Audyt bezpieczeństwa informacji w praktyce 9788324695768

Table of contents :
Spis treści
O autorze
Wstęp
Zezwolenie
Od autora
1. Podstawowe założenia polityki bezpieczeństwa informacji
Czym jest informacja
Gdzie przechowujemy informacje
Informacja w świetle regulacji prawnych
Zasady audytu
Norma PN-ISO/IEC 17799:2003
Norma BS 7799-2:2002
Zawartość normy BS 7799-2:2002
Norma ISO/IEC TR 13335
Norma ISO/IEC TR 13335
Aspekty prawne
2. Zarządzanie bezpieczeństwem informacji
Polityka bezpieczeństwa informacji
Co powinna zawierać polityka bezpieczeństwa informacji
Czego nie powinna zawierać polityka bezpieczeństwa informacji
Utworzenie infrastruktury bezpieczeństwa informacji
Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji
Autoryzacja urządzeń do przetwarzania informacji
Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji
Współpraca między organizacjami
Niezależne przeglądy stanu bezpieczeństwa informacji
Zabezpieczenie przed dostępem osób trzecich
Identyfikacja ryzyka związanego z dostępem osób trzecich
Wymogi bezpieczeństwa informacji w umowach z osobami trzecimi
Zlecenie przetwarzania danych firmom zewnętrznym
Wymagania biznesowe w umowach zlecenia na zewnątrz
3. Klasyfikacja i kontrola aktywów
Rozliczanie aktywów
Inwentaryzacja aktywów
Klasyfikacja informacji
Wytyczne w zakresie klasyfikacji
Oznaczenia i postępowanie z informacją
4. Bezpieczeństwo osobowe
Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi
Uwzględnianie zasad bezpieczeństwa informacji w zakresach obowiązków służbowych
Sprawdzanie podczas naboru
Umowa o zachowaniu poufności
Warunki zatrudnienia
Szkolenie użytkowników
Szkolenia i kształcenie w zakresie bezpieczeństwa informacji
Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu
Zgłaszanie przypadków naruszenia bezpieczeństwa
Zgłaszanie słabości systemu bezpieczeństwa
Zgłaszanie niewłaściwego funkcjonowania oprogramowania
Wnioski po wystąpieniu incydentu
Postępowanie dyscyplinarne
5. Bezpieczeństwo fizyczne i środowiskowe
Fizyczny obwód zabezpieczający
Fizyczne zabezpieczenie wejścia do budynku
Zabezpieczenie biur, pomieszczeń i urządzeń
Praca w obszarach bezpiecznych
Izolowane obszary dostaw i załadunku
Zabezpieczenie sprzętu
Rozmieszczenie sprzętu i jego ochrona
Zasilanie
Bezpieczeństwo okablowania
Konserwacja sprzętu
Zabezpieczenie sprzętu poza siedzibą
Bezpieczne zbywanie sprzętu lub przekazywanie go do ponownego użycia
Ogólne zabezpieczenia
Polityka czystego biurka i czystego ekranu
Wynoszenie sprzętu poza siedzibę firmy
6. Zarządzanie systemami informatycznymi i sieciami komputerowymi
Procedury eksploatacyjne oraz okres odpowiedzialności
Dokumentowanie procedur eksploatacyjnych
Kontrola zmian w eksploatacji
Procedury zarządzania incydentami związanymi z bezpieczeństwem
Podział obowiązków
Oddzielenie urządzeń produkcyjnych od znajdujących się w fazie rozwoju
Zarządzanie urządzeniami przez firmy zewnętrzne
Planowanie i odbiór systemu
Planowanie pojemności
Odbiór systemu
Ochrona przed szkodliwym oprogramowaniem
Zabezpieczenie przed szkodliwym oprogramowaniem
Procedury wewnętrzne
Kopie zapasowe ważnych danych
Dzienniki operatorów
Zapisywanie w dzienniku zdarzeń informacji o błędach
Zarządzanie sieciami
Zabezpieczenia sieci
Postępowanie z nośnikami i ich bezpieczeństwo
Zarządzanie wyjmowalnymi nośnikami danych cyfrowych
Niszczenie nośników
Procedury postępowania z informacją
Bezpieczeństwo dokumentacji systemu informatycznego
Wymiana danych i oprogramowania
Porozumienie dotyczące wymiany danych i oprogramowania
Zabezpieczenia nośników podczas transportu
Bezpieczeństwo handlu elektronicznego
Bezpieczeństwo poczty elektronicznej
Bezpieczeństwo komputerowych systemów biurowych
Systemy publicznie dostępne
Inne formy wymiany informacji
7. Kontrola dostępu do systemu
Potrzeby biznesowe związane z dostępem do informacji
Polityka kontroli dostępu do informacji
Zarządzanie dostępem użytkowników
Rejestracja użytkowników
Zarządzanie przywilejami
Zarządzanie uwierzytelnianiem użytkowników
Przegląd praw dostępu
Zakres odpowiedzialności użytkowników
Używanie haseł
Pozostawianie sprzętu użytkownika bez opieki
Kontrola dostępu do sieci
Polityka kontroli korzystania z usług sieciowych
Wymuszanie dróg połączeń
Uwierzytelnienie użytkowników przy połączeniach zewnętrznych
Rozdzielenie sieci
Kontrola połączeń sieciowych
Kontrola routingu w sieci
Kontrola dostępu do systemów operacyjnych
Automatyczna identyfikacja terminalu
Procedury rejestrowania terminalu w systemie
Identyfikacja i uwierzytelnienie użytkowników
Systemy zarządzania hasłami
Użycie systemowych programów narzędziowych
Odłączanie terminalu po określonym czasie
Ograniczenia czasu trwania połączenia
Kontrola dostępu do aplikacji
Ograniczenie dostępu do informacji
Izolowanie systemów wrażliwych
Monitorowanie dostępu do systemu i jego wykorzystywania
Zapisywanie informacji o zdarzeniach
Monitorowanie użycia systemu
Komputery przenośne i praca zdalna
Komputery przenośne
Praca na odległość
Uwierzytelnianie wiadomości
Zabezpieczenia kryptograficzne
Polityka używania zabezpieczeń kryptograficznych
Szyfrowanie
Podpisy cyfrowe
Zarządzanie ciągłością działania organizacji w sytuacji krytycznej
Proces zarządzania ciągłością działania w sytuacji krytycznej
Ciągłość działania i analiza skutków dla działalności biznesowej
Tworzenie i wdrażanie planu ciągłości działania w sytuacji krytycznej
Struktura planowania ciągłości działania w sytuacji krytycznej
Testowanie, utrzymanie i ponowna ocena planów ciągłości działania
Utrzymanie i ponowna ocena planów
Zgodność
Określenie odpowiednich przepisów prawnych
Zabezpieczenie dokumentów instytucji
Ochrona danych osobowych i prywatności informacji dotyczących osób fizycznych
Przegląd polityki bezpieczeństwa informacji i zgodności technicznej
Zgodność z polityką bezpieczeństwa informacji
Sprawdzanie zgodności technicznej
A
B
Ć
D
E
F
H
I
K
M
N
O
P
R
S
T
U
V W
Z
Skorowidz

Citation preview

ISBN: 978-83-246-9576-8

O autorze ........................................................................................................................... 5 Wstęp ................................................................................................................................ 7 Zezwolenie ........................................................................................................................ 9 Od autora ........................................................................................................................ 11 Podstawowe założenia polityki bezpieczeństwa informacji ........................................... 13 Czym jest informacja .............................................................................................................. 13 Gdzie przechowujemy informacje .......................................................................................... 14 Informacja w świetle regulacji prawnych ................................................................................ 15 Zasady audytu ........................................................................................................................ 15 Norma ISO/IEC TR 13335 ...................................................................................................... 19

Zarządzanie bezpieczeństwem informacji ...................................................................... 23 Polityka bezpieczeństwa informacji ........................................................................................ 23 Co powinna zawierać polityka bezpieczeństwa informacji .................................................... 24 Czego nie powinna zawierać polityka bezpieczeństwa informacji ......................................... 25 Utworzenie infrastruktury bezpieczeństwa informacji ........................................................... 25 Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji ...................... 26 Autoryzacja urządzeń do przetwarzania informacji ............................................................... 26 Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji ........................................ 27 Współpraca między organizacjami ......................................................................................... 28 Niezależne przeglądy stanu bezpieczeństwa informacji ....................................................... 28 Zabezpieczenie przed dostępem osób trzecich ..................................................................... 29 Zlecenie przetwarzania danych firmom zewnętrznym ............................................................ 33

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Klasyfikacja i kontrola aktywów ......................................................................................35 Rozliczanie aktywów .............................................................................................................. 35 Klasyfikacja informacji ............................................................................................................ 37

Bezpieczeństwo osobowe ...............................................................................................39 Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi ........................................................................................ 39 Szkolenie użytkowników ......................................................................................................... 43 Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu ........... 44

Bezpieczeństwo fizyczne i środowiskowe ......................................................................47 Fizyczny obwód zabezpieczający .......................................................................................... 48 Zabezpieczenie sprzętu .......................................................................................................... 54 Ogólne zabezpieczenia .......................................................................................................... 59

Zarządzanie systemami informatycznymi i sieciami komputerowymi ............................63 Procedury eksploatacyjne oraz okres odpowiedzialności ...................................................... 63 Planowanie i odbiór systemu .................................................................................................. 67 Ochrona przed szkodliwym oprogramowaniem ..................................................................... 69 Procedury wewnętrzne ........................................................................................................... 71 Zarządzanie sieciami .............................................................................................................. 73 Postępowanie z nośnikami i ich bezpieczeństwo ................................................................... 74 Wymiana danych i oprogramowania ...................................................................................... 77

Kontrola dostępu do systemu .........................................................................................85 Potrzeby biznesowe związane z dostępem do informacji ..................................................... 85 Zarządzanie dostępem użytkowników ................................................................................... 86 Zakres odpowiedzialności użytkowników ............................................................................... 89 Kontrola dostępu do sieci ....................................................................................................... 91 Kontrola dostępu do systemów operacyjnych ....................................................................... 94 Kontrola dostępu do aplikacji ................................................................................................. 97 Monitorowanie dostępu do systemu i jego wykorzystywania ................................................. 98 Komputery przenośne i praca zdalna ................................................................................... 100 Zabezpieczenia kryptograficzne ........................................................................................... 103 Zarządzanie ciągłością działania organizacji w sytuacji krytycznej ..................................... 105 Zgodność ............................................................................................................................. 111 Przegląd polityki bezpieczeństwa informacji i zgodności technicznej .................................. 114

Skorowidz ..................................................................................................................... 117

4 Ÿ SPIS TREŚCI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Tomasz Polaczek jest specjalistą w zakresie bezpieczeństwa informacji Swoje bogate doświadczenie zdobył w trakcie realizacji projektów w kilkunastu dużych firmach w Polsce. Posiada certyfikaty firmy Microsoft, brytyjski BS 7799-2 — Lead Auditor oraz wiele innych potwierdzających kompetencje w zakresie bezpieczeństwa informacji. Ponadto prowadzi szkolenia dotyczące ochrony danych osobowych, polityki bezpieczeństwa oraz bezpieczeństwa IT. Zapraszamy również na stronę autora poświęconą szeroko pojętemu bezpieczeństwu informacji www.polityka-bezpieczenstwa.pl.

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

6 Ÿ AUDYT BEZPIECZENSTWA INFORMACJI W PRAKTYCE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Stajemy się społeczeństwem informacyjnym. Dla instytucji państwowych, firm, a nawet poszczególnych osób szybkie i właściwe przetwarzanie informacji ma kluczowe znaczenie. Informacja dotycząca funkcjonowania firmy, jej kontaktów handlowych oraz innych strategicznych aspektów często stanowi podstawę działalności na rynku, należy do najważniejszych aktywów przedsiębiorstwa, a jej wartość jest trudna do przeceniona. Często słyszymy w mediach lub z innych źródeł masowego przekazu o spektakularnych włamaniach dokonywanych przez krakerów oraz o zniszczeniach lub kradzieży cennych danych. Informacje takie wywołują lęk wśród ludzi z zarządów i kierownictwa firm. W takich sytuacjach ludzie zastanawiają się, czy im samym nie grozi podobne niebezpieczeństwo, jednak nie zawsze zdają sobie sprawę, że źródła tego typu zagrożeń mogą znajdować się także wewnątrz organizacji. Często to właśnie pracownicy zatrudnieni w firmach, kooperanci czy podwykonawcy bywają sprawcami nieautoryzowanego i bezprawnego udostępnienia informacji osobom trzecim, często konkurencji, co w licznych przypadkach ma na celu uzyskania korzyści materialnej. Często osoby te z nieznanych powodów mają bezpośredni dostęp do informacji, do których wglądu mieć nie powinni. Znane są również przypadki sabotażu ze strony pracowników zwalnianych z danej firmy lub instytucji, którzy celowo, chcąc wyrazić swoją złość na kierownictwo, niszczą informacje lub niekiedy upubliczniają je za pomocą takich mediów jak internet. Dużym zagrożeniem są także ataki z wykorzystaniem zdobyczy inżynierii społecznej, zwanej potocznie socjotechniką, gdyż nieraz powodują przekazanie istotnych informacji w niepowołane ręce. Utrata lub udostępnienie informacji, które stanowią tajemnicę lub własność intelektualną bądź handlową należącą do firmy lub instytucji, może oznaczać utratę reputacji, zakończenie działalności na rynku lub nawet wywołać kłopoty natury prawnej. Z tego względu informację trzeba należycie chronić oraz odpowiednio nią zarządzać.

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Rosnąca wartość informacji zwiększa niebezpieczeństwo jej utraty lub nieautoryzowanego ujawnienia, stąd niezwykle ważnym zadaniem, stawianym przed firmami oraz instytucjami publicznymi, stało się odpowiednie zabezpieczanie środowisk, w których ta informacja jest przechowywana bądź przetwarzana. Zazwyczaj firmy biorą pod uwagę bezpieczeństwo środowisk informatycznych, teleinformatycznych oraz innych elektronicznych systemów przetwarzania danych, choć informacja to nie tylko pliki zapisywane w postaci elektronicznej. Informacja znajduje się także na papierze, jest przekazywana słownie czy nawet za pomocą znaków. Podmioty zainteresowane wdrożeniem systemu bezpieczeństwa informacji muszą zatem przeprowadzić dogłębną analizę ryzyka swoich zasobów w celu określenia rodzaju możliwych zagrożeń oraz podatności na te zagrożenia. Z analizy ryzyka jasno i klarownie wynika, które aktywa są podatne na zagrożenia. Analiza taka pozwala także na określenie, w jaki sposób te zagrożenia wyeliminować lub znacząco zminimalizować. Ważnym aspektem wdrożonego systemu bezpieczeństwa informacji jest też posiadanie wewnątrz firmy lub instytucji planu ciągłości działania w sytuacji krytycznej, spowodowanej działaniem umyślnym, nieumyślnym lub w wyniku klęsk naturalnych. Obecnie na rynku oferuje się wiele rozwiązań oraz narzędzi pozwalających na zabezpieczenie podmiotu od strony sprzętowej, programowej czy też systemów dostępowych, lecz rozwiązania te w pełni nie zastąpią tego kluczowego elementu, jakim jest jasno sformułowana i sprecyzowana polityka bezpieczeństwa informacji. Wdrożenie konkretnych zabezpieczeń nie oznacza jednak jeszcze zapewnienia całkowitego bezpieczeństwa. Należy określić cele danej firmy bądź instytucji, dzięki czemu będzie można wskazać odpowiedni sposób przetwarzania informacji, monitorowania systemów przechowywania i przetwarzania informacji, a także przeprowadzania szkoleń uświadamiających dla pracowników. Zapewnienie bezpieczeństwa informacji nie jest więc tylko działaniem jednorazowym, mającym na celu zapobieżenie utracie danych, lecz jest złożonym procesem, w którego sprawne funkcjonowanie powinni się włączyć wszyscy pracownicy, kierownictwo a także wszystkie inne osoby bądź firmy współpracujące z daną organizacją, utrzymującą wdrożony system zarządzania bezpieczeństwem informacji. Istnieje wiele regulacji prawnych, standardów czy norm (np. norm ISO), mówiących o zasadach zapewniania bezpieczeństwa informacji, o sposobach wdrażania systemów bezpieczeństwa, metodach zarządzania takimi systemami, a także o zasadach przetwarzania i wykorzystywania informacji. Ułatwiają one organizacjom wdrażanie odpowiednich dla danego rodzaju działalności procedur i systemów, począwszy od wykonania zabezpieczeń fizycznych i dostępowych do pomieszczeń, wykonania zabezpieczeń informatycznych aż po określenie poziomów dostępu do informacji w celu zachowania jej poufności, dostępności i integralności.

8 Ÿ AUDYT BEZPIECZENSTWA INFORMACJI W PRAKTYCE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Przedruk spisu treści z normy PN ISO/IEC 17799:2003 za zgodą Prezesa Polskiego Komitetu Normalizacyjnego — zezwolenie Nr 12/P/2005. Oryginał normy jest dostępny w Wydziale Marketingu i Sprzedaży PKN oraz w autoryzowanych przez PKN punktach dystrybucji — szczegóły na stronie www.pkn.pl. Za zgodność przedruku normy z oryginałem odpowiada autor niniejszej publikacji.

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

10 Ÿ AUDYT BEZPIECZENSTWA INFORMACJI W PRAKTYCE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Spis treści normy nie jest kompletny, gdyż pominięto niektóre aspekty techniczne. Niniejsza książka nie jest technicznym przewodnikiem konfiguracji urządzeń i oprogramowania informatycznego, stanowi tylko zbiór zaleceń, których należy przestrzegać podczas wdrażania polityki bezpieczeństwa informacji. Tomasz Polaczek www.polityka-bezpieczenstwa.pl

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

12 Ÿ AUDYT BEZPIECZENSTWA INFORMACJI W PRAKTYCE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Czym jest informacja Informacja należy do aktywów współczesnych organizacji. Przykładem informacji jest treść wszelkiego rodzaju dokumentów. Informacja jest wyrażana i przekazywana za pomocą mowy, znaków, obrazu, dźwięku lub w jakikolwiek inny sposób. Informacja może zostać również zapisana, przechowywana i wielokrotnie przetwarzana zarówno na papierze, elektronicznie jak i na innych nośnikach czy naturalnych tworach. Ze względu na różnorodność i wagę, jaką można przypisać informacji, stanowi ona jeden z najważniejszych aktywów dla przedsiębiorstw. Obecnie panuje słuszne przekonanie, że ten, kto posiada informację, po prostu przejmuje kontrolę nad rynkiem i zyskuje przewagę nad konkurencją. Dlatego też tak ważną sprawą stało się dla przedsiębiorstw wdrażanie systemów oraz procedur, które mają zapobiec utracie lub niepożądanemu udostępnieniu informacji na zewnątrz organizacji. Należy jednak pamiętać, iż warunkiem zachowania bezpieczeństwa informacji jest poprawne zarządzanie tą informacją. Nie wystarczy już tylko system bezpieczeństwa sam w sobie. Ważną rolę odgrywają tutaj ludzie zaangażowani w utrzymywanie tego systemu oraz odpowiedni dobór metod przetwarzania i przechowywania danych. Należy również dbać o rozwijanie świadomości, czym w rzeczywistości jest informacja i jak bardzo jest cenna, aby umożliwić określenie niezbędnego stopnia jej ochrony.

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

W zależności od koniecznego stopnia ochrony, informacje można zaliczyć do różnych kategorii: l

jawne;

l

chronione (np. zastrzeżone dla danej organizacji);

l

poufne;

l

tajne.

W zależności od statusu danej informacji, jest ona zawsze najważniejszym aktywem, jaki może posiadać człowiek, organizacja, instytucja.

Gdzie przechowujemy informacje Informacja może być przechowywana na różnych nośnikach. Nośnikami są potężne serwery, klastry, systemy komputerowe, bazy danych aż po komputery osobiste, zewnętrze urządzenia przenośne, a także same pliki. Mowa tu oczywiście o informacji zapisanej w postaci elektronicznej, jednak aby taką informację odpowiednio przechowywać, przetwarzać, zarządzać nią oraz zabezpieczyć, należy posiadać ogromny potencjał technologiczny. Warto w tym miejscu wspomnieć, że informację przechowywaną w postaci elektronicznej należy również zabezpieczać w odpowiedni sposób, na przykład cyklicznie wykonując kopie zapasowe. Jednak pomimo coraz nowszych technologii telekomunikacyjnych i informatycznych, dzięki którym można coraz bezpieczniej przechowywać informację i przetwarzać ją w niewiarygodnie szybkim tempie, nadal podstawowym sposobem przechowywania informacji jest zapisanie jej na papierze. Dokumenty takie jednakże nie są bezpieczne — są podatne na większą liczbę zagrożeń ze strony człowieka lub sił natury niż informacje przechowywane na nośnikach elektronicznych. Ponadto, wykorzystywanie dokumentów zapisanych na papierze wymaga zapewnienia coraz to większych archiwów oraz innych pomieszczeń, a nawet budynków, w których taką informację trzeba przechowywać, czy to z przyczyn biznesowych, czy prawnych. Natomiast w przypadku informacji elektronicznej, ilość niezbędnego miejsca zmienia się tu na płaszczyźnie pojemności dyskowej, macierzowej, klastrowej, ale nie fizycznej. Należy również pamiętać, że także ludzie w pewnym sensie są swoistymi nośnikami przechowującymi informację. Pamięć ludzka jest bardzo pojemna. Człowiek może pamiętać i przekazywać nawet te najstarsze informacje.

14 Ÿ ROZDZIAŁ 1. PODSTAWOWE ZAŁOŻENIA POLITYKI BEZPIECZEŃSTWA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Informacja w świetle regulacji prawnych Przechowywanie i przetwarzanie informacji zostało jasno sprecyzowane w wielu aktach prawnych wydawanych przez rządy licznych państw na całym świecie. Aby móc wdrożyć system bezpieczeństwa informacji w firmie czy instytucji, należy kierować się tymi właśnie regulacjami prawnymi. Dokładnie określają one poziomy ważności informacji i wyróżniają kilka typów tajemnicy. Są to: l

tajemnica państwowa, będąca własnością Państwa;

l

tajemnica służbowa, będąca tajemnicą przedsiębiorstwa bądź instytucji;

l

tajemnica danych osobowych;

l

tajemnica skarbowa, statystyczna czy bankowa.

Zasady audytu Aby móc wdrożyć system zarządzania bezpieczeństwem informacji, należy zastosować się do określonej normy, która jasno precyzuje zasady wdrażania stosownych procedur. Istnieje kilka norm należących do różnych organizacji, którymi możemy posłużyć się przy wdrażaniu takiego systemu. Poniżej zostały przedstawione najbardziej popularne normy.

Norma PN-ISO/IEC 17799:2003 Norma PN ISO/IEC 17799:2003 jest zbiorem zaleceń i wytycznych, wspomagających proces tworzenia, wdrażania i skutecznego monitorowania Systemu Zarządzania Bezpieczeństwem Informacji. W 12 rozdziałach normy zawarto praktyczne wskazówki, które mogą posłużyć jako punkt wyjścia do stworzenia własnych wytycznych. Wstęp normy zawiera informację o krytycznych czynnikach, wpływających na powodzenie wdrożenia SZBI, natomiast kolejne rozdziały zawierają wytyczne odnośnie do zabezpieczeń: l

Rozdział 1. Zakres normy

l

Rozdział 2. Terminy i definicje

l

Rozdział 3. Polityka bezpieczeństwa

l

Rozdział 4. Organizacja bezpieczeństwa

l

Rozdział 5. Klasyfikacja i kontrola aktywów

l

Rozdział 6. Bezpieczeństwo osobowe

INFORMACJA W ŚWIETLE REGULACJI PRAWNYCH

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

15

l

Rozdział 7. Bezpieczeństwo fizyczne i środowiskowe

l

Rozdział 8. Zarządzanie systemami i sieciami

l

Rozdział 9. Kontrola dostępu do systemu

l

Rozdział 10. Rozwój i utrzymanie systemu

l

Rozdział 11. Zarządzanie ciągłością działania

l

Rozdział 12. Zgodność

Podstawowym dokumentem systemu jest polityka bezpieczeństwa informacji. Definiuje się tu pojęcie bezpieczeństwa informacji, cele wdrażania systemu w firmie, wymagania prawne wynikające z zawieranych umów, opis procedury kształcenia kadry w dziedzinie bezpieczeństwa, określa się konsekwencje niestosowania procedur, a także zawiera opis metodologii zarządzania ciągłością działania biznesowego w sytuacjach krytycznych. Bardzo ważnym elementem normy jest spis procedur i zasad postępowania w przypadku wykrycia naruszenia bezpieczeństwa informacji. Rozdział 6. normy porusza temat bezpieczeństwa związanego z osobami zatrudnionymi w organizacji — stanowiącego największe, według statystyk, zagrożenie (70% przypadków naruszenia zasad bezpieczeństwa danych wynika z zaniedbania pracownika firmy. Nader często są to działania wynikające z braku świadomości istniejących zagrożeń). W rozdziale 7. zawarto zalecenia odnośnie do zabezpieczeń środowiska pracy w rozumieniu lokalizacji poszczególnych źródeł (nośników) informacji. W kolejnych rozdziałach, 8. – 10., opisano wytyczne dotyczące stosowania zabezpieczeń w systemach informatycznych. Biorąc pod uwagę, że omówienie tego tematu stanowi mniej więcej połowę treści normy, można odnieść mylne wrażenie, iż jest to klucz do wdrożenia bezpiecznego systemu zarządzania informacją.

Norma BS 7799-2:2002 Aby skutecznie ocenić wdrożony system zarządzania bezpieczeństwem informacji, należy zweryfikować podczas audytu, czy jednostka organizacyjna spełniła wymagania zawarte w normie BS 7799-2:2002. Standard BS 77992:2002 uwzględnia 36 celów i 127 metod zabezpieczeń, jednak nie wszystkie z opisanych zabezpieczeń znajdą zastosowanie w każdej firmie. Z uwagi na fakt, że wymienione w tej normie wytyczne nie zawsze uwzględniają specyficzne uwarunkowania środowiskowe bądź techniczne, zaproponowana metodologia niekiedy nie spełnia oczekiwań potencjalnego użytkownika w dowolnej organizacji. Organizacja na podstawie wyników szacowania ryzyka świadomie decyduje, które informacje są dla niej najważniejsze oraz gdzie się znajdują aktywa o krytycznym znaczeniu z punktu widzenia ciągłości działania firmy.

16 Ÿ ROZDZIAŁ 1. PODSTAWOWE ZAŁOŻENIA POLITYKI BEZPIECZEŃSTWA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Jednostka może również wdrożyć dodatkowe zabezpieczenia, nieuwzględnione w normie. W trakcie oceny celów i zastosowanych zabezpieczeń systemu ISMS (ang. Information Security Management System) audytor poszukuje dowodów, że organizacja zapewnia poufność, integralność i dostępność przechowywanych danych.

