar organizaţia cercetează serios metode moderne şi sigure de a-şi securiza comunicaţiile şi a se proteja împotriva atacurilor) · securitatea informaţiei este tratată ca o necesitate prioritară, respectiv ca un sistem de management (o securitate a informaţiei puternică a devenit un avantaj în cadrul competiţiei în afaceri iar bugetul alocat securităţii este separat de cel al departamentului IT).

  26. Roluri si responsabilităţi în SMSI • Top managementul • aprobă scopul SMSI, angajamentul, obiectivele, politica de securitate a informaţiilor şi toate documentele aferente SMSI; • emite decizii pentru numirea comitetului de securitate şi a responsabilului cu securitatea; • aprobă declaraţia de aplicabilitate a SMSI şi deciziile de tratare a fiecărui risc în parte; • aprobă planul de tratare a riscurilor şi toate acţiunile manageriale suplimentare pentru monitorizarea, evaluarea şi îmbunătăţirea eficienţei măsurilor de securitate; • aprobă planurile de auditare a SMSI; efectuează analiza de management pentru SMSI şi aprobă procesele verbale ale şedinţelor de analiză, precum şi acţiunile corective şi preventive necesare îmbunătăţirii SMSI; • aprobă resursele necesare pentru proiectarea, menţinerea şi îmbunătăţirea SMSI.

  27. Roluri si responsabilităţi în SMSI • Responsabilul cu securitatea (RS) • defineştepolitica de securitate a informaţiilor, procedurile şi măsurile de securitate; • defineşte şi obţine aprobărilor pentru responsabilităţile de securitate (tabel de securitate, document aprobat de managerul general); • strânge informaţii despre politicile de securitate existente (ce funcţionează şi ce nu; cum se comunică riscurile; cum se stabilesc priorităţile proiectelor; cum sunt structurate procesele de securitate); • urmăreşteaplicarea eficientă a politicilor de securitate; • dezvoltă, implementează şi îmbunătăţeştemăsurile în domeniul securităţii informaţiilor; • supraveghează toate procesele de securitate din firmă; • răspunde de managementul incidentelor de securitate şi de răspunsul la incidente; • coordoneazăprocesul de conştientizare şi pregătire al personalului în domeniu SI; • orientează proprietarii resurselor (PR) în toate problemele ce ţin de SI.

  28. Roluri si responsabilităţi în SMSI • Proprietarul resurselor • răspunde de activele date în responsabilitate (informaţii;  software; echipamente de calcul şi de comunicaţii; aplicaţii; servicii; oameni; active intangibile; proprietatea poate fi atribuită unui proces al afacerii, unui set de activităţi, unei aplicaţii sau unui set stabilit de date). • Împreună cu RS, PR răspunde de: • - identificarea cerinţelor de securitate ale afacerii; • - asigurarea clasificării corespunzătoare a informaţiilor şi resurselor critice; • - revizuirea permanentă a ghidurilor de clasificare a informaţiilor; • - definirea şi supunerea aprobării managerului general, a drepturilor de acces la informaţii pentru toţi utilizatorii resurselor informaţionale sau ale reţelei necesare acestora pentru a-şi îndeplini sarcinile de serviciu (procesul de administrare a utilizatorului - AU), precum şi modul/metoda de rezolvare a excepţiilor de la regulile generale stabilite pentru aceste permisiuni.

  29. Roluri si responsabilităţi în SMSI • Comitetul, forumul, echipa de securitate - coordonează executarea activităţilor de securitate în conformitate cu politica de securitate a informaţiilor; - identifică modul de tratare a neconformităţilor; - avizează politicile, metodologiile şi procedurile legate de securitatea informaţiilor; - avizează planurile de tratare a riscurilor; - analizează incidentele de securitate; - estimează gradul de adecvare a măsurilor de securitate a informaţiilor şi coordonează implementarea lor; - analizează modul de promovare a educaţiei, instruirii şi conştientizării personalului cu privire la securitatea informaţiilor în cadrul organizaţiei; - evaluează informaţiilor primite de la activităţile de monitorizare şi analiză a incidentelor de securitate; - face recomandări de acţiuni corective şi preventive, precum şi de acţiuni adecvate de răspuns la incidentele de securitate a informaţiilor; - identifică mutaţiile expunerii la ameninţări a informaţiilor şi a mijloacelor de procesare a acestora şi propunde reevaluări de risc.

