Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole? Polski Komitet Normalizacyjny Dr Grażyna Ożarek I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole Warszawa, październik 2014
Jak zorganizować skuteczne bezpieczeństwo informacyjne
w szkole?
Polski Komitet Normalizacyjny
Dr Grażyna Ożarek
I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole
Warszawa, październik 2014
POLSKI KOMITET NORMALIZACYJNY
Informacja
Jest odpowiedzią na pytanie skierowane do danych
Cechy informacji
Zbiorem uporządkowanych danych wg określonego kryterium i poddanych
interpretacji
Niepewność (ponieważ powstaje w wyniku interpretacji danych) i ograniczona w czasie trwałość
(wiarygodność)
2
POLSKI KOMITET NORMALIZACYJNY
Dane
„Surowe” fakty, liczby
Szczególnym przypadkiem zorganizowanego zbioru danych jest baza danych np. osobowych, w której w sposób uporządkowany zgromadzone są dane mające podobną postać i dotyczące określonej tematyki
Cechy danych
Brak uporządkowania
Wiarygodność i pewność
Każdej chwili mogą być weryfikowane pod względem poprawności i aktualizowane
Pełnią rolę nośników przepływu informacji
3
POLSKI KOMITET NORMALIZACYJNY
Prawne aspekty bezpieczeństwa informacyjnego
w szkole
USTAWA o ochronie danych osobowych
USTAWA o finansach publicznych KOMUNIKAT Ministra Finansów w
sprawie standardów kontroli zarządczej
USTAWA o rachunkowości
USTAWA o dostępie do informacji publicznej
USTAWA o systemie informacji oświatowej ROZPORZĄDZENIE MEN w sprawie minimalnych wymagań technicznych dla sprzętu
przeznaczonego do obsługi oprogramowania służącego prowadzeniu lokalnych baz
danych SIO
USTAWA o narodowym zasobie archiwalnym i archiwach
USTAWA o prawie autorskim i prawach pokrewnych
ROZPORZĄDZENIE Rady Ministrów w sprawie Krajowych Ram
Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany
informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów
teleinformatycznych
USTAWA - Kodeks karny
Rozdział XXXIII kodeksu dotyczy przestępstw przeciwko ochronie
informacji
4
POLSKI KOMITET NORMALIZACYJNY
Prawo nakazuje
nam zrobienie czegoś
ale zwykle nie wskazuje
jak należy to zrobić
Normy pokazują
jak należy to zrobić!
5
POLSKI KOMITET NORMALIZACYJNY
Ogólny model bezpieczeństwa
Legenda:
P – podatność (luka) B – zabezpieczenie R – ryzyko RR – ryzyko szczątkowe Z - zagrożenia
ZASOBY
informacyjne
R
RR
RR
RR
P
P
P P
P
Z
Z Z
Z
Z
R
B
B
B
B
Źródło: PN-I-13335-1
6
POLSKI KOMITET NORMALIZACYJNY
Bezpieczeństwo
informacyjne
- ochrona przed utratą
Poufność
Niezawodność
Autentyczność
Rozliczalność
Niezaprzeczalność
Przed czym chronimy zasoby informacyjne? Atrybuty zasobów informacyjnych
Integralność Poufność Dostępność
7
POLSKI KOMITET NORMALIZACYJNY
Zagrożenia
Rozmyślne Podsłuch Modyfikacja Włamanie do systemu Złośliwy kod Kradzież
Przypadkowe Pomyłki Skasowanie pliku Błędne skierowanie Uszkodzenia fizyczne
Płynące z wnętrza organizacji
Płynące z otoczenia
8
POLSKI KOMITET NORMALIZACYJNY
Kto? Skąd ? i Jak?
Zdecydowana większość wszystkich problemów
związanych z bezpieczeństwem informacyjnym
pochodzi z wnętrza tej organizacji
Pomyłki
55%
niezadow olenie
9%
nieuczciw ość
10%
aw arie zasilania
20%
w irusy
4%
hakerzy
2%przyczyny zew nętrzne
Wycieki danych w instytucjach rządowych
vs sektory prywatne
34%
66%
Sektor prywatny
Instytucje rządowe
50%
17%
12%
10%
5%
3%
3%
Urządzenia przenośne
Inne kanały
Internet
Nieznane
Inne nośniki
E-mail, fax
Poczta tradycyjna
Rys.1
Źródło Rys. 2 i Rys. 3: http://www.emodus.pl/tresc/50/21/25
Rys.2
Rys.3
9
POLSKI KOMITET NORMALIZACYJNY
Skąd czerpać wiedzę jak zorganizować skuteczny
SZBI?
