prezentacja programu powerpointooidkz.wckp.lodz.pl/sites/default/files/jak zorganizować... ·...

Jak zorganizować skuteczne bezpieczeństwo informacyjne

w szkole?

Polski Komitet Normalizacyjny

Dr Grażyna Ożarek

I Specjalistyczna Konferencja Bezpieczeństwo Informacyjne w Szkole

Warszawa, październik 2014

POLSKI KOMITET NORMALIZACYJNY

Informacja

Jest odpowiedzią na pytanie skierowane do danych

Cechy informacji

Zbiorem uporządkowanych danych wg określonego kryterium i poddanych

interpretacji

Niepewność (ponieważ powstaje w wyniku interpretacji danych) i ograniczona w czasie trwałość

(wiarygodność)

2


Dane

„Surowe” fakty, liczby

Szczególnym przypadkiem zorganizowanego zbioru danych jest baza danych np. osobowych, w której w sposób uporządkowany zgromadzone są dane mające podobną postać i dotyczące określonej tematyki

Cechy danych

Brak uporządkowania

Wiarygodność i pewność

Każdej chwili mogą być weryfikowane pod względem poprawności i aktualizowane

Pełnią rolę nośników przepływu informacji

3


Prawne aspekty bezpieczeństwa informacyjnego

w szkole

USTAWA o ochronie danych osobowych

USTAWA o finansach publicznych KOMUNIKAT Ministra Finansów w

sprawie standardów kontroli zarządczej

USTAWA o rachunkowości

USTAWA o dostępie do informacji publicznej

USTAWA o systemie informacji oświatowej ROZPORZĄDZENIE MEN w sprawie minimalnych wymagań technicznych dla sprzętu

przeznaczonego do obsługi oprogramowania służącego prowadzeniu lokalnych baz

danych SIO

USTAWA o narodowym zasobie archiwalnym i archiwach

USTAWA o prawie autorskim i prawach pokrewnych

ROZPORZĄDZENIE Rady Ministrów w sprawie Krajowych Ram

Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów

teleinformatycznych

USTAWA - Kodeks karny

Rozdział XXXIII kodeksu dotyczy przestępstw przeciwko ochronie

informacji

4


Prawo nakazuje

nam zrobienie czegoś

ale zwykle nie wskazuje

jak należy to zrobić

Normy pokazują

jak należy to zrobić!

5


Ogólny model bezpieczeństwa

Legenda:

P – podatność (luka) B – zabezpieczenie R – ryzyko RR – ryzyko szczątkowe Z - zagrożenia

ZASOBY

informacyjne

R

RR

RR

RR

P

P

P P

P

Z

Z Z

Z

Z

R

B

B

B

B

Źródło: PN-I-13335-1

6


Bezpieczeństwo

informacyjne

- ochrona przed utratą

Poufność

Niezawodność

Autentyczność

Rozliczalność

Niezaprzeczalność

Przed czym chronimy zasoby informacyjne? Atrybuty zasobów informacyjnych

Integralność Poufność Dostępność

7


Zagrożenia

Rozmyślne Podsłuch Modyfikacja Włamanie do systemu Złośliwy kod Kradzież

Przypadkowe Pomyłki Skasowanie pliku Błędne skierowanie Uszkodzenia fizyczne

Płynące z wnętrza organizacji

Płynące z otoczenia

8


Kto? Skąd ? i Jak?

Zdecydowana większość wszystkich problemów

związanych z bezpieczeństwem informacyjnym

pochodzi z wnętrza tej organizacji

Pomyłki

55%

niezadow olenie

9%

nieuczciw ość

10%

aw arie zasilania

20%

w irusy

4%

hakerzy

2%przyczyny zew nętrzne

Wycieki danych w instytucjach rządowych

vs sektory prywatne

34%

66%

Sektor prywatny

Instytucje rządowe

50%

17%

12%

10%

5%

3%

3%

Urządzenia przenośne

Inne kanały

Internet

Nieznane

Inne nośniki

E-mail, fax

Poczta tradycyjna

Rys.1

Źródło Rys. 2 i Rys. 3: http://www.emodus.pl/tresc/50/21/25

Rys.2

Rys.3

9


Skąd czerpać wiedzę jak zorganizować skuteczny

SZBI?

