• Start
  • Audyt i bezpieczeństwo
  • Wsparcie i nadzór nad procesem wdrożenia ISO 27002

Wsparcie i nadzór nad procesem wdrożenia ISO 27002

Norma ISO 27002

Norma ISO 27002 (dawniej znana jako ISO/IEC 17799) definiuje zalecenia oraz standardy zarządzania bezpieczeństwem informacji i stanowi następcę normy ISO/IEC 27001.

Cele stosowania zabezpieczeń omówione w tej normie są powszechnie uznawanymi praktykami zarządzania bezpieczeństwem informacji i stanowiły punkt wyjścia do opracowania wielu, w tym również polskich, aktów prawnych dotyczących tego obszaru. Norma ta definiuje również zasady dobrych praktyk w zakresie zarządzania informacją, choć sama w sobie nie stanowi aktu prawnego.

Obszary normy

Norma definiuje zasady dobrych praktyk w wymienionych poniżej obszarach zarządzania bezpieczeństwem informacji:

  1. polityki bezpieczeństwa;
  2. organizacja bezpieczeństwa informacji;
  3. zarządzanie zasobami;
  4. bezpieczeństwo zasobów ludzkich;
  5. bezpieczeństwo fizyczne i środowiskowe;
  6. zarządzanie komunikacją i operacjami;
  7. kontrola dostępu;
  8. zarządzanie ciągłością działania;
  9. pozyskiwanie, wdrażanie oraz zarządzanie systemami informatycznymi;
  10. zarządzanie incydentami bezpieczeństwa;
  11. badanie zgodności z wymaganiami prawnymi oraz własnymi standardami.

Implementacja ISO 27002 z wykorzystaniem Security Center

Rozwiązania skupione w ramach systemu Security Center (Nessus, PVS oraz LCE) pozwalają na trafne i rzetelne wdrożenie systemu bezpieczeństwa w oparciu o normę ISO 27002, jak również prowadzenie ciągłego, zautomatyzowanego nadzoru nad stosowaniem jej zaleceń. Tym samym wdrożenie Security Center pozwala na spełnienie wymogu „badania przez niezależną, trzecią stronę”.

Poniżej przedstawiono zakresy zastosowania Security Center w poszczególnych obszarach zdefiniowanych przez normę ISO 27002.

Polityki bezpieczeństwa

Implementacja Security Center pozwala na ciągły, w pełni zautomatyzowany pomiar zgodności konfiguracji systemów i urządzeń z wymogami zdefiniowanej przez organizację polityki bezpieczeństwa.
Przykładowo: jeżeli polityka bezpieczeństwa zakłada, że każdy system musi posiadać aktywną aktualną wersję konkretnego systemu operacyjnego, to Security Center jest w stanie wykryć sytuacje, w których albo oprogramowanie zostało usunięte (nie zainstalowane), bądź jest zainstalowane ale nieaktywne lub nieaktualne. 

Pełna automatyzacja procesu weryfikacji systemów pozwala na szybką, prowadzoną w czasie rzeczywistym weryfikację zgodności nawet z bardzo skomplikowaną polityką bezpieczeństwa. Opracowane przez inżynierów OpenBIZ Sp. z o.o. pliki audytowe są w stanie trafnie implementować nawet kilkusetstronnicowe polityki bezpieczeństwa. Dzięki temu audyt nawet bardzo skomplikowanych i rozbudowanych systemów informatycznych może skrócić się z tygodni (a nawet miesięcy) do zaledwie godzin, dając tym samym kierownictwu efektywny nadzór nad poziomem bezpieczeństwa w organizacji. 

Organizacja bezpieczeństwa informacji

Security Center wykorzystuje model oparty o zasoby, pozwalający na znaczne uproszczenie zarządzania bezpieczeństwem informacji. Po zaimplementowaniu w Security Center list zasobów (bądź też po automatycznym ich rozpoznaniu i implementacji) system rozpoczyna automatyczne organizowanie zbieranych informacji oraz analizę trendów. Pozwala to na śledzenie przez kierowników poszczególnych jednostek organizacyjnych jedynie tych zasobów, które pozostają w ich zakresie kompetencji.

