1. Wprowadzenie do ochrony informacji
1. 1.1. Prywatność, anonimowość, poufność, …
1. 1.2. Zagrożenia, podatności, zabezpieczenia, incydenty
1. 5.8. 1.2.1. Zagrożenia
1. 5.8. 1.2.2. Podatności .
1. 5.8. 1.2.2. 1.2.2.1. Security Content Automation Protocol (SCAP)
1. 5.8. 1.2.2. 1.2.2.2. Cykl życia podatności oprogramowania
1. 5.8. 1.2.3. Zabezpieczenia
1. 5.8. 1.2.4. Incydenty i zarządzanie incydentami
1. 5.8. 1.2.2. 1.2.4.1. Obsługa incydentów – podstawowe wytyczne norm i standardów
1. 5.8. 1.2.2. 1.2.4.2. Zgłoszenie incydentu
1. 5.8. 1.2.2. 1.2.4.3. Zasoby do obsługi incydentu
1. 1.3. Elementy projektowania systemu bezpieczeństwa informacyjnego
1. 5.8. 1.3.1. Cykl życia systemu
1. 5.8. 1.3.2. Zarządzanie przedsięwzięciem projektowania i budowy systemu bezpieczeństwa informacyjnego
1. 5.8. 1.3.3. Etap analizy w cyklu rozwojowym systemu bezpieczeństwa informacyjnego
1. 5.8. 1.3.4. Etap projektowania w cyklu rozwojowym systemu bezpieczeństwa informacyjnego
1. 5.8. 1.3.5. Dokumentowanie prac projektowych
1. 5.8. 1.3.6. Dobre praktyki w projektowaniu wiarygodnych systemów
1. Literatura .
2. Modele ochrony informacji
1. 2.1. Organizacja dostępu do informacji
1. 2.2. Sterowanie dostępem do informacji
1. 2.3. Model Grahama–Denninga
1. 2.8. Model Harrisona–Ruzzo–Ullmana (HRU) .
1. 5.8. 2.8.1. Uogólnienie modelu HRU – model TAM
1. 2.9. Podstawowe Twierdzenie Bezpieczeństwa
1. 5.8. 2.9.1. Konkretyzacja BST
1. 2.10. Podsumowanie
1. Literatura .
3. Zarządzanie ryzykiem
1. 3.1. Charakterystyka procesu zarządzania ryzykiem
1. 3.2. Przegląd norm i standardów z zakresu zarządzania ryzykiem
1. 5.8. 3.2.1. Norma PN-ISO/IEC 27005:2010
1. 5.8. 3.2.2. Standardy FIPS/NIST
1. 5.8. 3.2.3. ISO 31000 – rodzina norm dotyczących zarządzania ryzykiem
1. 5.8. 3.2.4. Rekomendacja D
1. 3.3. Analiza ryzyka – identyfikacja zakresu, środowiska, zagrożeń i podatności
1. 5.8. 3.3.1. Identyfikacja zakresu i środowiska analizy ryzyka
1. 5.8. 3.3.2. Identyfikacja zagrożeń i podatności
1. 3.4. Analiza ryzyka – szacowanie ryzyka
1. 5.8. 3.4.1. Oszacowanie ryzyka – metoda ilościowa
1. 5.8. 3.4.2. Oszacowanie ryzyka – metoda jakościowa
1. 5.8. 3.4.3. Burza mózgów – identyfikacje zagrożeń i podatności
1. 5.8. 3.4.4. Szacowanie ryzyka według normy PN-ISO/IEC-27005
1. 5.8. 3.4.5. Szacowanie ryzyka według organizacji Microsoft®
1. 5.8. 3.4.6. Szacowanie ryzyka – analiza bezpieczeństwa dla systemów sterowania
1. 3.5. Zmniejszanie wartości ryzyka
1. 5.8. 3.5.1. Kontrolowanie ryzyka przez stosowanie zabezpieczeń
1. 3.6. Akceptacja ryzyka szczątkowego
1. 5.8. 3.6.1. Ryzyko akceptowalne i koszty postępowania z ryzykiem
1. 3.7. Administrowanie ryzykiem
1. Literatura
4. Dokumentowanie systemu ochrony informacji
1. 4.1. Polityka bezpieczeństwa
1. 4.2. Plan, instrukcje i procedury bezpieczeństwa informacyjnego
1. 4.3. Dokumentowanie przedsięwzięć zapewniania ciągłości działania organizacji
1. 5.8. 4.3.1. Plan zapewniania ciągłości działania – nazewnictwo i struktura
1. 5.8. 4.3.2. Przygotowanie planu zapewniania ciągłości działania
1. 5.8. 4.3.3. Plany kryzysowe a plany zapewniania ciągłości działania
1. 5.8. 4.3.4. Wytyczne z norm i standardów do konstrukcji planów zapewniania ciągłości działania . .