Zawartość normy BS 7799-2:2002 Norma składa się z wprowadzenia, 7 rozdziałów i z 4 załączników: l

Wprowadzenie

l

Rozdział 1. Zakres normy

l

Rozdział 2. Powołania normatywne

l

Rozdział 3. Pojęcia i definicje

l

Rozdział 4. System zarządzania bezpieczeństwem informacji (ISMS)

l

Rozdział 5. Odpowiedzialność kierownictwa

l

Rozdział 6. Przegląd ISMS dokonywany przez kierownictwo

l

Rozdział 7. Doskonalenie ISMS

l

Załącznik A (normatywny). Cele stosowania zabezpieczeń i zabezpieczenia

l

Załącznik B. Wytyczne do stosowania normy

l

Załącznik C. Powiązania pomiędzy ISO 9001:2000, ISO 14001 a BS 7799-2

l

Załącznik D. Zmiany wewnętrznej numeracji

Przy tak znacznej liczbie celów i zabezpieczeń wdrażanie normy wymaga udokumentowania: deklaracji stosowania, polityki bezpieczeństwa informacji, celów zabezpieczeń, zakresu ISMS oraz procedur i zabezpieczeń służących do realizacji ISMS, raportu z procesu szacowania ryzyka, planu traktowania ryzyka, wyników z przeglądu ISMS. Obszerność dokumentacji ulegnie znacznej redukcji w przypadku, gdy w organizacji wdrożono wcześniej inny system zarządzania, np. zgodny z normą ISO 9001:2000. Śledząc budowę normy BS 7799-2, można się doszukać analogii z wymaganiami zawartymi w normie jakościowej. W szczególności jest to widoczne w rozdziale 4. tej normy, odnoszącym się do zarządzania dokumentacją czy też w rozdziale 5., omawiającym zagadnienia odpowiedzialności i zaangażowania kierownictwa jednostki w utrzymywaniu i doskonaleniu systemu. Podobieństwa między tymi dokumentami są też widoczne w rozdziale 5.2 normy BS 7799-2, gdzie omówiono kwestie zarządzania zasobami, w rozdziale 6., stanowiącym przegląd systemu

ZASADY AUDYTU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

17

ISMS oraz w rozdziale 7., prezentującym zasady doskonalenia systemu. To podobieństwo norm może okazać się ogromnym ułatwieniem przy wdrażaniu i utrzymywaniu systemu bezpieczeństwa informacji, gdyż nie ma potrzeby tworzenia całkowicie nowych dokumentów, wystarczy zaktualizować te posiadane o wymagania zawarte w normie BS 7799. Oczywiście, niektóre dokumenty muszą pozostać odrębne, np. deklaracja możliwości stosowania. O ile politykę bezpieczeństwa można odnieść do polityki jakości, to BS 7799 wymaga udokumentowania deklaracji możliwości stosowania. Jest to dokument o kluczowym znaczeniu dla procesu audytu prowadzonego przez niezależnego audytora, zawiera analizę celów i zabezpieczeń, które organizacja wskazała jako odpowiednie dla jej potrzeb biznesowych, omawia również wszystkie wyłączenia w systemie zabezpieczeń wraz z uzasadnieniem. Publiczna wersja deklaracji możliwości stosowania może być wykorzystywana przez partnerów handlowych do oceny jednostki organizacyjnej pod kątem zachowania bezpieczeństwa informacji. Oczywiście, nie należy wskazywać w tym dokumencie szczegółowych rozwiązań, gdyż w takim przypadku jego opublikowanie mogłoby doprowadzić do powstania zagrożeń. Norma z założenia jest standardem zapewniającym znaczną dowolność wyboru rozwiązań (poza tym, co określa polityka bezpieczeństwa, nie istnieją obowiązkowe zabezpieczenia), stąd wymóg opracowania deklaracji możliwości stosowania ma zasadnicze znaczenie. Warto jeszcze zaznaczyć, że w załączniku A zamieszczono spis zabezpieczeń przedstawionych w normie ISO 17799 i że jako załącznik ten, jako normatywny, stanowi wykaz obowiązków, a nie tylko zestawienie informacji. Prawdą jest, że firma, która wdroży system zarządzania bezpieczeństwem informacji i podda się certyfikacji, nie zyskuje całkowitej pewności, iż jej aktywa są w 100% bezpieczne, jednak jeśli jest to system zgodny z normą BS 7799-2:2002, to w przypadku wystąpienia incydentu pozwoli on na szybką reakcję odpowiedzialnych osób, usunięcie skutków incydentu, zminimalizowanie strat i pewność, że w przyszłości taki sam incydent nie spowoduje załamania działalności biznesowej firmy. Certyfikat zgodności z normą BS 7999:2-2002 może być również postrzegany jako element zwiększający konkurencyjność firmy na rynku. Często stanowi też sygnał dla partnerów handlowych, iż dana organizacja docenia i odpowiednio traktuje kwestię bezpieczeństwa informacji.

18 Ÿ ROZDZIAŁ 1. PODSTAWOWE ZAŁOŻENIA POLITYKI BEZPIECZEŃSTWA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Norma ISO/IEC TR 13335 Norma ISO/IEC TR 13335 Norma ISO/IEC TR 13335 jest raportem technicznym o kluczowym znaczeniu dla funkcjonowania systemu zarządzania bezpieczeństwem informacji. Norma ta składa się z pięciu części, z czego pierwsza jest przetłumaczona na język polski przez Polski Komitet Normalizacyjny. Jak już wcześniej wspomniano, norma składa się z pięciu części, które zostały podzielone w następujący sposób: l

ISO/IEC/TR 13335-1/PN-I-13335-1 zawiera wytyczne zarządzania bezpieczeństwem systemów informatycznych, opisano tu terminologię oraz związki między poszczególnymi pojęciami.

l

ISO/IEC/TR 13335-2 stanowi dokładny opis planowania i zarządzania bezpieczeństwem systemów informatycznych. Opisano w niej szereg pojęć dotyczących przeprowadzenia analizy ryzyka, przedstawiono różne rodzaje planów zabezpieczeń, wyjaśniono znaczenie szkoleń uświadamiających.

l

ISO/IEC/TR 13335-3 to opis technik zarządzania bezpieczeństwem systemów informatycznych. Mowa tu o dogłębniejszych metodach analizy ryzyka, o wprowadzaniu zabezpieczeń a także o sposobach reagowania na różne incydenty, zagrażające bezpieczeństwu informacji.

l

ISO/IEC/TR 13335-4 przedstawia kwestie związane z wyborem odpowiednich zabezpieczeń. Scharakteryzowano tu różne metody zabezpieczeń oraz technik zabezpieczania, a także omówiono problem doboru odpowiednich zabezpieczeń ze względu na możliwe zagrożenia i rodzaj systemu.

l

ISO/IEC/TR 13335-5 — jest to ostatnia część normy, w której opisano metody zabezpieczeń dla połączeń z sieciami zewnętrznymi. Przedstawiono tutaj metody zabezpieczania wewnętrznej sieci komputerowej w miejscu jej połączenia z siecią zewnętrzną.

Aspekty prawne Wprowadzając system zarządzania bezpieczeństwem informacji, należy oczywiście wziąć pod uwagę wymagania prawa. Prawo determinuje szereg uwarunkowań dotyczących bezpieczeństwa informacji oraz pozwala na bardziej szczegółowe i dogłębne podejście do problemu jej zabezpieczenia.

NORMA ISO/IEC TR 13335

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

19

Podczas określania, tworzenia oraz wdrażania polityki bezpieczeństwa informacji należy przestrzegać przepisów obowiązującego prawa. Są to m.in.: l

ustawa z dnia 27 lipca 2001 r. o ochronie baz danych (Dz.U.2001.128.1402 z późniejszymi zmianami);

l

ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U.2002.144.1204 z późniejszymi zmianami);

l

rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U.05.171.1433);

l

rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.1998.80.521, zmienione rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 1 października 2001 r., Dz.U.2001.121.1306);

l

rozporządzenie Ministra Finansów z dnia 31 października 2003 r. w sprawie szczegółowych zasad tworzenia, utrwalania, przechowywania i zabezpieczania dokumentów związanych z zawieraniem i wykonywaniem umów ubezpieczenia (Dz.U.2003.193.1889);

l

rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U.2004.100.1024);

l

rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci służących do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczania danych informatycznych (Dz.U.2004.100.1023);

l

rozporządzenie Ministra Gospodarki, Pracy i Polityki Społecznej z dnia 29 kwietnia 2004 r. w sprawie homologacji systemów informatycznych stosowanych w urzędach administracji publicznej realizujących zadania w zakresie świadczeń rodzinnych (Dz.U.2004.127.1323);

l

rozporządzenie Ministra Gospodarki i Pracy z dnia 30 sierpnia 2004 r. w sprawie homologacji systemów informatycznych stosowanych w urzędach pracy (Dz.U.2004.204.2085);

20 Ÿ ROZDZIAŁ 1. PODSTAWOWE ZAŁOŻENIA POLITYKI BEZPIECZEŃSTWA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

ustawa z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U.2001. å130.1450 z późniejszymi zmianami);

l

rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz.U.2002.128.1094).

Dokumentem, z którym również warto się zapoznać, jest Dyrektywa Parlamentu Europejskiego i Rady z dnia 13 grudnia 1999 r. w sprawie ramowych warunków Wspólnoty dla podpisu elektronicznego (99/93/WE). Należy jednak pamiętać, że dyrektywy nie są aktami prawnymi zobowiązującymi osoby fizyczne i prawne w państwach członkowskich, a jedynie państwa członkowskie. Innymi słowy, dyrektywy nie obowiązują bezpośrednio, ale podlegają implementacji w prawodawstwie państw członkowskich.

NORMA ISO/IEC TR 13335

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

21

22 Ÿ ROZDZIAŁ 1. PODSTAWOWE ZAŁOŻENIA POLITYKI BEZPIECZEŃSTWA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Polityka bezpieczeństwa informacji Polityka bezpieczeństwa informacji jest dokumentem zawierającym szereg zaleceń oraz jasno sprecyzowanych zadań, których celem jest zabezpieczenie jednostki organizacyjnej przez nieuprawnionym udostępnieniem informacji. W takim dokumencie określa się zalecenia dotyczące nie tylko systemów informatycznych i ich zabezpieczania, ale również kwestie obiegu dokumentów wewnątrz jednostki, klasyfikację poziomów dostępu do informacji oraz zasady uzyskiwania fizycznego dostępu do pomieszczeń, w których są przechowywane i przetwarzane chronione informacje. Politykę bezpieczeństwa organizacji, przedsiębiorstw czy firm można zatem zdefiniować jako zbiór dokumentów (informacji), na podstawie których można oceniać zagrożenia wynikające ze specyfiki zarządzania badaną jednostką organizacyjną oraz podjąć odpowiednie działania, aby zapewnić wyższy poziom bezpieczeństwa informacji. Precyzowanie polityki bezpieczeństwa informacji jest zadaniem ścisłego kierownictwa jednostki, takiego jak np. zarząd firmy czy menedżerowie, natomiast wdrażaniem założeń określonych przez kierownictwo zajmują się upoważnione przez nich osoby, np. administratorzy systemów informatycznych. Aby polityka bezpieczeństwa informacji mogła spełniać swoje funkcje w poprawny sposób, należy spełnić pewne warunki: dokument ten musi zostać zapisany i udostępniony wszystkim zainteresowanym osobom. Należy doprowadzić do tego, aby polityka bezpieczeństwa została przeczytana i zrozumiana

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

przez pracowników firmy i użytkowników sieci. Sam dokument powinien być jasny, zwięzły i napisany w taki sposób, aby każda osoba zobowiązana do jego przeczytania była w stanie zrozumieć jego treść. Jeśli istnieje potrzeba utworzenia dokumentu, który będzie zawierał wiele niezrozumiałych (np. prawniczych) sformułowań, należy napisać także drugą wersję tego dokumentu, posługując się bardziej przystępnym językiem. Tworzenie polityki bezpieczeństwa informacji ściśle według funkcjonujących już standardów jest błędem, gdyż pomiędzy jednostkami organizacyjnymi istnieją duże różnice. Oczywiście jest możliwe, a nawet wskazane opracowanie polityki bezpieczeństwa informacji na podstawie przyjętych reguł, jednak należy przy tym ciągle pamiętać o występujących różnicach w wymaganiach i potrzebach. Podczas tworzenia założeń omawianego dokumentu należy racjonalnie ocenić możliwości firmy pod kątem funduszy, jakie można przeznaczyć na opracowanie i wdrożenie systemu bezpieczeństwa informacji. Wdrożenie polityki bezpieczeństwa wiąże się, niestety, ze spadkiem efektywności i wygody pracy, a więc należy pamiętać, aby efektem funkcjonowaniu systemu bezpieczeństwa informacji nie było uniemożliwienie działania jednostce.

Co powinna zawierać polityka bezpieczeństwa informacji Jak już wcześniej wspomniano, polityka bezpieczeństwa informacji powinna być czytelna i zrozumiała, zatem przede wszystkim należy uwzględnić tu wyjaśnienie wdrażanych zasad i reguł. Trzeba jasno wytłumaczyć, w jakim celu w firmie dokonuje się zmian określonych w PBI. Wyjaśnienia te są bardzo ważne, gdyż większość osób zastosuje się do narzuconych reguł tylko wtedy, gdy będzie świadoma potrzeby prowadzonych działań. W PBI należy opisać podział odpowiedzialności i kompetencji. Jest to kolejny krok, który ułatwia wdrożenie systemu bezpieczeństwa informacji. Trzeba też przedstawić mechanizmy i terminarz wdrażania kolejnych etapów polityki, wraz ze wskazaniem konkretnych osób (zespołów ludzi) odpowiedzialnych za te wdrożenia. Konieczne jest również określenie osoby (lub zespołu osób) nadzorujących działanie wdrożonego systemu i dbających o jego rozwój.

24 Ÿ ROZDZIAŁ 2. ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Czego nie powinna zawierać polityka bezpieczeństwa informacji W polityce bezpieczeństwa informacji nie należy zdradzać szczegółów technicznych zastosowanych rozwiązań (przykładowo, jeśli są rejestrowane listy użytkowników, nie należy opisywać sposobu rejestracji). Konieczna jest realistyczna analiza potrzeb firmy, a nie wdrażanie zapożyczonych wzorców bez ich zrozumienia. Warto też podkreślić, iż częstym błędem jest mniemanie, że raz wdrożona PB będzie zawsze tak samo funkcjonalna. Dlatego też tak ważne jest powołanie stałego zespołu roboczego (osoby), odpowiedzialnego za wprowadzanie niezbędnych modyfikacji zarówno w dokumencie, jak i w działającym systemie.

Utworzenie infrastruktury bezpieczeństwa informacji Bezpośrednią konsekwencją wdrożenia w organizacji polityki bezpieczeństwa informacji powinno być utworzenie odpowiedniej struktury zarządzania. W tym celu należy powołać odpowiednie forum menedżerów pod kierownictwem osoby z najwyższego szczebla zarządu organizacji. Osoba ta powinna posiadać uprawnienia do zatwierdzania polityki bezpieczeństwa informacji, jak również kompetencje do przydzielania wybranym osobom konkretnych zadań, tak aby zapewnić sprawne wdrażanie i koordynowanie przestrzegania polityki bezpieczeństwa informacji w obrębie całej organizacji. Pracownicy wchodzący w skład takiego zespołu powinni na bieżąco monitorować zachodzące zmiany, zarówno zewnętrzne jak i wewnętrzne, mogące pośrednio lub bezpośrednio wpływać na zagrożenia aktywów organizacji. Bezwzględnie należy zobowiązać te osoby do dokonywania regularnych przeglądów systemu bezpieczeństwa informacji. Istotnym elementem ich pracy będzie również ocena i zatwierdzanie ważnych dla organizacji pomysłów czy przedsięwzięć, zmierzających do poprawy lub podniesienia istniejącego poziomu bezpieczeństwa informacji chronionych w organizacji. Należy jednak podkreślić, że bez względu na liczbę osób wchodzących w skład takiego zespołu, za koordynowanie ich pracy powinna odpowiadać jedna osoba z kierownictwa jednostki.

CZEGO NIE POWINNA ZAWIERAĆ POLITYKA BEZPIECZEŃSTWA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

25

Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji Wdrożenie systemu bezpieczeństwa informacji w organizacji to oczywiście nie wszystko. Należy jeszcze przeprowadzić szkolenia, wyznaczyć osoby kompetentne do podejmowania określonych działań i zakres ich odpowiedzialności. Za wdrożenie oraz prawidłowe funkcjonowanie systemu bezpieczeństwa informacji odpowiada kierownictwo organizacji. To tu spoczywa władza wykonawcza, to jemu podlegają wszystkie działania i decyzje, dlatego też na kierownictwu właśnie spoczywa odpowiedzialność za bezpieczeństwo informacji. Polityka bezpieczeństwa informacji powinna określać taką odpowiedzialność. Konieczne jest również wprowadzenie szczegółowych wytycznych dotyczących newralgicznych miejsc, systemów czy usług. Jedną z najważniejszych kwestii jest oczywiście wprowadzenie planu ciągłości działania jednostki w sytuacji krytycznej, w którym zostaną określone zakresy odpowiedzialności, od kierownictwa firmy poczynając a kończąc na określonych zespołach pracowniczych. Można również powołać odpowiednią osobę, tj. pełnomocnika ds. bezpieczeństwa informacji — osoby odpowiedzialnej za opracowanie i wdrożenie sprawnego systemu bezpieczeństwa informacji. Taki sposób postępowania praktykuje się w wielu organizacjach i instytucjach. Inną możliwością jest też wyznaczenie poszczególnych kierowników, a nawet dostawców materiałów czy usług, odpowiedzialnych za bezpieczeństwo poszczególnych aktywów, z którymi osoby te mają styczność podczas pracy. Niemniej jednak, aby kierownicy mogli w odpowiedni w sposób zarządzać odpowiedzialnością nad powierzonymi sobie aktywami, należy jasno sprecyzować ich cele i zadania.

Autoryzacja urządzeń do przetwarzania informacji W żadnej organizacji, przedsiębiorstwie czy instytucji nie można się obejść bez sprzętu komputerowego czy mechanicznego, służącego do przetwarzania informacji. Dlatego też, aby móc sprawnie i bezpiecznie użytkować taki sprzęt, należy sprawdzić jego funkcjonalność, w miarę możliwości zakupywać tylko autoryzowany sprzęt, zgodny z europejskimi i światowymi standardami ISO, a także zwracać dużą uwagę na oprogramowanie zainstalowane w takich urządzeniach. Takie rozważne postępowanie ma bezpośredni wpływ na bezpieczeństwo przetwarzania danych, gdyż niepoprawne funkcjonowanie

26 Ÿ ROZDZIAŁ 2. ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

lub częsta awaryjność sprzętu może obniżyć jakość i szybkość pracy. Autoryzacja urządzeń do przetwarzania informacji, czyli komputerów, serwerów, kopiarek, skanerów oraz innego sprzętu elektronicznego i mechanicznego powinna być przeprowadzona zgodnie z zaleceniami kierownictwa organizacji. Dobrą praktyką jest również ustanowienie w organizacji zakazu używania przez pracowników prywatnych urządzeń do przetwarzania informacji, gdyż w ten sposób zmniejsza się zagrożenie spowodowane nielegalnym wyprowadzeniem danych firmowych na zewnątrz organizacji. To z kolei mogłoby mieć katastrofalne skutki.

Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji Aby zapewnić w organizacji ciągłość wprowadzonych procedur zapewniających bezpieczeństwo informacji, należy ich po prostu ściśle przestrzegać, jednak aby kontrolować i przestrzegać te procedury, należy zapewnić sobie pomoc osoby mającej doświadczenie i wiedzę w tym zakresie. Nie każda organizacja zechce zatrudnić do tego celu specjalnych pracowników. Częstą praktyką jest wynajmowanie przez jednostkę specjalistów, którzy posiadają kompetencje do zajmowania się bezpieczeństwem informacji, znają odpowiednie normy i mają praktykę w zarządzaniu takimi systemami. Jeśli taki specjalista z zewnątrz zostanie zatrudniony, przede wszystkim musi się zapoznać z systemem. Osoba taka ponadto powinna mieć możliwość kontaktowania się z innymi specjalistami, jeśli faktyczny zakres wykonywanej pracy wykracza poza jej wiedzę i doświadczenie. Jest to istotne, gdyż od umiejętności i rzetelności oceny wydawanej przez taką osobę zależy efektywność systemu bezpieczeństwa informacji w danej organizacji. W przypadku wykrycia zagrożenia lub naruszenia systemu bezpieczeństwa informacji, konsultanci powinni zostać natychmiast powiadomieni o zaistniałym incydencie, aby możliwie jak najszybciej mogli dokonać odpowiedniej analizy i oceny, a także zabezpieczyć system w miejscu stwierdzonego naruszenia. Do ich obowiązków należy również podjęcie odpowiednich działań zapobiegawczych. Pozostaje jeszcze pytanie, czy bezpieczniejszym rozwiązaniem jest zatrudnienie własnego pracownika zajmującego się tym zagadnieniem, czy też wynajęcie kogoś z zewnątrz. Odpowiedź nie może być prosta i jednoznaczna, gdyż w obydwu przypadkach taka osoba stanowi potencjalne zagrożenie. Zagrożenie to nieraz jest rzeczywiście poważne, ponieważ specjalista ds. bezpieczeństwa informacji — zarówno będący pracownikiem firmy, jak i wynajętym konsultantem — posiada dobrą znajomość wdrożonego systemu zabezpieczeń i ma dostęp do większości chronionych danych. Pewnym rozwiązaniem

DORADZTWO SPECJALISTYCZNE W ZAKRESIE BEZPIECZEŃSTWA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

27

jest tutaj oczywiście wymóg podpisania specjalnych oświadczeń, określających jasno konsekwencje prawne nieuprawnionego udostępnienia chronionej informacji bądź danych dotyczących systemu bezpieczeństwa wdrożonego w organizacji. Z drugiej strony, nie można od samego początku przyjmować założenia, że osoby odpowiedzialne za system bezpieczeństwa informacji z pewnością wykradną chronione informacje i udostępnią je komuś z zewnątrz. Oczywiście, nigdy nie można zapewnić stuprocentowego bezpieczeństwa — a najsłabszym ogniwem systemu zawsze pozostanie człowiek.

Współpraca między organizacjami Każda jednostka organizacyjna powinna określić i wdrożyć odpowiednie procedury na okoliczność naruszenia systemu bezpieczeństwa informacji i wynikającej z tego naruszenia możliwości zakłócenia ciągłości działania organizacji. Procedury te należy stosować w przypadku wykrycia zagrożenia chronionej informacji, spowodowanego przez osoby z zewnątrz lub wewnątrz organizacji w celu uzyskania jakichś korzyści. Specjalista ds. bezpieczeństwa informacji w porozumieniu z kierownictwem firmy powinien mieć możliwość jak najszybszego powiadomienia odpowiednich organów ścigania. Ponadto kierownictwo jednostki powinno zapewnić sobie kontakt z dostawcami takich usług jak usługi telekomunikacyjne czy internetowe. Należy przy tym pamiętać, że komunikacja ta powinna przebiegać w sposób sprawny i bezpieczny, aby podczas niezbędnych operacji nie utracić poufności chronionych danych.

Niezależne przeglądy stanu bezpieczeństwa informacji Przeglądy tego typu mają na celu losową weryfikację wprowadzonych przez organizację procedur składających się na politykę bezpieczeństwa informacji. Takie kontrole pozwalają na stwierdzenie, czy pracownicy w pełni przestrzegają narzuconych procedur bezpieczeństwa, na ocenę, w jaki sposób radzą sobie z ich stosowaniem na co dzień i jaki wpływ te procedury wywierają na funkcjonowanie organizacji. Przeglądu takiego dokonuje zazwyczaj administrator bezpieczeństwa informacji, który równocześnie pełni funkcje pełnomocnika zarządu ds. bezpieczeństwa informacji. Niekiedy organizacje korzystają z usług zewnętrznego audytora.

28 Ÿ ROZDZIAŁ 2. ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Zabezpieczenie przed dostępem osób trzecich Każdego dnia do wielu organizacji, przedsiębiorstw i instytucji przychodzi niezliczona liczba interesantów, przedstawicieli handlowych, gości czy nawet akwizytorów. Przychodzą oni w celu załatwienia swoich spraw zarówno natury prywatnej, jak i czysto zawodowej. Osoby te przemieszczają się praktycznie po całym terenie danej jednostki organizacyjnej, często pozostając całkowicie anonimowymi. Co prawda, każda firma jest uzależniona od współdziałania osób pochodzących z zewnątrz i to wynika z samego faktu prowadzenia działalności, jednak należy zastanowić się, jakie zagrożenie może się z tym wiązać. Oczywiście, nie można generalizować, że każdy gość przybywa na teren jednostki w złych zamiarach. Co więcej, takie incydenty zdarzają się rzadko, tym nie mniej nie należy takich możliwości wykluczać ani bagatelizować. Oczywiście, wiele przedsiębiorstw podejmuje podstawowe środki zapobiegawcze, takie jak na przykład zatrudnienie ochrony pilnującej wejścia do budynku. Jest to jak najbardziej godne polecenia postępowanie, jednak niewystarczające. Istnieje potrzeba zapewnienia bardziej starannej ochrony organizacji przed ewentualnym niepożądanym działaniem osób z zewnątrz. Metody zabezpieczenia przedsiębiorstwa przed osobami trzecimi, dotyczące m.in. sposobów monitorowania ich zachowania na terenie firmy, ich identyfikowania, określania dostępnych im miejsc zostały szczegółowo opisane w normie.

Identyfikacja ryzyka związanego z dostępem osób trzecich Aby zidentyfikować ryzyko związane z dostępem osób trzecich, należy zdefiniować i zweryfikować rodzaje uzyskiwanego dostępu oraz powody udzielania tego dostępu. Należy także dokładnie określić, kim w rzeczywistości są lub kim mogą być te osoby.

Rodzaje dostępu Należy wyróżnić dwa podstawowe rodzaje dostępu, które mogą zostać przyznane osobom trzecim: dostęp fizyczny i dostęp logiczny. Zarówno jeden, jak i drugi stanowi potencjalne ryzyko dla bezpieczeństwa informacji w organizacji.

ZABEZPIECZENIE PRZED DOSTĘPEM OSÓB TRZECICH

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

29

Jak sama nazwa wskazuje, dostęp fizyczny jest związany z uzyskiwaniem bezpośredniego dostępu do siedziby firmy, czyli do: l

budynku,

l

biur,

l

pomieszczenia z serwerami,

l

szaf,

l

sejfów,

l

kancelarii tajnych,

l

akt.

W takich miejscach niewątpliwie znajdują się informacje, które potencjalnie mogą stać się obiektem zainteresowania gościa o nieczystych zamiarach względem jednostki. Jak już wspomniałem, istnieje jeszcze dostęp logiczny, który oznacza uzyskanie dostępu do danych przechowywanych w zasobach informatycznych firmy, którymi mogą być: l

systemy bazodanowe,

l

serwery,

l

inne systemy informatyczne, przechowujące i przetwarzające informacje.

Przyczyny udzielania dostępu Oczywiście, naturalną przyczyną wizyty w jednostce jest konieczność wykonania pewnej pracy. Dotyczy to np. audytorów, personelu obsługi technicznej, którego zadaniem jest serwis sprzętu i oprogramowania, czy też technicy mający za zadanie naprawę urządzeń klimatyzacyjnych w pomieszczeniu z serwerami. Takie osoby muszą uzyskać dostęp do potencjalnie newralgicznych obiektów w organizacji. Istnieje poza tym wiele przypadków, gdzie trzeba nadać odpowiednie wysokie poziomy dostępu osobom trzecim, by mogły one sprawnie i szybko wykonać powierzoną pracę. Dotyczy to również partnerów handlowych czy innych współpracowników zewnętrznych, z którymi prowadzi się pewne działania biznesowe, takie jak realizacja kontraktów bądź projektów. W takich przypadkach osoby te muszą otrzymać większe przywileje, aby móc sprawnie wykonywać swoje zadania. Często należy udzielić im dostępu do niektórych pomieszczeń, systemów

30 Ÿ ROZDZIAŁ 2. ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

informatycznych, takich jak bazy danych itp. Wiąże się to oczywiście z niebezpieczeństwem, że przechowywane w takich systemach informacje mogą zostać wykradzione lub bezprawnie zmodyfikowane. Dlatego też w polityce bezpieczeństwa informacji należy jasno i precyzyjnie sformułować procedury udzielania dostępu osobom trzecim. Jest to jedna z ważniejszych części systemu bezpieczeństwa informacji. Przed nadaniem osobie trzeciej odpowiedniego poziomu dostępu, należy przeprowadzić dogłębną analizę ryzyka związanego z tą operacją. Przy szacowaniu i analizie ryzyka należy wziąć pod uwagę wartość informacji, do której zyskają dostęp te osoby, jak również rodzaj nadanych uprawnień.

Wykonawcy działający w siedzibie firmy Jak już wspomniano powyżej, w niektórych sytuacjach niezbędna jest obecność personelu zewnętrznego, np. w celu dokonania naprawy czy innych prac, wynikających choćby z umów między firmami. Takimi osobami są zazwyczaj: l

pracownicy obsługi technicznej,

l

personel sprzątający,

l

catering,

l

służba ochrony,

l

konsultanci,

l

studenci zatrudnieni na czas odbycia praktyki.

Każda z tych osób może przyczynić się do osłabienia systemu zabezpieczeń organizacji, dlatego też przed nadaniem takim osobom czy firmom z zewnątrz niezbędnych praw dostępu, należy wprowadzić odpowiednie zabezpieczenia. Warto też skonstruować odpowiednie umowy, określające warunki nadania praw dostępu.

Wymogi bezpieczeństwa informacji w umowach z osobami trzecimi W umowach zawieranych z osobami trzecimi należy uwzględnić opis i poziom dostępu do urządzeń przetwarzających informacje lub do pomieszczeń, w których ta informacja jest przechowywana. Koniecznie trzeba zachować zgodność z obowiązującą w firmie polityką bezpieczeństwa informacji. Zapisy

ZABEZPIECZENIE PRZED DOSTĘPEM OSÓB TRZECICH

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

31

umowne powinny odpowiadać odpowiednim procedurom bezpieczeństwa, aby nie doszło do zachwiania całego systemu ochraniającego informacje. Umowy powinny również zawierać zabezpieczenie dla organizacji w postaci klauzuli o odszkodowaniu ze strony wykonawcy w przypadku niezastosowania się do procedur czy świadomego działania, wpływającego na osłabienie systemu bezpieczeństwa informacji. W umowach takich należy wskazać zakres obowiązującej w organizacji polityki bezpieczeństwa informacji, zapisy o ochronie aktywów oraz o systemie ochrony tych aktywów oraz o procedurach umożliwiających określenie, czy mogła nastąpić, przykładowo, utrata czy modyfikacja danych. Wracając do samej treści umowy, należy — i to jest ważne — podkreślić, że musi ona zawierać wszystkie szczegóły dotyczące bezpieczeństwa informacji. Umowa powinna zawierać następujące zapisy: l

staranny opis każdej udostępnionej usługi z wyjaśnieniem, dlaczego jest to potrzebne,

l

jasno sformułowana odpowiedzialność stron umowy w zakresie bezpieczeństwa informacji i aktywów,

l

uwzględnienie aspektów prawnych, w szczególności przepisów o ochronie danych osobowych oraz nieuczciwej konkurencji,

l

uwzględnienie prawa własności intelektualnej oraz praw autorskich wraz z deklaracją ich poszanowania przez zleceniobiorcę,

l

dokładne określenie nadanych poziomów dostępu i narzędzi umożliwiających uzyskanie tego dostępu (np. karty chipowe),

l

opis procesu autoryzacji i uwierzytelnienia użytkownika,

l

wskazanie odpowiedzialności strony za wykonywane usługi,

l

W przypadku prac prowadzonych w systemie zmianowym, zleceniobiorca powinien określić dokładną liczbę osób na zmianie oraz godziny funkcjonowania personelu,

l

informacja o sposobie przeszkolenia personelu zleceniobiorcy w zakresie zasad bezpieczeństwa informacji panujących w organizacji,

l

uzgodnienie procedur, przykładowo, jakie sytuacje podlegają sprawozdaniu bądź powiadamianiu oraz informacja o sposobie przeprowadzania dochodzenia w przypadku naruszeń zasad związanych z bezpieczeństwem informacji.

