Mgr inż. Rafał WIELGUS Praktyczne zasady zabezpieczania informacji na zgodność z PN ISO/IEC na przykładzie systemu operacyjnego Windows 7.

1 mgr inż. Rafał WIELGUS Praktyczne zasady zabezpieczania...
Author: Włodzimierz Leśniak
0 downloads 2 Views

1 mgr inż. Rafał WIELGUS Praktyczne zasady zabezpieczania informacji na zgodność z PN ISO/IEC 27001 na przykładzie systemu operacyjnego Windows 7

2 Rafał WIELGUS Absolwent Politechniki Wrocławskiej Wydział Informatyki i Zarządzania Kierunek Informatyka Specjalność: Systemy i Sieci Informatyczne Audytor Wiodący Systemu Zarządzania PN ISO/IEC 27001 Administrator Bezpieczeństwa Informacji Administrator niejawnych systemów teleinformatycznych

3 Struktura model SZBI proces wdrażania audytowanie SZBI wdrażanie systemów informatycznych narzędzia pomocnicze opis proponowanych zabezpieczeń wybór metodyki wdrażania SZBI Struktura pracy końcowej

4 Znormalizowany model SZBI Legenda: P - podatność; B - zabezpieczenie; R - ryzyko; RR - ryzyko szczątkowe; Z – zagrożenia

5 Rodzaje zagrożeń Rys. Rodzaje zagrożeń [Źródło: Opracowanie własne] Zależne od człowiekaNiezależne od człowieka ŚwiadomePrzypadkoweŚrodowiskowe PodsłuchaniePomyłki Klęski żywiołowe (trzęsienie ziemi, pożar, powódź, wyładowania, atmosferyczne, burze magnetyczne) Hacking (wprowadzenie kodu złośliwego, modyfikacja informacji, szpiegostwo przemy­słowe, sabotaż) Skasowanie pliku Przekierowanie

6 ZENworks Endpoint Security Management ITIL (Information Technology Infrastructure Library ISM3 (Information Security Management Maturity Model PN-ISO/IEC 27001 Wybór metodyki wdrażania SZBI

7 Proces wdrażania SZBI politykę bezpieczeństwa informacji; przypisanie kompetencji w zakresie bezpieczeństwa informacji uświadamianie, kształcenie i szkolenia z zakresu bezpieczeństwa informacji ciągłe doskonalenie SZBI zarządzanie incydentami zarządzanie ciągłością działania zarządzanie podatnością techniczną właściwą obsługę aplikacji przetwarzających dane

8 Organizowanie audytów SZBI

9 Działanie audytora SZBI

10 Zasady audytów SZBI

11 OPIS ZALECANYCH ZABEZPIECZEŃ Czynności przygotowawcze: Systemu plików NTFS. Świeża instalacja systemu operacyjnego. Jeden systemem operacyjny Pełna aktualizacja systemu operacyjnego. Instalacja oprogramowania antywirusowego i dokonać jego aktualizacji. Aktywacja systemu operacyjnego i/lub aplikacji zalecana jest telefonicznie bądź za pomocą poczty elektronicznej. Uniemożliwienie uruchomienia systemu operacyjnego w inny sposób, niż z docelowego urządzenia rozruchowego.

12 OPIS ZALECANYCH ZABEZPIECZEŃ Konta użytkowników: Silne hasto na wbudowane konto administracyjne. Konto „pułapka", które umożliwi śledzenie potencjalnych prób ataku Praca na koncie nieadministracyjnym np. gość lub użytkownik Ograniczenia konta do Panelu Administracyjnego Minimalna długość hasła Maksymalny okres ważności hasła Używanie haseł niesłownikowych np. „Codziennie pracę rozpoczynam o 7.30 a kończę o 15:30„ Cpro7.30ako15:30.

13 OPIS ZALECANYCH ZABEZPIECZEŃ Rozliczalność: W celu zapewnienia rozliczalnośći użytkowników, należy stosować mechanizmy systemu rejestracji zdarzeń oferowane w systemie operacyjnym Windows 7. Przegląd zdarzeń możliwy jest za pomocą narzędzia administracyjnego Podgląd zdarzeń. W systemie operacyjnym Windows 7 występują dedykowane konkretnym usługom lub aplikacjom dzienniki zdarzeń (np. dziennik usługi wydruku, dzienniki AppLocker), które mogą wymagać włączenia w celu rejestracji zdarzeń.

14 OPIS ZALECANYCH ZABEZPIECZEŃ Aplikacje i system plików: Wszystkie zbędne aplikacje i usługi powinny być odinstalowane bądź wyłączone Zaleca się wykorzystanie funkcji AppLocker, która kontroluje którzy użytkownicy lub grupy mogą uruchamiać określone aplikacje. Za pomocą funkcji AppLocker można utworzyć reguły zezwolenia lub odmowy uruchomienia aplikacji albo monitorować korzystanie z aplikacji / skryptów / instalatorów Windows / bibliotek DLL.

15 OPIS ZALECANYCH ZABEZPIECZEŃ Pozostałe grupy zabezpieczeń: Ochrona antywirusowa. Zalecane jest stosowanie zestawu narzędzi rozszerzonego środowiska ograniczającego ryzyko ( EMET - Enhanced Mitigation Experience Toolkit) Mechanizmy kryptograficzne np. Bitlocker Polityka nośników wymiennych – autostart, blokada, itp.

16 OPIS ZALECANYCH ZABEZPIECZEŃ Narzędzia pomocnicze: Narzędzie LocalGPO służy do zarządzania ustawieniami zabezpieczeń, umożliwiając m.in. ich importowanie i eksportowanie. Security Compilance Manager (SCM) jest bezpłatnym narzędziem udostępnionym przez firmę Microsoft, pozwalającym na szybką konfigurację i zarządzanie ustawieniami komputerów przez zasady grupowe GPO. Microsoft Baseline Security Anaiyzer to bezpłatne narzędzie firmy Microsoft umożliwiające kompleksowe sprawdzenie stanu zabezpieczeń

17 OPIS ZALECANYCH ZABEZPIECZEŃ ZAŁĄCZNIKI: Załącznik nr 1 Pomocnicza lista kontrolna przygotowania systemu teleinformatycznego do audytu Załącznik nr 2 Minimalna lista usług do wyłączenia w systemie operacyjnym Załącznik nr 3 Zalecana lista konfiguracyjna funkcji AppLocker Załącznik nr 4 Zalecana lista konfiguracyjna dla narzędzia EMET Załącznik nr 5 Zalecane ustawienia szablonów zabezpieczeń w autonomicznych systemach teleinformatycznych Załącznik nr 6 Zalecane ustawienia dodatkowe - zabezpieczenia w systemie plików