1. 4.4. Przedsięwzięcia techniczne w zapewnianiu informacyjnej ciągłości działania
1. 5.8. 4.4.1. Kopie bezpieczeństwa
1. 5.8. 4.4.2. Kopie bezpieczeństwa – infrastruktura i organizacja
1. 5.8. 4.4.3. Zdalna kopia bezpieczeństwa
1. 5.8. 4.4.4. Zapasowe ośrodki przetwarzania danych
1. 4.5. Przykłady struktury dokumentu Plan zapewniania ciągłości działania
1. 5.8. 4.5.1. Wariant 1
1. Literatura
5. Badanie i ocena stanu ochrony informacji
1. 5.1. Diagnostyka techniczna
1. 5.2. Testowanie jako element diagnostyki technicznej
1. 5.3. Testy penetracyjne jako szczególny przypadek testowania
1. 5.4. Audyt jako szczególny przypadek badania jakości systemu ochrony informacji
1. 5.5. Metodyka LP–A
1. Literatura
6. Standardy i normy bezpieczeństwa informacyjnego
1. 6.1. Standardy i normy i wspierające projektowanie i wytwarzanie bezpiecznych produktów oraz systemów
1. 5.8. 6.1.1. Common Criteria i norma ISO/IEC 15408
1. 5.8. 6.1.2. Publikacje specjalne NIST serii 800
1. 5.8. 6.1.3. CIS Critical Security Controls
1. 6.2. Standardy i normy wspierające zarządzanie bezpieczeństwem informacji
1. 5.8. 6.2.1. COBIT TM – dobre praktyki w zakresie ładu informatycznego
1. 5.8. 6.2.2. Zarządzanie bezpieczeństwem informacji – standard BS 7799 i normy serii ISO/IEC 2700x
1. 5.8. 1.2.2. 6.2.2.1. Przegląd zawartości normy ISO/IEC 27002:2013
1. 5.8. 1.2.2. 6.2.2.2. Przegląd zawartości normy ISO/IEC 27001:2013
1. 6.3. Inne normy i standardy wspomagające ocenę oraz zarządzanie bezpieczeństwem informacyjnym
1. 6.3. 6.3.1. Norma ISO/IEC 21827 i SSE-CMM® – System Security Engineering Capability Maturity Model
1. 6.3. 6.3.2. ITIL – IT Infrastructure Library
1. Literatura
7. Polityka informowania – oddziaływanie przekazem informacji
1. 7.1. Bezpieczeństwo informacyjne w dokumentach rangi państwowej
1. 7.2. Komunikacja strategiczna
1. 7.3. Definicje Komunikacji strategicznej.