Takie zapisy w umowie pozwolą jasno i precyzyjnie sformułować obowiązki stron, tak aby zagrożenie naruszenia bezpieczeństwa informacji było jak najmniejsze.

32 Ÿ ROZDZIAŁ 2. ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Zlecenie przetwarzania danych firmom zewnętrznym Niektóre prace muszą być wykonane przez inną firmę. Niekiedy specyfika pracy zleceniobiorcy i cechy samego zlecenia powodują potrzebę przetwarzania informacji poza siedzibą organizacji. W takich sytuacjach należy w umowie zamieścić odpowiednie ustalenia między stronami odnośnie do zagrożeń, zabezpieczeń i procedur stosowanych w systemach informatycznych.

Wymagania biznesowe w umowach zlecenia na zewnątrz Umowy takie powinny zawierać m.in. opisy wymagań prawnych, do jakich powinien ustosunkować się zleceniobiorca, np. przepisy dotyczące ochrony danych osobowych. Następnie należy ustalić, że obydwie strony zlecenia, zarówno zleceniodawca, jak i zleceniobiorca oraz podwykonawcy są świadomi swojej odpowiedzialności w zakresie bezpieczeństwa informacji. Należy również ustalić, jak będzie wyglądać utrzymanie odpowiednich procedur, zapewniających nienaruszanie integralności, poufności i dostępności informacji. W przypadku samych zabezpieczeń — zarówno fizycznych, jak i logicznych — należy stosować je w taki sposób, aby do minimum ograniczyć dostęp do wrażliwych punktów organizacji i udostępniać je tylko tym osobom, które są bezpośrednio zaangażowane w prace. Warunki te należy oczywiście zapisać w umowie między stronami. Trzeba jednak pamiętać, aby umowa była umową elastyczną, tzn. należy zapewnić sobie możliwość wniesienia w czasie trwania prac dodatkowych zapisów. Taki sposób postępowania okaże się wyjątkowo przydatny w przypadku zmiany specyfikacji pracy lub jeśli wynikną nieprzewidziane okoliczności, zwiększające ryzyko naruszenia bezpieczeństwa informacji.

ZLECENIE PRZETWARZANIA DANYCH FIRMOM ZEWNĘTRZNYM

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

33

34 Ÿ ROZDZIAŁ 2. ZARZĄDZANIE BEZPIECZEŃSTWEM INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Aktywa są majątkiem firmy. Należą do tych obiektów, które prezentują jakąś wartość i są nimi na przykład komputery, meble, samochody, budynki, informacja, nośniki itd. Skoro aktywa stanowią jakąś wartość, naturalną rzeczą jest ich właściwa ochrona, a tym samym zabezpieczenie przed kradzieżą czy uszkodzeniem. Aby jednak zadanie to wykonać, należy przede wszystkim sklasyfikować posiadane aktywa oraz sporządzić szczegółowy spis inwentaryzacyjny.

Rozliczanie aktywów Aby właściwie zabezpieczyć ważne dla firmy zasoby, w tym przypadku zasoby informacyjne, należy przede wszystkim wyznaczyć ich właściciela. Jest to pierwszy krok, aby zapewnić im podstawową ochroną. Właściciel powinien otrzymać odpowiednie wytyczne dotyczące obowiązków, jakie na nim spoczywają odnośnie do danego zasobu, przez co będzie mógł utrzymać właściwy poziom zabezpieczeń z nim związanych. Z praktyki wynika, że lepiej unikać przekazywania tych obowiązków na inne osoby.

Inwentaryzacja aktywów Jak już wspomniałem, inwentaryzacja aktywów jest potrzebna, ponieważ ułatwia zapewnienie ich efektywnej ochrony, a ponadto jest niewątpliwie przydatna podczas innych czynności i zadań związanych z funkcjonowaniem firmy. Patrząc na inwentaryzację aktywów pod kątem ich bezpieczeństwa, należy pamiętać o określeniu wagi i wartości każdego obiektu z osobna. Po utworzeniu takiego wykazu, z którego wynika wartość danego zasobu dla organizacji (np. serwera przechowującego bazę danych o klientach), będzie

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

można określić współmierny poziom zabezpieczeń poszczególnych zasobów przedsiębiorstwa. Trzeba jednakże pamiętać, że nie chodzi tutaj o sporządzenie kompletnego spisu aktywów, lecz tylko tych, których zagrożenie może spowodować problemy w działalności firmy, utratę zaufania, potencjalne straty finansowe oraz inne straty, których konsekwencją może być zachwianie pozycji firmy na rynku lub w oczach klientów czy kontrahentów. Dlatego też ważne jest, aby pod szczególną uwagę wziąć systemy informatyczne oraz inne nośniki informacji. Należy również — co ważne — określić i opisać lokalizację tych aktywów. Potrzebne to jest na wypadek katastrofy, gdy będzie trzeba szybko odzyskać niezbędne aktywa. Skupiając się jednak na aktywach związanych ściśle z informacją, należy sklasyfikować je w następujący sposób: aktywa informacyjne, czyli: l

wszystkiego rodzaju zbiory, dane, pliki, nośniki przechowujące informację zapisaną elektroniczne, plany sieci oraz struktury IT,

l

wszelkiego rodzaju procedury związane z bezpieczeństwem informacji,

l

plan ciągłości działania w sytuacjach krytycznych,

l

procedury awaryjne,

l

plany oraz materiały szkoleniowe,

l

system kopii zapasowych;

aktywa oprogramowania, czyli: l

wszelkiego rodzaju oprogramowanie, za pomocą którego zapisujemy, przechowujemy i przetwarzamy dane,

l

systemy operacyjne,

l

systemy biurowe,

l

inne oprogramowanie specjalistyczne czy zabezpieczające;

aktywa fizyczne, czyli: l

wszelkiego rodzaju sprzęt komputerowy,

l

serwery,

l

urządzenia peryferyjne (drukarki, skanery, faksy),

l

nośniki mechaniczne i magnetyczne,

l

pomieszczenia oraz meble;

36 Ÿ ROZDZIAŁ 3. KLASYFIKACJA I KONTROLA AKTYWÓW

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

usługi, czyli: l

wszelkiego rodzaju usługi związane z przekazywaniem danych,

l

informacje,

l

usługi pomocy technicznej (oświetlenie, ogrzewanie, klimatyzacja).

Klasyfikacja informacji Jak wspomniałem na wstępie, informacja jest najcenniejszym aktywem, a to oznacza, że należy ją odpowiednio chronić. Aby sprostać temu zadaniu, musimy przede wszystkim ją sklasyfikować, aby móc dokładnie określić jej hierarchiczność oraz wrażliwość i krytyczność. Podobnie jak miało to miejsce z aktywami, należy sporządzić dokładny spis informacji znajdujących się w firmie i określić poziomy dostępu uzyskiwanego przez różne osoby. Może zdarzyć się tak, że pewnego rodzaju informacje, takie jak dane na temat zatrudnienia w firmie, informacje o płacach pracowników, bazy danych o klientach, projekty itp. będą musiały być specjalnie traktowane. Słowo specjalnie oznacza, że trzeba dla nich określić inne poziomy dostępu. Ma to na celu uniknięcie uzyskiwania swobodnego dostępu do tych informacji przez osoby, którym nie są one bezwzględnie potrzebne do wykonywania obowiązków służbowych.

Wytyczne w zakresie klasyfikacji Przystępując do klasyfikowania informacji, należy wziąć pod uwagę jej wartość oraz potrzeby jej współużytkowania. Należy też wykluczyć dostęp osób przypadkowych, które nie mają potrzeby wglądu do danej informacji. Taka klasyfikacja pozwoli na określenie, w jaki sposób należy postępować z określoną informacją, jak ją zabezpieczyć, przetwarzać, niszczyć i chronić. Ważną kwestią jest również prowadzenie odpowiednich zapisów, określających kto, w jakim czasie i w jakim celu korzystał z danej informacji. Oczywiście, mowa tu wyłącznie o informacjach wymagających ochrony z punktu widzenia interesów firmy. Nie sposób przecież ewidencjonować wszystkich zdarzeń wiążących się z dostępem do wszystkich informacji. Takie zapisy mogą okazać się pomocne podczas ewentualnego śledztwa w przypadku naruszenia lub złamania bezpieczeństwa informacji. Zapisy takie pozwalają na określenie, kto i kiedy uzyskał dostęp do konkretnej informacji, w jakim celu ją przeglądał i jakie miał do tego uprawnienia.

KLASYFIKACJA INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

37

Dobrą praktyką porządkowania informacji jest również przypisywanie im odpowiednich kategorii. Pozwala to na skrócenie czasu odnajdywania potrzebnej informacji, co bezpośrednio ułatwi wykonywanie obowiązków. Oczywiście, należy regularnie sprawdzać, czy sklasyfikowane informacje są utrzymywane w należytym porządku. Jeśli są one przechowywane w systemie informatycznym, należy przeprowadzać dogłębne weryfikacje techniczne tego systemu, począwszy od kontroli spójności bazy danych, poprzez ilość dostępnej pamięci, na stanie zabezpieczeń kończąc.

Oznaczenia i postępowanie z informacją Klasyfikacja i inwentaryzacja informacji musi również wiązać się z ustanowieniem odpowiednich procedur dostępowych, jak również procedur postępowania z samą informacją. Procedury te oczywiście powinny dotyczyć każdego rodzaju informacji, zarówno tej zapisanej elektronicznie czy na innych nośnikach, jak i tej przechowywanej fizycznie. Procedury te muszą określać sposób przechowywania informacji (w jakich pomieszczeniach, na jakich nośnikach) oraz zasady postępowania z informacją (sposób kopiowania, przenoszenia, ewentualnie modyfikowania w razie potrzeby, przesyłania, udostępniania i niszczenia). Procedury te stanowią podstawę skutecznego zabezpieczenia informacji oraz zapobiegania bezprawnemu jej kopiowaniu, modyfikowaniu bądź nawet jej kradzieży.

38 Ÿ ROZDZIAŁ 3. KLASYFIKACJA I KONTROLA AKTYWÓW

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Statystyki mówią, iż najsłabszym ogniwem w systemie bezpieczeństwa informacji jest niewątpliwie człowiek. Człowiek popełnia wszelkiego rodzaju błędy czy uchybienia, jest podatny na pokusy. Wszystkie te czynniki mogą wpłynąć na bezpieczeństwo informacji. Łatwo sobie wyobrazić sytuację, w której jeden z pracowników firmy przez swą niedbałość w wykonywaniu swoich obowiązków naraził firmę na szkody spowodowane utratą lub zniszczeniem danych czy też pokusił się o udostępnienie konkurencji chronionych danych dotyczących cennej technologii, kontaktów handlowych, baz danych klientów w zamian za korzyści finansowe lub inne profity. Sytuacje tego typu zdarzają się coraz częściej. Wynikają z braku wdrożonego systemu bezpieczeństwa informacji i są konsekwencją braku szkoleń uświadamiających wśród pracowników. Podobne incydenty będą w dalszym ciągu zagrażały tym firmom i instytucjom, które nie pomyślą poważnie o wdrożeniu odpowiedniej polityki bezpieczeństwa informacji.

Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi Bezpieczeństwo informacji

Określenie obowiązków personelu jest pierwszym krokiem prowadzącym do ograniczenia ryzyka błędu ludzkiego. Taki zakres obowiązków należy przekazywać każdej nowo zatrudnionej osobie, a więc już podczas procedury naboru do pracy. Nowi pracownicy powinni być szczegółowo zapoznawani ze środkami ochrony informacji w firmie oraz z procedurami określanymi w polityce bezpieczeństwa informacji. Wszystkie te kwestie powinny być jasno i wyraźnie określone w umowie o pracę lub w innej umowie, precyzującej zasady

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

współpracy danej osoby z firmą. Po zakończeniu procedury zatrudnienia nowy pracownik powinien przejść odpowiednie szkolenie w zakresie bezpieczeństwa informacji, a począwszy od pierwszego dnia wykonywania obowiązków służbowych, powinien być na równi z innymi pracownikami monitorowany w celu wykazania, czy przestrzega określonych procedur.

Uwzględnianie zasad bezpieczeństwa informacji w zakresach obowiązków służbowych Każdy z pracowników jest przydzielony do danego stanowiska, na którym wykonuje pracę odpowiednią do swoich kompetencji, wiedzy, doświadczenia. Wykonuje czynności, dla których został zatrudniony w firmie. Oznacza to, że taka osoba ma dostęp do informacji, które są potrzebne do wykonywania pracy, i tylko do tych informacji dostęp mieć powinna. Należy tak precyzować politykę bezpieczeństwa informacji, aby jasno z niej wynikało, do jakich danych powinien mieć dostęp dany pracownik danego działu. Należy wystrzegać się sytuacji, gdy pracownik ma dostęp do bardziej poufnych informacji, niż to wynika ze specyfiki jego obowiązków. W ten sposób doszłoby do zwiększenia niebezpieczeństwa utraty, kradzieży lub bezprawnej modyfikacji i zniszczenia informacji.

Sprawdzanie podczas naboru Nabór nowego pracownika, z punku widzenia bezpieczeństwa informacji, jest bardzo ważnym momentem. Dzięki sprawnej procedurze naboru można uniknąć niebezpieczeństwa zagrożenia chronionej informacji. Dlaczego tak jest? Odpowiedź jest prosta. Można wtedy zweryfikować m.in. obraz psychologiczny kandydata ubiegającego się o pracę. Można wstępnie sprawdzić, czy dana osoba będzie podatna na celowe lub przypadkowe ujawnianie informacji, czy też z jej charakteru wynika, że dzięki dokładności w pracy, skłonności do zachowania porządku i świadomości odnośnie do wagi informacji firmowych, nie pozwoli na takie incydenty. Oczywiście, bezpośrednio po zatrudnieniu takiej osoby, należy ją jak najszybciej skierować na szkolenia uświadamiające oraz szkolenie z zakresu wdrożonej polityki bezpieczeństwa informacji. Nowy pracownik powinien zostać również zapoznany ze wszystkimi procedurami obowiązującymi w dziale, w którym będzie zajmował swoje nowe stanowisko pracy. Odpowiedzialność za wszystkie te kwestie spoczywa na kierownictwu firmy.

40 Ÿ ROZDZIAŁ 4. BEZPIECZEŃSTWO OSOBOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Umowa o zachowaniu poufności Następnym, bardzo ważnym etapem zatrudniania nowego pracownika, jest przedstawienie mu stosownej umowy o zachowaniu poufności i o tajemnicy firmowej, stanowiącej część majątku organizacji. Każdy pracownik powinien otrzymać, zapoznać się i podpisać taką umowę. Umowa ta powinna uwzględniać zapisy wszystkich niezbędnych przepisów obowiązującego prawa, gdzie jest mowa o bezpieczeństwie informacji i o zachowaniu jej poufności. Pracownik powinien dokładnie wiedzieć, jakie grożą sankcje za celową modyfikację, utratę, zniszczenie, kradzież czy za sprzedaż informacji firmom konkurencyjnym. Poniżej przytoczono kilka przepisów polskiego prawa, mówiących o bezpieczeństwie informacji oraz o sankcjach, jakie grożą za jej ujawnienie, celowe zniszczenie, nieuprawnioną modyfikację lub inne działania, które w wyniku niewłaściwego traktowania informacji chronionych powodują powstanie szkód w firmie: Ujawnienie lub wykorzystanie informacji: Art. 266 Kodeksu karnego § 1. Kto wbrew przepisom ustawy lub przyjętemu na siebie zobowiązaniu, ujawnia lub wykorzystuje informację, z którą zapoznał się w związku z pełnioną funkcją, wykonywaną pracą, działalnością publiczną, społeczną, gospodarczą lub naukową, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Nieuprawnione uzyskiwanie informacji: Art. 267 Kodeksu karnego § 1. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. § 2. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym. § 3. Tej samej karze podlega, kto w informację uzyskaną w sposób określony w § 1 lub 2 ujawnia innej osobie.

BEZPIECZEŃSTWO INFORMACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

41

Naruszenie integralności lub zniszczenie zapisu w informacji podlegającej ochronie: Art. 268 Kodeksu karnego § 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Zniszczenie informacji o szczególnym znaczeniu (tajemnicy państwowej): Art. 269 Kodeksu karnego § 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. § 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w § 1, niszcząc albo wymieniając nośnik albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji.

Oszustwa komputerowe: Art. 287 Kodeksu karnego Kto, w celu osiągnięcia korzyści materialnej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od 3 miesięcy do 5 lat. Oczywiście, powyższe regulacje dotyczą również osób niezatrudnionych w organizacji na umowę o pracę. Osoby współpracujące z organizacją w ramach np. projektu lub firmy oferującej usługi wewnątrz organizacji, powinny również zostać zapoznane z wymogami zachowania poufności informacji, polityki bezpieczeństwa i — podobnie jak pracownicy — powinni podpisać stosowne oświadczenia.

42 Ÿ ROZDZIAŁ 4. BEZPIECZEŃSTWO OSOBOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Warunki zatrudnienia Po zatrudnieniu pracownika, kierownictwo powinno zapoznać nową osobę z zakresem odpowiedzialności związanej z wykonywaniem obowiązków służbowych. Oczywiście, nie można wykluczyć, że pracownik pomimo podpisania umowy o zachowaniu poufności, znający swój zakres odpowiedzialności, może przyczynić się do niepożądanego udostępnienia chronionej informacji na zewnątrz. W takiej sytuacji należy podjąć odpowiednie działania, aby podobne incydenty nie miały miejsca w organizacji.

Szkolenie użytkowników Szkolenia użytkowników dotyczące wdrożonego systemu bezpieczeństwa informacji są jednym z ważniejszych elementów działania takiego systemu. Jest tak, ponieważ pomimo poprawnego wdrożenia systemu zarządzania bezpieczeństwem informacji, sporządzenia dokładnej polityki bezpieczeństwa informacji, wdrożenia stosownych procedur, to jeśli pracownicy organizacji nie zostaną zapoznani z tym systemem i z procedurami, jeśli nie zrozumieją ich, to system bezpieczeństwa informacji po prostu nie będzie funkcjonował. Do tego celu konieczne jest zaangażowanie pracowników w jego przestrzeganie i wykonywanie procedur. Użytkownicy muszą być świadomi zagrożeń, muszą nauczyć się reagować na nie i działać w sytuacji zagrożenia. Lecz nie tylko procedury są tutaj ważne, aspekty techniczne także wchodzą w grę. Pracownicy muszą nauczyć się właściwie posługiwać i postępować z urządzeniami przetwarzającymi informacje, by zminimalizować ryzyko jej utraty.

Szkolenia i kształcenie w zakresie bezpieczeństwa informacji Szkolenia z zakresu bezpieczeństwa informacji powinny być prowadzone bardzo szczegółowo, z uwzględnieniem silnego zaakcentowania informacji o skutkach utraty informacji. Każdy pracownik, zanim uzyska dostęp do danych informacji, powinien przejść bardzo szczegółowe szkolenie z procedur, jakim będzie podlegał. Szkolenia takie powinny odbywać się okresowo, co pozwoli na odświeżenie i sprawdzenie wiedzy pracowników z tego zakresu. Dotyczy to również osób trzecich i firm zewnętrznych, współpracujących z organizacją. Szkolenie z zakresu bezpieczeństwa informacji powinno dotyczyć przede wszystkim procedur potrzebnych danej osobie lub zespołowi pracowników. Oprócz tego należy zapoznać pracowników z aspektami prawnymi korzystania z urządzeń do przetwarzania danych.

SZKOLENIE UŻYTKOWNIKÓW

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

43

Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu Umiejętność wykrywania zagrożeń i reagowania na wszelkiego rodzaju uchybienia w funkcjonowaniu systemu, które mogą mieć wpływ na bezpieczeństwo chronionych danych, ma kluczowe znaczenie. Taką umiejętność pracownicy niewątpliwie nabędą podczas szkoleń uświadamiających, podczas których zapoznają się z technikami i metodami reagowania na takie incydenty. Sposobów naruszeń zabezpieczeń jest wiele: od prób włamania do systemu informatycznego z zewnątrz czy wewnątrz sieci, po próby naruszenia bezpieczeństwa przez nieuczciwych pracowników czy osoby trzecie, które nie wchodzą w skład organizacji. Dlatego też należy ustanowić w organizacji specjalną procedurę powiadamiania o takich incydentach oraz informowania przez pracowników o podejrzanych działaniach. Częścią tej procedury jest również ustalenie zasad postępowania dyscyplinarnego wobec pracowników firmy łamiących zasady bezpieczeństwa lub występowania na drogę prawną wobec osób spoza organizacji.

Zgłaszanie przypadków naruszenia bezpieczeństwa Gdy nastąpi sytuacja zagrożenia bezpieczeństwa chronionych danych lub ogólny przypadek naruszenia wdrożonych procedur, pracownik, który wykrył taki incydent, powinien jak najszybciej powiadomić o tym odpowiednią osobę w firmie. Oczywiście, jak wcześniej wspomniano, każdy z pracowników powinien być przeszkolony m.in. w zakresie postępowania w przypadku takich incydentów. Sposób przekazywania takich informacji jest ważny — należy zapobiec rozpowszechnianiu wiadomości o wykrytym naruszeniu. Jeśli taki incydent wystąpił, nie należy rozgłaszać tego osobom postronnym ani innym pracownikom firmy. Upowszechnienie takiej informacji może w efekcie utrudnić zidentyfikowanie osoby lub osób odpowiedzialnych za naruszenie zasad bezpieczeństwa, ponieważ sprawca zyskuje wtedy wiedzę o wykryciu incydentu i może skutecznie zacząć usuwać ślady swoich działań.

Zgłaszanie słabości systemu bezpieczeństwa Oczywiście, fakt naruszenia systemu zabezpieczeń może wynikać z jego słabego zabezpieczenia. Niedoskonałość systemu może być bezpośrednią przyczyną utraty, nieuprawnionej modyfikacji lub zniszczenia chronionej informacji,

44 Ÿ ROZDZIAŁ 4. BEZPIECZEŃSTWO OSOBOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

dlatego też pracownicy organizacji powinni również być wyczuleni na takie słabości systemu. W przypadku ich zauważenia powinni bezzwłocznie informować o tym kadrę kierowniczą. Po otrzymaniu takiego zgłoszenia, osoby odpowiedzialne w firmie za politykę bezpieczeństwa informacji — tj. kierownictwo, pełnomocnik ds. bezpieczeństwa informacji, administrator systemu — powinni jak najszybciej wprowadzić procedury modyfikujące system w tym segmencie, tak aby doprowadzić do jego szybkiego zabezpieczenia. Należy też zapewnić, że system bezpieczeństwa informacji będzie podlegał testom, co umożliwi szybsze wykrywanie potencjalnych słabości i ich usuwanie.

Zgłaszanie niewłaściwego funkcjonowania oprogramowania Jak wiadomo, oprogramowanie komputerowe również może przyczynić się do utraty poufności danych zapisanych elektronicznie. Nie ma na świecie idealnego oprogramowania, które by zabezpieczało dane w stu procentach, dlatego też należy na bieżąco wprowadzać dostępne aktualizacje oprogramowania. Za te działania w organizacji jest odpowiedzialny najczęściej dział informatyki, jednak pracownicy działów IT nie zawsze są w stanie śledzić na bieżąco wszystkie nieścisłości związane z pracą oprogramowania w organizacji. Także pracownicy innych działów mogą wykryć ewentualne problemy z funkcjonowaniem oprogramowania, ponieważ są jego użytkownikami. Przykładowo, jeśli taka osoba zobaczy podczas swojej pracy, że jego komputer nagle funkcjonuje w sposób inny od zamierzonego, a na ekranie monitora pojawiają się różnego rodzaju nieoczekiwane komunikaty, powinna niezwłocznie poinformować o tym fakcie dział IT. W takiej sytuacji pracownik działu IT powinien odłączyć komputer od sieci i sprawdzić przyczyny wadliwego działania. Odłączenie takiej maszyny od sieci jest bardzo ważne, ponieważ nagłe zaburzenie w funkcjonowaniu mogło być efektem zainfekowania złośliwym oprogramowaniem lub nawet działania krakera, którą może być osoba z zewnątrz czy nawet wewnątrz organizacji. Użytkownicy nie powinni samodzielnie usuwać wadliwego oprogramowania bez zgody i wiedzy kierownictwa organizacji, ponieważ w ten sposób można spowodować uszkodzenie całego systemu na danym komputerze. Tego rodzaju działanie wchodzi w zakres obowiązków odpowiednio wyszkolonego personelu i tylko takie osoby powinny prowadzić tego rodzaju operacje.

REAGOWANIE NA NARUSZENIA BEZPIECZEŃSTWA I NIEWŁAŚCIWE FUNKCJONOWANIE SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

45

Wnioski po wystąpieniu incydentu Jak już wspomniałem, w organizacji mogą wystąpić różnego rodzaju incydenty związane z naruszeniem bezpieczeństwa chronionych informacji. Aby w przyszłości uniknąć podobnych sytuacji, nie popełniać tych samych błędów i aby móc właściwie postępować w przypadku takiego zdarzenia, należy przede wszystkim prowadzić odpowiednie zapisy na temat incydentów oraz podjętych działań. Wiedza taka przyda się w przyszłości i jeśli ponownie wystąpi podobne zdarzenie (czego nie można wykluczyć, nawet po wprowadzeniu usprawnień), to będzie można szybciej i sprawniej rozwiązać problem. Informacje te mogą posłużyć również do szybszego wykrywania i identyfikowania podobnych incydentów. Prowadzenie takich zapisów może również ułatwić zmniejszenie kosztów związanych z naruszeniem systemu bezpieczeństwa informacji.

Postępowanie dyscyplinarne Po wdrożeniu procedury prowadzenia zapisów dotyczących wykrytych incydentów, trzeba również opracować procedurę postępowania dyscyplinarnego wobec osób, które przyczyniły się do naruszenie bezpieczeństwa chronionej informacji w organizacji. Postępowanie takie będzie swoistą przestrogą dla pozostałych pracowników, uświadamiając im, że w przypadku lekceważenia obowiązujących procedur bezpieczeństwa lub nawet zamiaru celowego sabotażu, mogą się spotkać z poważnymi sankcjami. Warto tu jeszcze wspomnieć, że w przypadku niektórych osób, które nawet mogły podpisać odpowiednie oświadczenia, prawdopodobieństwo spowodowania naruszenia bezpieczeństwa chronionych danych poprzez ich celową modyfikację, zniszczenie lub kradzież zawsze będzie większe. Przyczyną tego stanu rzeczy są po prostu pewne cechy ludzkiej psychiki, które w przypadku poszczególnych osób występują w różnym nasileniu.

46 Ÿ ROZDZIAŁ 4. BEZPIECZEŃSTWO OSOBOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Aby zapewnić należytą ochronę danych, a zatem i ochronę informacji — która stanowi tak cenne aktywa dla każdej organizacji, przedsiębiorstwa czy instytucji — trzeba również uwzględnić zabezpieczenie budynków, biur, szaf, sejfów itd. Jest to jeden z najważniejszych elementów systemu bezpieczeństwa informacji. Można zatrudniać dobrze przeszkolony personel, który będzie ściśle przestrzegał i stosował wszelkie procedury bezpieczeństwa, jednak to nie wystarczy. Trzeba wziąć pod uwagę jeszcze jeden czynnik — ludzie z zewnątrz, osoby trzecie. Myślę, że warto tu przytoczyć przykład konkretnej sytuacji. Pewna firma, nazwijmy ją firmą „X”, działała na rynku stali i innych metali. Była to jednostka o ugruntowanej pozycji rynkowej, osiągająca dobre wyniki finansowe. Wszystko to zawdzięczała m.in. ogólnie poprawnej organizacji wewnątrz firmy, wdrożonym procedurom i pewnym określonym nawykom personelu. Wszystko w firmie X wyglądało bardzo dobrze, każdy wykonywał swoją pracę z dużą starannością, będąc lojalnym i uczciwym wobec pracodawcy i całej firmy. Pewnego razu firma X otrzymała ofertę wdrożenia polityki bezpieczeństwa informacji, co miało lepiej zabezpieczyć organizację przed ewentualną utratą lub zniszczeniem danych. Należy podkreślić, że informacje te były rzeczywiście bardzo ważne i niezwykle cenne dla jednostki. Zarząd firmy X jednak nie wyraził zainteresowania takim audytem. Zdaniem kierownictwa firmy, odpowiednie procedury ochrony informacji zostały wprowadzone, pracownicy cieszą się zaufaniem zarządu i nikt nawet nie myśli o tym, by ktokolwiek mógł zacząć działać na szkodę firmy, np. sprzedając dane konkurencji. I w rzeczywistości tak właśnie było, jednak kiedy zarząd otrzymał propozycję sprawdzenia procedur i wdrożonego systemu ochrony informacji, podjęto decyzję o dokonaniu takiej weryfikacji.