  30. Agenda 1. Conceptul de securitate a informaţiilor (definiţie, elemente fundamentale;ameninţări, vulnerabilităţi, riscuri; necesitatea asigurării securităţii informaţiilor (obiectivă, legală, contractuală; cadrul normativ) 2. Sisteme de management al securităţii informaţiilor (SMSI) 3. Managementul riscului 4. Proiectarea, implementarea, monitorizarea şi îmbunătăţirea SMSI 5. Certificarea unui SMSI

  31. “Security is always excessive until it’s not enough”

  32. # evaluarea riscurilor– abordare sistematică a: ¤ daunelor care ar putea rezulta în urma unei breşe de securitate ¤ probabilitatea realistă ca un astfel eveniment de securitate sa se produca# indicarea şi determinarea actiunilorde management potrivite şi a priorităţilor acestora# implementarea controalelorselectate pentru protecţia împotriva riscurilor# revizuiri periodice Ce reprezintă managementul riscurilor? [SR 17799]

  33. Basic Assumption:There will be a failure What are theconsequences? Rating:Risk Exposure qualified & quantified Risks categorized& prioritized Mitigation/recoveryactions defined Mitigation/recoveryactions followed-up Results and decisions are documented Ce reprezintă managementul riscurilor?

  34. - evaluarea riscurilor la care este expusă organizaţia- cerinţele legale, statutare, contractuale - setul specific de principii, obiective şicerinţe pentru procesarea informaţiei Cum se stabilesc cerinţele de securitate? [ISO 27002]

  35. Terminologie

  36. Terminologie

  37. ‚Organizaţia trebuie să stabilească o metodă de analiză a riscurilor care este adecvată pentru SMSI şi să identifice cerinţele de securitate, cerinţele legale şi regulatorii ale sale. Să stabilească politica şi obiectivele SMSI în vederea reducerii riscurilor la nivele acceptabile. Să determine criteriile pentru acceptarea riscurilor şi nivelele la care acestea pot fi acceptate.’(ISO 27001)

  38. Schema ISO 27001:2005 A. Identificarea si analiza riscurilor : • a)identificarea resurselor • b)identificarea ameninţărilor la resurse • c)identificarea vulnerabilităţilor care pot fi exploatate de ameninţări • d)identificarea impactului pe care pierderea confidenţialităţii, integrităţii şi disponibilităţii îl pot avea asupra resurselor

  39. Schema ISO 27001:2005 B. Evaluarea riscurilor : a)evaluarea prejudiciului care poate rezulta dintr-un incident de securitate, luând în calcul consecinţele potenţiale ale pierderii confidenţialităţii, integrităţii şi disponibilităţii resurselor; b)evaluarea realistică a probabilităţii de apariţie a unui incident având în vedere ameninţările şi vulnerabilităţile predominante asociate cu aceste resurse, ca şi măsurile de control (protecţie) existente; c) estimarea nivelului riscurilor; d)determinarea dacă riscul este acceptabil sau necesită tratare în baza criteriilor de acceptare stabilite.

  40. Schema ISO 27001:2005 C. Identificarea şi evaluarea opţiunilor de tratare a riscurilor (Tratarea riscurilor) a)aplicarea măsurilor adecvate; b)acceptare în cunoştinţă de cauză şi argumentat, în condiţiile satisfacerii polticii organizaţiei şi a criteriilor de acceptare a riscurilor; c)eliminarea riscurilor; d)transferarea riscurilor altor părţi. D. Selectarea obiectivelor şi măsurilor pentru tratarea riscurilor