1. 7.4. Charakterystyka Komunikacji strategicznej
1. 7.5. Główne kontrowersje dotyczące Komunikacji strategicznej
1. 7.6. Relacje Komunikacji strategicznej
1. 6.3. 7.6.1. Relacje Komunikacji strategicznej z operacjami informacyjnymi i psychologicznymi
1. 6.3. 7.6.2. Relacje Komunikacji strategicznej z dyplomacją publiczną
1. 6.3. 7.6.3. Relacje Komunikacji strategicznej z działalnością prasowo-informacyjn
1. 7.7. Strategia Komunikacyjna – uwagi ogólne
1. Literatura
Załącznik. Metodyka LP–A przeprowadzania audytu z zakresu bezpieczeństwa teleinformatycznego
1. Wykaz używanych terminów i symboli graficznych
1. Wstęp
Z1. Skład Zespołu audytowego, kwalifikacje jego członków i zakresy kompetencji
Z2. Wyposażenie narzędziowe Zespołu audytowego
Z2. Z.2.1. Kwestionariusze ankietowe
Z2. Z.2.2. Szablony edycyjne dokumentów
Z2. Z.2.3. Skanery bezpieczeństwa
Z2. Z.2.4. Skanery konfiguracji
Z2. Z.2.5. Skanery inwentaryzacyjne
Z2. Z.2.6. Zestawy narzędzi do badań technicznych
Z3. Procesy audytowe
Z4. Specyfikacja dokumentów audytowych
Z2. Z.4.1. Tabele IPO
Z2. Z.4.2. Specyfikacja zbiorcza dokumentów
Z5. Diagramy przepływu danych
Z6. Rzetelne praktyki
Z2. Z.6.1. Rzetelne praktyki stosowane na ścieżce formalnej
Z2. Z.6.2. Rzetelne praktyki stosowane na ścieżce technicznej .
Podsumowanie
Indeks
1. Wprowadzenie do ochrony informacji
Bezpieczeństwo informacyjne dotyczy podmiotu (człowieka lub organizacji, również takiej jak państwo), który może być zagrożony utratą zasobów informacyjnych lub otrzymaniem informacji złej jakości. Bezpieczeństwo informacyjne oznacza zatem uzasadnione zaufanie podmiotu do jakości i dostępności pozyskiwanej oraz wykorzystywanej informacji. Ale warunkiem bezpieczeństwa informacyjnego jest bezpieczna informacja, której definicja jest następująca:
DEFINICJA 1.1
Bezpieczeństwo informacji oznacza uzasadnione (np. analizą ryzyka i przyjętymi metodami postępowania z ryzykiem) zaufanie, że nie zostaną poniesione straty wynikające z niepożądanej zmiany, na skutek realizacji zagrożenia, wymaganych wartości istotnych kryteriów jakości informacji.
Z powyższego wywodu wynika, że bezpieczeństwo informacji jest składową bezpieczeństwa informacyjnego – informację (dobrej jakości) najpierw trzeba pozyskać, a potem, w trakcie jej wykorzystywania przez podmiot, odpowiednio chronić. Kryteria jakości istotne dla poszczególnych kategorii informacji oraz konkretnych uwarunkowań jej przetwarzania zwykle określają, w przypadku organizacji biznesowej, w której takie informacje są przetwarzane i wykorzystywane, gremia kierownicze tej organizacji (podmiotu) przy pomocy odpowiednich służb. Należy także zauważyć, że bezpieczeństwo nie jest ani stanem, ani zdarzeniem, ani procesem – to imponderabilia z dziedziny psychologii, co swoje implikacje ma na przykład w możliwościach pomiaru bezpieczeństwa. Dokładniejsza dyskusja nad tym zagadnieniem jest przedstawiona w podrozdziale 2.9.
Ze względu na znaczenie dla podmiotu (w szczególności konkretnej osoby) wszystkie wykorzystywane przez niego i dotyczące go informacje można podzielić na wrażliwe i niewrażliwe. Informacje wrażliwe dla określonego podmiotu to te, które mogą zostać wykorzystane przeciwko jego interesom przez ujawnienie, uniedostępnienie oraz zmanipulowanie6
Do wrażliwych zaliczają się wszystkie informacje, które muszą być chronione, bo tak nakazują obowiązujące przepisy prawne7. Informacjami wrażliwymi są też takie, których nakaz ochrony nie jest zawarty w żadnych regulacjach prawnych, a które organizacjom je wytwarzającym i przetwarzającym są zwykle wskazywane przez kompetentne organy, na przykład służby ochrony państwa, wewnętrzne komórki bezpieczeństwa w danej organizacji, pełnomocnika ds. bezpieczeństwa informacji. Takimi informacjami mogą też być dane same w sobie niewrażliwe, ale które stają się takimi w powiązaniu z innymi informacjami, pozwalając wyciągnąć prawidłowe wnioski na przykład o strategii rynkowej firmy w kolejnym kwartale.