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Przeprowadzono tzw. audyt socjotechniczny, który miał na celu sprawdzenie, czy system i wdrożone procedury faktycznie działają i czy są wystarczające. Okazało się, że procedury te są dobre, ale tylko i wyłącznie wtedy, gdy do budynku nie ma dostępu nikt poza pracownikami i zarządem firmy. Okazało się, że wizyta gościa — w tym przypadku audytora przeprowadzającego audyt socjotechniczny — była jak wpuszczenie lisa do kurnika. Oczywiście, w przeszłości w firmie X przyjmowano gości czy interesantów, jednak nie można było stwierdzić, czy faktycznie ważne dane mogły kiedykolwiek zostać wykradzione przez ludzi z zewnątrz. Tym nie mniej audytorowi udało się uzyskać jedną, ale za to bardzo ważną informację od jednego z pracowników, którzy — jak wcześniej wspomniałem — byli uczciwi i lojalni, jednak nie zostali dostatecznie uświadomieni w zakresie bezpieczeństwa informacji i metod działania w sytuacjach podobnych do przedstawionej. Wynikiem audytu socjotechnicznego, którego celem była weryfikacja zabezpieczenia ważnych danych w firmie, było wyniesienie na zewnątrz ważnej, strategicznej informacji. Zarząd firmy X oczywiście został powiadomiony o tym fakcie przez audytora i dzięki temu zyskał świadomość, że pomimo wdrożenia procedur, które istotnie wydawały się wystarczające wewnątrz firmy, wciąż niebezpieczeństwo utraty danych jest bardzo duże, jeśli tylko zagrożenie przychodzi z zewnątrz. W efekcie zdecydowano się na wdrożenie systemu zarządzania bezpieczeństwem informacji, co miało dać poczucie większego bezpieczeństwa w firmie X. Powyższa sytuacja bardzo dobrze oddaje m.in. poziom świadomości bezpieczeństwa informacji w polskich firmach. Pozwala też na wykazanie, jak bardzo ważną kwestią jest bezpieczeństwo fizyczne i środowiskowe.

Fizyczny obwód zabezpieczający Przystępując do wdrożenia w organizacji systemu ochrony fizycznej, należy przede wszystkim ustalić najważniejsze lokalizacje, w których znajdują się cenne dane lub urządzenia do ich przechowywania i przetwarzania. Po ustaleniu takich miejsc, należy ustanowić wokół nich odpowiednie bariery bezpieczeństwa, które będą chroniły cenne informacje przed dostępem osób niepowołanych. Należy określić wszelkiego rodzaju potrzeby z tym związane i technologie, które zostaną zastosowane do tego celu. Niekiedy każdy z takich punktów jest chroniony za pomocą tej samej technologii, np. kart magnetycznych jako kluczy dostępowych, jednak zazwyczaj wykorzystuje się różnego rodzaju rozwiązania, adekwatne do istotności chronionej informacji. Warto tu wymienić następujące technologie:

48 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

karty magnetyczne,

l

wszelkiego rodzaju alarmy,

l

bramki z wykrywaczami metali lub nawet z urządzeniem do prześwietlania za pomocą promieni X, jeśli zaistnieje tak potrzeba,

l

odpowiednio wzmocnione ściany,

l

wszelkiego rodzaju zabezpieczenia biometryczne,

l

recepcja ze strażnikiem.

Jeśli poszczególne zabezpieczenia zostaną zlokalizowane w odpowiednich miejscach, utworzą kilka barier dostępu do danego pomieszczenia, budynku czy innego miejsca, w których przechowuje lub przetwarza się dane. Dobrym przykładem będzie tu system zabezpieczający pomieszczenie z serwerami. Pomieszczenie z serwerami jest bardzo ważnym — a nawet newralgicznym — miejscem z punktu widzenia ochrony informacji. Znajdują się tu maszyny, które służą do przechowywania właściwie wszystkich danych firmowych w formie elektronicznej. Niejednokrotnie są tu przetrzymywane także urządzenia do sporządzania kopii zapasowych. Oczywiście, prawdą jest, że ochrona fizyczna nie jest wystarczającym sposobem zabezpieczenia serwerów, gdyż istnieje też niebezpieczeństwo włamania do serwerów poprzez sieć. Te zagadnienia zostaną opisane w dalszej części tej książki. Zabezpieczenie pomieszczenia z serwerami może wyglądać różnie, w zależności od jego wielkości i od istotności przechowywanych tu informacji. Zaleca się jednak podjęcie kilku podstawowych środków bezpieczeństwa. Należą do nich: l

kraty w oknach,

l

specjalnie wzmocnione drzwi,

l

silne patentowe zamki lub systemy dostępowe na karty magnetyczne,

l

zabezpieczenia biometryczne,

l

klimatyzacja,

l

szczelny sufit i wykładziny na podłogach.

Dwa ostatnie elementy są równie ważne jak zabezpieczenia fizyczne. Działanie klimatyzacji powoduje obniżenie temperatury panującej w pomieszczeniach z serwerami. Można wdrożyć bardzo wyrafinowane zabezpieczenia fizyczne, ale jeśli dojdzie do pożaru spowodowanego podwyższoną temperaturą i np. błędem ludzkim, to pomimo owych zabezpieczeń organizacja może stracić

FIZYCZNY OBWÓD ZABEZPIECZAJĄCY

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

49

cenne dane w inny sposób, równie skuteczny i niebezpieczny. Natomiast szczelny sufit i podłogi zabezpieczą pomieszczenie przed innymi zagrożeniami, które wynikają z oddziaływań środowiskowym (przykładowo, przed zalaniem).

Fizyczne zabezpieczenie wejścia do budynku Wejście do budynku jest kolejnym ważnym punktem w systemie zabezpieczenia fizycznego. Do wielu jednostek każdego dnia przychodzi niezliczona liczba interesantów, przedstawicieli handlowych, gości i innych osób. Teoretycznie — a często też praktycznie — osoby takie mogą swobodnie i bez ograniczeń poruszać się wewnątrz budynku. To jest niewątpliwie poważny błąd. Należy mieć świadomość, że każda osoba z zewnątrz, niebędąca pracownikiem danej organizacji, stanowi potencjalne niebezpieczeństwo zagrażające cennym informacjom, dlatego też tak ważną sprawą jest wdrożenie odpowiednich procedur, dzięki którym sprawdzanie i monitorowanie osób wchodzących do siedziby organizacji będzie realizowane. Przede wszystkim należy zapewnić weryfikację osób wchodzących do budynku. Wiele organizacji prowadzi takie zapisy, ale w większości przypadków nie są to działania wystarczające. Niejednokrotnie spotkałem się z przypadkiem — i zapewne niejeden z Czytelników również — że strażnik wierzył mi na słowo, że jestem osobą, za którą się podaję, bez przeprowadzenia jakiejkolwiek weryfikacji. Efektem takiego podejścia jest brak dokładnych danych osób, które znajdują się lub znajdowały w budynku, a które mogły swoimi działaniami przyczynić się do naruszenia systemu bezpieczeństwa informacji. Poza tym, w przypadku ewentualnego wykrycia zagrożenia, warto zapewnić sobie możliwość określenia, kto i w jakim celu mógł wykraść daną informację. Następną kwestią jest wprowadzenie autoryzacji wszelkiego rodzaju dostępu do pomieszczeń, w których przechowuje się lub przetwarza chronione dane. Należy również prowadzić zapisy z tym związane. Bez zastosowania tego typu rozwiązań powstaje ryzyko bezpośredniej utraty danych. Warto również wprowadzić obowiązek korzystania z identyfikatorów. Każdy pracownik powinien posiadać swój osobisty identyfikator ze zdjęciem i reagować na widok obcej osoby, która chodzi po budynku twierdząc, że szuka np. jakiegoś pomieszczenia lub przebywa w miejscu, w którym przebywać na pewno nie powinna. W takiej sytuacji każdy pracownik jednostki, który zauważył podobną sytuację, powinien niezwłocznie zareagować i zidentyfikować osobę oraz jej cel pobytu w firmie.

50 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Poniżej przedstawiam przykładowe zalecenia; l

określić, do których miejsc osoby trzecie nie powinny mieć dostępu;

l

zweryfikować umowy z firmami zewnętrznymi, świadczącymi usługi na rzecz przedsiębiorstwa i doprowadzić do podpisania klauzuli o zachowaniu poufności;

l

opracować niezbędne instrukcje dotyczące postępowania z pracownikami zewnętrznymi, wykonującymi prace na terenie firmy;

l

opracować zasady wymiany informacji miedzy usługodawcą a usługobiorcą;

l

określić procedury związane z obiegiem poczty, a zwłaszcza procedury jej przechowywania oraz przekazywania osobom załatwiającym daną sprawę.

Zabezpieczenie biur, pomieszczeń i urządzeń Kolejnym, niewątpliwie istotnym elementem systemu ochrony informacji jest należyte zabezpieczenie biur, innych pomieszczeń specjalnych oraz urządzeń, które się tam znajdują. Przede wszystkim należy przyjąć zasadę, że w biurach, w których pracownicy wykonują swoją pracę, nie powinny przebywać osoby trzecie, czyli goście, interesanci itp. Wizyty osób z zewnątrz powinny odbywać się w pomieszczeniu do tego przeznaczonym, takim jak np. sala konferencyjna lub pokoje przeznaczone do rozmów z interesantami czy do obsługi klientów. Jest to bardzo ważne z uwagi na bezpieczeństwo chronionych danych i wpływa na zmniejszenie prawdopodobieństwa kradzieży lub zniszczenia informacji. Łatwo można sobie wyobrazić sytuację, że do biura przychodzi osoba podająca się za przedstawiciela handlowego i chce przedstawić swoją ofertę. Jeśli taka rozmowa odbędzie się w biurze, na domiar złego w sąsiedztwie biurka, na którym leżą różnego rodzaju dokumenty z mniej lub bardziej ważnymi informacjami, to rzekomy przedstawiciel handlowy może w łatwy sposób podejrzeć a nawet wykraść jakiś dokument zawierający poufną informację. Jeśli się tak stanie, najprawdopodobniej nie zostanie to zauważone od razu, a po wykryciu szkody może być już za późno na podjęcie odpowiednich działań. Taka sytuacja może w konsekwencji spowodować duże straty finansowe. Oczywiście, łupem takiej osoby o nieczystych zamiarach mogą również paść dane widoczne na ekranie monitora. Z powyższych względów wydzielenie oddzielnego pomieszczenia do tego typu spotkań jest bardzo ważnym aspektem ochrony poufnych danych organizacji.

FIZYCZNY OBWÓD ZABEZPIECZAJĄCY

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

51

Jeśli chodzi o sam budynek, warto zalecić, aby wyglądem nie wskazywał swojego prawdziwego przeznaczenia. Budynek, w którym są przechowywane chronione dane, powinien jak najmniej rzucać się w oczy. Oczywiście, nie można znienacka nakazać właścicielowi przemalowania swoich budynków lub zmiany ich wyglądu, ale w niektórych sytuacjach, kiedy strata informacji znajdujących się w takim obiekcie może doprowadzić do upadku firmy, takie działania należy podjąć. Oczywiście, nie chodzi tu o budynki ogólnego przeznaczenia (tzn. o biura, magazyny itp.), ale o pomieszczenia, w których są przetwarzane i przechowywane informacje wymagające szczególnej troski. Tak więc, budynki, w których zlokalizowano archiwa bądź pomieszczenia, w których znajdują się urządzenia do zapisywania kopii zapasowych czy też pomieszczenia, gdzie zlokalizowano serwery powinny być odpowiednio silnie zabezpieczone i jak najmniej wyróżniające się wyglądem od reszty otoczenia. Urządzenie biurowe do przetwarzania i powielania informacji, takie jak wszelkiego rodzaju kopiarki, kserokopiarki, drukarki i faksy powinny znajdować się pod ciągłą kontrolą i w tzw. strefach bezpieczeństwa. Warto przypomnieć, że tego typu urządzenia zapisują informację w buforze pamięci. Może zdarzyć się tak, że pomimo odebrania wydruku, osoba nieuprawniona może pozyskać z bufora ostatnią informację, naruszając tym samym zasady bezpieczeństwa informacji. Poza tym również istnieje prawdopodobieństwo, że jeśli dane urządzenie znajdujące się w miejscu ogólnie dostępnym, np. na korytarzu, osoba z zewnątrz może w sposób nieuprawniony wejść w posiadanie poufnych informacji (np. wydruk danych finansowych). Dlatego też tego typu urządzenia należy rozmieścić w sposób rozważny, tak aby łatwy dostęp do sprzętu był możliwy wyłącznie dla pracowników organizacji. Oczywistym środkiem bezpieczeństwa jest zamykanie drzwi i okien podczas opuszczania danego pomieszczenia. Postawienie otwartego biura, w którym znajdują się różnego rodzaju informacje, czy to zapisane na papierze, czy na innych nośnikach, może spowodować utratę poufnych danych na skutek na przykład kradzieży. Nie należy nigdy pozostawiać pomieszczeń otwartych. Kolejnym, bardzo ważnym elementem systemu zabezpieczania informacji jest przechowywanie wszelkiego rodzaju kopii informacji, czy to kopii zapisanych na papierze, czy też cyfrowo lub na innych nośnikach. Należy je przechowywać w innych lokalizacjach niż oryginalne informacje. Pomieszczenia te powinny być oczywiście również dobrze chronione, zarówno przed włamaniami, jak i czynnikami środowiskowymi, takimi jak pożar, zalanie itp. Istnieje jeszcze wiele różnych kwestii dotyczących bezpieczeństwa informacji, lecz jest ich na tyle dużo, że nie sposób należycie opisać ich wszystkich.

52 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Poniżej przedstawiam przykładowe zalecenia. l

Ochrona dostępu do krytycznego wyposażenia firmy.

l

Budynki, w których znajdują się pomieszczenia przeznaczone do przetwarzania lub przechowywania szczególnie wrażliwych informacji, nie powinny wyróżniać się wyglądem. Nie należy ich oznakowywać w sposób sugerujący ich przeznaczenie.

l

Część wyposażenia pomocniczego (drukarki, fotokopiarki, faksy) powinna być ulokowana w obszarze bezpiecznym.

l

Drzwi i okna powinny być zamykane na klucz (należy też rozważyć zabezpieczenie okien, szczególnie na parterze).

l

Należy zastosować odpowiedni system alarmowy, który powinien zostać zainstalowany według profesjonalnych standardów. System ten powinien być regularnie testowany. Obszary, w których nie przebywają pracownicy firmy, powinny być chronione włączonym alarmem przez cały czas. Nadzorem należy także otoczyć inne obszary, np. pomieszczenia komputerowe i telekomunikacyjne.

l

Urządzenia służące do przetwarzania informacji, które są utrzymywane przez organizację powinny być fizycznie oddzielone od urządzeń należących do stron trzecich.

l

Wewnętrzne książki adresowe i telefoniczne, podające lokalizację istotnych urządzeń służących do przetwarzania informacji nie powinny być udostępniane publicznie.

l

Materiały niebezpieczne lub palne powinny być przechowywane w bezpiecznej odległości od obszaru bezpiecznego.

l

Wyposażenie awaryjne i nośniki kopii zapasowych powinny być ulokowane w bezpiecznej odległości od pozostałych pomieszczeń biurowych.

Praca w obszarach bezpiecznych Obszary bezpieczne, o których była już mowa, są bardzo istotne w każdej organizacji. Obszary bezpieczne ustanawia się w miejscach zdefiniowanych jako bardziej newralgiczne, w których znajdują się cenniejsze i bardziej poufne informacje. Miejsca te siłą rzeczy muszą zostać lepiej zabezpieczone od innych. Dlatego też warto rozważyć wprowadzenie lepszych metod zabezpieczeń czy też może bardziej restrykcyjnych procedur związanych z dostępem. Jeśli takie obszary zostaną ustanowione w organizacji, należy o tym niezwłocznie poinformować cały personel m.in. podczas szkoleń uświadamiających lub przy innych okazjach. Pracownicy powinien wiedzieć, że praca w tych obszarach jest monitorowana i podlega ciągłemu nadzorowi.

FIZYCZNY OBWÓD ZABEZPIECZAJĄCY

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

53

Oczywiście, jeśli personel zewnętrzny — czyli pracownicy innych firm, którzy wykonują w siedzibie organizacji pewne prace — musi przebywać w obszarach bezpiecznych, należy do minimum ograniczyć dostęp tych osób do urządzeń przetwarzających informację. Jeśli udzielenie takiego dostępu jest potrzebne, musi być monitorowany przez pracownika organizacji, który nadzoruje takie prace. Tego typu postępowanie zmniejszy niebezpieczeństwo wycieku informacji na zewnątrz.

Izolowane obszary dostaw i załadunku Wiele organizacji utrzymuje w swej infrastrukturze obszary, w których następuje załadunek i rozładunek towaru. Wynika to ze specyfiki prowadzonej działalności, jednak z punktu widzenia ochrony informacji, takie obszary muszą być starannie monitorowane i należy dla nich utworzyć odpowiednie procedury bezpieczeństwa. Jak wiadomo, w obszarach załadunku i rozładunku przebywają różne osoby, na przykład kierowcy ciężarówek i osoby im towarzyszące. Są to oczywiście osoby trzecie, które stanowią potencjalne zagrożenie dla systemu bezpieczeństwa informacji. Oczywiście, należy pamiętać o wprowadzeniu procedur ograniczających takim ludziom dostęp do powierzchni biurowych czy magazynowych. Osoby te — podobnie jak interesanci — powinny być przyjmowane w celu załatwienia spraw w odpowiednim pomieszczeniu, a jeśli nie ma takiej możliwości, niezbędna obsługa powinna być prowadzona w miejscach, w których nie znajdują się poufne lub cenne informacje. Także sam towar (sprzęt, materiał itp.) również powinien podlegać kontroli pod kątem potencjalnych niebezpieczeństw. Należy też go starannie rejestrować.

Zabezpieczenie sprzętu Sprzęt — podobnie jak informacja — stanowi część majątku każdej organizacji, przedsiębiorstwa, firmy czy osoby prywatnej. Najczęściej sformułowanie sprzęt firmowy kojarzy się z komputerami, serwerami oraz innymi urządzeniami do przetwarzania czy przechowywania informacji. Warto podkreślić jednak, że sprzęt to nie tylko komputery, serwery, drukarki. Trzeba jeszcze pamiętać o sprzęcie produkcyjnym, który zresztą jest często skomputeryzowany. Wszystkie te urządzenia przechowują jakąś informację, która stanowi majątek i wartość intelektualną firmy. Dlatego też także sprzęt powinien

54 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

podlegać należytej ochronie, zarówno przed niebezpieczeństwem fizycznym, jak i środowiskowym. Przykładowo, elementem takiej ochrony jest przemyślane rozmieszczenie sprzętu, tak aby zminimalizować niebezpieczeństwo nieautoryzowanego dostępu bezpośredniego lub np. przez sieć. Wszystkie te aspekty wymagają wprowadzenie odpowiednich procedur.

Rozmieszczenie sprzętu i jego ochrona Wszelkiego rodzaju sprzęt, poczynając od komputerów, poprzez drukarki i urządzenia kopiujące, a na maszynach specjalistycznych i przemysłowych kończąc, należy zlokalizować w optymalny sposób, z uwzględnieniem ograniczenia ryzyka zniszczenia ze strony czynników fizycznych bądź środowiskowych. Biorąc pod uwagę aspekty fizyczne, należy rozmieścić sprzęt w taki sposób, aby był dostępny dla każdego pracownika oraz aby był stale pod nadzorem. Tym sposobem można uniknąć potencjalnej kradzieży informacji przez osobę z zewnątrz (np. w formie wydruku czy też po przeczytaniu i zapamiętaniu np. parametrów konfiguracji jakiegoś ważnego urządzenia przemysłowego. Jest to wtedy w pewien sposób kradzież technologii). Trzeba podkreślić, że jeśli w jednostce znajdują się urządzenia przechowujące nie tylko dane samej firmy, ale także dane innych firm, np. kontrahentów czy podwykonawców, należy je zabezpieczyć również stosowną ochroną ludzką. Reasumując, należy pamiętać, że zabezpieczenia urządzeń powinny zapewniać ochronę przed: kradzieżami, zalaniem, pożarem, drganiami, dymem czy nawet materiałami wybuchowymi. Ponadto nie należy zezwalać na spożywanie posiłków przy tego rodzaju urządzeniach ani na użytkowanie jakichkolwiek cieczy ani gazów, jeśli dany sprzęt nie jest na to czynniki odporny. Ostatnią kwestią, o której chcę powiedzieć, jest staranny dobór lokalizacji sprzętu. Należy wziąć pod uwagę wszelkie możliwości, np. ewentualne katastrofy, które mogą wystąpić zarówno wewnątrz organizacji, jak i w jej bezpośrednim sąsiedztwie. Newralgiczne punkty systemu przetwarzania i przechowywania informacji powinny być zabezpieczone przed skutkami pożaru, powodzi, trzęsienia ziemi czy eksplozji. To są bardzo ważne czynniki, bo nie można przewidzieć ich wystąpienia, a trzeba się na nie również przygotować.

ZABEZPIECZENIE SPRZĘTU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

55

Zasilanie Zasilanie jest jednym z najważniejszych czynników, determinujących sprawną pracę maszyn i urządzeń. W zasadzie większość z nich nie jest w stanie funkcjonować bez zasilania. Oczywiście, opracowano już nowe technologie wykorzystujące inny potencjał energetyczny niż prąd, ale nadal w przeważającej większości sprawne działanie maszyn i urządzeń jest silnie uzależnione od stałego zasilania w prąd elektryczny. Z tego uzależnienia wynika konieczność podjęcia odpowiednich kroków w celu zminimalizowania przestojów spowodowanych brakiem zasilania. Oczywiście, trzeba stosować się również do odpowiednich zaleceń producenta sprzętu, ale przecież nie tylko niewłaściwe użycie urządzeń technicznych jest powodem przestojów. Niektóre instytucje, takie jak banki nie mogą sobie pozwolić na ani jedną chwilę przestoju w zasilaniu swoich serwerów, które np. obsługują sieci bankomatów. Oczywiście tego typu sytuacje kiedyś się przytrafiły, nawet w Polsce, gdzie z powodu braku odpowiedniego zarządzania zasilaniem, klienci byli przez kilka dni pozbawieni dostępu do własnych pieniędzy. Z punku widzenia bezpieczeństwa i biznesu taka sytuacja nigdy nie powinna mieć miejsca. Aby uchronić się przed tego typu problemami, nieraz niezależnymi od organizacji i od posiadanego sprzętu, trzeba wprowadzić odpowiednią politykę zarządzania zasilaniem urządzeń i maszyn. Przede wszystkim należy zapewnić, aby do siedziby organizacji doprowadzono przynajmniej dwie niezależne linie energetyczne. Oczywiście, należy zabezpieczyć zasilacze awaryjne UPS czy dodatkowe generatory awaryjne, które na czas przestoju są w stanie przejąć utrzymanie ciągłości działania firmy do momentu ponownego przywrócenia pracy podstawowych linii energetycznych. Wspomnę jeszcze, że włączniki linii awaryjnego zasilania powinny znajdować się w miejscach możliwie dostępnych dla personelu, tak aby w przypadku przerw w dostawie prądu móc natychmiast włączyć zasilanie awaryjne np. jakiegoś pomieszczenia, jeśli organizacja nie dysponuje całościowo zautomatyzowaną infrastrukturą zasilania awaryjnego.

Bezpieczeństwo okablowania Okablowanie jest kolejnym ważnym czynnikiem w systemie bezpieczeństwa informacji. Jak wiadomo, istnieje wiele różnych struktur i typów okablowania. Służy ono nie tylko do dostarczania prądu, ale także do przesyłania informacji. Dobrym przykładem są tu kable sieciowe, także te łączące sieć wewnętrzną z internetem. Tego rodzaju okablowanie jest narażone na podsłuchanie i na uszkodzenie. Konsekwencją uszkodzenia okablowania służącego do przesyłania danych może być częściowe pogorszenie jakości działań biznesowych,

56 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

co może wiązać się z poniesieniem dużych kosztów. Uszkodzeniu może też ulec okablowanie zasilające, w konsekwencji czego maszyny i urządzenia w organizacji zostaną pozbawione zasilania w prąd elektryczny. Najlepszym zabezpieczeniem okablowania jest jego umieszczenie pod powierzchnią gruntu, oczywiście z uwzględnieniem odpowiedniego zabezpieczenia. Jeśli nie ma takiej technicznej możliwości, należy zastosować najbardziej optymalną alternatywę, pamiętając o zabezpieczeniu okablowania przed bezpośrednim uszkodzeniem lub możliwością podłączenia różnych urządzeń przez nieupoważnione osoby. Oczywistą praktyką jest również jak najpełniejsze oddzielenie okablowania sieciowego od okablowania zasilającego, co ma na celu zminimalizowanie zakłóceń, jakie mogą powstać w wyniku bliskości tych dwóch mediów.

Konserwacja sprzętu Konserwacja sprzętu ma na celu utrzymanie go w należytej czystości i dobrym stanie technicznym. Chronione informacje mogą ulec zniszczeniu nie tylko na skutek działania osób trzecich, lecz także w przypadku, gdy urządzenia do przetwarzania czy przechowywania informacji nie są należycie konserwowane, sprawdzane czy też nawet czyszczone. Takie czynności nie zawsze mogą być prowadzone we własnym zakresie. Często tego typu usługi wykonują firmy zewnętrzne, specjalizujące się w usługach serwisowych lub firmy, od których zakupiono dane urządzenia. Niemal zawsze wymaga się, by wszelkiego rodzaju naprawy i konserwacje były wykonywane zgodnie z zaleceniami producenta sprzętu oraz by niezbędne naprawy były dokonywane tylko i wyłącznie przez wyszkolony personel techniczny, posiadający stosowne uprawnienia do tego typu czynności. Dobrą praktyką jest prowadzenie rejestru czynności związanych z konserwacją bądź naprawą sprzętu. Jeśli urządzenie jest serwisowane w warsztacie poza siedzibą firmy, należy pamiętać o wykupie stosownej polisy ubezpieczeniowej bądź przynajmniej zadbać o sformułowanie i podpisanie umowy zabezpieczającej interesy organizacji. W przypadku gdy informacje zapisane na serwisowanym urządzeniu ulegną częściowemu lub całkowitemu uszkodzeniu na skutek czy to działania człowieka, czy to uszkodzeń sprzętu, będzie można wystąpić z roszczeniami do firmy przeprowadzającej konserwację i naprawę lub wystąpić do firmy ubezpieczeniowej o odszkodowanie za utratę danych.

