PLNOG 13: Piotr Wojciechowski: Security and Control Policy

POLITYKI BEZPIECZEŃSTWA I
KONTROLI
Piotr Wojciechowski (CCIE #25543)

ABOUT ME
¢ Senior Network Engineer MSO at VeriFone Inc.
¢ Previously Network Solutions Architect at one of top
polish IT integrators
¢ CCIE #25543 (Routing & Switching)
¢ Blogger – http://ccieplayground.wordpress.com
¢ Administrator of CCIE.PL board
— The biggest Cisco community in Europe
— Over 7500 users
— 3 admin, 5 moderators
— 58 polish CCIEs as members, 20 of them actively posting
— About 150 new topics per month
— About 1000 posts per month
— English section available

AGENDA
¢ Czym jest polityka bezpieczeństwa?
¢ Realizacja polityki bezpieczeństwa w IT
¢ Wdrażanie polityki bezpieczeństwa
¢ Audyty
¢ Jak stworzyć efektywną politykę bezpieczeństwa?

CZYM JEST POLITYKA BEZPIECZEŃSTWA?

¢ Polityka bezpieczeństwa jest:
— Zbiorem spójnych, precyzyjnych reguł i procedur wg
których dana organizacja buduje, zarządza oraz
udostępnia zasoby
— Określa chronione zasoby
— Dokumentem zgodnym z prawem

¢ Co obejmuje polityka bezpieczeństwa:
— Całość zagadnień związanych z bezpieczeństwem danych
będących w dyspozycji firmy
— Nie ogranicza się jedynie do sieci komputerowej czy
systemów lecz obejmuje całość działania i procesów,
które następują w firmie
— Jest to dokument spisany
— Jest dokumentem specyficznym dla każdej korporacji –
nie ma ogólnego szablonu gotowego do zastosowania
— Musi być dokumentem znanym pracownikom

CYKL ŻYCIA POLITYKI BEZPIECZEŃSTWA

REALIZACJA POLITYKI BEZPIECZEŃSTWA W IT

REALIZACJA POLITYKI BEZPIECZEŃSTWA W
IT
¢ 6 podstawowych polityk definiujących pracę działu
IT oraz osób korzystających z infrastruktury IT
¢ Odpowiedni podział obowiązków w szczególności
nadzoru i kontroli spełnienia wymogów opisanych w
polityce bezpieczeństwa
¢ Regularne audyty

IT
¢ Polityka dostępu do Internetu
— Czy użytkownicy są uprawnieni do korzystania z
Internetu w celach prywatnych?
— Czy użytkownicy mogą sami ściągać i instalować
oprogramowanie?
— Jakie aplikacje są niezbędne do prawidłowego działania
korporacji i z jakich zasobów muszą korzystać?
— Jak mają być zabezpieczone komputery mające dostęp do
Internety?
— Etc…

IT
¢ Polityka kontroli email i mediów społecznościowych
— Bardzo prosta metoda wycieku informacji poufnych
— Kontrola potencjalnego wycieku informacji
— Ochrona wizerunku firmy
— Pracownicy muszą być świadomi, że treść wiadomości
może być monitorowana

IT
¢ Kontrola kluczy
— O fizycznych kluczach do drzwi i kłódek zapomina się
często w epoce dwustopniowego uwierzytelniania
— Kto ma klucze do szafy w serwerowni w chwili obecnej?
— Ile jest kompletów kluczy do każdego z pomieszczeń?
— Kto może pobrać klucze?
— W jaki sposób kontrolujemy czy klucze nie opuszczają
budynku celem wykonania kopi?

IT
¢ Kontrola urządzeń mobilnych
— Nowoczesne urządzenia przechowują często więcej
wrażliwych informacji niż komputery pracowników
— Mobilne urządzenia są łatwym punktem, przez który
zagrożenie może przeniknąć do sieci
— Jakie urządzenia mobilne są dozwolone w naszej sieci?
— Jaką konfigurację na nich wymuszamy?
— Etc…

IT
¢ Kontrola dostępu dla gości
— Polityka dotycząca postępowania z gośćmi w budynkach
biurowych i data center
¢ Punkt rejestracji gości
¢ Wymóg towarzyszenia gościom w wyznaczonych strefach
¢ Identyfikatory gościa
— Odseparowana sieć WLAN dla gości z limitowanym
dostępem do Internetu

IT
¢ Non-Disclosure Agreement (NDA)
— Jasno zakomunikowana polityka pracownikom
— Jasne określenie, że ochrona informacji dotyczy zarówno
komunikacji werbalnej jak i emaili, narzędzi
społecznościowych czy komunikatorów
— Podpisanie NDA przez każdego z pracowników

WDRAŻANIE POLITYKI BEZPIECZEŃSTWA

¢ Scenariusz nierealny – polityka powstaje wraz z
uruchomieniem i rozwojem firmy
¢ Scenariusz prawdziwy – potrzeba biznesowa
wymusza stworzenie spójnej polityki
bezpieczeństwa