6 Należy zwrócić uwagę, że wprowadzone określenie informacje wrażliwe ma szerszy zakres niż takie samo określenie stosowane zwyczajowo do informacji wymienionych w art. 27 Ustawy o ochronie danych osobowych [29] i o których w tym samym kontekście mówi p. 51 Rozporządzenia UE [21].
7 Na przykład Ustawa o ochronie danych osobowych, Ustawa o ochronie informacji niejawnych oraz przepisy, w których zdefiniowano tzw. tajemnice, np. tajemnicę przedsiębiorstwa.
Identyfikacja informacji wrażliwej najczęściej ogranicza się do jej inwentaryzacji i przeglądu zasobów w ramach analizy ryzyka. Rzadko bierze się pod uwagę, że oprócz identyfikacji informacji wrażliwych w organizacji trzeba je zlokalizować także poza nią oraz uwzględnić informacje pośrednie, pozwalające na wnioskowanie. Powinno się także zidentyfikować obieg informacji wrażliwej – to pozwala m.in. na opracowanie procedury lokalizacji jej wycieków.
Dodatkowo sprawę komplikuje fakt, że:
–prawa własności w przypadku informacji są często trudne do określenia; – ustalenie wartości strat w przypadku ataków informacyjnych bywa trudne lub wręcz niemożliwe – dotyczy to na przykład utraty spodziewanych korzyści, wizerunku, przewagi konkurencyjnej itp.8; –lokalizacja wartościowych informacji bywa trudna.
Podsumowując, osoby odpowiedzialne za ochronę informacji powinny dbać o ochronę informacji wrażliwych, a nie danych osobowych czy informacji niejawnych. Te kategorie informacji są tylko szczególnymi przypadkami informacji wrażliwej. Brak takiego podejścia do ochrony informacji jest podstawowym błędem organizacyjnym, którego nie zniwelują żadne środki techniczne.
Specjaliści od techniki komputerowej posługują się najczęściej pojęciem danych, a nie informacji. Przyjmuje się, że informacje jako przedmiot przetwarzania w systemach informatycznych nazywa się danymi. Jednak dla skutecznej ochrony danych/ informacji, ze względu na przedstawione wcześniej zależności między systemem informacyjnym a informatycznym, ciągle aktualny paradygmat w dziedzinie bezpieczeństwa informacyjnego brzmi: chronimy informacje – dane są tylko ich szczególnym przypadkiem.
1.1. Prywatność, anonimowość, poufność, ...
Wymienione w tytule pojęcia dotyczą osób (podmiotów), o których informacja jest przetwarzana w systemach informacyjnych i najczęściej pojawiają się w powiązaniu z tzw. danymi osobowymi (w rozumieniu ustawy [29]). Maj 2018 roku to graniczny termin wprowadzenia do polskiego prawa Rozporządzenia [21] i Dyrektywy [22] przepisów unijnych związanych z ochroną danych osobowych. Podczas opracowywania wspomnianych przepisów pojawiły się koncepcje privacy by design i privacy by default, ale dostrzeżono, że ustanawiane przepisy dotyczą ochrony danych osobowych, a nie prywatności i ostatecznie opisano to jako data protection by design and by default, czyli bez użycia słowa prywatność9. Jednak w trakcie różnych dyskusji, szkoleń i konferencji ww. nazwy koncepcji są powszechnie używane i mówi się o ochronie prywatności czy zapewnianiu prywatności. W kontekście tych wypowiedzi pojawiają się też często takie
8 Czasami jednak może być oczywiste, np. po oszustwie, szantażu lub przelaniu środków z konta organizacji.
9 W polskiej wersji przetłumaczone jako Uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych (art. 25 Rozporządzenia [21]).