Polskie Normy serii PN-ISO/IEC 27000 z zakresu zarządzania bezpieczeństwem informacji
PN-ISO/IEC 27001 – wymagania stawiane systemom zarządzania bezpieczeństwem informacji
PN-ISO/IEC (19977) 27002 praktyczne zasady zarządzania bezpieczeństwem informacji
PN-ISO/IEC 27005 – Zarządzanie ryzykiem w bezpieczeństwie informacji
Okno korzyści szeroko otwarte
Zawiera przykłady 43 typowych zagrożeń i 85 podatności w różnych obszarach bezpieczeństwa (sprzęt, oprogramowanie, sieć, personel, siedziba, organizacja)
Zawiera wzorcowy wykaz celów stosowania zabezpieczeń oraz wykaz 166 zabezpieczeń w 14 obszarach kontrolnych (bezpieczeństwa)
10
POLSKI KOMITET NORMALIZACYJNY
SZBI wg PN-ISO/IEC 27001 kompleksowo zapewnia bezpieczeństwo informacji poprzez ustanowienie 14 obszarów kontrolnych:
]
1. Polityki bezpieczeństwa informacyjnego
2. Organizacja bezpieczeństwa informacji
3. Bezpieczeństwo zasobów ludzkich
4. Zarządzanie aktywami
5. Kontrola dostępu
6. Kryptografia
7. Bezpieczeństwo fizyczne i środowiskowe
8. Bezpieczna eksploatacja
9. Bezpieczeństwo łączności
10. Pozyskiwanie, rozwój i utrzymywanie systemów
11. Relacje z dostawcami
12. Zarządzanie incydentami
13. Ciągłość działania
14. Zgodność z wymaganiami prawnymi i umownymi
11
POLSKI KOMITET NORMALIZACYJNY
SZBI PN-ISO/IEC 27001 jest ufundowany na PDCA
Planuj
Wykonaj Sprawdź
Doskonal
SZBI PN-ISO/IEC 27001
Kontekst organizacji
Przywództwo
Planowanie
Wspieranie
Wdrażanie i eksploatacja
Ocena skuteczności
Poprawianie, ulepszanie
12
POLSKI KOMITET NORMALIZACYJNY
SZBI PN-ISO/IEC 27001 jest ufundowany na
zarządzaniu ryzykiem
SZBI
Zarządzanie ryzykiem
13
POLSKI KOMITET NORMALIZACYJNY
Ryzyko Zabezpieczenia
Zagrożenia Podatności
Zasoby
Wartość Wymagania
bezpieczeństwa
wykorzystują
Źródło: opr. wł. na podst. PN-I-13335-1
Związki w zarządzaniu ryzykiem
14
Organizowanie SZBI wg PN-ISO/IEC 27001 Ustanowienie
polityki SZBI, cele zakres
Klasyfikacja informacji i inwentaryzacja aktywów
Rozpoznanie kontekstu organizacji
Ustalenie wartości aktywów i
poziomów ochrony; analiza ryzyka
Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka
Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady)
Podnoszenie poziomu świadomości pracowników
Monitorowanie SZBI
Doskonalenie SZBI
POLSKI KOMITET NORMALIZACYJNY
Krok 1: • Szkolenie dla kadry kierowniczej
i grupy wdrażającej SZBI
Poznanie wymagań PN-ISO/IEC
27001 oraz porad zawartych
w innych normach z serii 27000
• Ustalenie celu i zakresu SZBI
Plan działań w zakresie budowy
SZBI
Ustanowienie polityki SZBI, cele i zakres
16
POLSKI KOMITET NORMALIZACYJNY
Krok 2: • Identyfikacja wszystkich danych
i informacji przetwarzanych
w szkole (w obszarze nauczania
i administracji)oraz form ich
występowania (w postaci
elektronicznej, papierowej
i innej)
• Inwentaryzacja urządzeń
i miejsc przetwarzania
Klasyfikacja informacji i inwentaryzacja aktywów
17
POLSKI KOMITET NORMALIZACYJNY
Krok 3:
• Zbadanie kontekstu wewnętrznego
i zewnętrznego szkoły
• Zewnętrzny: wymagania prawne, kulturowe, techniczno-
technologiczne, ekonomiczne,
etyczne, społeczne
• Wewnętrzny: wewnętrzne
uregulowania, dostępne środki
finansowe, kultura organizacyjna, poziom świadomości, poziom
edukacyjny
Rozpoznanie kontekstu organizacji
18
POLSKI KOMITET NORMALIZACYJNY
Krok 4:
• Ustalenie wartości zasobów informacyjnych
• Przydzielenie do odpowiednich grup ochrony (np. III, II, I poziomu ochrony)