ZABEZPIECZENIE SPRZĘTU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

57

Zabezpieczenie sprzętu poza siedzibą Często z różnych przyczyn sprzęt należący do organizacji znajduje się poza jej siedzibą, na przykład wtedy, gdy pomieszczenia służące do przechowywania kopii zapasowych danych zapisanych na serwerach i innych urządzeniach znajdują się w pewnej odległości od głównego biura jednostki. Innym przykładem sprzętu znajdującego się poza siedzibą firmy są urządzenia komputerowe i telekomunikacyjne, które również są nośnikami informacji. Zaliczyć do nich należy oczywiście notebooki, palmtopy czy telefony komórkowe. Jest to sprzęt, z którego korzysta wielu ludzi, pracowników różnych firm i organizacji. Taki sposób pracy jest charakterystyczną cechą nowoczesnego biznesu i w wielu przypadkach korzystanie z urządzeń mobilnych jest koniecznością, jednak z punktu widzenia bezpieczeństwa informacji jest to bardzo ryzykowne postępowanie. Każde z tego typu urządzeń może zostać skradzione, a informacja na nich zapisana może trafić albo do osób zainteresowanych jej treścią, albo zostać po prostu skasowana. Oczywiście, informacja przechowywana na urządzeniach mobilnych powinna być zapisana również w jakiś inny sposób, na przykład w formie kopii zapasowej w centrach archiwizacyjnych firmy czy na serwerze, lecz jeśli na skutek niekorzystnych okoliczności trafi w niepowołane ręce, organizacja może stanąć w obliczu poważnych kłopotów, nie tylko natury biznesowej czy czysto finansowej, lecz także prawnej. Dlatego też, aby ustrzec się przed tego typu niemiłymi sytuacjami, należy postępować ściśle według procedur związanych z bezpieczeństwem urządzeń mobilnych. Podstawowym wymaganiem jest wystrzeganie się pozostawiania sprzętu mobilnego bądź innych nośników informacji bez opieki w miejscach publicznych i innych słabo zabezpieczonych strefach. Podczas podróży z notebookiem należy go jak najskuteczniej zakamuflować, najlepiej byłoby, aby wyglądał jak zwykły bagaż podręczny. Ponadto należy unikać wszelkiego rodzaju miejsc, gdzie występują silne pola magnetyczne, ponieważ ekspozycja na tego typu oddziaływania może spowodować uszkodzenie dysku twardego i innych części urządzenia, czego konsekwencją jest zazwyczaj utrata danych. Kolejną kwestią jest odpowiednie ubezpieczenie sprzętu oraz danych na nim zapisanych. Należy jeszcze omówić kwestię pracy w domu na sprzęcie służbowym. Wielu pracowników posiada służbowe notebooki, palmtopy i telefony komórkowe. Jeśli z charakteru wykonywanych obowiązków wynika potrzeba pracy m.in. w domu na sprzęcie firmowym, należy przede wszystkim oszacować ryzyko oraz zagrożenia bezpieczeństwa tych urządzeń i zapisanych tam informacji.

58 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Każdy pracownik, którego dotyczą przedstawiane zagadnienia, powinien ukończyć specjalne szkolenie w tym zakresie. Tacy ludzie powinni nabrać nawyku zabezpieczania sprzętu po pracy, przykładowo, zamykania go w szafie z dobrymi zamkami, ewentualnie w sejfie.

Bezpieczne zbywanie sprzętu lub przekazywanie go do ponownego użycia Często organizacje odsprzedają swój zużyty sprzęt komputerowy innym jednostkom lub oddają go w formie darowizny. W takich sytuacjach koniecznie trzeba się upewnić jeszcze przed przekazaniem sprzętu, że wszystkie dane z dysków twardych i innych nośników zostały trwale usunięte. Nie można dopuścić do sytuacji, w której sprzęt komputerowy opuszcza organizację wraz z zawartością dysku twardego. Jest to kolejna niebezpieczna możliwość dostania się chronionej informacji w niepowołane ręce. W omawianej sytuacji dane z dysku twardego powinny być usuwane innymi technikami niż standardowe. Jak wiadomo, samo skasowanie danych z dysku nie gwarantuje ich całkowitego zniszczenia, ponieważ wciąż można te dane odzyskać. Dopiero nadpisanie chronionych plików nowymi informacjami daje większe bezpieczeństwo i zwiększa stopień trudności odczytania takich danych. To samo dotyczy pozbywania się sprzętu elektronicznego w celu jego demontażu i unieszkodliwienia odpadów powstających z tego sprzętu. Obecnie, zgodnie z obowiązującymi przepisami (ustawa z dnia 29 lipca 2005 r. o zużytym sprzęcie elektrycznym i elektronicznym, Dz.U.05.180.1495) urządzenia takie można przekazywać wyłącznie firmom upoważnionym do wykonywania tego typu usług. Zużyty sprzęt podlega najpierw demontażowi, część podzespołów jest kierowana do powtórnego wykorzystania, pozostałe elementy podlegają różnym formom unieszkodliwiania. Z powyższego wynika, że także w tym przypadku dane nieopatrznie pozostawione na twardych dyskach mogą się dostać w niepowołane ręce, nawet jeśli kierownictwo organizacji jest pewne, że sprzęt został zniszczeniu w zaplanowany sposób. Zatem przed przekazaniem zużytego sprzętu wyspecjalizowanym podmiotom, również należy trwale usunąć dane z dysków twardych i z innych nośników.

Ogólne zabezpieczenia Pojęcie ogólne zabezpieczenia oznacza wszelkiego rodzaju działania, które mogą wpłynąć na ograniczenie ryzyka ujawnienia chronionej informacji lub które mogą zmniejszyć prawdopodobieństwo kradzieży urządzeń do jej przechowywani lub przetwarzania. Ograniczenie ryzyka ujawnienia bądź kradzieży informacji wiąże się z wprowadzeniem pewnych ogólnych procedur bezpieczeństwa.

OGÓLNE ZABEZPIECZENIA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

59

Polityka czystego biurka i czystego ekranu Jak sama nazwa wskazuje, polityka ta wiąże się przede wszystkim z utrzymywaniem porządku na stanowisku pracy. Porządek ten odnosi się zarówno do danych zapisanych na dysku komputera, jak i na innych nośnikach informacji, takich jak papier. Należy tu również uwzględnić sposób przechowywania tych nośników (pomieszczenie, meble itp.). Łatwo sobie wyobrazić wizytę osoby spoza organizacji w biurze (jak już wcześniej wspomniałem, jest to raczej niewskazana praktyka z punktu widzenia zarówno normy, jak i samego systemu bezpieczeństwa informacji), podczas gdy na biurku znajdują się poufne dokumenty, przykładowo, określające warunki przetargu. W takiej sytuacji wystarczy chwila nieuwagi, czego konsekwencją może być utrata jakiegoś dokumentu lub innego nośnika informacji, a to wiązać się może oczywiście z dużymi problemami. To samo dotyczy również komputera osobistego. W przypadku, gdy pracownik odchodzi od stacji roboczej, powinien zawsze się wylogować, aby podczas jego chwilowej nieobecności nikt nie mógł uzyskać bezpośredniego dostępu do danych zapisanych na dysku komputera lub na dyskach sieciowych. Dlatego też istotnym elementem systemu bezpieczeństwa informacji jest dbałość o porządek na stanowisku pracy. Należy zawsze mieć świadomość, co znajduje się na biurku. Wszystkie dokumenty lub nośniki nieużywane w danej chwili powinny pozostawać zamknięte w specjalnie do tego przeznaczonych szafach lub innych zabezpieczonych (np. zamkami) miejscach. Nie należy dopuszczać do sytuacji, że podczas nieobecności pracownika pomieszczenie pozostaje otwarte i pozbawione nadzoru. Nie można również pozostawiać gości samych w biurze. Faksy i drukarki sieciowe powinny znajdować się pod stałym nadzorem, a jeśli nie jest to możliwe, należy bezzwłocznie zabierać wydrukowane dokumenty, tak aby bez opieki pozostawały możliwie przez najkrótszy czas.

Wynoszenie sprzętu poza siedzibę firmy Często sprzęt musi zostać wyniesiony poza siedzibę firmy. Dotyczy to m.in. urządzeń mobilnych, o których była mowa nieco wcześniej. Przypadki wynoszenia urządzeń poza siedzibę firmy muszą przede wszystkim podlegać rejestrowaniu. Należy zabronić wynoszenia jakiegokolwiek sprzętu lub oprogramowania poza siedzibę firmy bez uprzedniej wiedzy i zgody kierownictwa lub innych osób odpowiedzialnych za tego rodzaju aktywa.

60 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

To samo dotyczy informacji zapisanych na płytach CD-ROM. Często istnieje potrzeba zapisania jakiejś informacji na płycie CD-ROM w celu przekazania jej klientowi lub do innych celów. Także takie przypadki powinny podlegać rejestrowaniu. Minimalny zakres takiej rejestracji powinien obejmować rodzaj informacji oraz do kogo i przez kogo zostaje wyniesiona poza teren przedsiębiorstwa. Najbezpieczniej jest, gdy całą procedurę zapisu danych na płytę CD-ROM przeprowadza informatyk w obecności kierownika działu, z którego pochodzi dana informacja oraz osoby, która ją wynosi. Osoba taka powinna podpisać swego rodzaju protokół odbioru danej informacji. Przyjęcie podobnej procedury pozwala na kontrolę informacji, które opuszczają organizację, a to zwiększa jej bezpieczeństwo i zmniejsza ryzyko utraty. Z tej przyczyny w stacjach roboczych pracowników nie należy instalować urządzeń do nagrywania płyt CD-ROM ani stacji dyskietek, jeśli nie jest to wymagane z racji pełnionych obowiązków. Dobrym pomysłem jest również zablokowanie portów USB poprzez stosowne wpisy do rejestru systemu operacyjnego. Ma to na celu uniemożliwienie wykorzystywania coraz modniejszych urządzeń do zapisu danych — tzw. PenDrive. Także te niewielkie urządzenia mogą posłużyć do niekorzystnego z punktu widzenia organizacji wycieku poufnych danych.

OGÓLNE ZABEZPIECZENIA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

61

62 Ÿ ROZDZIAŁ 5. BEZPIECZEŃSTWO FIZYCZNE I ŚRODOWISKOWE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Sieci komputerowe, a właściwie wszelakie systemy informatyczne, stały się już niezbędne zarówno przy wykonywaniu czynności służbowych, jak również w życiu prywatnym. W rzeczywistości bez tego dobrodziejstwa techniki trudno się obyć. Przykładowo, coraz częściej sieci komputerowe służą do dokonywania zakupów. Siecią przesyła się wszelakie informacje i dane — te ważne i te mniej istotne. Systemy informatyczne z kolei dane te przetwarzają i przechowują. Oczywistym jest, że aby służyły one w należyty — i przede wszystkim — w bezpieczny sposób, trzeba zapewnić ich odpowiednią obsługę i poprawnie zarządzać nimi. Bardzo istotnym elementem systemu bezpieczeństwa informacji jest staranne zabezpieczenie sieci komputerowych i systemów informatycznych przed osobami niepowołanymi. W tym celu — podobnie jak w przypadku innych systemów — trzeba wprowadzić odpowiednie procedury eksploatacyjne.

Procedury eksploatacyjne oraz okres odpowiedzialności Informacja jest wykorzystywana za pomocą różnego typu urządzeń. Skoro tak się dzieje, oznacza to również konieczność zabezpieczenia tych urządzeń. W tym przypadku oczywistą sprawą jest sprecyzowanie odpowiednich procedur zarządzania tymi urządzeniami oraz zakresów odpowiedzialności za te

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

urządzenia oraz informacje w nich przechowywane lub przetwarzane. Należy również wdrożyć procedury reagowania na incydenty związane z uszkodzeniem takich urządzeń bądź niewłaściwym ich użytkowaniem, co może się przyczynić do uszkodzenia sprzętu lub utraty przechowywanych danych.

Dokumentowanie procedur eksploatacyjnych Procedury zawarte w polityce bezpieczeństwa informacji powinny być ogólnodostępne dla wszystkich osób w organizacji — jest to warunek sprawnego funkcjonowania całego systemu. Jak wspomniałem we wcześniejszych rozdziałach tej książki, poszczególne procedury powinny być opracowane w sposób ściśle odpowiadający specyfice pracy na danych stanowiskach, jednak istnieją jeszcze procedury ogólnodostępne, skierowane do wszystkich pracowników organizacji. Istnieje przecież wiele urządzeń, wykorzystywanych przez praktycznie wszystkie osoby w firmie do przeglądania, przesyłania, przechowywania czy przetwarzania informacji. Sposób posługiwania się tym sprzętem i zasady ochrony informacji z nim związanej powinny zatem zostać precyzyjnie określone w odpowiednich procedurach. Do takich procedur należą właśnie m.in. procedury eksploatacyjne. Oczywiście, należy je odpowiednio dokumentować i przechowywać. Każda z tych procedur powinna zawierać dokładną instrukcję postępowania z określonymi urządzeniami oraz z informacją w nich zawartą lub przetwarzaną. Podczas codziennej pracy bardzo często dochodzi do incydentów, które potencjalnie mają wpływ na jakość pracy lub na bezpieczeństwo przetwarzanych danych. Oczywiście, te zdarzenia są spowodowane różnymi przyczynami, np. błędnym działaniem aplikacji lub niepoprawną pracą systemu informatycznego. W takich przypadkach, gdy praca zostanie zakłócona przez np. źle działający system informatyczny, procedury powinny mówić m.in. o obsłudze technicznej i sposobie uzyskania pomocy działu lub firmy zajmującej się utrzymaniem bądź serwisem struktur informatycznych. Poza tym należy również udokumentować procedury ponownego uruchomienia systemu bądź jego odtworzenia w przypadku awarii.

Kontrola zmian w eksploatacji W przypadku każdego systemu informatycznego na porządku dziennym jest dokonywanie zmian, aktualizacji zabezpieczeń lub innych czynności związanych z podniesieniem wydajności działania sprzętu i oprogramowania. Wszystkie tego typu zmiany powinny być starannie dokumentowane, co ułatwia zapobieganie awariom systemu lub przynajmniej pozwala na odpowiednio szybkie zdiagnozowanie przyczyn jego uszkodzenia. Każda zmiana czy aktualizacja

6 4 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

jest przeprowadzana ze względu na konieczność lub chęć usprawnienia całego systemu czy aplikacji, ale nie zawsze zamierzony cel jest osiągany. Dlatego też w dokumentacji odnoszącej się do dokonywanych zmian, powinny znaleźć się informacje o ewentualnych następstwach danej modyfikacji lub zmiany. Trzeba również uzyskać pisemnie potwierdzone pozwolenie od kierownika działu lub od upoważnionego członka kierownictwa organizacji na dokonanie tego typu czynności. Ponadto należy zdefiniować procedury przywracania systemu do pierwotnego stanu w przypadku problemów występujących w efekcie tego typu zmian.

Procedury zarządzania incydentami związanymi z bezpieczeństwem Jeśli w organizacji dojdzie do jakiegoś incydentu związanego z naruszeniem prawidłowego funkcjonowania systemu lub zdarzenia mającego bezpośredni wpływ na bezpieczeństwo informacji, należy zastosować wcześniej przygotowane, odpowiednie procedury, które zapewnią szybką reakcję. Przykładem takiego incydentu w przypadku systemów informatycznych są ataki typu DoS (Denial of Service), co można przetłumaczyć jako odmowa obsługi. Tego typu ataki na systemy informatyczne powtarzają się coraz częściej. Często również mówi się o błędach w oprogramowaniu, które umożliwiają prowadzenie ataków typu DoS. Dobrze przeprowadzony atak na sieć informatyczną może spowodować jej całkowity paraliż, trwający nawet kilka dni lub tygodni w przypadku rzeczywiście rozległych sieci. Ataki te mają również bezpośredni wpływ na bezpieczeństwo przechowywanych danych. Oczywiście, istnieją techniki zabezpieczania się przed atakami, ale nigdy nie są one w stu procentach skuteczne. Organizacja powinna przygotować i wdrożyć odpowiednie procedury, które obejmują wszystkie takie potencjalne incydenty, mające wpływ na utratę dostępności, poufności i integralności przechowywanych informacji. Procedury te powinny również uwzględnić plan działania, w tym sporządzenie niezbędnych analiz związanych z rozpoznaniem natury incydentu oraz jego przyczyn. Trzeba również umieć zaplanować i wdrożyć odpowiednie środki zaradcze, aby ograniczyć do minimum możliwość pojawienia się podobnego zdarzenia w przyszłości (warto podkreślić, że nie zawsze można zabezpieczyć system w całkowicie skuteczny sposób). Następną czynnością jest zebranie wszelkich informacji bądź śladów związanych z zaistniałym incydentem. Ma to na celu zminimalizowanie prawdopodobieństwa wystąpienia podobnego zdarzenia w przyszłości oraz ewentualne wykrycie sprawcy lub przyczyny zaistnienia incydentu.

PROCEDURY EKSPLOATACYJNE ORAZ OKRES ODPOWIEDZIALNOŚCI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

65

W przypadku stwierdzenia, że źródłem incydentu było niewłaściwe zarządzanie systemem bądź dostęp osoby nieuprawnionej do określonej jego części, należy wdrożyć bardziej restrykcyjne procedury dostępowe. Przykładowo, każdorazowe uzyskanie dostępu lub praca przy systemie powinny podlegać starannej rejestracji. Oczywiście, można by tu przytoczyć o wiele więcej potencjalnych sposobów dokładniejszego zabezpieczenia przechowywanych informacji, jednak byłoby to niecelowe, gdyż większość z nich wiąże się ze specyfiką działania organizacji oraz innych czynników.

Podział obowiązków Mówiąc o naruszeniach bezpieczeństwa danych, o utracie poufności, dostępności i integralności chronionej informacji, w większości przypadkach opisuje się zamierzone ataki, spowodowane czy to zemstą zwolnionych pracowników, czy też chęcią uzyskania profitów finansowych bądź innych, przykładowo, wynikających z przekazania informacji konkurencji. Mimo to poza tymi wszystkimi przypadkami, częstą przyczyną incydentów jest również zwykła ludzka nieuwaga lub pomyłka. Niezależnie od powyższego, ważną częścią polityki bezpieczeństwa informacji jest wprowadzenie podziału obowiązków, gdyż to jest dobra metoda zminimalizowania ryzyka zaistnienia incydentu bądź wystąpienia pomyłek. Jednym z istotnych zaleceń jest zwracanie większej uwagi na pojedyncze zdarzenia, wynikające z błędów jednej osoby. Nawet niewielkie pomyłki mogą mieć duży wpływ na szereg zdarzeń, których konsekwencją może być, przykładowo, utrata danych. Oczywiście, nie można wykluczyć zmowy grupy pracowników. Zmowa taka może spowodować utratę chronionej informacji lub duże straty finansowe. Aby zapobiec takim zdarzeniom, należy bardziej rozgraniczyć obowiązki pracowników poszczególnych grup, np. działu zajmującego się wysyłką towaru, działu finansowego itd.

Oddzielenie urządzeń produkcyjnych od znajdujących się w fazie rozwoju Niektóre organizacje doskonalą swoje systemy informatyczne w celu zwiększenia ich wydajności bądź też zwiększenia swojej konkurencyjności. Jeśli w jednostce funkcjonują działy zajmujące się badaniami rozwojowymi, to ich sprzęt, oprogramowanie, a nawet cała sieć komputerowa powinny zostać

6 6 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

odizolowane od pozostałej infrastruktury informatycznej. Jeśli takie rozgraniczenie nie zostanie wykonane, konsekwencją tego stanu rzeczy mogą być poważne komplikacje w pracy oprogramowania, systemu lub nawet całej infrastruktury. Celom badawczym powinny służyć osobne domeny lub poddomeny, które zostaną starannie zabezpieczone i oddzielone od pozostałych systemów, niewykorzystywanych podczas badań. W ten sposób można uchronić się przed nieprzewidzianymi sytuacjami, które mogą ujemnie wpływać na funkcjonalność całego systemu.

Zarządzanie urządzeniami przez firmy zewnętrzne Ostatnimi czasy zlecanie usług informatycznych firmom zewnętrznym stało się częstą praktyką. Jest to dobry sposób zmniejszania kosztów oraz odpowiedzialności związanych z utrzymaniem własnego systemu informatycznego. Firma, która zleciła obsługę informatyczną innemu przedsiębiorstwu, nie musi się martwić o awarie, zabezpieczenia przed wirusami, krakerami oraz o naprawę i wdrażanie sprzętu i oprogramowania. Jest to wygodna forma pracy, lecz również niebezpieczna, jeśli chodzi o zachowanie poufności, dostępności i integralności chronionych informacji. Zlecanie obsługi informatycznej zewnętrznej firmie stanowi potencjalnie duże ryzyko, przed którym trzeba się należycie zabezpieczyć. Oczywiście, jednym z możliwych zabezpieczeń jest starannie sporządzona umowa między firmami, ale umowa nie daje stuprocentowej pewności bezpieczeństwa chronionych danych ani nie zagwarantuje uczciwości strony pracowników firmy świadczącej usługę. Dlatego też należy m.in. zdefiniować czynności, które mogą i powinny być wykonywane przez pracowników organizacji, który sprzęt powinien być serwisowany w firmie, a jaki może zostać przeniesiony poza siedzibę jednostki. Oczywiście, przedstawiciele firmy zewnętrznej, tacy jak serwisanci, inżynierowie systemowi oraz inne osoby wchodzące w skład obsługi technicznej, powinni zostać zapoznani z obowiązującymi procedurami bezpieczeństwa informacji. Należy też opracować i wdrożyć procedury zgłaszania oraz przyjmowania zgłoszeń przez pracowników.

Planowanie i odbiór systemu Aby zminimalizować ryzyko awarii systemów informatycznych, należy zaplanować oraz zapewnić odpowiednie zasoby sprzętowe (np. niezbędną przestrzeń dyskową). Oczywistą sprawą jest możliwość przeciążenia systemów informatycznych, sieci oraz urządzeń przechowujących i przetwarzających dane.

PLANOWANIE I ODBIÓR SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

67

Aby uniknąć takich incydentów, należy dobrze sprecyzować potrzeby firmy w zakresie potrzeb sprzętowych: liczby, rodzaju i wielkości dysków twardych, liczby serwerów, szybkości sieci komputerowej. Przemyślane zaplanowanie konfiguracji sprzętowej pozwoli na zminimalizowanie ryzyka wystąpienia awarii i częściowej lub całkowitej utraty chronionej informacji. Należy też pamiętać, że w przypadku wprowadzania dodatkowych usprawnień, takich jak nowe urządzenia, aplikacje czy nawet rozbudowa sieci komputerowej, przed ich wdrożeniem należy dokładnie przetestować każdą z tych modyfikacji.

Planowanie pojemności Jak już wcześniej wspomniałem, aby móc dobrze zaplanować konfigurację sprzętową systemu informatycznego, trzeba dokładnie znać wymagania organizacji dotyczące przechowywania danych. W przypadku funkcjonujących systemów informatycznych jest konieczne bieżące monitorowanie zwiększającej się ilości przechowywanych danych, aby w odpowiednim czasie móc zwiększyć dostępną przestrzeń dyskową bądź inne niezbędne zasoby sprzętowe. Niedopełnienie tych zadań może spowodować przeciążenie systemu, a w konsekwencji — jego zatrzymanie bądź nawet uszkodzenie. Istotną kwestią jest zaznajomienie się kierownictwa organizacji z podstawowymi zagadnieniami dotyczącymi potrzeb sprzętowych, aby w odpowiednim czasie zapewniono rozbudowę systemu informatycznego w niezbędnym zakresie.

Odbiór systemu Przed przekazaniem systemu informatycznego do eksploatacji po jego utworzeniu bądź po wykonaniu napraw czy aktualizacji należy przeprowadzić odpowiednie testy, co pozwoli na uniknięcie poważniejszych skutków ewentualnej awarii. Zanim system zostanie włączony do całej infrastruktury informatycznej, należy spełnić pewne warunki i wykonać dodatkowe czynności. Obostrzenia te powinny odpowiadać istotności informacji przechowywanej i przetwarzanej w tym systemie. Warunki przekazania do eksploatacji zmodyfikowanej części systemu informatycznego należy określić na etapie planowania systemu bezpieczeństwa informacji. Trzeba się tu odnieść m.in. do takich zagadnień jak: l

sposoby ponownego rozruchu systemu;

l

opisanie wszystkich wdrożonych zabezpieczeń;

6 8 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

potwierdzenie zgodności nowego systemu z całą infrastrukturą informatyczną;

l

szkolenia kadry technicznej i pracowników z użytkowania nowego systemu;

l

pozostałe czynniki, wynikające ze specyfiki działalności organizacji bądź potrzeb samego systemu.

Wprowadzenie nowego systemu bądź modyfikacja istniejącego wiąże się również z przeprowadzeniem rozeznania wśród pracowników szczebla administracyjnego oraz obsługi technicznej. Celem tego rozeznania jest zebranie informacji dotyczących samego systemu, czy spełnia on wymagania użytkowników, czy jest łatwy w obsłudze, czy też nie trzeba czegoś zmienić bądź poprawić. Są to ważne informacje, ponieważ system skomplikowany, trudny w obsłudze i niespełniający oczekiwań użytkowników jest z zasady systemem niebezpiecznym. Należy stale mieć na uwadze, że niewiedza osób korzystających z systemu może doprowadzić do nieumyślnego uszkodzenia lub utraty danych.

Ochrona przed szkodliwym oprogramowaniem W dobie powszechnego wykorzystywania internetu największym zagrożeniem dla systemów informatycznych jest szkodliwe oprogramowanie. Pod tym terminem należy rozumieć oczywiście wszelkiego rodzaju wirusy komputerowe, robaki internetowe, konie trojańskie oraz inne złośliwe programy-skrypty. Złośliwe oprogramowanie może nawet zniszczyć system informatyczny czy dane. Coraz to nowsze generacje złośliwego oprogramowania powodują problemy różnego typu. Twórcy takich programów wkładają wiele wysiłku, by ich zachowanie było coraz bardziej inteligentne. Znane są już takie wirusy czy robaki, które są zdolne do reprodukowania się lub też do samoistnego zmieniania swojej postaci, dzięki czemu są coraz trudniejsze do unieszkodliwienia. Znane są przypadki, gdy infekcja wirusowa przyczyniła się do zatrzymania pracy dużych korporacji na wiele dni lub nawet tygodni, mimo że owe przedsiębiorstwa uchodziły za organizacje dobrze zabezpieczające się przed tego typu atakami. Z tego wynika, że złośliwe oprogramowanie coraz częściej jest w stanie rozprzestrzeniać się mimo coraz doskonalszych mechanizmów antywirusowych. Sprawa jest bardzo poważna, gdyż prawdopodobieństwo, że infekcja wirusem może doprowadzić nie tylko do poważnych strat finansowych, ale także do upadku całej firmy, jest znaczące. Oczywiste jest, że organizacje starają się zabezpieczyć przed podobnymi zdarzeniami, nawet kosztem ogromnych środków finansowych. Wyspecjalizowane przedsiębiorstwa opracowują coraz bardziej wyrafinowane — i często bardzo kosztowne — mechanizmy zabezpieczające przed atakami złośliwego oprogramowania, podczas gdy liczni twórcy takich programów piszą coraz to nowsze

OCHRONA PRZED SZKODLIWYM OPROGRAMOWANIEM

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

69

ich odmiany, które coraz sprawniej pokonują coraz to nowsze zabezpieczenia. I tak koło się zamyka — ten swoisty „wyścig zbrojeń” trwa. Obecnie stuprocentowe wyeliminowanie plagi złośliwego oprogramowania jest niemożliwe i zapewne taki stan rzeczy jeszcze potrwa jakiś czas. Wirusy oraz inne szkodliwe oprogramowanie trzeba zatem uznać za tzw. ryzyko akceptowalne. Termin ten oznacza ryzyko, którego nie można całkowicie wyeliminować. A skoro nie można go wyeliminować, trzeba się przed nim jak najlepiej zabezpieczyć, aby je zminimalizować. Przede wszystkim trzeba wdrożyć mechanizm wykrywania wirusów i względnie szybko reagować na ich działanie. Wykrywalność złośliwego oprogramowania zwiększy się na pewno, jeśli personel techniczny będzie na bieżąco prowadził monitoring nie tylko zachowania systemów, ale również gdy będzie śledził najnowsze informacje ze świata na temat powstających wirusów.

Zabezpieczenie przed szkodliwym oprogramowaniem Aby odpowiednio zabezpieczyć się przed wirusami komputerowymi oraz innym szkodliwym oprogramowaniem, należy wprowadzić szereg usprawnień, procedur oraz odpowiednio przeszkolić i uświadomić użytkowników systemów informatycznych w tym zakresie. Przede wszystkim polityka bezpieczeństwa informacji powinna jasno określać, kto ma dostęp do poszczególnych elementów systemu, na jakich zasadach i z jakimi uprawnieniami. Należy wystrzegać się przyznawania większości lub nawet wszystkim użytkownikom uprawnień administratora systemu, ponieważ wtedy stanowią oni największe — po internecie — zagrożenie dla całego systemu informatycznego. Jeśli użytkownicy posiadają konta ze wszelkimi możliwymi uprawnieniami, z pewnością będą posługiwali się oprogramowaniem z niepewnych źródeł (takim jak np. różnego rodzaju gry), a to znacząco zwiększa ryzyko nieświadomego zainfekowania komputera wirusami. Jeśli taki komputer jest podłączony do sieci, oznacza to groźbę rozprzestrzenienia się złośliwego oprogramowania. Oto kilka praktycznych zaleceń, które powinny okazać się przydatne podczas wprowadzenia systemu zabezpieczeń przed złośliwym oprogramowaniem: l

korzystanie tylko z legalnego oprogramowania, ponieważ aplikacje skopiowane nielegalnie mogą zawierać ukryte wirusy, robaki lub konie trojańskie. Poza tym legalne oprogramowanie pozwala na bieżące aktualizowanie systemu, co w przypadku nielegalnych kopii jest niemożliwe;

l

wykonywanie na bieżąco aktualizacji wydawanych przez producenta oprogramowania;

7 0 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

zainstalowanie na serwerach oraz na każdej stacji roboczej oprogramowania antywirusowego oraz innego oprogramowania chroniącego przed np. robakami;

l

pilnowanie regularnej aktualizacji baz sygnatur wirusów i innego oprogramowania zabezpieczającego;

l

dokonywanie systematycznych przeglądów oprogramowania;

l

podczas instalowania nowego oprogramowania należy zawsze skanować pliki instalacyjne w celu sprawdzenia, czy nie zostały zainfekowane;

l

przeszkolenie użytkowników w zakresie zasad ochrony przed złośliwym oprogramowaniem (użytkowanie oprogramowania antywirusowego, podstawowe techniki unikania wirusów, takie jak ignorowanie wiadomości e-mail pochodzących z nieznanych źródeł, unikanie odwiedzania pewnych witryn WWW itp.).