3. Zarządzanie ryzykiem
Zalecenia wymienionej normy, dotyczące metod oceny bezpieczeństwa w zależności od poziomu integralności zabezpieczeń, są podane w tabeli 3.22.
Tabela 3.22. Metody oceny bezpieczeństwa a poziomy integralności
Lp.Metoda lub technikaSIL 1SIL 2SIL 3SIL 4
1Kwestionariusze ocen RRRR
2Tablice decyzyjne i tablice prawdy RRRR
3Miary złożoności programów RRRR
4Diagramy przyczynowo-skutkowe (CCD) RRRR
4aAnaliza drzewa zdarzeń (ETA)RRRR
5Analiza drzewa błędów (FTA)RRWRWR
6Analiza rodzajów i skutków uszkodzeń (FMEA)RRWRWR
7Analiza hazardu i gotowości systemu (HAZOP)RRWRWR
8Modele MarkowaRRRWR
9Schematy blokowe niezawodnościRRRR
10Symulacja (Monte Carlo) RRRR
R – rekomendowane, WR – wysoce rekomendowane.
3.5. Zmniejszanie wartości ryzyka63
Możliwe reakcje na ryzyko (ang. risk treatment) to:
–unikanie ryzyka, –kontrolowanie ryzyka, –transfer ryzyka, –retencja (zatrzymanie) ryzyka.
Wymieniona kolejność jest umotywowana pogarszającym się wskaźnikiem nakładów czasu, wysiłku i kosztów do uzyskanych efektów kolejnych rozwiązań. Unikanie ryzyka64 pozwala na pełne uwolnienie własnych zasobów bądź procesów od tego ryzyka. Jeżeli możliwości unikania ryzyka zostały wyczerpane, należy podjąć próbę kontrolowania ryzyka przez:
– prewencję, czyli oddziaływanie na możliwość realizacji zagrożenia (przez kontrolowanie podatności);
63 Inne stosowane w literaturze nazwy tego procesu to redukcja, minimalizowanie oraz łagodzenie.
64 Na przykład odcięcie pracownikom dostępu do Internetu pozwala na uniknięcie ryzyka m.in. dostępu do agresywnych stron WWW. Podobnie, przejście na system typu Unix pozwala na uniknięcie ataku kodów i programów złośliwych utworzonych dla systemów Windows.
3.5. Zmniejszanie wartości ryzyka 205
– minimalizowanie szkód/strat, czyli oddziaływanie na skutek realizacji zagrożenia; celem jest zmniejszanie wielkości strat w przypadku wykorzystania podatności przez zagrożenie, co oznacza, że działania minimalizujące powinny być opisane w planach odtwarzania ciągłości działania odpowiedniego szczebla (patrz podrozdz. 4.3); oddziaływanie to zwykle sprowadza się do realizacji odpowiednich procedur szybkiego przywracania poprawnego działania systemów teleinformatycznych.
Wobec ryzyka położonego bliżej lewego górnego rogu mapy ryzyka (niskie prawdopodobieństwo zdarzenia, lecz katastrofalny skutek – porównaj rys. 3.10) działania będą najskuteczniejsze i najwydajniejsze w zakresie zmniejszanie PML – zwykle znacznie łatwiej będzie zmniejszyć PML o 1/3 (np. z 3 mln do 2 mln PLN) niż prawdopodobieństwo realizacji zagrożenia zmniejszyć na przykład z 3% do 2%. Powodowane jest to m.in. tym, że są to najczęściej tzw. zdarzenia (zagrożenia) rzadkie, często związane z czynnikami naturalnymi (trzęsienie ziemi, powódź, huragan), na które zwykle nie mamy wpływu. Z kolei ryzyko leżące blisko prawego dolnego rogu (częste, lecz mało dotkliwe lub dające się dobrze opanować zdarzenia) wymagają zwykle działań zmniejszających prawdopodobieństwo realizacji zagrożenia (oddziaływania na sposób realizacji), gdyż próba zmniejszenia każdej jednostkowej szkody, na przykład z 1000 PLN do 700 PLN, będzie mało skuteczna i jednocześnie bardzo kosztowna. Przykładem takiej mało skutecznej próby zmniejszenia jednostkowej szkody może być rezygnacja ze stosowania oprogramowania antywirusowego na rzecz procedur naprawczych po wykonanym ataku kodu lub programu złośliwego.