Zarządzanie zasobami

Security Center potrafi zaimportować listy zasobów z wielu zewnętrznych systemów, a także rozpoznać je, sklasyfikować i podzielić  na grupy w sposób automatyczny (z wykorzystaniem modułów Nessus oraz PVS). Tak stworzone listy zasobów mogą być następnie użyte do weryfikacji kontroli dostępu, raportowania zdarzeń oraz analizy bezpieczeństwa.

Przykładowo: zaimportowanie do Security Center listy routerów CISCO pozwala na wykonywanie testów (skanów) i śledzenie zdarzeń związanych jedynie z tymi urządzeniami i prezentowanie wyników technicznych jedynie pracownikom za nie odpowiadającym. Nowe routery można dodawać do listy ręcznie lub automatycznie.

Kolejną pożyteczną własnością Security Center jest grupowanie zasobów.
Przykładowo: typowe wdrożenie systemu Microsoft Exchange w dużej organizacji wymaga użycia kilku komponentów: filtrów antyspamowych, zapasowych serwerów DNS, gatewaya SMTP, kontrolera domeny Windows, bazy danych SQL, routerów, oraz macierzy SAN do składowania danych. Niektóre z tych elementów są natywną częścią Microsoft Exchange, ale pozostałe są od niej niezależne. Połączenie tych zasobów w ramach grupy logicznej „serwer komunikacyjny” pozwala na trafne i całościowe zarządzanie tą infrastrukturą, z uwzględnieniem wszystkich czynników mogących mieć wpływ na bezpieczeństwo i niezawodność jej funkcjonowania.

Bezpieczeństwo zasobów ludzkich

Security Center zapewnia wsparcie w zakresie zarządzania zasobami ludzkimi w następujących obszarach:

  1. weryfikacja poziomu bezpieczeństwa maszyn i serwerów, na których przechowywane są dane dotyczące zasobów ludzkich;
  2. weryfikacja zakresu dostępności danych wrażliwych, zawierających informacje na temat personelu i jego uprawnień. Security Center wykorzystując moduł LCE jest w stanie określać, czy dostęp do takich danych uzyskują jedynie osoby uprawnione;
  3. aktywne poszukiwanie na monitorowanych maszynach dokumentów zawierających dane wrażliwe i wykrywanie wycieków informacji;
  4. weryfikacja, czy zwolnieni pracownicy mogą uzyskiwać, bądź wręcz uzyskują, dostęp do monitorowanych systemów po ustaniu stosunku pracy i/lub wygaśnięciu uprawnień w danym obszarze;
  5. weryfikacja, czy w trakcie pobytu pracownika na urlopie/poza firmą dochodziło do uzyskiwania dostępu do zasobów z wykorzystaniem jego identyfikatora/identyfikatorów.

Bezpieczeństwo fizyczne i środowiskowe

Bezpieczeństwo fizyczne i środowiskowe bywa traktowane przez audytorów po macoszemu, jako że nie stanowi co do zasady elementu infrastruktury teleinformatycznej. Jest to jednak jeden z kluczowych elementów bezpieczeństwa który musi podlegać monitorowaniu, tym bardziej, że coraz częściej systemy nadzoru (telewizja przemysłowa, systemu kart dostępowych, systemu alarmowe i temu podobne) działają w oparciu o systemu informatyczne przyłączone bezpośrednio do sieci organizacji, co może potencjalnie stanowić źródło fałszowania, bądź usuwania informacji w nich zgromadzonych.