To są tylko podstawowe wymagania, które mogą posłużyć jako punkt wyjścia do w miarę skutecznego zabezpieczenia organizacji przed złośliwym oprogramowaniem.

Procedury wewnętrzne Procedury wewnętrzne, mające na celu zapewnienie sprawnego funkcjonowania systemów informatycznych, mogą być bardzo liczne. W tym podrozdziale przedstawię pewne zasady sporządzania kopii zapasowych, częstotliwości ich wykonywania, ich liczby oraz kwestie weryfikacji gotowych kopii.

Kopie zapasowe ważnych danych Kopie zapasowe można porównać do polisy ubezpieczeniowej, nieocenionej w przypadku nieprzewidzianych awarii, włamań do systemu informatycznego, utraty informacji, czyichś celowych działań na szkodę organizacji też lub klęsk żywiołowych. Dzięki posiadaniu aktualnych kopii zapasowych można uchronić organizację przed ogromnymi nieraz stratami finansowymi, konsekwencjami prawnymi spowodowanymi utratą pewnych informacji czy też nawet przed upadłością firmy. Niejednokrotnie kopie zapasowe okazywały się ratunkiem dla reputacji jednostki. Aby uzyskać pewność, że operacje sporządzania kopii zapasowych są należycie przeprowadzane, trzeba spełnić kilka warunków. Przede wszystkim trzeba wskazać odpowiednie miejsce przechowywania kopii zapasowych. Nie powinno

PROCEDURY WEWNĘTRZNE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

71

to być pomieszczenie z serwerami. Należy zapewnić oddzielną lokalizację, najlepiej, jeśli kopie zapasowe ważnych danych będą przechowywane poza terenem firmy — wtedy ryzyko ich zniszczenia bądź utraty maleje. Łatwo sobie wyobrazić sytuację, gdy na skutek nieszczęśliwego zbiegu okoliczności w firmie dochodzi do pożaru. Cały sprzęt komputerowy i wszystkie materiały mogą ulec zniszczeniu, łącznie z kopiami zapasowymi. Oczywiście, jeśli nie ma innej możliwości, kopie zapasowe można przechowywać w siedzibie organizacji, ale należy je wtedy zabezpieczyć przez pożarem, zalaniem i innymi możliwymi sytuacjami tego typu. Najlepszym rozwiązaniem jest wtedy umieszczenie ich w specjalnym pomieszczeniu, odpornym na tego rodzaju czynniki. Pomieszczenie, w którym są przechowywane kopie zapasowe powinno być nie tylko zabezpieczone przed ogniem, wodą czy innego typu klęskami żywiołowymi. Należy pamiętać również o odpowiedniej liczbie solidnych zamków z atestami. Jeśli w takim pomieszczeniu znajdują się okna, należy je zabezpieczyć mocną stalową kratą, tak aby ewentualne próby włamania się przez okno były jak najbardziej utrudnione. Zaleca się jednak raczej wybieranie pomieszczeń pozbawionych okien. Zmniejsza to znacznie ryzyko wtargnięcia do pomieszczenia przez osoby nieuprawnione. Po wyznaczeniu odpowiedniego pomieszczenia do przechowywania gotowych kopii zapasowych, należy zastanowić się nad samą procedurą wykonywania tych kopii. Sam proces powinien być starannie monitorowany. Oznacza to, że po każdej przeprowadzonej operacji sporządzania kopii zapasowej należy się upewnić, czy wszystko przebiegało bezproblemowo i czy wszystkie dane zostały poprawnie zapisane. Niezwykle ważne jest również bieżące testowanie nośników, na których dane są zapisywane, aby zapobiec sytuacji, gdy mimo pomyślnego przebiegu zapisu danych organizacja nie dysponuje sprawnymi kopiami zapasowymi niezbędnych informacji.

Dzienniki operatorów Testowanie i sprawdzanie gotowej kopii zapasowej jest bardzo ważne, ponieważ pozwala na zyskanie pewności, że ewentualne odtwarzanie danych się powiedzie. Oprócz testowania należy zobowiązać personel techniczny do prowadzenia zapisów z każdej operacji wykonywania kopii zapasowej. Zapisy te powinny zawierać następujące informacje: l

jakie dane skopiowano,

l

jaka była ich wielkość,

l

czas sporządzania kopii,

7 2 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

czas trwania operacji,

l

nazwisko osoby sporządzającej kopię zapasową,

l

uwagi na temat operacji kopiowania.

Takie zapisy pozwolą na monitorowanie procesu wykonywania kopii zapasowej. Mogą one posłużyć również jako dowód w przypadku dochodzenia w sprawie ewentualnych niedociągnięć bądź sabotażu.

Zapisywanie w dzienniku zdarzeń informacji o błędach Dzienniki zdarzeń zawierają niezbędne zapisy dotyczące funkcjonowania systemu informatycznego. Ich prowadzenie i częste przeglądanie stanowi jeden z elementów dobrej praktyki operatorów kopii zapasowych, administratorów systemów itd. Każdy błąd zauważony czy to przez użytkowników, czy przez obsługę techniczną powinien zostać opisany oraz przeanalizowany. Przegląd takich zapisów daje pewność, że wszelkie błędy zostały usunięte bądź wkrótce zostaną usunięte. W dziennikach zdarzeń należy również zapisywać — obok informacji o błędach — dane o stosownych środkach zaradczych, jakie powinno się podjąć w celu usunięcia skutków wystąpienia błędu.

Zarządzanie sieciami Sieci komputerowe są szkieletem każdej infrastruktury informatycznej we wszystkich organizacjach, przedsiębiorstwach oraz instytucjach na świecie. Infrastruktura informatyczna z kolei służy do przechowywania nieraz bardzo ważnych danych. Z tego powodu konieczne jest możliwe najdoskonalsze zabezpieczanie sieci komputerowej, tak aby np. ewentualne włamanie z zewnątrz było jak najtrudniejszym przedsięwzięciem. Podobnie zresztą trzeba się zabezpieczyć przed włamaniami z wewnątrz systemu informatycznego. Takie włamania są zresztą o wiele częściej spotykane. Oczywiście, każdy administrator zabezpieczy swoją sieć na swój własny sposób, opierając się na dokładnej znajomości jej struktury, potrzebach użytkowników oraz na szeregu innych zagadnień, które wpływają na możliwy sposób jej zabezpieczenia. Istnieje jednakże kilka podstawowych czynności, które należy wziąć pod uwagę na samym początku planowania zabezpieczeń.

ZARZĄDZANIE SIECIAMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

73

Zabezpieczenia sieci Przede wszystkim trzeba dobrze sprecyzować plan zarządzania bezpieczeństwem sieci. Należy się skupić na najważniejszych segmentach sieci, w których są przechowywane i przetwarzane informacje o największym znaczeniu dla organizacji. Trzeba też również określić zakresy odpowiedzialności. Przede wszystkim powinno się oddzielić odpowiedzialność za bezpieczeństwo sieci od odpowiedzialności za bezpieczeństwo samych komputerów, ponieważ w wielu przypadkach administrator nie może dostatecznie szybko zareagować lub choćby zauważyć naruszenie bezpieczeństwa przez użytkownika. Ponadto w przypadku wielu firm pracownicy wykonują swoje zadania np. w domu, logując się zdalnie do serwerów firmowych. Wykorzystywane do tego celu kanały VPN (Virtual Provate Network) również należy odpowiednio zabezpieczyć, aby uniemożliwić bądź przynajmniej mocno utrudnić podłączenie się do trwającej sesji klient-serwer. Trzeba zdawać sobie sprawę z tego, że jeśli ktoś podłączy się do sesji, jest w stanie uzyskać dostęp do zasobów serwera i wyrządzić wiele szkód. Najważniejszym zadaniem z zakresu zabezpieczenia sieci komputerowych jest jednakże utworzenie różnych poziomów zabezpieczeń całej sieci. Poziomy te powinny odpowiadać wadze informacji, jakie są przechowywane w danej części sieci.

Postępowanie z nośnikami i ich bezpieczeństwo Informacja należy do najważniejszych aktywów każdej organizacji i to nie ulega wątpliwości. Do tych aktywów należą również nośniki, na których ta informacja jest zapisana i przechowywana. Aby nie doprowadzić do zniszczenia lub częściowego uszkodzenia tych nośników, trzeba zadbać o ich bezpieczeństwo. Podczas przechowywania powinny one być zabezpieczone przez różnymi czynnikami mechanicznymi, środowiskowymi oraz niepożądaną działalnością człowieka. W tym celu należy wyznaczyć miejsca przechowywania nośników informacji oraz sformułować odpowiednie procedury, które będą miały na celu zapewnienie ich bezpieczeństwa. Istnieje wiele rodzajów nośników informacji, począwszy od papieru, poprzez dyski i płyty CD, na taśmach magnetycznych kończąc. Oczywiste jest, że każdy z tych nośników wymaga nieco innych sposobów zabezpieczeń.

7 4 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Zarządzanie wyjmowalnymi nośnikami danych cyfrowych Jak nieco wcześniej wspomniałem, do nośników informacji zalicza się dyski twarde, płyty CD itd. Aby je skutecznie zabezpieczyć i tym samym uchronić przez nieautoryzowanym dostępem do informacji, należy dokładnie przemyśleć miejsce i sposób ich przechowywania. Była już o tym mowa w podrozdziale dotyczącym kopii zapasowych. Warto rozważyć możliwe sposoby postępowania z tego typu nośnikami w przypadku potrzeby ich wyniesienia poza siedzibę organizacji, przykładowo, w celu dokonania niezbędnych napraw w serwisie. Często dane na takim nośniku pozostają spójne i nienaruszone. Wtedy należy wziąć pod uwagę możliwość nieuprawnionego uzyskania dostępu do takich danych. Jednym z oczywistych zaleceń jest całkowite usunięcie wszystkich danych z takich nośników. Trzeba pamiętać o tym, że podczas takiej operacji nie należy posługiwać się prostymi narzędziami, np. udostępnianymi przez system operacyjny. W ten sposób nie można mieć pewności, że poufne dane zostały usunięte w sposób trwały i niemożliwy do odtworzenia. Należy do tych celów użyć wyspecjalizowanego oprogramowania. Należy również prowadzić dokładną ewidencję nośników informacji, które są wynoszone poza siedzibę organizacji. Ma to na celu dokładne uporządkowanie procedur przekazywania sprzętu na zewnątrz. Warto również wspomnieć, że taka ewidencja często jest kontrolowana podczas audytu sprawdzającego działanie systemu bezpieczeństwa informacji.

Niszczenie nośników Jeśli dane nośniki nie będą już wykorzystywane, powinny zostać zniszczone. Myśląc o takiej sytuacji, należy przede wszystkim opracować politykę niszczenia takich zbędnych nośników informacji. Dokument ten powinien określać stosowne wytyczne. Chodzi o to, aby nie doszło do niepełnego zniszczenia nośnika, gdyż to mogłoby ułatwić niepożądany dostęp do chronionych informacji. Oczywiście, przed samą operacją należy dokładnie usunąć wszelkie dane z nośnika. W ten sposób można się upewnić, że informacje faktycznie zostały zniszczone. Warto przestrzegać tej procedury, traktując ją jako dodatkowe zabezpieczenie się przed ewentualnym błędem człowieka. Jedną z metod niszczenia nośników informacji jest ich palenie lub pocięcie na małe kawałki, których nie można połączyć ponownie w całość. Oczywiście, niekiedy połączenie elementów w całość jest technicznie niewykonalne, ale w przypadku informacji zapisanej na papierze często jest możliwe, nawet

POSTĘPOWANIE Z NOŚNIKAMI I ICH BEZPIECZEŃSTWO

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

75

w przypadku zastosowania biurowych niszczarek. W takim przypadku może to być jedynie kwestia determinacji, aby odzyskać ze strzępów papieru interesującą informację. W tym miejscu można też wskazać liczne przypadki niefrasobliwego wyrzucania do śmietnika dokumentacji zawierającej takie informacje jak numery kont, dane osobowe itp. O tego typu problemach z pewnością Czytelnik nieraz słyszał.

Procedury postępowania z informacją Każdego dnia we wszystkich organizacjach informacja jest przenoszona z miejsca na miejsce. Przenosimy ją w formie dokumentów na papierze, przesyłamy w formie wiadomości e-mail czy w postaci zwykłych plików poprzez sieć. Jest to niemalże funkcja życiowa każdego człowieka — przekazywanie informacji, komunikowanie się. Trzeba jednakże również takie działania — choć są najzupełniej normalne i oczywiste — w jakiś sposób monitorować, a nawet rejestrować. Jednym z elementów polityki bezpieczeństwa informacji są pewnego rodzaju procedury, które zabezpieczają organizację przed utratą informacji w czasie jej przenoszenia. Istnieje kilka metod wprowadzenia takich zabezpieczeń, na przykład: l

oznakowanie i sklasyfikowanie każdego nośnika zawierającego informacje;

l

rejestrowanie faktu wyniesienia z miejsca przechowywania każdej informacji o większym stopniu poufności;

l

przechowywanie nośników zgodnie z zaleceniami producentów;

l

opisanie wszystkich kopii informacji istotnych dla organizacji.

Powyższe przykłady są bardzo nieliczne, mogą jednak posłużyć jako punkt wyjścia do opracowania własnych sposobów ochrony informacji podczas jej przenoszenia.

Bezpieczeństwo dokumentacji systemu informatycznego Dokumentacja systemu informatycznego jest niezwykle cenna dla potencjalnego włamywacza bądź osoby planującej dokonanie sabotażu sieci. W dokumentacji takiej zazwyczaj jest zapisana informacja na temat konfiguracji systemu, wdrożonych zabezpieczeń, obsługiwanych procesów i aplikacji. Ponadto znajdują się tam dane na temat użytkowników, hasła oraz wiele innych niezwykle ważnych informacji. Dokumentacja ta — podobnie jak inne poufne informacje — powinna być dobrze chroniona przed nieuprawnionym

7 6 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

dostępem. Jeśli została zapisana na papierze, należy zapewnić jej bezpieczne miejsce, chroniąc ją przed różnego rodzaju zagrożeniami (np. zniszczeniem czy kradzieżą). Jeśli natomiast jest przechowywana w postaci elektronicznej, należy umieścić ją w miejscu odizolowanym od pozostałej części sieci komputerowej. Należy przyjąć zasadę, że każde uzyskanie dostępu do tego rodzaju informacji podlega starannemu monitorowaniu, a liczba osób uprawnionych do jej przeglądania powinna zostać jak najbardziej ograniczona.

Wymiana danych i oprogramowania Wymiana informacji jest dziś bardzo powszednim zjawiskiem, zarówno wśród organizacji, jak i wśród zwykłych ludzi. Staliśmy się społeczeństwem informacyjnym, to znaczy, że wymagamy, aby komunikowanie się było coraz częstsze, szybsze i wygodniejsze. Dawnymi czasy ludzie kontaktowali się między sobą za pomocą sygnałów dymnych, wiadomości przenoszących przez różnych posłańców (np. przez gołębie), natomiast dziś ta wymiana informacji stała się o wiele szybsza i łatwiejsza. Przekazywane wiadomości zawierają różnego rodzaju informacje, zarówno ważne, jak i mniej ważne, dane biznesowe, naukowe, różnego rodzaju dokumentacje, statystyki i wiele innych, włączając w to zwykłe towarzyskie pozdrowienia. Mimo wszystkich pozytywnych stron tego zjawiska, wymiana informacji wiąże się z ryzykiem: wiadomość może zostać przechwycona przez nieupoważnioną osobę i może zostać wykorzystana przeciwko nadawcy. Takie działania są oczywiście niepożądane, jednak niebezpieczeństwo istnieje. Informację przesyłamy różnymi metodami, elektronicznie i bardziej tradycyjnymi sposobami, na przykład poprzez inne osoby, transport lądowy, morski, lotniczy, a nawet z zastosowaniem technologii satelitarnej. Każda z tych dróg przepływu informacji powinna być należycie zabezpieczona i monitorowana w celu jak najszybszego wykrycia ewentualnych prób — udanych bądź nie — przechwycenia przesyłanych danych.

Porozumienie dotyczące wymiany danych i oprogramowania W działalności biznesowej każdego dnia współpracujące ze sobą firmy przesyłają między sobą dane różnego typu. Dobrym przykładem mogą być dwie fikcyjne firmy konstrukcyjne, które wspólnie pracują nad projektem budowy wielkiego centrum handlowego. Przedsiębiorstwa te muszą na bieżąco wymieniać informacje na temat realizowanych prac, ich szybkości, nowych założeń do projektów, poprawek itd. Ta wymiana danych może odbywać się

WYMIANA DANYCH I OPROGRAMOWANIA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

77

na różnych płaszczyznach: od spotkań osobistych, poprzez dostarczanie informacji drogą elektroniczną, na wysyłce za pomocą poczty bądź kuriera kończąc. Często podobnej wysyłce podlega również oprogramowanie. Warto teraz zastanowić się nad bezpieczeństwem poszczególnych dróg przekazywania informacji i nad możliwymi metodami ich monitorowania. W przypadku spotkań osobistych w celu wymiany informacji można przyjąć, że jest to raczej bezpieczny sposób komunikowania się, ponieważ uczestniczą w niej wyłącznie osoby zaangażowane w dane przedsięwzięcie i zapewne znające się osobiście. W przypadku wysyłania informacji przez sieć istnieją sposoby zabezpieczenia komunikacji, poza tym dzięki prowadzonemu monitoringowi łatwo można się dowiedzieć, kto, kiedy i jaką informację wysłał, a kto jest jej adresatem. Trzecia możliwa droga przekazywania wiadomości, wysłanie informacji pocztą lub za pośrednictwem kuriera, nie zapewnia pełnego monitoringu sytuacji. Nie sposób określić, jak przesyłka jest traktowana podczas transportu, w jaki sposób jest przenoszona, czy nie jest po drodze udostępniana osobom nieuprawnionym itd. Dlatego też przez wysłaniem ważnej informacji na jakimkolwiek nośniku, przykładowo, oprogramowania służącego do realizacji projektu, należy podjąć pewne czynności, aby w miarę możliwości zabezpieczyć dane. Przede wszystkim należy dokładnie zabezpieczyć nośniki informacji. Zabezpieczenia te powinny odpowiadać rodzajowi nośnika, tak aby możliwe czynniki zewnętrzne nie przyczyniły się do utraty lub zniszczenia danych. Oczywiście, nie można się całkowicie zabezpieczyć przed np. kradzieżą — niekiedy nawet uzbrojone konwoje ulegają napastnikom. Drugą czynnością, którą można i należy wykonać, jest staranna weryfikacja firmy przewożącej przesyłkę, jej pracowników bądź choćby pojedynczego kuriera. Trzeba tylko pamiętać, że samo sprawdzenie firmy nie wystarczy. Należy podpisać stosowne umowy oraz ubezpieczyć przesyłki w firmie ubezpieczeniowej. W przypadku oprogramowania, należy mieć pełną świadomość, że jego ewentualna utrata wiąże się również z konsekwencjami prawnymi. Oprogramowanie jest wartością intelektualną jego producenta i podlega ochronie wynikającej z prawa autorskiego. Poza oprogramowaniem przesyłki często zawierają nazwiska osób, np. uczestniczących w danym projekcie. Zagubienie takich danych również podlega konsekwencjom karnym z powodu naruszenia przepisów o ochronie danych osobowych. Reasumując, zabezpieczenie danych wychodzących na zewnątrz organizacji jest niezwykle istotną i poważną sprawą. Zabezpieczenia takich informacji powinny być co najmniej takie same, a czasami nawet staranniejsze, od tych obowiązujących na terenie jednostki.

7 8 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Zabezpieczenia nośników podczas transportu Jak już wspomniałem, transport może przebiegać w różnych warunkach atmosferycznych, na przykład podczas deszczów, gradów, silnych wiatrów, burz, dużych upałów. Nośniki informacji, takie jak papier czy media elektroniczne i magnetyczne, są bardzo wrażliwe na niektóre z tych czynników. Przed wysyłką nigdy do końca nie można przewidzieć, w jakich warunkach i jaką drogą będzie się odbywał transport. Dlatego też należy się zabezpieczyć przez tego rodzaju czynnikami. Warto wspomnieć, że w grę wchodzi również nieuprawnione przejęcie przesyłanej informacji przez osoby trzecie. W tym przypadku należy zadbać o opakowanie, które okaże się trudne do sforsowania dla potencjalnych złodziei. Możliwym zabezpieczeniem są sejfy lub skrzynki wymagające wprowadzenia kodu dostępu w celu otwarcia albo też urządzenia, gdzie zastosowano zabezpieczenia biometryczne.

Bezpieczeństwo handlu elektronicznego Handel elektroniczny staje się coraz bardziej rozpowszechniony. Ludzie coraz częściej i coraz śmielej korzystają z dobrodziejstw internetu i wykorzystują go do handlu z innymi osobami, nawet oddalonymi o kilka tysięcy kilometrów od siebie, nie znając ich ani nie widząc. Ogromnym powodzeniem cieszą się wszelkie aukcje internetowe, na których ludzie sprzedają, kupują, wymieniają się różnymi przedmiotami. Zasady pozostają niezmiennie te same od setek lat. Różnica polega tylko na tym, że internet jest bazarem wirtualnym, nienamacalnym. Nie można tu podejść do straganu, zbadać taksującym spojrzeniem sprzedającego, doszukując się w nim oznak uczciwości lub krętactwa. Handel elektroniczny nigdy nie jest tym samym, co handel twarzą w twarz. Handel elektroniczny to nie tylko aukcje, ale również poczta e-mail, za pomocą której są przesyłane informacje dotyczące prowadzonych transakcji czy cen za daną usługę czy produkt. Handel elektroniczny to także transakcje zawierane miedzy osobami, miedzy firmami lub między osobą a np. bankiem. Transakcje online są coraz chętniej przeprowadzane, bo nie zmuszają ludzi do wyjścia z domu. Banki oferują prowadzenie kont elektronicznych i coraz więcej ludzi z nich korzysta. Wynika z wygody takiego rozwiązania oraz z braku czasu na wizyty w bankach. Trzeba jednak pamiętać, że aby taka transakcja przebiegła pomyślnie i aby z jej powodu nie ponieść strat, konieczne jest jej zabezpieczenie na najwyższym poziomie. Podstawowymi zasadami zabezpieczania transakcji internetowych są:

WYMIANA DANYCH I OPROGRAMOWANIA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

79

l

każda operacja związana z transakcją online powinna podlegać uwierzytelnieniu;

l

każda operacja związana z transakcją online powinna również podlegać odpowiedniej autoryzacji w celu zweryfikowania uprawnień, przykładowo, do konta bankowego lub innych danych;

l

weryfikacja usług lub produktów powinna przebiegać za pomocą przygotowanych wcześniej wzorców;

l

jeśli istnieje wymóg podpisu elektronicznego, powinien on również podlegać dokładnemu sprawdzeniu z wzorcem.

Poza tym w przypadku wszystkich innych operacji związanych z handlem elektronicznym, takich jak podpisywanie umów, uzyskiwanie dostępu do informacji o cenach, bazach produktów, zamówień itd., należy stosować odpowiednie zabezpieczenia kryptograficzne. Wszystkie urządzenia, za pomocą których dokonuje się transakcji elektronicznych, powinny być dostosowane i odpowiednio zabezpieczone do tego rodzaju zadań i na bieżąco sprawdzane pod kątem możliwości potencjalnego ataku z sieci. Jest to o tyle ważne, gdyż urządzenia te służą do przechowywania wielu ważnych i cennych informacji oraz danych osobowych. Utrata tych informacji, ich zniszczenie lub publiczne udostępnienie może mieć bardzo poważne konsekwencje.

Bezpieczeństwo poczty elektronicznej Poczta elektroniczna jest kolejnym dobrodziejstwem technologicznym, które w dużej mierze ułatwia wykonywanie pracy, wymianę informacji itd. Równocześnie stanowi oczywiście jedno z najpoważniejszych zagrożeń bezpieczeństwa informacji w firmie. Liczni pracownicy każdego dnia przesyłają za pomocą poczty elektronicznej wiele cennych danych do innych adresatów, nie mając przy tym świadomości o potencjalnej szkodliwości swoich działań. Jest to oczywiście spowodowane w większości przypadków brakiem odpowiednich szkoleń z zakresu ochrony i bezpieczeństwa informacji, tym niemniej zdarzają się również sytuacje, gdzie poczta elektroniczna służy jako metoda nieuprawnionego przekazywania chronionej informacji. Zarówno w jednym, jak i w drugim przypadku należy się odpowiednio zabezpieczyć przed tego typu incydentami. Przede wszystkim należy prowadzić monitoring poczty wchodzącej i wychodzącej, lecz jest to zajęcie bardzo czasochłonne, mozolne i często niemożliwe do wykonania. Niektóre organizacje traktują monitorowanie informacji otrzymywanych lub wysyłanych za pośrednictwem poczty elektronicznej na tyle

8 0 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

poważnie, że zatrudniają ludzi zajmujących się tylko i wyłącznie inwigilacją konto pocztowych, którzy śledzą każdą informację przechodzącą przez serwery pocztowe. Niewiele firm jednak może sobie pozwolić na tego typu wydatki. Korzystając z poczty elektronicznej, pracownicy mogą się przyczynić — świadomie lub nie — do przeciążenia serwera pocztowego, mogą też otworzyć załącznik z ukrytym wirusem, robakiem internetowym lub koniem trojańskim i w ten sposób zainfekować cały system. Dlatego też administratorzy sieci powinni na bieżąco w miarę możliwości monitorować pracę serwerów pocztowych, ponieważ stanowią one jedną z najistotniejszych dróg przepływu dużej ilości informacji. Warto również w organizacji rozważyć wdrożenie kilku rozwiązań zapewniających ochronę poczty np. przed atakami wirusów. Ponadto należy zobowiązać pracowników do przestrzegania odpowiednich procedur, definiujących m.in. sytuacje, w których nie wolno korzystać z poczty elektronicznej, jakich załączników nie powinno się otwierać, w jaki sposób należy szyfrować ważne wiadomości przed ich przesłaniem drogą elektroniczną. Jest to bez wątpienia ważny element systemu bezpieczeństwa informacji, pozwalający na ciągłe podnoszenie świadomości użytkowników.

Bezpieczeństwo komputerowych systemów biurowych Informatyczne systemy biurowe są również źródłem zagrożenia bezpieczeństwa informacji w organizacji. Pomimo że są często podstawowymi narzędziami pracy, również i te systemy należy odpowiednio zabezpieczyć. Wirusy atakują nie tylko całe systemy, ale i pojedyncze znane programy biurowe. Użytkownicy często bagatelizują ten problem lub po prostu go nie zauważają w porę. Jest to oczywiście spowodowane brakiem podstawowej wiedzy na temat bezpieczeństwa informacji. Oprogramowanie biurowe, podobnie jak inne systemy informatyczne, powinno być chronione przed różnego rodzaju zagrożeniami. Najprostszą metodą ochrony jest zainstalowanie systemu antywirusowego, jednak równie istotne jest zablokowanie dostępu do tych systemów osobom niepowołanym, które nie są ich uprawnionymi użytkownikami. Do pracowników należy — o czym była już mowa w tej książce — zachowanie podstawowych zasad ochrony dostępu do swoich stanowisk pracy, tak aby nikt niepowołany nie mógł przeglądać dokumentów elektronicznych, kopiować ich, modyfikować czy nawet usunąć.

WYMIANA DANYCH I OPROGRAMOWANIA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

81

Systemy publicznie dostępne W wielu firmach, a tym bardziej w instytucjach publicznych, znajduje się wiele różnego rodzaju informacji dostępnych dla każdego zainteresowanego. Są to zarówno informacje dotyczące organizacji, realizowanych projektów oraz wykonanych zadań, jak również pliki, które można bezpośrednio pobrać z komputera, wysłać za pomocą poczty elektronicznej czy skopiować ze stron internetowych. W bankach coraz częściej są spotykane oddzielne stanowiska komputerowe, które mają służyć klientom do przeprowadzenia różnych operacji za pomocą elektronicznego konta bankowego (takich jak np. dokonywanie przelewów). W przypadku instytucji publicznych są to różnego typu biuletyny oraz inne informacje związane z danym urzędem, jego kompetencjami, procedurami związanymi z załatwianiem różnych spraw itd. Są to informacje, których upublicznienie nie powinno zagrażać bezpieczeństwu organizacji, ponieważ z założenia są ogólnie dostępne, tym nie mniej należy się zastanowić, czy sprzęt wraz z zainstalowanym oprogramowaniem, a także serwery obsługujące taki system, są na tyle dobrze zabezpieczone, że uniemożliwią dokonanie potencjalnego włamania. Należy dokładnie zabezpieczyć takie stanowiska komputerowe m.in. przed możliwością zainstalowania i korzystania z dodatkowego oprogramowania (oczywiste jest, że takie komputery powinny zostać całkowicie pozbawione stacji dyskietek, stacji CD-ROM, należy także zablokować porty USB z uwagi na możliwość podłączenia urządzeń typu PenDrive). Ponadto samo konto użytkownika, wykorzystywane do tego typu sesji, powinno otrzymać minimalne prawa. Ponadto same serwery powinny zostać dobrze zabezpieczone z wykorzystaniem zapory sieciowej, filtrowaniem ruchu sieciowego, natomiast wyznaczony personel techniczny powinien na bieżąco sprawdzać dzienniki zdarzeń tych komputerów.