  41. Evaluarea Riscurilor: Probabilitate Consecinte Nivel de risc Procesul de MR Stabilirea Contextului Identificarea/analiza Riscurilor Comunică şi consultă Monitorizare şi Analiză Tratarea Riscurilor

  42. Plan-Do-Check-Act

  43. Ameninţările - surse accidentale sau voite de evenimente Exploatează o vulnerabilitate Factori de analiză: Resursa Acces Actor Motivaţie Impact Vulnerabilităţile -slăbiciuni asociate resurselor în: Mediul fizic Personal, management, administraţie Hardware, software, comunicaţii Cauzează daune numai dacă sunt exploatate de ameninţări Exemple Identificarea ameninţărilor şi vulnerabilităţilor

  44. Calculul riscurilor Metode cantitative • AV – valoarea resursei SMSI • EF – factorul de expunere (valoarea procentuala a impactului din valoarea resursei) • SLE = AV x EF (Ex. 150.000 lei X 25%= 37.500 lei pierdere la o aparitie a riscului) • SLE – impactul unui risc la o aparitie • ARO – rata (frecventa) de manifestare a incidentului • ALE – impactul total estimat al riscului • ALE = SLE x ARO (Ex. 37.500 lei X 0,1 - o frecventa a riscului de 1 la 10 ani= 3.700 lei)

  45. Calculul riscurilorMetode calitativeExemplu de calcul: evaluarea separată a ameninţărilor şi vulnerabilităţilor

  46. Calculul riscurilor Metode cantitative Avantaje • Caracter obiectiv • Formalism convenabil top-managementului • Faciliteaza analiza cost-efect • Se preteaza aplicatiilor software Dezavantaje • Lipsa unor valori unanim recunoscute pentru factorii de expunere sau ratele de aparitie • Dificultatea de aplicare completa a metodei • Complexitate mare • Credibilitate scazuta

  47. Calculul riscurilor - Metode calitative • Avantaje • permite elaborarea metodei adecvate organizatiei • suport intuitiv pentru managementul riscurilor organizatiei • permite stabilirea de prioriati in tratarea riscurilor • costurile de aplicare sunt reduse • adecvata abordarii PDCA • Dezavanje • o anumita doza de subiectivism • suport redus pentru analiza cost/efect

  48. Tratamentul riscurilor • Aplicarea măsurilor de control adecvate pentru reducerea riscurilor • Înţelegerea şi acceptarea conştientă a riscurilor în măsura în care sunt satisfăcute politica organizaţională şi criteriile de acceptare a riscului • Eliminarea riscului • Renunţarea la unele activităţi • Mutarea unor bunuri în zone mai puţin expuse • Renunţarea la procesarea unor informaţii sensibile • Transferarea riscurilor asociate activităţii altor părţi • Asigurare, outsourcing, scoaterea din S.M.S.I

  49. Selectarea măsurilor de control • ISO 27002 • ISO 27001 Alte criterii • Uşurinţa utilizării • Transparenţa în raport cu utilizatorul • Sprijinul asigurat utilizatorului • Eficienţa măsurii de control • Tipul de funcţie realizat: prevenire, împiedicare, detecţie, refacere, corectare, monitorizare, semnalizare • Asigurarea unui echilibru între funcţii • Factorul de cost • Acţiune • Reducerea probabilităţii ca ameninţarea sau vulnerabilitatea să cauzeze un incident • Asigură respectarea cerinţelor legale sau de activitate • Reduce impactul în caz de incident • Detectează evenimentele nedorite, reacţionează şi contracarează

  50. Avantajele managementului riscurilor informatice? • Creşterea gradului de conştientizare a riscurilor de securitate şi a practicilor recomandate pentru utilizatorii de calculatoare • Asigurarea resurselor umane şi de competenţă pentru administratorii de reţele şi alte funcţiiimportante în asigurarea obiectivelor de securitate informatică • Utilizarea eficace si eficienta a soluţiilor tehnice destinate sporirii gradului de securitate informatică • Prevederea unor proceduri şi a unor capacităţi corespunzătoare de răspuns la incident; business continuity, disaster rocovery, survivability

More Related