Security Center pozwala na monitorowanie poziomu bezpieczeństwa tych systemów, oraz na regularne zbieranie z nich dzienników systemowych. w połączeniu z informacjami z innych źródeł rozwiązanie takie pozwala wychwycić anomalie w zachowaniu, na przykład: logowania o nietypowych porach, operacje podłączania dysków USB i kopiowania danych, blokowanie części bądź całości systemu, nieuzasadnione przerwy w pracy systemów.

Zarządzanie komunikacją i operacjami

Security Center potrafi nadzorować bezpieczeństwo urządzeń telekomunikacyjnych, zarówno pod kątem aktualności ich oprogramowania, jak i zgodności ich konfiguracji z zasadami dobrych praktyk, oraz wewnętrznych regulacji wprowadzonych w organizacji.

Security Center jest w stanie wykrywać i analizować zmiany dokonywane w konfiguracji urządzeń telekomunikacyjnych. Wykorzystując moduł LCE Security Center jest w stanie śledzić, rejestrować i analizować zdarzenia napływające z systemów dozoru, switchy i routerów, centralek telefonicznych, inteligentnych faksów, drukarek i temu podobnych urządzeń.

Kontrola dostępu

Jednym z największych wyzwań jakie stoją przed dużymi, posiadającymi zróżnicowaną infrastrukturę teleinformatyczną organizacjami jest zarządzanie prawami dostępu, przez co rozumie się, że dana osoba może uzyskiwać dostęp jedynie do tych zasobów, do których została uprawniona. Najczęściej stosowany jest model jednorazowej autoryzacji (z wykorzystaniem Active Directory, NDS, Kerberos lub innych), która następnie służy jako podsystem poświadczeń w trakcie uzyskiwania dostępu do poszczególnych zasobów. Zastosowanie takiego modelu powoduje, że relatywnie łatwo jest popełnić błąd, skutkujący nadmierną eskalacją uprawnień danej osoby i niezwykle trudno go wychwycić. Należy zatem przyjąć, że zarządzanie prawami dostępu jest jednym z kluczowych procesów w organizacji, będącym jednocześnie jednym z głównych czynników ryzyka w zakresie bezpieczeństwa.

Security Center, wykorzystując moduły PVS oraz LCE, jest w stanie zapewnić trafną kontrolę nad zarządzaniem kontrolą dostępu. 

W ramach zdefiniowanej polityki bezpieczeństwa każdy system generuje informacje (dzienniki, logi) dotyczące zarówno udanych, jak i nieudanych prób uzyskania dostępu. LCE potrafi nie tylko zebrać i znormalizować te logi, ale również powiązać konkretny zasób z wykrytym zdarzeniem. Zatem dzięki porównaniu list zdarzeń z konkretnymi zasobami można w łatwy sposób określić trafność przyjętej polityki kontroli dostępu oraz ilość i rodzaj prób jej naruszenia.

Podsystem PVS, monitorując wszystkie sesje sieciowe, jest w stanie wychwycić anomalie mogące sugerować naruszenie polityki kontroli dostępu – na przykład logowanie administratora sieci z komputera w marketingu, bądź połączenie do serwera baz danych z komputera ochrony. PVS jest w stanie również wykrywać pojawianie się w sieci sesji mogących sugerować działanie intruza, bądź próbę ominięcia zdefiniowanych polityk kontroli dostępu, na przykład: połączenia VPN lub Tor realizowane poprzez porty SMTP i temu podobne.

Aktywne skanowanie systemem Nessus pozwala wykrywać: istnienie w danym segmencie sieci maszyn nieuprawnionych, błędy w zasadach separacji podsieci wykorzystywanych przez organizację, błędy w konfiguracji list kontroli dostępu na firewallach, połączenia sieciowye niezgodne z przyjętą polityką, a nawet ustawione „na chwilę” i zapomniane przez administratorów rozszczelnienia w systemach kontroli dostępu.