Inne formy wymiany informacji Komunikowanie się za pomocą urządzeń i systemów informatycznych jest już nieodzownym elementem codziennego życia coraz większej liczby osób. Jest to bardzo wygodna forma porozumiewania się, znacznie przyśpieszająca załatwienie wielu spraw. Istnieje wiele znanych komunikatorów internetowych, coraz częściej pojawiają się komunikatory umożliwiające rozmowy głosowe. Z drugiej strony, do komunikowania się służą również urządzenia starszego typu, takie jak faksy czy kamery. Wszystkie te technologie są jak najbardziej przydatne i trudno by sobie już teraz wyobrazić życie bez nich, trzeba jednak ciągle mieć na uwadze, że korzystanie z nich jest równoznaczne z narażaniem bezpieczeństwa chronionej informacji. Przykładowo, nieuczciwi

8 2 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

pracownicy lub inne osoby działające na szkodę organizacji, mogą je wykorzystywać do przekazywania poufnych danych innym nieuprawnionym osobom. Informacja taka może zostać przekazana w formie pisemnej, jako nagranie dźwiękowe lub przekaz wideo, dlatego tego typu systemy również należy monitorować, a jeśli nie są niezbędne do pracy, blokować na serwerach porty, na których działają. Jeśli pracownicy firmy muszą korzystać z takich sposobów komunikacji podczas załatwiania spraw biznesowych, należy pamiętać, że każdorazowa awaria systemu bądź użytkowanego oprogramowania może przynieść straty finansowe dla firmy. W tym przypadku należy zadbać o bezpieczeństwo tych aplikacji, aby ich funkcjonalność była stale na możliwie najwyższym poziomie z punktu widzenia obsługi przez administratora. Ponadto, jeśli już takie systemy muszą funkcjonować, należy wdrożyć jasną politykę korzystania z nich, aby uniknąć lub możliwie zminimalizować zagrożenia oraz podatności związane z ich użytkowaniem. Przede wszystkim należy pamiętać o podnoszeniu świadomości bezpieczeństwa informacji pracowników: przeszkolić ich i na bieżąco przypominać o obowiązku stosowania właściwych zabezpieczeń oraz przestrzegania stosownych procedur, które, przykładowo, zakazują przekazywania poufnych informacji przed weryfikacją tożsamości osoby która takie informacje chce otrzymać. Rozmowy na tematy służbowe w miejscach publicznych, w biurach czy w salach konferencyjnych przy otwartych drzwiach powinny być ograniczone do minimum, tak aby żadna osoba postronna nie mogła podsłuchać ich treści. Istnieje jeszcze szereg innych sposobów ułatwiających zapewnienie bezpieczeństwa informacji podczas korzystania z tego typu systemów, jak również całe mnóstwo pożytecznych nawyków. Niestety, nie sposób ich wszystkich wymienić w tej książce, jednak każda organizacja, biorąc pod uwagę specyfikę swojej działalności, powinna wdrożyć rozwiązania najodpowiedniejsze w swojej sytuacji.

WYMIANA DANYCH I OPROGRAMOWANIA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

83

8 4 Ÿ R O Z D Z I A Ł 6 . ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Potrzeby biznesowe związane z dostępem do informacji Kontrola dostępu do informacji biznesowych powinna uwzględniać zarówno potrzeby ich wykorzystywania podczas prowadzenia działalności, jak i wymagania bezpieczeństwa. Dostęp do informacji biznesowych, które są niewątpliwie podstawą funkcjonowania każdej firmy, powinien więc odbywać się zgodnie z polityką bezpieczeństwa informacji. Dokument ten powinien określać zasady przyznawania poszczególnym pracownikom odpowiednich poziomów dostępu, a informacjom — klauzul poufności bądź tajności.

Polityka kontroli dostępu do informacji Dostęp do informacji w organizacji powinien mieć niewątpliwie każdy pracownik, lecz zasady takiego dostępu muszą zostać odpowiednio zaplanowane. Przykładowo, należy określić rzeczywiste potrzeby każdego użytkownika do posługiwania się danym rodzajem informacji. Chodzi tu o zmniejszenie ryzyka związanego z jej udostępnieniem, modyfikacją lub usunięciem. Sformułowanie odpowiedniej polityki kontroli dostępu pozwoli na monitorowanie korzystania z poszczególnych informacji, a w szczególności tych newralgicznych, ważnych dla firmy z jej punktu widzenia bądź istotnych dla samego biznesu.

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Polityka kontroli dostępu do informacji i potrzeby biznesowe Przystępując do sporządzenia polityki kontroli dostępu do informacji, należy pamiętać o kilku podstawowych kwestiach. Po pierwsze, należy dokładnie zdefiniować wymagania biznesowe dotyczące kontroli dostępu do informacji oraz starannie udokumentować te wymagania. Po drugie, konieczne jest jednoznaczne określenie i doprecyzowanie wszystkich praw użytkowników oraz grup użytkowników, a sami użytkownicy powinni się z nimi zapoznać i zastosować się do nich. Taka polityka powinna zawierać również opis oprogramowania wykorzystywanego w prowadzonej działalności, tj. systemów biurowych, systemów ERP, CRM, baz danych oraz innych ważnych systemów przetwarzających oraz przechowujących dane. Ponadto omawiany dokument powinien jasno określać zasady rozpowszechniania informacji oraz przyznawania użytkownikom określonych praw, tak aby uniknąć nieuporządkowanego nadawania tych uprawnień. Ważną kwestią jest również opracowanie odpowiednich regulacji oraz zobowiązań związanych z ochroną danych, które byłyby stosowane podczas zawierania umów z zewnętrznymi dostawcami usług.

Zasady kontroli dostępu do informacji Podczas określania i definiowania zasad kontroli dostępu do informacji należy zwrócić uwagę na jeszcze kilka kwestii. Przede wszystkim trzeba ustalić zasadę, że wszystkie informacje biznesowe są zabronione do wglądu i przetwarzania oprócz tych, które zostały jednoznacznie zdefiniowane jako dostępne. Tylko takie dane można wykorzystywać. Należy również pamiętać o zmianach w oznaczeniach informacji i uprawnień użytkowników, które są nadawane automatycznie przez system informatyczny lub o których nadaniu decyduje sam administrator. Więcej zasad można wprowadzić po określeniu dokładnych potrzeb systemu i firmy.

Zarządzanie dostępem użytkowników Jednym z najważniejszych celów zarządzania dostępem użytkowników do systemu informatycznego jest ochrona przed nieuprawnionym dostępem do chronionej informacji. Jednym z etapów wprowadzania podstawowego bezpieczeństwa danych elektronicznych, przechowywanych i przetwarzanych w systemach informatycznych jest opracowanie odpowiednich procedur nadawania praw użytkownikom systemu. Należy opracować dokładne procedury dotyczące całego cyklu zarządzania hasłami, począwszy od momentu nadania hasła użytkownikowi a kończąc na jego wyrejestrowaniu z systemu, gdy zajdzie

86 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

taka potrzeba (przykładowo, zwolnienie z pracy, odejście czy inne przyczyny). Należy unikać sytuacji, gdy np. zwolniony z pracy użytkownik nadal dysponuje aktywnym kontem z hasłem do systemu informatycznego. Po odejściu takiej osoby administrator systemu powinien niezwłocznie usunąć jej konto wraz z hasłem.

Rejestracja użytkowników Rejestracja nowych użytkowników w systemie informatycznym powinna być przeprowadzana zgodnie z określonymi i jasnymi procedurami. Każdy użytkownik powinien przede wszystkim otrzymać unikalny, jednorazowy identyfikator. Ponadto — w celu zwiększenia poziomu bezpieczeństwa — każdy pracownik powinien posiadać również odpowiedni, jednorazowy identyfikator w postaci np. karty chipowej do logowania. Warto też rozważyć wdrożenie podpisu elektronicznego w jednostce organizacyjnej. Kolejnym — być może trochę restrykcyjnym — krokiem jest wydawanie każdemu użytkownikowi pisemnych potwierdzeń jego praw dostępu do systemu. Oczywiście, osoby te powinny pisemnie potwierdzić zrozumienie warunków dostępu do systemu informatycznego w specjalnym oświadczeniu. Pracownik, który zostaje zwolniony z danej firmy lub odchodzi dobrowolnie, powinien natychmiast zostać pozbawiony wszelkich praw dostępu. Warto jeszcze rozważyć wprowadzenie do wszelkich umów o pracę, umówzleceń, kontraktów z innymi firmami, odbiorcami, podwykonawcami itd., którzy muszą na stałe lub czasowo otrzymać dostęp do zasobów systemu, specjalnej klauzuli mówiącej o sankcjach, jakie zostaną zastosowane w stosunku do osób bądź firm, które w sposób nieuprawniony będą podejmować próby włamania do systemu informatycznego bądź naruszenia jego integralności. Wszystkie powyższe procedury są wymagane podczas sporządzania oraz administrowania rejestrami użytkowników.

Zarządzanie przywilejami Niekiedy określony użytkownik, grupa użytkowników bądź zewnętrzny wykonawca, klient czy partner, pomimo posiadania praw dostępu do systemu informatycznego firmy, musi otrzymać na pewien określony czas większe przywileje. Czasami niektóre prace, np. prace projektowe bądź aplikacje, za pomocą których są wykonywane, wymagają uprawnień konta na poziomie administratora systemu. Można takie przywileje nadawać, jednak należy

ZARZĄDZANIE DOSTĘPEM UŻYTKOWNIKÓW

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

87

przy tym pamiętać o bardzo dokładnym monitorowaniu tych użytkowników, ponieważ uzyskanie dodatkowych przywilejów jest jednym z częstszych sposobów skutecznego włamania do systemu informatycznego. W systemach wieloużytkownikowych, gdzie wymaga się ochrony przed nieautoryzowanym dostępem, należy w sposób szczególny kontrolować i zarządzać przyznawaniem przywilejów. Przede wszystkim należy ustalić i wykazać rodzaj przywilejów dla każdego produktu z osobna, jakim może być system operacyjny stacji roboczej, system operacyjny serwera czy też aplikacja bazy danych. Przywileje powinny być nadawane każdemu użytkownikowi tylko wtedy, gdy występuje taka potrzeba, bezpośrednio wynikająca z wykonywanych przez niego obowiązków służbowych. Kolejnym ważnym elementem systemu bezpieczeństwa informacji jest sformalizowanie warunków nadawania przywilejów innym kontom niż istniejącym kontom indywidualnym, np. specjalnie utworzonym do tego celu.

Zarządzanie uwierzytelnianiem użytkowników Jak już wcześniej wspomniałem, uwierzytelnianie użytkowników odgrywa jedną z najważniejszych ról w dziedzinie zabezpieczeń systemu ochrony informacji. Uwierzytelnianie użytkowników w systemach informatycznych nie zachodzi jedynie poprzez hasła, stanowiące ciągi znakowe wprowadzane z klawiatury. Może przyjąć również inne formy, począwszy od technik biometrycznych — polegających na wykorzystaniu linii papilarnych, obrazu siatkówki oka — poprzez zastosowanie specjalnych plastikowych tokenów, kluczy i innych urządzeń służących do uwierzytelniania pracowników jednostki. Oczywiście, najczęściej stosowaną metodą określania tożsamości osób korzystających z chronionej informacji jest system haseł wprowadzanych za pomocą klawiatury. Należy podkreślić, że samo przyznawanie haseł powinno być przemyślanym procesem, który z kolei powinien być dobrze zarządzany. Aby proces przyznawania haseł spełniał swoje zadania w systemie bezpieczeństwa informacji, nie wystarczy jedynie uczciwość oraz dokładność i rzetelność odpowiedzialnego za to administratora. Użytkownicy zaraz po otrzymaniu hasła powinni podpisywać specjalne oświadczenia, mówiące o zachowaniu go w tajemnicy (powinien być to jeden z warunków zatrudnienia). Administrator może również zmieniać hasła użytkownikom na ich prośbę, jednak w tym celu musi on dokonać weryfikacji tożsamości użytkownika (przykładowo wtedy, jeśli prośba nie jest przekazywana bezpośrednio, lecz za pomocą telefonu lub poczty elektronicznej). Należy przestrzegać bardzo ważnej zasady, że nie należy przekazywać nowo nadanych lub zmienianych haseł za pośrednictwem takich mediów jak poczta elektroniczna, telefon, sms itp., gdyż grozi to ich przechwyceniem lub podsłuchaniem. Rekomendowanym sposobem przekazywanie haseł jest wyłącznie bezpośredni kontakt.

88 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Chcę również podkreślić, że haseł nie należy przechowywać w systemie informatycznym, który nie został odpowiednio zabezpieczony. Często trafiają się kradzieże haseł przez krakerów, którzy za ich pomocą zyskiwali dostęp do wszystkich zasobów informacji elektronicznych firmy.

Przegląd praw dostępu W ramach koniecznej kontroli systemu ochrony informacji należy okresowo dokonywać przeglądów praw dostępu do zasobów informatycznych firmy. Takie przeglądy powinny być prowadzone regularnie w celu zminimalizowania niebezpieczeństwa związanego z nieautoryzowanym dostępem. Zasady dokonywania takich przeglądów oraz ich częstotliwość są określane przez kierownictwo firmy. Zaleca się, aby przegląd praw dostępu być dokonywany raz na pół roku. Jeśli natomiast chodzi o wcześniej wspomniane przywileje specjalne (czasowe), przeglądy takich uprawnień powinny być prowadzone częściej.

Zakres odpowiedzialności użytkowników Każdy użytkownik powinien być świadomy swojej odpowiedzialności w przypadku bezprawnego udostępnienia swojego hasła innym osobom, które nie są związane z daną jednostką organizacyjną bądź nie są uprawnione do wglądu w chronione dane. Należy również podczas cyklicznych szkoleń uświadamiających jak najczęściej przypominać użytkownikom, że ujawnienie chronionych informacji na zewnątrz, zarówno celowe, jak i nieumyślne, może wiązać się z poważnymi stratami finansowymi firmy, kłopotami natury prawnej czy nawet zaprzestaniem działalności na rynku.

Używanie haseł Hasła są podstawową metodą uzyskiwania dostępu do systemów informatycznych oraz innych systemów wymagających potwierdzenia tożsamości. System haseł umożliwia także weryfikację, kto uzyskiwał dostęp do zasobów informacyjnych firmy. Każdy użytkownik powinien chronić swoje indywidualne hasło. Przede wszystkim należy wymusić na użytkownikach, aby zachowywali treść haseł w ścisłej tajemnicy. Częste w wielu organizacjach praktyki, polegające na zapisywaniu haseł na kartce przyklejanej do monitora, chowanej pod klawiaturą czy w innym widocznym miejscu, powinny być jak najszybciej zaniechane przez użytkowników pod groźbą nawet upomnienia dyscyplinarnego. W przypadku

ZAKRES ODPOWIEDZIALNOŚCI UŻYTKOWNIKÓW

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

89

gdy użytkownik podejrzewa, że ktoś mógł zalogować się na jego konto podczas nieobecności, powinien bezzwłocznie zmienić hasło na inne. Zawsze istnieje ryzyko, że takie konto może zostać wykorzystanie w nieczystych zamiarach. Należy pamiętać, że podczas określania nowego hasła nie należy wybierać prostych ciągów znakowych. Zasady doboru nowych haseł powinny być częstym tematem cyklicznych szkoleń dotyczących bezpieczeństwa informacji. Konieczne jest częste przypominanie użytkownikom, iż hasło nie powinno składać się z wyrazów pochodzących np. od imion dzieci, zwierząt, związanych z zainteresowaniami użytkownika. Tego typu wyrazy są stosunkowo łatwe do odgadnięcia. Warto, przykładowo, wymusić stosowanie haseł składających się z minimum sześciu znaków, zarówno liczb, jak i liter, ułożonych w nielogiczny i niezrozumiały ciąg. Oczywiście, można również wymusić i jest to dobrą praktyką, zmianę hasła co np. 30 dni. To znacznie zwiększa bezpieczeństwo informacji w systemach informatycznych organizacji.

Pozostawianie sprzętu użytkownika bez opieki Podczas audytów czy też zwykłych spotkań z klientami — szeregowymi pracownikami wielu firm — spotykałem się z sytuacją, gdy pozostawałem na chwilę sam w pomieszczeniu, w którym znajdował się uruchomiony komputer zalogowany do systemu, a na biurku leżały dokumenty zawierające informacje na różne tematy, np. działań firmy na rynku. W każdej chwili mogłem przejrzeć lub nawet ukraść jakieś informacje. Byłem wtedy tylko na wstępnych rozmowach, jako współpracownik firmy i kierowałem się uczciwością oraz szczerością wobec klienta. Nie można przecież jednak wykluczyć wizyty pracownika firmy konkurencyjnej, podającego się zupełnie za inną osobę, którego celem byłoby uzyskanie jak największej ilości informacji o działaniach firmy, przykładowo, związanych z uczestnictwem w dużym, atrakcyjnym przetargu. Niewątpliwie taka osoba pozostawiona bez dozoru, nawet na krótką chwilę, może ukraść wiele cennych informacji. Nawet jeśli taka kradzież zostanie wykryta, może już być za późno, gdyż szkoda wynikająca z naruszenia bezpieczeństwa informacji już powstanie, np. konkurencja dowie się o szczegółach dotyczących wspomnianego hipotetycznego przetargu. Podobne sytuacje zdarzają się często w dzisiejszym biznesie, zdarzały się też wcześniej. Informacja jest bardzo cennym zasobem i wielu zrobi wszystko, zastosuje różne techniki i metody, aby ją zdobyć — choćby miałaby to być kradzież. Dlatego też należy bardzo jasno i wyraźnie informować pracowników, że wychodząc z pomieszczenia, nie wolno pozostawiać w nim żadnego gościa samego. Natomiast jeśli pracownik jest sam w pokoju i wychodzi na chwilę, powinien zamykać pomieszczenie, gdyż nawet podczas chwilowej nieobecności

90 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

może dojść do kradzieży cennych danych. Sprzęt komputerowy nie może pozostawać bez opieki, ponieważ jest łakomym kąskiem dla potencjalnego złodzieja informacji. Warto w tym miejscu wspomnieć, że bardzo ważnym jest, aby uświadomić użytkownikom konieczność wylogowywania się z aktywnej sesji na czas nieobecności. Wszystkie powyższe zalecenia są ważnym elementem systemu ochrony cennych informacji przed włamywaczami, którzy atakują nie ze strony internetu czy innej sieci komputerowej, a od wewnątrz organizacji. Takie działania nazywa się działaniami socjotechnicznymi. Polegają one na podaniu się za inną osobę i na podejmowaniu prób uzyskania od pracowników firmy chronionych informacji za pomocą różnego rodzaju metod i technik.

Kontrola dostępu do sieci Kolejnym, bardzo ważnym aspektem ochrony systemów informatycznych, jest kontrola dostępu do sieci. Media często wspominają o atakach krakerów na sieci komputerowe wielu firm na całym świecie. Nie zawsze jednak podejmowane ataki są udane, ponieważ wiele organizacji zabezpiecza się przed tego typu incydentami. Jest to bardzo dobry sygnał, ponieważ oznacza, że coraz więcej jednostek rozumie istotność kwestii bezpieczeństwa informacji i ma świadomość, jakie straty może wywołać jego naruszenie. Kontrola dostępu do sieci komputerowych ma na celu takie zabezpieczenie danych, aby zapobiec nieuprawnionym próbom uzyskania dostępu do serwerów organizacji. Oczywiście w tym celu należy zastosować odpowiednią politykę kontroli korzystania z usług sieciowych, której elementem są mechanizmy uwierzytelniania użytkowników i urządzeń, służących do uzyskiwania dostępu do sieci, jak również kontrolę dostępu tychże użytkowników do wszelkiego rodzaju usług informatycznych.

Polityka kontroli korzystania z usług sieciowych Brak zabezpieczeń lub ich słaba jakość niewątpliwie wywiera duży wpływ na funkcjonowanie całej firmy. Jak doskonale wiadomo, żadna organizacja nie może już sprawnie i szybko funkcjonować bez dobrze działającej infrastruktury informatycznej, jednak aby utrzymać sprawność działania sieci, należy podjąć szereg działań. Jednym z nich jest wdrożenie odpowiedniej polityki opierającej się na założeniu, iż każdy użytkownik powinien mieć dostęp tylko i wyłącznie do usług, do których ma uprawnienia i które są potrzebne do wykonywania pracy. Opracowanie takiej polityki pozwala na uporządkowanie

KONTROLA DOSTĘPU DO SIECI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

91

kwestii korzystania z usług sieciowych i zmniejsza zagrożenie uzyskania dostępu użytkowników nieuprawnionych do innych poziomów systemu. Należy wprowadzić również odpowiednie metody autoryzacji, określające kto ma dostęp do zasobów i usług sieciowych firmy.

Wymuszanie dróg połączeń Niekiedy trzeba zapewnić kontrolę drogi połączenia między użytkownikiem a serwerem. Czasami wynika to z wprowadzenia procedur śledzenia podejrzanych użytkowników, którzy mogą powodować naruszenie bezpieczeństwa danych lub nawet całej sieci. Na rynku istnieje wiele technologii służących do wymuszania trasy połączenia w sieci, co zmniejsza ryzyko potencjalnego włamania. Ponadto takie wymuszanie nie pozwala użytkownikom na stosowanie innych, niepotrzebnych dróg połączeń, poza zalecaną drogą dostępu do serwera firmy. Istnieje wiele sposobów wykonania tego zadania, na przykład przydzielanie dedykowanych linii telefonicznych, wymuszenie użycia i wyboru tylko jednej sieci czy ograniczenia dostępu do sieci np. poprzez utworzenie oddzielnych poddomen dla różnych grup użytkowników. Dokonując wyboru konkretnej techniki, trzeba się kierować przede wszystkim potrzebą zapewnienia firmie bezpiecznej działalności biznesowej.

Uwierzytelnienie użytkowników przy połączeniach zewnętrznych W wielu przypadkach pracownicy nie wykonują swojej pracy w biurach siedziby firmy, lecz we własnych domach. Jest to nowoczesny rodzaj działalności, pozwalający m.in. na redukcję kosztów wynajęcia pomieszczeń. W takich sytuacjach pracownik pracujący poza siedzibą firmy musi mieć możliwość nawiązywania połączeń z serwerem firmy, aby móc wykonywać postawione przed nim zadania. Oczywiście, podobna sytuacja zachodzi nie tylko w przypadku pracowników wykonujących swoje zadania w domach, ale również w przypadku pracowników mobilnych, którzy na bieżąco muszą mieć dostęp do swoich zasobów przechowywanych na firmowych serwerach. Podstawowymi zaleceniami przy tego typu praktykach jest wprowadzenie szyfrowania połączeń oraz metod uwierzytelniania użytkowników oraz ich urządzeń przed nawiązaniem połączenia z siecią wewnętrzną. W tym celu można wdrożyć różnego rodzaju technologie, począwszy od tokenów po dedykowane usługi sprawdzania adresów IP.

92 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Ważne jest, aby wszystkie procedury zostały jasno określone, a administratorzy sieci na bieżąco monitorowali połączenia przychodzące do sieci z zewnątrz.

Rozdzielenie sieci Coraz częściej organizacje decydują się na rozbudowę swojej sieci, przechodząc z sieci LAN na sieć WAN. Dzieje się tak, ponieważ coraz częściej firmy łączą swoje lokalizacje za pomocą jednej sieci informatycznej. Jest to wygodne z punktu widzenia zastosowań biznesowych, ale wymaga skierowania większej uwagi na monitorowanie połączeń odbywających się miedzy odległymi lokalizacjami. Rozszerzenie sieci zwiększa oczywiście ryzyko uzyskania nieautoryzowanego dostępu do informacji, czyniąc ją bardziej podatną na ataki ze strony krakerów. Dlatego też, przystępując do budowy sieci WAN, należy ustalić szereg procedur zapewniających większy poziom bezpieczeństwa systemów informatycznych, obrać odpowiednią strategię rozdzielenia grup użytkowników oraz wykorzystywanych przez nich usług informatycznych. Istnieje wiele metod takiego podziału sieci. Można np. utworzyć poddomeny dla każdej lokalizacji, co jest częstą praktyką administratorów zajmujących się obsługą sieci. Jest to wygodne rozwiązanie, ponieważ system poddomen jest stosunkowo łatwy w zarządzaniu i w utrzymywaniu swoistego porządku. Jeśli z kolei istnieje porządek w strukturze rozległej sieci informatycznej, to ryzyko niezauważenia prób włamania do sieci z zewnątrz jest znacznie mniejsze. Oczywiście, w każdej z poddomen należy uwzględnić odpowiedni obwód zabezpieczający. Celem niniejszej książki nie jest zaproponowanie gotowych rozwiązań w kwestii konfigurowania sieci, stanowi ona jedynie swoisty przewodnik omawiający zalecenia, które można uwzględnić podczas budowy systemu zabezpieczania informacji, a które mogą być sprawdzane przez audytorów podczas audytu certyfikującego.

Kontrola połączeń sieciowych Kontrola połączeń sieciowych w sieciach współużytkowanych może polegać na stosowaniu zabezpieczeń ograniczających połączenia między użytkownikami sieci w różnych poddomenach. Takie zabezpieczenia mogą być wdrożone za pomocą dobrze skonfigurowanych bram sieciowych, filtrujących ruch użytkowników sieci. Oczywiście, wszystkie ograniczenia powinny być wprowadzane i konfigurowane zgodnie z wymaganiami wszystkich aplikacji biznesowych. Chodzi tu m.in. o pocztę elektroniczną, dostępy planowane czy przesyłanie plików.

KONTROLA DOSTĘPU DO SIECI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

93

Kontrola routingu w sieci Ważnym elementem kontroli dostępu do sieci jest monitorowanie tras ruchu sieciowego za pomocą routerów. Jak wiadomo, każda informacja przesyłana przez sieć przechodzi przez router bądź szereg routerów wyznaczających trasę pakietów danych. Kontrola wykonywana przez odpowiednio skonfigurowane routery jest jak najbardziej pożądana podczas nawiązywania połączeń z osobami trzecimi, niebędącymi pracownikami bądź współpracownikami organizacji. Istnieje wiele metod prowadzenia takiej kontroli. Najbardziej podstawowy monitoring ruchu sieciowego polega na przeglądaniu adresu źródłowego i docelowego. Dobrym pomysłem jest także translacja adresów sieciowych. Mechanizmy rozdzielania sieci i zapobiegania przenikaniu tras z jednej sieci do drugiej mogą być realizowane zarówno przez specjalistyczne oprogramowanie, jak i urządzania.

Kontrola dostępu do systemów operacyjnych Wcześniej już wspominałem o tym, że zabezpieczenie każdego stanowiska komputerowego przed niepowołanymi osobami jest bardzo istotnym elementem systemu zabezpieczenia informacji. W tym podrozdziale przedstawię pewne zasady ochrony systemów operacyjnych od strony informatycznej. Zabezpieczenie sprzętu przed nieupoważnionym dostępem jest bardzo ważne, ale należy również pamiętać o odpowiednim zabezpieczeniu systemów operacyjnych, zarówno przed atakami z zewnątrz, jak i z sieci wewnętrznej firmy. Zaleca się stosowanie odpowiednich mechanizmów zabezpieczających już na poziomie samego systemu operacyjnego, aby ograniczyć do niego dostęp osobom nieupoważnionym. Zabezpieczenia te powinny obejmować m.in. rejestrowanie nieudanych prób logowania do systemu, wprowadzenie — tam gdzie jest to możliwe — ograniczeń czasu, w którym użytkownik może pozostawać zalogowany do systemu, czy wdrożenie identyfikacji i uwierzytelnianie każdego z użytkowników. Jak zwykle, istnieje wiele dostępnych technik, przykładowo, można również zastosować specjalistyczne oprogramowanie wspomagające zabezpieczenia systemu.

Automatyczna identyfikacja terminalu Automatyczna identyfikacja jest dobrą praktyką w przypadkach, gdy użytkownicy rozpoczynają swoje sesje w różnych miejscach i o różnych porach.

94 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

W takich sytuacjach zastosowanie dodatkowych wewnętrznych identyfikatorów pozwala na sygnalizowanie systemowi, czy np. dany terminal może uzyskać dostęp w odpowiednim czasie do np. sieci informatycznej.