¢ Kluczowe elementy polityki bezpieczeństwa
— Bezpieczeństwo fizyczne budynków i urządzeń
— Bezpieczeństwo informacji
— Wykrywanie i przeciwdziałanie nadużyciom
— Wykrywanie oszustw
— Zarządzanie ryzykiem
— Business Continuity Planning (BCP)
— Zarządzanie w sytuacjach kryzysowych

¢ Chronione informacje i procesy najlepiej podzielić
na kategorie, które prościej będzie opisywać w
dokumentach, na przykład:
— Grupy użytkowników lub procesów – marketing, dział
sprzedaży, administracja, księgowość itp.
— Technologie – sieci, systemy, storage, backup
— Cykl życia produktu – deployment, QA, production,
support
— Elementy wewnętrzne i zewnętrzne – intranet, extranet,
WWW, VPN

¢ Gdy zidentyfikujemy obszary których ochronę
polityka bezpieczeństwa ma opisywać powinniśmy
określić grupy użytkowników, którzy wymagają
dostępu do informacji by wykonywać swoją pracę.
¢ Gdy określimy niezbędne zasoby przeprowadzamy
analizę ryzyka związaną z wykradzeniem,
uszkodzeniem lub zniszczeniem informacji

¢ Analiza ryzyka
— Skomplikowany proces zależny od formy prowadzonego
biznesu
— Powinien zawierać potencjalne scenariusze, które mogą
zagrozić prowadzonemu biznesowi i szacować koszty,
które firma poniesie, gdyby scenariusz się zrealizował
— Powinien zawierać szacunek trzech scenariuszy:
¢ Expected
¢ Worst-case
¢ Best-case

¢ Polityka bezpieczeństwa, procedury czy wdrażane
technologie muszą być adekwatne do ryzyka,
prowadzonego biznesu oraz dostępnych środków na
ich wdrożenie i utrzymanie
¢ Analiza ROI pozwala określić, czy koszt wdrożenia
danego rozwiązania nie przekracza kosztu
scenariusza worst-case utraty danych

AUDYTY
¢ Czym jest audyt?
— Proces ocenienia czy przyjęta polityka bezpieczeństwa
odpowiednio chroni zasoby informacyjne korporacji
— Proces weryfikacji odpowiedniego wdrożenia i
przestrzegania przyjętej polityki
— Trzy główne obszary analizy:
¢ Audyt techniczny
¢ Ochrona fizyczna
¢ Proces zarządzania informacją
— Testy penetracyjne to nie audyt!

AUDYTY
¢ Audyty mogą być wewnętrzne lub zewnętrzne
¢ Audyty zewnętrzne najczęściej przeprowadzane na
potrzeby uzyskania certyfikacji produktu,
wdrożenia lub procesu.
¢ Ma na celu pokazanie słabości polityk
bezpieczeństwa i pozwolić poprawić znalezione
błędy
¢ Wykorzystywane są narzędzia automatyzujące
proces ale rola audytora jest bardzo ważna
¢ 4 etapy przeprowadzania audytu

AUDYTY
¢ Etap I – przygotowanie
— Wyspecyfikowanie obszarów audytu
— Zebranie dokumentacji o procesach
— Zebranie informacji o strukturze korporacji i
stanowiskach
— Zebranie informacji o zasobach sprzętowych i
programowych
— Zapoznanie się z politykami i procedurami
— Etc…

AUDYTY
¢ Etap II – ustalenie celów audytu
— Weryfikacja procedur związanych z krytycznymi
systemami
— Weryfikacja świadomości pracowników
— Weryfikacja procesu współpracy z podmiotami
zewnętrznymi
— Proces kontroli zmian
— Business continuity
— Etc…

AUDYTY
¢ Etap III – zbieranie danych do audytu
— Rozmowa z pracownikami
— Przegląd logów systemowych
— Weryfikacja wdrożenia procedur w życie
— Kontrola fizyczna obiektów czy sprzętu
— Kontrola procedur backupu i odzyskiwania danych
— Kontrola procesu niszczenia nośników
— Etc…

AUDYTY
¢ Etap IV – analiza danych i raport końcowy
— Podsumowanie zebranych danych
— Wyspecyfikowanie obszarów wymagających poprawy
— Wyspecyfikowanie zaleceń do poprawy
— Wykazanie obszarów niezgodności ze standardami pod
kątem których audyt był przeprowadzany
— Etc…

JAK STWORZYĆ EFEKTYWNĄ POLITYKĘ
BEZPIECZEŃSTWA?