Pozyskiwanie, wdrażanie oraz zarządzanie systemami informatycznymi

Security Center pozwala na ocenę poziomu ryzyka związanego z eksploatacją danego systemu oraz jego pomiar w funkcji zmian dokonywanych w systemie (zarządzanie zmianą). Dzięki temu kierownictwo firmy może w szybki sposób uzyskać następujące informacje:

  1. Jaki poziom ryzyka powoduje dany system? Jaki jest zatem jego rzeczywisty koszt eksploatacji? Jak poziom ryzyka danego systemu wpływa na ogólny poziom ryzyka w organizacji?
  2. Jak na profil ryzyka systemu wpłynęła instalacje jego nowej wersji? 
  3. Jak na profil ryzyka systemu wpłynęły zmiany dokonane w jego konfiguracji? 
  4. Jaka jest efektywność działania pracowników, bądź firmy trzeciej (outsourcera), w zakresie usuwania błędów? Jak często powodują je oni sami?
  5. Jaki będzie przewidywany profil ryzyka (trend), w wypadku dalszego wykorzystywania danego systemu? Jak ma się on do innych systemów zbliżonej klasy dostarczanych przez innych producentów?

Zarządzanie incydentami bezpieczeństwa

Podstawowymi działaniami w zakresie zarządzania incydentami bezpieczeństwa są:

  1. wykrycie incydentu;
  2. identyfikacja i określenie rangi;
  3. zebranie i zabezpieczenie danych;
  4. analiza;
  5. podjęcie kroków zaradczych;
  6. zabezpieczenie się przed ponownym wystąpieniem incydentu w przyszłości.

Security Center zapewnia pełne pokrycie tego procesu, poczynając od detekcji incydentów, a na wsparciu w zakresie zabezpieczenia i testach weryfikacyjnych kończąc. Składowanie i analiza danych historycznych dotyczących poszczególnych incydentów pozwala kierownictwu na wprowadzanie modyfikacji do polityk bezpieczeństwa i/lub szacowanie nakładów finansowych, niezbędnych do uniknięcia ich w przyszłości. Analityka generowana przez Security Center pozwala również na pełną, trafną ocenę skuteczności podjętych przez organizację środków zaradczych. Dane zbierane przez Security Center stanowią nie tylko repozytorium informacji, ale również zestaw materiału dowodowego, niezbędnego do wyciągania konsekwencji wobec osób które dopuściły się zaniedbań bądź naruszeń polityki bezpieczeństwa, skutkujących powstaniem incydentu.

Security Center służyć może również za system wczesnego ostrzegania, alarmując z wyprzedzeniem o pojawianiu się anomalii, mogących w efekcie przerodzić się w incydent naruszenia bezpieczeństwa. Dzięki temu organizacja wykorzystywać może znaną z medycyny zasadę: „lepiej zapobiegać, niż leczyć", minimalizując tym samym ryzyko wystąpienia strat.

Badanie zgodności z wymaganiami prawnymi, oraz własnymi standardami

Security Center posiada wbudowane mechanizmy weryfikacji badanych systemów pod kątem ich zgodności z zasadami dobrych praktyk, normami wyższego rzędu (w tym: PCI DSS i CIS) oraz wytycznymi producentów systemów. Możliwe jest również dokonywanie analizy poprawności konfiguracji urządzeń, oraz ich weryfikacja pod kątem optymalnej wydajności.

OpenBIZ Sp. z o.o. oferuje tworzenie dodatkowych mechanizmów audytowych, pozwalających na zautomatyzowany pomiar zgodności eksploatowanych w organizacji systemów z wymaganiami opracowanych przez nią polityk bezpieczeństwa. Dzięki temu możliwe jest skrócenie czasu badania zgodności systemów z politykami z tygodni (a nawet miesięcy) do zaledwie godzin, powodując tym samym znaczne skrócenie czasu reakcji organizacji na pojawiające się anomalie.