• Analiza zagrożeń i podatności aktywów (na postawie listy znajdującej się w normie PN-ISO/IEC 27005)
• Analiza ryzyka
• Ranking ryzyka
Ustalenie wartości aktywów i poziomów ochrony, analiza ryzyka
19
POLSKI KOMITET NORMALIZACYJNY
Krok 5:
• Identyfikacja funkcjonujących zabezpieczeń na podstawie listy zabezpieczeń z normy PN-ISO/IEC
27001 (w obszarze fizycznym,
informatycznym, osobowym i prawnym)
• Weryfikacja ryzyka po uwzględnieniu
istniejących zabezpieczeń
• Plan redukcji ryzyka wg wybranej
metody (np. działania inwestycyjne,
organizacyjne i uświadamiające)
• Akceptacja ryzyka szczątkowego
Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka
20
POLSKI KOMITET NORMALIZACYJNY
Krok 6:
Opracowywanie dokumentów
• Polityka bezpieczeństwa informacyjnego
• Polityki szczegółowe np. polityka ochrony danych osobowych
• Procedury
• Instrukcje
• Plany ciągłości działania, • Plany awaryjne
• Zasady
Weryfikacja i zatwierdzanie dokumentów
Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady)
21
POLSKI KOMITET NORMALIZACYJNY
Krok 7:
• Opracowanie planu podnoszenia poziomu świadomości, w celu zbudowania kultury bezpieczeństwa informacyjnego w szkole
• Zapoznanie z obwiązującymi zasadami bezpieczeństwa
• Nauczycieli
• Pracowników administracji i obsługi
• Uczniów i ich rodziców
Podnoszenie poziomu świadomości, nauczycieli pracowników i uczniów
22
POLSKI KOMITET NORMALIZACYJNY
Krok 8:
• Audyty wewnętrzne, weryfikacja wdrożonych zasad i zabezpieczeń
• Przeglądy kierownictwa, weryfikacja dotychczasowych celów bezpieczeństwa i wyznaczanie nowych
• Zgłaszanie incydentów i reakcja na incydenty
Monitorowanie SZBI
23
POLSKI KOMITET NORMALIZACYJNY
Krok 9: • Działania korygujące, identyfikacja
zagrożeń i niezgodności w odniesieniu do wymagań normy, wewnętrznych zasad, incydentów oraz wyników audytu
• Aktualizacja dokumentacji
• Weryfikacja zabezpieczeń (obniżenie lub podwyższenie poziomu ochrony dla danej grupy informacji) na skutek np. zmian w przepisach prawa, pojawienia się nowych zagrożeń, wymagań ze strony interesariuszy
Doskonalenie SZBI
24
POLSKI KOMITET NORMALIZACYJNY
Korzyści
Korzyści
Skutecznie chronimy wszystkie zasoby informacyjne
Solidnie wypełniamy wymagania prawne
Właściwie reagujemy na ewentualne incydenty bezpieczeństwa
Odpowiedzialnie wychowujemy do życia w społeczeństwie informacyjnym
Postrzegani jesteśmy jako bezpieczna – godna zaufania szkoła (placówka)
25
POLSKI KOMITET NORMALIZACYJNY
Czego możemy się spodziewać!
Nauczyciele
Mało to mamy roboty!
Ciekawe kiedy mamy uczyć!
Przecież wiemy, że nie wolno paplać gdzie popadnie.
Administracja i obsługa
Pewnie to wszystko na nas spadnie!
Przecież u nas jest bezpiecznie
Znowu coś wymyślili!
Po co nam to?
26
POLSKI KOMITET NORMALIZACYJNY
Jest to normalne!
Nikt nie będzie sprzymierzeńcem
czegoś, czego nie zrozumie
a będzie zmuszony w tym
aktywnie uczestniczyć!
Dlaczego?
27
POLSKI KOMITET NORMALIZACYJNY
Pokazać drugą stronę życia w społeczeństwie
informacyjnym i…
Zaangażować
w budowę, wdrażanie i doskonalenie
SZBI
Opracować
Zrozumiałą, dostępną i rozwiązującą
problemy dokumentację
Analizować
ryzyko najprostszą metodą i włączyć
do tego zadania wszystkich
pracowników (a może i uczniów)
Co zrobić?
28
POLSKI KOMITET NORMALIZACYJNY
Podsumowanie
Z bezpieczeństwem informacyjnym
jest jak z koszeniem trawy!
Systematycznie!
Nie za mocno!
Czego nie możesz przyciąć, wyrwij!
A na koniec
Źródło: Blueenergy,
www.grupablue.pl
29
Dziękuję za uwagę Pytania?