BEZPIECZEŃSTWA?
¢ Czym jest efektywna polityka bezpieczeństwa?
— Wiele kryteriów zależnych od charakteru prowadzonego
biznesu
— Szczegółowe wytyczne muszą uwzględniać strukturę
korporacji i podział obowiązków
— Nie może być oderwana od rzeczywistości

BEZPIECZEŃSTWA?
¢ Kryterium I
Polityka bezpieczeństwa odpowiednio definiuje cele
bezpieczeństwa przedsiębiorstwa minimalizując
ryzyko operacyjne

BEZPIECZEŃSTWA?
¢ Kryterium II
Polityka bezpieczeństwa odpowiednio zabezpiecza
przedsiębiorstwo przed naruszeniami polityki i
działaniami prawnymi osób trzecich

BEZPIECZEŃSTWA?
¢ Kryterium III
Polityka bezpieczeństwa została przedstawiona
pracownikom (także kontraktowym) pracującym na
różnych szczeblach hierarchii, jest przez nich
zrozumiała a stosowanie nadzorowane przez
przełożonych

BEZPIECZEŃSTWA?
¢ Zasada1
— Wybierz i stosuj jedną prostą strukturę wszystkich
dokumentów definiujących politykę bezpieczeństwa
¢ Trzy typu dokumentów – polityka globalna, standardy,
procedury
¢ Jedna struktura – prościej pracować grupowo, prostszy w
odbiorze przekaz dla czytelnika
¢ Ułatwia audyt i wdrożenie narzędzi bezpieczeństwa

BEZPIECZEŃSTWA?
¢ Zasada 2
— Zapisz wszystko w dokumentach
¢ Nie zostawiaj miejsca na niedopowiedzenia czy interpretację

BEZPIECZEŃSTWA?
¢ Zasada 3
— Przypisz odpowiedzialność za poszczególne zadania z
zakresu bezpieczeństwa do konkretnych osób lub/i
stanowisk
¢ Jasność co do odpowiedzialności konkretnych osób także w
przypadku rotacji na stanowiskach
¢ Ułatwia zarządzanie dokumentem i jego aktualizację
¢ Wskazane osoby są także odpowiedzialne za egzekwowanie
przestrzegania polityki bezpieczeństwa od swoich podwładnych
¢ Audyty oparte o ISO17799 czy COBIT wymagają jasnego
przypisania ról

BEZPIECZEŃSTWA?
¢ Zasada 4
— Zastosuj jeden z dostępnych szablonów zgodnych z ISO
nieznacznie go modyfikując
¢ ISO-IEC 17799:2005 dostarcza podział na 10 domen
bezpieczeństwa możliwy do wdrożenia w każdej korporacji
¢ Podział na domeny bezpieczeństwa ułatwia przeprowadzanie
audytów spójności i kompletności stworzonych polityk

BEZPIECZEŃSTWA?
¢ Zasada 5
— Przeprowadzaj analizę ryzyka
¢ Polityka bezpieczeństwa powinna zawierać informację jak
często i w jaki sposób analiza ryzyka jest przeprowadzana
¢ Analiza ryzyka pozwala oszacować jaki poziom bezpieczeństwa
jest odpowiedni dla korporacji
¢ Dokument końcowy powinien zawierać informacje kto
akceptuje ryzyko, kto akceptuje wyjątki, jak długo one powinny
trwać, jakie narzędzia kontroli należy wdrożyć

BEZPIECZEŃSTWA?
¢ Zasada 6
— Komunikuj politykę bezpieczeństwa jasno i regularnie
¢ Często pięta achillesowa całego procesu J
¢ Pracownicy powinni nie tylko być informowani o zmianach ale
potwierdzić zapoznanie się z nimi
¢ Pracownicy i kontraktorzy muszą być świadomi i rozumieć
swoją rolę w przestrzeganiu polityki bezpieczeństwa
¢ Szkolenia z zakresu polityk bezpieczeństwa dla pracowników

BEZPIECZEŃSTWA?
¢ Zasada 7
— Zdefiniuj proces reakcji na naruszenie polityki
bezpieczeństwa i procedur
¢ Zdefiniuj czym jest naruszenie polityki
¢ Załącz procedurę raportowania naruszenia polityki oraz
postępowania w takim przypadku
¢ Powiadom pracowników o ścieżce postępowania i możliwych
konsekwencjach

BEZPIECZEŃSTWA?
¢ Zasada 8
— Przeprowadzaj audyty polityk bezpieczeństwa
¢ Regularny audyt jest wymogiem nie tylko standardów ale i
dobrej praktyki
¢ Dla standardów i procedur stwórz scenariusze testowe
pozwalające sprawdzić je w praktyce
¢ Audyt techniczny nie jest zadaniem skomplikowanym, audyt
ludzi może być nie lada wyzwaniem

BEZPIECZEŃSTWA?
¢ Zasada 9
— Automatyzuj procesy
¢ Ułatwia audyt i utrzymanie spójności polityki bezpieczeństwa
¢ Automatyzacja narzędzi dystrybucji procedur bezpieczeństwa
¢ Automatyzacja weryfikacji zapoznania się ze zmianami
¢ Automatyzacja weryfikacji wdrożenia szablonów
¢ Etc etc etc

BEZPIECZEŃSTWA?
¢ Zasada 10
— Czy wiesz gdzie jest najsłabsze ogniwo?

PLNOG 13: Piotr Wojciechowski: Security and Control Policy

More Related Content

What's hot (6)

Viewers also liked (6)

Similar to PLNOG 13: Piotr Wojciechowski: Security and Control Policy (20)

PLNOG 13: Piotr Wojciechowski: Security and Control Policy