Zachowanie ciągłości działania

W wielu organizacjach wykorzystuje się serwery bądź centra zapasowe, których zadaniem jest przejęcie funkcjonalności systemów centralnych w wypadku ich awarii. Niestety dość często systemy takie traktowane są po macoszemu i dopiero w momencie wystąpienia awarii okazuje się, że nie są one aktualne, lub też dokonano na nich zmian uniemożliwiających efektywne przejęcie roli centrum zapasowego.

Security Center pozwala na w pełni zautomatyzowaną weryfikację konfiguracji i bezpieczeństwa systemów zapasowych, oraz ich zgodności z systemami centralnymi, dzięki czemu ryzyko naruszenia procesu zachowania ciągłości działania staje się znikome.

Cykl Deminga

Security Center zapewnia wspomaganie wszystkich składowych cyklu Deminga (PDCA), to jest:

Planuj – wykonana za pomocą składowej Security Center, systemu Nessus, inwentaryzacja i wstępna ocena poziomu bezpieczeństwa systemów i sieci jest podstawową przesłanką służącą do budowy trafnej, zgodnej ze stanem faktycznym infrastruktury organizacji polityki bezpieczeństwa;

Wykonuj – wdrożenie i dopuszczenie do eksploatacji systemów informatycznych może być nadzorowane przez Security Center w cyklu automatycznym;

Sprawdzaj – Security Center zapewnia nadzór, monitoring oraz pomiar zarówno bezpieczeństwa systemów, jak i ich elementów składowych; 

Działaj – Security Center zapewnia informacje niezbędne do utrzymania i doskonalenia systemów, podejmowania działań zapobiegawczych oraz korygujących jak i wsparcia zapewnienia ciągłości działania systemów kluczowych.

Zakres współpracy w trakcie wdrażania ISO 27002

OpenBIZ Sp. z o.o. oferuje następujący zakres współpracy w trakcie wdrażania i prowadzenia zaleceń normy ISO 27002 na poszczególnych etapach:

Faza „Planuj”

W ramach fazy „Planuj” oferujemy:

  1. Inwentaryzację istniejących zasobów;
  2. Ocenę poziomu bezpieczeństwa zasobów;
  3. Podział zasobów na grupy, rangowanie ich ważności;
  4. Określenie celów i ścieżek postępowania;
  5. Pomoc w opracowaniu polityk, procedur oraz zasad dobrych praktyk zgodnych z wymogami prawa i zaleceniami branżowymi.

Faza „Wykonuj”

W ramach fazy „Wykonuj” oferujemy:

  1. pomoc w implementacji polityk bezpieczeństwa i procedur;
  2. weryfikację ich zgodności z istniejącą infrastrukturą teleinformatyczną oraz organizacyjną;
  3. pomiar efektywności wdrożenia polityk i procedur;
  4. weryfikację wdrożonych zabezpieczeń, systemów autoryzacji i dostępu;
  5. wyszukiwanie luk i analizę rozbieżności.

Faza „Sprawdzaj”

W ramach fazy „Sprawdzaj" oferujemy:

  1. monitorowanie i przegląd poziomu bezpieczeństwa;
  2. weryfikację zgodności eksploatowanych systemów z zapisami polityk bezpieczeństwa;
  3. weryfikację skuteczności działania, oraz obszarów pokrycia procedur;
  4. pomiar wydajności procesów;
  5. weryfikacja osiągnięcia celów i ich dostosowywanie do zmieniających się warunków;
  6. generowanie raportów zarządczych oraz technicznych, wykazujących anomalie, wykryte incydenty oraz ogólny stan bezpieczeństwa systemów i sieci.

Faza „Działaj”

W ramach fazy „Działaj” oferujemy:

  1. przedkładanie raportów i zaleceń dotyczących podejmowania działań korygujących i zapobiegawczych;
  2. wsparcie w weryfikacji usunięcia źródeł problemów i incydentów;
  3. opracowywanie analiz i zaleceń dotyczących kierunków dalszego rozwoju systemów.

Warto przeczytać:

Security Center Continuous View
Nessus Network Monitor