Polskie Normy serii PN-ISO/IEC 27000 z zakresu zarządzania bezpieczeństwem informacji

PN-ISO/IEC 27001 – wymagania stawiane systemom zarządzania bezpieczeństwem informacji

PN-ISO/IEC (19977) 27002 praktyczne zasady zarządzania bezpieczeństwem informacji

PN-ISO/IEC 27005 – Zarządzanie ryzykiem w bezpieczeństwie informacji

Okno korzyści szeroko otwarte

Zawiera przykłady 43 typowych zagrożeń i 85 podatności w różnych obszarach bezpieczeństwa (sprzęt, oprogramowanie, sieć, personel, siedziba, organizacja)

Zawiera wzorcowy wykaz celów stosowania zabezpieczeń oraz wykaz 166 zabezpieczeń w 14 obszarach kontrolnych (bezpieczeństwa)

10


SZBI wg PN-ISO/IEC 27001 kompleksowo zapewnia bezpieczeństwo informacji poprzez ustanowienie 14 obszarów kontrolnych:

]

1. Polityki bezpieczeństwa informacyjnego

2. Organizacja bezpieczeństwa informacji

3. Bezpieczeństwo zasobów ludzkich

4. Zarządzanie aktywami

5. Kontrola dostępu

6. Kryptografia

7. Bezpieczeństwo fizyczne i środowiskowe

8. Bezpieczna eksploatacja

9. Bezpieczeństwo łączności

10. Pozyskiwanie, rozwój i utrzymywanie systemów

11. Relacje z dostawcami

12. Zarządzanie incydentami

13. Ciągłość działania

14. Zgodność z wymaganiami prawnymi i umownymi

11


SZBI PN-ISO/IEC 27001 jest ufundowany na PDCA

Planuj

Wykonaj Sprawdź

Doskonal

SZBI PN-ISO/IEC 27001

Kontekst organizacji

Przywództwo

Planowanie

Wspieranie

Wdrażanie i eksploatacja

Ocena skuteczności

Poprawianie, ulepszanie

12


SZBI PN-ISO/IEC 27001 jest ufundowany na

zarządzaniu ryzykiem

SZBI

Zarządzanie ryzykiem

13


Ryzyko Zabezpieczenia

Zagrożenia Podatności

Zasoby

Wartość Wymagania

bezpieczeństwa

wykorzystują

Źródło: opr. wł. na podst. PN-I-13335-1

Związki w zarządzaniu ryzykiem

14

Organizowanie SZBI wg PN-ISO/IEC 27001 Ustanowienie

polityki SZBI, cele zakres

Klasyfikacja informacji i inwentaryzacja aktywów

Rozpoznanie kontekstu organizacji

Ustalenie wartości aktywów i

poziomów ochrony; analiza ryzyka

Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka

Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady)

Podnoszenie poziomu świadomości pracowników

Monitorowanie SZBI

Doskonalenie SZBI


Krok 1: • Szkolenie dla kadry kierowniczej

i grupy wdrażającej SZBI

Poznanie wymagań PN-ISO/IEC

27001 oraz porad zawartych

w innych normach z serii 27000

• Ustalenie celu i zakresu SZBI

Plan działań w zakresie budowy

SZBI

Ustanowienie polityki SZBI, cele i zakres

16


Krok 2: • Identyfikacja wszystkich danych

i informacji przetwarzanych

w szkole (w obszarze nauczania

i administracji)oraz form ich

występowania (w postaci

elektronicznej, papierowej

i innej)

• Inwentaryzacja urządzeń

i miejsc przetwarzania

Klasyfikacja informacji i inwentaryzacja aktywów

17


Krok 3:

• Zbadanie kontekstu wewnętrznego

i zewnętrznego szkoły

• Zewnętrzny: wymagania prawne, kulturowe, techniczno-

technologiczne, ekonomiczne,

etyczne, społeczne

• Wewnętrzny: wewnętrzne

uregulowania, dostępne środki

finansowe, kultura organizacyjna, poziom świadomości, poziom

edukacyjny

Rozpoznanie kontekstu organizacji

18


Krok 4:

• Ustalenie wartości zasobów informacyjnych

• Przydzielenie do odpowiednich grup ochrony (np. III, II, I poziomu ochrony)

• Analiza zagrożeń i podatności aktywów (na postawie listy znajdującej się w normie PN-ISO/IEC 27005)