Gdy organizacja wyczerpała możliwości kontrolowania ryzyka i jeśli tzw. ryzyko rezydentne (ang. residual risks), czyli poziom ryzyka, które pozostało po zastosowaniu wcześniej wspomnianych technik je zmniejszających, jest nadal zbyt wysoki, należy rozważyć przekazanie (transfer) takiego ryzyka lub jego części.
Podstawową zasadą transferu jest dokonywanie go na podmiot, który potrafi ryzykiem zarządzać lepiej niż podmiot, który chce się ryzyka pozbyć. Do form przekazywania ryzyka należy:
– outsourcing tych funkcji organizacji, które są obarczone ryzykiem niewspółmiernie wysokim do wartości dodanej przez te funkcje65; – pozostawienie funkcji (procesów, majątku trwałego) w organizacji, a wyprowadzenie samego ryzyka poza organizację – często odbywa się to przez współuczestniczenie partnera zewnętrznego w ryzyku66; –ubezpieczenie ryzyka.
65 Na przykład oddanie w outsourcing administrowania systemami teleinformatycznymi organizacji lub utworzenie centrum zapasowego przetwarzania danych nie przez wybudowanie go z własnych środków finansowych organizacji, lecz skorzystanie z usługi kolokacji lub hostingu.
66 Na przykład partycypacja finansowa wynajętej firmy ochraniającej obiekty w szkodach kradzieżowych, obowiązek kontrolowania i finansowania ryzyka awarii sprzętu komputerowego przez producenta lub serwisanta itp.
6. Standardy i normy bezpieczeństwa informacyjnego
Tabela 6.1. „Klocki lego” normy ISO/IEC 15408:2016
Klasa uzasadniająca zaufanie Rodzina uzasadniająca zaufanieNazwa skrócona
Specyfikacja funkcjonalnaADV_FSP
Architektura zabezpieczeń ADV_ARC
Klasa ADV: Konstruowanie
Klasa AGD: Dokumentacja
Klasa ALC: Wsparcie w czasie cyklu życia
Reprezentacja implementacjiADV_IMP
Organizacja wewnętrzna TSFADV_INT
Projekt TOEADV_TDS
Modelowanie polityki bezpieczeństwaADV_SPM
Instrukcja operacyjna dla użytkownikaADV_OPE
Procedury instalacyjneADV_PRE
Możliwości zarządzania konfiguracją ALC_CMC
Zakres zarządzania konfiguracją
ALC_CMS
DostawaALC_DEL
Bezpieczeństwo konstruowaniaALC_DVS
Naprawa usterekALC_FLR
Definicja cyklu życia
Klasa ATE: Testowanie
Klasa AVA: Szacowanie podatności
Klasa ACO: Systemy złożone
ALC_LCD
Narzędzia i technikiALC_TAT
Pokrycie
Głębokość
ATE_COV
ATE_DPT
Testowanie funkcjonalneATE_FUN
Testowanie niezależneATE_IND
Analiza podatnościAVA_VAN
Uzasadnienie wytwarzania złożonego TOEACO_COR
Dokumentacja projektowaACO_DEV
Zaufanie do komponentów składowychACO_REL
Testowanie złożonych TOEACO_CTT
Analiza podatności złożonego TOEACO_VUL
Tabela 6.2. Budowle z „klocków lego” – poziomy uzasadnienia zaufania (za [8])
Klasa uzasadnienia zaufania Rodzina uzasadnienia zaufania
Dokumentacja
Wsparcie w czasie
Komponenty uzasadnienia zaufania wchodzące w skład poziomów uzasadnienia zaufania
podatności
Uwaga: pogrubiona cyfra oznacza pierwsze wystąpienie w tabeli tego elementu uzasadnienia zaufania.