• Analiza ryzyka

• Ranking ryzyka

Ustalenie wartości aktywów i poziomów ochrony, analiza ryzyka

19


Krok 5:

• Identyfikacja funkcjonujących zabezpieczeń na podstawie listy zabezpieczeń z normy PN-ISO/IEC

27001 (w obszarze fizycznym,

informatycznym, osobowym i prawnym)

• Weryfikacja ryzyka po uwzględnieniu

istniejących zabezpieczeń

• Plan redukcji ryzyka wg wybranej

metody (np. działania inwestycyjne,

organizacyjne i uświadamiające)

• Akceptacja ryzyka szczątkowego

Weryfikacja zastanych zabezpieczeń oraz opracowanie planu redukcji ryzyka

20


Krok 6:

Opracowywanie dokumentów

• Polityka bezpieczeństwa informacyjnego

• Polityki szczegółowe np. polityka ochrony danych osobowych

• Procedury

• Instrukcje

• Plany ciągłości działania, • Plany awaryjne

• Zasady

Weryfikacja i zatwierdzanie dokumentów

Opracowywanie szczegółowej dokumentacji (procedury, instrukcje zasady)

21


Krok 7:

• Opracowanie planu podnoszenia poziomu świadomości, w celu zbudowania kultury bezpieczeństwa informacyjnego w szkole

• Zapoznanie z obwiązującymi zasadami bezpieczeństwa

• Nauczycieli

• Pracowników administracji i obsługi

• Uczniów i ich rodziców

Podnoszenie poziomu świadomości, nauczycieli pracowników i uczniów

22


Krok 8:

• Audyty wewnętrzne, weryfikacja wdrożonych zasad i zabezpieczeń

• Przeglądy kierownictwa, weryfikacja dotychczasowych celów bezpieczeństwa i wyznaczanie nowych

• Zgłaszanie incydentów i reakcja na incydenty

Monitorowanie SZBI

23


Krok 9: • Działania korygujące, identyfikacja

zagrożeń i niezgodności w odniesieniu do wymagań normy, wewnętrznych zasad, incydentów oraz wyników audytu

• Aktualizacja dokumentacji

• Weryfikacja zabezpieczeń (obniżenie lub podwyższenie poziomu ochrony dla danej grupy informacji) na skutek np. zmian w przepisach prawa, pojawienia się nowych zagrożeń, wymagań ze strony interesariuszy

Doskonalenie SZBI

24


Korzyści

Korzyści

Skutecznie chronimy wszystkie zasoby informacyjne

Solidnie wypełniamy wymagania prawne

Właściwie reagujemy na ewentualne incydenty bezpieczeństwa

Odpowiedzialnie wychowujemy do życia w społeczeństwie informacyjnym

Postrzegani jesteśmy jako bezpieczna – godna zaufania szkoła (placówka)

25


Czego możemy się spodziewać!

Nauczyciele

Mało to mamy roboty!

Ciekawe kiedy mamy uczyć!

Przecież wiemy, że nie wolno paplać gdzie popadnie.

Administracja i obsługa

Pewnie to wszystko na nas spadnie!

Przecież u nas jest bezpiecznie

Znowu coś wymyślili!

Po co nam to?

26


Jest to normalne!

Nikt nie będzie sprzymierzeńcem

czegoś, czego nie zrozumie

a będzie zmuszony w tym

aktywnie uczestniczyć!

Dlaczego?

27


Pokazać drugą stronę życia w społeczeństwie

informacyjnym i…

Zaangażować

w budowę, wdrażanie i doskonalenie

SZBI

Opracować

Zrozumiałą, dostępną i rozwiązującą

problemy dokumentację

Analizować

ryzyko najprostszą metodą i włączyć

do tego zadania wszystkich

pracowników (a może i uczniów)

Co zrobić?

28


Podsumowanie

Z bezpieczeństwem informacyjnym

jest jak z koszeniem trawy!

Systematycznie!

Nie za mocno!

Czego nie możesz przyciąć, wyrwij!

A na koniec

Źródło: Blueenergy,

www.grupablue.pl

29

Dziękuję za uwagę Pytania?

[email protected]

prezentacja programu powerpointooidkz.wckp.lodz.pl/sites/default/files/jak zorganizować... ·...

Documents