Procedury rejestrowania terminalu w systemie Rejestrowanie każdego użytkownika do systemu informatycznego powinno być bezpieczne. Procedury takiego bezpiecznego rejestrowania powinny zostać określone i zaprojektowane w taki sposób, aby zmniejszyć do minimum ryzyko nieautoryzowanego zalogowania do systemu. Procedury takie powinny wymuszać, aby system prezentował informację dotyczącą osób zalogowanych wraz ze wskazaniem, czy użytkownik jest uprawniony do korzystania z danego terminalu. Zezwolenie użytkownikowi na korzystanie z systemu jest możliwe tylko wtedy, gdy spełni wszystkie wymogi logowania się. Każda pomyłka powinna być rejestrowana i wtedy system powinien na pewien czas blokować dostęp do momentu sprawdzenia mechanizmów uwierzytelniania. Poza tym należy również skonfigurować całkowite zablokowanie dostępu do systemu w przypadku określonej liczby nieudanych prób logowania. W takich przypadkach odblokowanie dostępu powinno być przeprowadzone tylko i wyłącznie w obecności kierownika danego działu oraz administratora. Ponadto system również powinien prowadzić zapisy udanych logowań oraz czasu aktywności otwartej sesji.

Identyfikacja i uwierzytelnienie użytkowników Jak już wcześniej wspomniano, każdy użytkownik, niezależnie od tego, czy jest szeregowym pracownikiem, pracownikiem obsługi technicznej czy też członkiem zarządu, powinien posiadać unikalny identyfikator dostępności do systemów informatycznych firmy. Jednym z takich kluczy są oczywiście silne hasła dostępu do systemu, jednak sam klucz powinien być skonstruowany w sposób uniemożliwiający określenie — na podstawie jego cech zewnętrznych — działu oraz uprawnień użytkownika, który za jego pomocą loguje się do systemu. Mowa tu oczywiście o wszelakich metodach uwierzytelniania, do których można zaliczyć karty elektroniczne, zwykłe hasła czy systemy biometryczne. Oczywiście, najbezpieczniejszym rozwiązaniem jest zastosowanie w organizacji przynajmniej dwóch poziomów dostępu do systemu lub pomieszczeń za pomocą np. karty elektronicznej oraz skanera biometrycznego siatkówki oka lub linii papilarnych. Jest to o tyle istotne, że kartę elektroniczną można ukraść i wykorzystać, natomiast siatkówkę oka — już nie.

KONTROLA DOSTĘPU DO SYSTEMÓW OPERACYJNYCH

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

95

Systemy zarządzania hasłami Jest oczywistą sprawą, że systemy przechowujące hasła oraz zarządzające nimi powinny zostać zabezpieczone przed włamaniami. Jednak aby system był dobry, musi spełniać kilka podstawowych wymogów, takich jak: l

zablokowanie wyświetlania liczby znaków podczas wpisywania hasła;

l

baza danych przechowująca hasła powinna znajdować się w innym miejscu niż aplikacja lub system, do którego się logujemy;

l

system powinien wymuszać okresową zmianę haseł, lecz tylko wtedy, gdy zezwala na to odpowiednio skonstruowana polityka ich przyznawania;

l

system powinien prowadzić rejestrację haseł, które zostały zmienione poprzez wymuszenie;

l

system powinien wymuszać hasła odpowiednio trudne do odgadnięcia, przykładowo można ustalić, że hasła te muszą się składać z co najmniej 6 znaków.

Ponadto można wdrożyć dodatkowe procedury zarządzania hasłami, zgodnie ze specyfiką systemu.

Użycie systemowych programów narzędziowych Każdy system operacyjny, podobnie jak inne systemy informatyczne, zawiera szereg narzędzi systemowych służących do jego konfiguracji w celu dostosowania do potrzeb użytkownika. Dostęp do tego typu narzędzi powinien być zablokowany dla zwykłego użytkownika, ponieważ niekiedy ich wykorzystanie może przyczynić się do obejścia lub złamania zabezpieczeń. Zaleca się, aby pracownicy działu technicznego tak konfigurowali stacje robocze, aby uniemożliwić użytkownikom nie tylko korzystanie z systemowych programów narzędziowych, ale również — jeśli to tylko możliwe — podglądanie ich interfejsu.

Odłączanie terminalu po określonym czasie Ważnym elementem systemu zabezpieczenia sieci jest również takie skonfigurowanie systemu, aby spowodować odłączanie terminali po określonym czasie, jeśli nie są wykorzystywane. Celem tego istotnego działania jest minimalizowanie ryzyka uzyskania dostępu do większych zasobów systemu informatycznego przez osoby niepowołane. Czas, po którym terminale powinny

96 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

się samoistnie zamykać, powinien zostać określony na podstawie przeprowadzonej wcześniej analizy ryzyka oraz po sklasyfikowaniu zagrożenia, jakie może zaistnieć w efekcie wykorzystania terminalu przez inne osoby niż jego użytkownik lub administrator.

Ograniczenia czasu trwania połączenia Jeśli w firmie są wykorzystywane aplikacje o wysokim stopniu ryzyka, należy wprowadzić procedury mówiące o ograniczeniu czasu trwania połączenia klient-serwer dla tych aplikacji. Takie zabezpieczenia należy wprowadzić nie tylko przez konfigurację samych aplikacji, ale także i komputerów, na których są zainstalowane i które znajdują się we wrażliwych miejscach, poza kontrolą systemu zarządzania bezpieczeństwem informacji.

Kontrola dostępu do aplikacji System informatyczny można porównać do niezwykle ważnej bazy danych, przechowującej dane elektroniczne będące majątkiem organizacji. Dane te są zapisywane, przechowywane i przetwarzane za pomocą tych systemów. Są one jednym z najważniejszych aktywów firmy i dlatego należy dbać o ich bezpieczeństwo, co jest równoznaczne z zapewnieniem ich integralności, poufności i dostępności. Aby zachować te trzy podstawowe cechy bezpiecznej informacji, należy ograniczyć dostęp do systemów informatycznych organizacji. Należy go umożliwić tylko i wyłącznie uprawnionym użytkownikom. Należy więc zadbać o kontrolę dostępu do aplikacji z różnych poziomów i lokalizacji, tak aby mógł go uzyskiwać tylko i wyłącznie właściciel aplikacji lub właściciel konta.

Ograniczenie dostępu do informacji Użytkownicy systemu informatycznego powinni mieć do niego dostęp zgodnie z zaleceniami istniejącej lub tworzonej polityki bezpieczeństwa informacji. Dokument ten powinien określać osoby dysponujące dostępem, rodzaje dostępu, jak również udostępniane zasoby systemu. Aby ograniczanie dostępu było skuteczne, pracownicy dbający o bezpieczeństwo systemów powinni ściśle kontrolować takie uprawnienia użytkowników jak prawo do odczytu, zapisu, kasowania i modyfikacji, ponadto należy ograniczyć wiedzę użytkowników na temat systemów informatycznych, nadając im prawa możliwie jak najbardziej ograniczone, zgodnie z wymogami polityki bezpieczeństwa informacji. Ma to na celu zabezpieczenie organizacji przed nadmiernym zainteresowaniem użytkowników co do konfiguracji systemu i jego wszystkich

KONTROLA DOSTĘPU DO APLIKACJI

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

97

opcji, które nie są konieczne do wykonywania obowiązków służbowych. Jeśli takie zasady nie będą realizowane, użytkownicy mogą w wolnych chwilach zbierać dane na temat systemu, co potencjalnie ułatwia przygotowanie skutecznego włamania, a tym samym uzyskanie nieupoważnionego dostępu do istotnych informacji biznesowych.

Izolowanie systemów wrażliwych Systemy wrażliwe, które przechowują najważniejsze dla firmy dane, powinny zostać odizolowane od innych systemów informatycznych. Niekiedy nawet należy utworzyć oddzielne środowisko ich pracy. Niektóre z takich systemów — a właściwie większość z nich — są narażone na potencjalne naruszenia oraz ataki zarówno z zewnątrz, jak i z wewnątrz firmy, zatem często trzeba wprowadzić specjalną ich ochronę, poczynając od zabezpieczeń fizycznych, takich jak zamontowanie skutecznych zamków, przydzielenie odrębnych pomieszczeń, prowadzenie monitoringu, zatrudnienie strażników, a kończąc na bardzo silnych zabezpieczeniach logicznych — elektronicznych.

Monitorowanie dostępu do systemu i jego wykorzystywania Monitorowanie dostępu do systemu ma na celu wczesne wykrywanie nieuprawnionych prób dostania się do niego z zewnątrz lub wewnątrz sieci. Ponadto taki monitoring ma na celu kontrolę przestrzegania procedur bezpieczeństwa, przyjętych dla tych systemów oraz rejestrację przypadków incydentów mających wpływ na naruszenie jego bezpieczeństwa. Monitoring ten może zapewniać sprawdzanie funkcjonowania wdrożonych zabezpieczeń, śledząc reakcję systemów na różne incydenty.

Zapisywanie informacji o zdarzeniach Zapisywanie informacji o zdarzeniach ma na celu nie tylko prowadzenie statystyk naruszenia bezpieczeństwa systemów, ale stanowią również element systemu, który jest badany podczas audytów certyfikujących bądź okresowych audytów sprawdzających. Audytor może zażądać od obsługi technicznej zapisów o przebiegu incydentów, jeśli w ogóle wystąpiły, co ma na celu stwierdzenie ewentualnej potrzeby modyfikacji istniejącego systemu zabezpieczeń bądź wprowadzenia dodatkowych. Zapisy o incydentach mogą być również ważnym — o ile nie najważniejszym — dowodem podczas ewentualnych dochodzeń w sprawie naruszenia zasad bezpieczeństwa.

98 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Monitorowanie użycia systemu Procedury i obszary ryzyka Wprowadzenie odpowiednich procedur monitorowania wykorzystywania systemu i obszarów ryzyka jest dobrą praktyką, pozwalającą administratorowi na uzyskanie informacji, czy użytkownicy wykonują tylko te zadania w systemie informatycznym, do których zostali upoważnieni i do których otrzymali dostęp. Poniżej wymieniono istotne obszary ryzyka, dla których należy rozważyć ustanowienie monitoringu: l

dostęp uprawniony, tj. czas zdarzeń dokonanych w systemie przez danego użytkownika, rodzaj tych zdarzeń, pliki wykorzystywane przez użytkownika podczas każdej sesji, rodzaj stosowanego oprogramowania;

l

wszystkie działania uprawnione, tj. jakie konto wykorzystano podczas danej sesji, ile razy i w jaki sposób uruchamiano i zamykano system operacyjny;

l

próby nieuprawnionego dostępu, tj. ile było nieudanych prób logowania do systemu i w jakim stopniu została naruszona obowiązująca polityka bezpieczeństwa informacji;

l

alarmy systemowe, tj. alarmy generowane przez system: jakiego rodzaju były, w jakim czasie i czego dotyczyły, informacje o innych alarmach, ostrzeżeniach i wyjątkach.

Czynniki ryzyka W celu określenia ryzyka, jakie towarzyszy pracy różnych systemów, należy dokładnie analizować wszystkie zapisy z monitorowania systemu. Częstotliwość przeglądu zapisów z monitorowania powinna być adekwatna do tego ryzyka. W celu oceny potencjalnego ryzyka należy uwzględnić krytyczność procesów wykonywanych przez daną aplikację, wartość danych, ich wrażliwość, zapisy z wcześniejszych potencjalnych włamań i nadużyć w systemie.

Zapisy zdarzeń i ich przeglądanie Samo przeglądanie zapisów dotyczących pracy systemu nie daje w zasadzie żadnego obrazu poza wglądem w zdarzenia, które miały miejsce. Najważniejszą kwestią jest zrozumienie istoty tych zdarzeń, aby wprowadzić odpowiednie modyfikacje lub dodatkowe zabezpieczenia w celu zapobieżenia

MONITOROWANIE DOSTĘPU DO SYSTEMU I JEGO WYKORZYSTYWANIA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

99

podobnym incydentom w przyszłości. Jak wiadomo, dzienniki systemowe zawierają wiele innych informacji, które nie mają nic wspólnego z bezpieczeństwem informacji, dlatego też należy dokładnie uchwycić te zdarzenia, które są związane z jego naruszeniem. Dzienniki takie mogą być również sprawdzane przez audytora podczas audytu okresowego bądź sprawdzającego system. Należy wtedy być przygotowanym na podanie interesujących audytora informacji, które pochodzą z tych dzienników i mówią o bezpieczeństwie informacji, przede wszystkim, czy zostało naruszone, a jeśli tak, to na czym to naruszenie polegało i jakie podjęto działania zapobiegawcze w celu ich wyeliminowania.

Komputery przenośne i praca zdalna Cechami nowoczesnej działalności biznesowej są dostępność w każdym miejscu, szybkość działania, mobilność. Ogromne armie konsultantów działają w wielu miejscach, poza siedzibą firmy, co pozwala im na wykonywanie większej liczby zadań i na wydajniejszą pracę. Konsultanci tacy są wyposażani w komputery przenośne, telefony komórkowe, palmtopy oraz inne urządzenia do przetwarzania oraz przechowywania informacji. Jest to wygodne z punktu działalności firmy, lecz niebezpieczne w kontekście ochrony informacji i jej bezpieczeństwa. Ryzyko udostępnienia chronionych informacji niepowołanym osobom poprzez ich przekazanie, sprzedanie czy kradzież urządzeń ich przechowujących jest bardzo duże, dlatego też należy wprowadzić silne i jednoznaczne procedury związane z przetwarzaniem, przechowywaniem oraz zarządzaniem informacjami znajdującymi się w urządzeniach mobilnych, które każdego dnia pozostają poza siedzibą firmy. Wymagana ochrona tychże urządzeń powinna być współmierna do ryzyka, na jakie są narażone. Ponadto miejsca poza siedzibą firmy, gdzie informacja jest przechowywana i przetwarzana, powinny być jak najbardziej bezpieczne. Słowo bezpieczne oznacza tu miejsca, które zapewniają ochronę przed łatwym dostępem do tych urządzeń, ich zniszczeniem lub kradzieżą.

Komputery przenośne Używając laptopów, palmtopów oraz innych elektronicznych urządzeń mobilnych, należy zwrócić szczególną uwagę na ich bezpieczeństwo. Oznacza to, że należy dołożyć starań, aby nie dopuścić do utraty informacji. Jest to bardzo ważne, bo niepowołany dostęp do informacji biznesowych może mieć katastrofalne skutki, o czym już wielokrotnie wspominałem w tej książce.

100 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

W celu ochrony mobilnych urządzeń elektronicznych należy wprowadzić odpowiednie procedury i zalecenia, które ułatwią ochronę firmy przed tego typu stratami. Procedury te oraz sama polityka bezpieczeństwa informacji powinny uwzględniać charakterystykę środowiska pracy tego typu urządzeń, jak również zalecenia dotyczące rodzaju ich zabezpieczenia fizycznego oraz logicznego. Na pewno należy rozważyć zastosowanie odpowiednich technik kryptograficznych oraz blokad fizycznych chroniących przed np. łatwą kradzieżą. Na rynku istnieje wiele narzędzi służących do tego celu. Wybór któregokolwiek z nich należy już do samych zainteresowanych. Trzeba jednak wybrać zabezpieczenia adekwatne do wartości informacji i sprzętu, na którym te informacje są przechowywane. Następnym elementem polityki bezpieczeństwa informacji w aspekcie ochrony urządzeń przenośnych jest wprowadzenie odpowiednich procedur wykonywania kopii zapasowych informacji przechowywanych w urządzeniach mobilnych. Jedną z metod jest np. automatyczne kopiowanie danych z urządzenia mobilnego do serwera, gdy tylko zostanie ono podłączane do sieci firmowej. Oczywiście, należy uwzględnić weryfikację tej operacji pod kątem zgodności z zasadami obowiązującymi w firmie. Przykładowo, jeśli pracownik będzie musiał łączyć się z innej sieci do sieci swojej firmy w celu przesyłania jakiejś informacji, należy wprowadzić odpowiednie zabezpieczenia związane z uwierzytelnieniem i identyfikacją. Jak wcześniej wspomniałem, urządzenia te, podobnie jak komputery stacjonarne, nie powinny pozostawać bez opieki lub w pomieszczeniach ogólnie dostępnych. Gdy natomiast użytkownik będzie pracować poza firmą w miejscu publicznym, powinien pamiętać o zabezpieczeniu zawartości komputera przed przypadkowym podglądaniem przez osoby postronne.

Praca na odległość Aby praca na odległość miała sens i mogła być wykonywana zgodnie z charakterem danego stanowiska pracy oraz wdrożoną polityką bezpieczeństwa informacji, powinna być prowadzona za pomocą bezpiecznych technik i rozwiązań telekomunikacyjnych. Wiadomo już, że osoby pracujące poza siedzibą firmy powinny wykonywać swoje zadania w zabezpieczonych pomieszczeniach, tym nie mniej należy również wdrożyć procedury, które umożliwiają tego typu pracę dopiero po uzyskaniu zgody kierownictwa. Kierownictwo, po zezwoleniu na wynoszenie sprzętu z informacjami poza siedzibę firmy, powinno również zapewnić kontrolę pracownika w celu upewnienia się, że przebywa on faktycznie w tych miejscach, w których powinien. Częstym przypadkiem jest przemieszczanie się pracowników mobilnych jeszcze do innych miejsc niż tych, w których faktycznie powinni się znajdować, na przykład

KOMPUTERY PRZENOŚNE I PRACA ZDALNA

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

101

w celu załatwiania spraw prywatnych w czasie pracy czy spożycia posiłku w restauracji. Osoby te często przebywają w miejscach niezwiązanych z charakterem obowiązków. Są to sytuacje, których nie można wykluczyć ani do końca kontrolować. Można natomiast wprowadzić pewne procedury i standardy, które umożliwiają kontrolowanie sposobu wykonywania obowiązków służbowych poza siedzibą firmy. Przede wszystkim należy zastanowić się, w jakich miejscach będą pracowały takie osoby, w jaki sposób zabezpieczono te miejsca, jaka jest do nich dostępność z zewnątrz czy wewnątrz. Organizacja może również określić standardy, do jakich powinien się zastosować pracownik podczas dokonywania wyboru — jeśli istnieje taka możliwość — miejsca, w którym będzie musiał np. napisać raport. Firma powinna równie wprowadzić zalecenia odnośnie do zdalnego logowania się do swojej sieci z zewnątrz. Pracownik powinien bezwzględnie przestrzegać takich procedur, aby zapewniać ochronę poufnych danych w jak największym stopniu. Także inne kwestie bezpieczeństwa danych powinny podlegać analizie kierownictwa. Należy wyposażyć pracownika mobilnego w niezbędny sprzęt, potrzebny do wykonywania tego typu pracy. Ponadto powinien on otrzymać odpowiedni sprzęt komputerowy, telekomunikacyjny oraz instrukcje dotyczące metod uzyskiwania dostępu do danych firmowych. Także zabezpieczenia fizyczne i logiczne tego sprzętu powinny zostać bardzo starannie przygotowane i wdrożone. Pracownik powinien mieć również możliwość wezwania obsługi technicznej lub skorzystania z tego typu pomocy np. przez telefon, gdy okaże się to niezbędne. Ważną kwestią jest również wprowadzenie odpowiednich środków nadzoru i kontroli, które umożliwiają rejestrowanie czasu, w którym oprogramowanie i sprzęt były wykorzystywane. Sprzęt pracowników mobilnych powinien być blokowany po godzinach pracy.

Uwierzytelnianie wiadomości Uwierzytelnianie wiadomości ma na celu upewnienie się, że otrzymana wiadomość nie została zmodyfikowana w nieuprawniony sposób oraz że pochodzi od adresata uprawnionego do jej przesłania. Wdrożenie jakiejś metody uwierzytelniania wiadomości pozwala na ochronę przed incydentami polegającymi na nieuprawnionej modyfikacji informacji przez osobę podszywającej się pod uprawnionego adresata. Technik uwierzytelniania wiadomości jest wiele, począwszy od fizycznych po logiczne (informatyczne). Rodzaj zastosowanego rozwiązania zależy od organizacji. Należy tylko zwrócić uwagę, aby wdrożona metoda uwierzytelniania była adekwatna do potrzeb jednostki oraz aby uwzględniała wyniki przeprowadzonej analizy ryzyka.

102 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Uwierzytelnienie powinno obejmować przede wszystkim ważne dane w formie elektronicznej, takie jak przelewy, informacje zawierając dane osobowe (należy pamiętać o przepisach o ochronie danych osobowych), projekty itp. I ponownie trzeba wspomnieć, że przed wprowadzeniem odpowiednich metod uwierzytelniania tych informacji, powinno się najpierw przeprowadzić analizę ryzyka, aby zastosowane rozwiązania umożliwiały spełnianie wymogów względem tajności informacji.

Zabezpieczenia kryptograficzne Stosowanie zabezpieczeń kryptograficznych ma na celu zachowanie trzech podstawowych zasad bezpieczeństwa informacji: zapewnienie poufności, integralności i dostępności chronionych informacji, stanowiących własność i majątek firmy. Aby to osiągnąć, trzeba wprowadzić m.in. odpowiednio silne zabezpieczenia kryptograficzne.

Polityka używania zabezpieczeń kryptograficznych Po podjęciu decyzji o wprowadzeniu zabezpieczeń kryptograficznych należy przeprowadzić analizę ryzyka i na tej podstawie wybrać odpowiednią technologię zabezpieczeń kryptograficznych. Ponadto trzeba sprecyzować odpowiednia politykę używania zabezpieczeń kryptograficznych, dzięki czemu organizacja może określić korzyści płynące z wdrożenia tych zabezpieczeń oraz uniknąć niepotrzebnych przypadków ich stosowania. Podczas projektowania odpowiednich procedur oraz zabezpieczeń kryptograficznych, warto rozważyć kilka zagadnień, a mianowicie: l

wybór konkretnych metod kryptograficznych wraz z uzasadnieniem tego wyboru,

l

utworzenie planu zarządzania kluczami szyfrującymi i utrzymywanie ich konfiguracji w ścisłej tajemnicy,

l

określenie zakresów odpowiedzialności za przechowywanie informacji na temat zastosowanych metod kryptograficznych,

l

określenie odpowiednich poziomów ochrony różnych rodzajów informacji.

ZABEZPIECZENIA KRYPTOGRAFICZNE

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

103

Szyfrowanie Szyfrowanie — jako jedna z metod kryptograficznych — jest bardzo silnym narzędziem służącym do zabezpieczania danych organizacji. Oprócz dokonania wyboru metod szyfrowania, należy również określić odpowiednie poziomy kryptograficzne, w zależności od wagi i znaczenia chronionej informacji. W tym celu jest niezbędna dokładna analiza ryzyka, która pozwoli na oszacowanie poziomów poufności informacji. Wdrażając politykę bezpieczeństwa informacji, w której określono użycie zabezpieczeń kryptograficznych, należy wziąć pod uwagę standardy wykorzystywane w innych krajach. W przeciwnym przypadku może się okazać, że zaszyfrowany plik wysłany za pomocą poczty elektronicznej do innego kraju będzie niemożliwy do odczytania, gdyż adresat nie będzie posiadał wprowadzonych standardów kryptograficznych, choćby z uwagi na wymagania prawne.

Podpisy cyfrowe W ciągu ostatnich kilku lat podpisy cyfrowe stały się często wykorzystywanym sposobem ochrony dokumentów zapisanych w formie elektronicznej. Stosowanie podpisu cyfrowego stało się oficjalnym sposobem potwierdzania autentyczności dokumentu na mocy przepisów ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz.U.2001.130.1450 z późniejszymi zmianami). Obecnie podpis elektroniczny można stosować do podpisywania umów, ofert, kontraktów, przelewów. Zasadniczo, dokumenty podpisane elektronicznie mogą być traktowane jako zaufane, jednakże należy pamiętać, że zawsze istnieje pewien margines ryzyka. Podpis elektroniczny — podobnie jak inna informacja — może zostać bowiem wykradziony, sfabrykowany, zmodyfikowany. Technika podpisów cyfrowych opiera się na znanej z technik kryptograficznych strukturze dwóch jednoznacznie ze sobą związanych kluczy szyfrujących. Jeden z tych kluczy służy do generowania podpisu, a drugi — do sprawdzania jego autentyczności. Z powyższego wynika, że klucz służący do generowania podpisów cyfrowych musi być starannie chroniony i utrzymywany w tajemnicy. Każdy, kto w nieuprawniony sposób zdobędzie informacje na temat struktury tego klucza, będzie mógł bez trudu podpisywać każdy dokument, co z punktu widzenia bezpieczeństwa informacji jest bardzo groźne. Warto podkreślić, że stosowanie podpisów cyfrowych podlega regulacjom prawnym. W ten sposób dokument zabezpieczony ważnym podpisem cyfrowym jest uważany za prawnie wiarygodny.

104 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Zarządzanie ciągłością działania organizacji w sytuacji krytycznej Zagrożenia informacji w biznesie wynikają nie tylko z możliwości kradzieży, nieuprawnionych modyfikacji, sprzedaży danych przez pracowników firmy czy bezprawnego jej upublicznienia. Oczywiście, ryzyko tego typu zdarzeń zawsze będzie istniało, nawet pomimo wdrożonego poprawnego systemu zarządzania bezpieczeństwem informacji, ponieważ nie istnieje możliwość zagwarantowania stuprocentowej ochrony informacji organizacji. Mimo braku takiej gwarancji, wprowadzenie mechanizmów ochrony informacji jest koniecznością. Trzeba jeszcze wziąć pod uwagę inne zagrożenia, na które się nie ma żadnego wpływu, przykładowo, zjawiska atmosferyczne, klęski żywiołowe czy katastrofy spowodowane działaniem człowieka. Oczywiście, katastrofą można również nazwać kradzież lub udostępnienie danych niepowołanym osobom, jednak niezależnie od nazwy i przyczyn takiego zdarzenia, należy przygotować plany ciągłości działania firmy w przypadku nieprzewidzianych incydentów, tak aby nie dopuścić do zatrzymania działań biznesowych. Wiele przedsiębiorstw straciło bądź traci ogromne pieniądze na skutek nieprzygotowania do działania w sytuacji krytycznej. Brak odpowiednio skonstruowanego planu ciągłości działania może doprowadzić nawet do utraty wiarygodności w oczach współudziałowców, kontrahentów. Niekiedy taka sytuacja doprowadza do zakończenia działalności i likwidacji firmy. Wprowadzenie procesu zarządzania ciągłością działania ma zabezpieczyć organizację m.in. przed utratą cennych danych skutek katastrofy, a dzięki temu — przed niebezpieczeństwem zaprzestania działalności biznesowej na czas nieokreślony. Plany ciągłości działania w sytuacji krytycznej powinny uwzględniać wszystkie wytyczne oraz procedury, które będą stosowane w przypadku wystąpienia poważnego zagrożenia, klęski żywiołowej bądź innej katastrofy. Dokumenty te powinny precyzyjnie określać kolejne kroki, które należy wykonać w przypadku wystąpienia tego typu zdarzeń, powinny też wskazywać osobę odpowiedzialną za realizację planów awaryjnych w organizacji. Ponadto koniecznym elementem zarządzania ciągłością działania jest staranna analiza konsekwencji wystąpienia klęski żywiołowej bądź katastrofy. Trzeba w tym miejscu podkreślić, że samo utworzenie planów awaryjnych nie jest wystarczające. Plany należy okresowo testować, weryfikować ich aktualność i sprawdzać, czy spełniają określone wymagania. Oczywiście,

ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA ORGANIZACJI W SYTUACJI KRYTYCZNEJ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

105

przeprowadzone testy należy dokumentować, co pozwoli na przeprowadzenie dogłębnych analiz i wciągnięcie wniosków dotyczących potrzebnych modyfikacji, wprowadzenia dodatkowych procedur, sprzętu czy ludzi.

Proces zarządzania ciągłością działania w sytuacji krytycznej Podczas określania procesu zarządzania ciągłością działania w sytuacji krytycznej należy uwzględnić szereg elementów potrzebnych do odpowiedniego skonstruowania takiego planu. Przede wszystkim należy zrozumieć ryzyko, na jakie może być narażona organizacja, trzeba umieć je rozpoznać. Oprócz wskazania potencjalnego ryzyka trzeba również określić prawdopodobieństwa wystąpienia danego zdarzenia. Służy do tego odpowiednio przygotowana analiza ryzyka oraz podatności. Następnie należy określić, jakie konsekwencje poniesie organizacja na skutek ewentualnego przerwania działań biznesowych. Trzeba również wskazać odpowiednie rozwiązania, aby możliwie najszybciej podjąć działania mające na celu zapobieżenie skutkom zdarzenia. Kolejną sprawą jest rozważenie celowości zapewnienia oddzielnego pomieszczenia, zlokalizowanego poza siedzibą firmy, przeznaczonego do przechowywania kopii cennych informacji, zarówno w formie elektronicznej, jak i na papierze. Godne polecenia jest również podpisanie stosownych umów z firmami zewnętrznymi i zapewnienie sobie w ten sposób możliwości skorzystania z różnego rodzaju usług, począwszy od usług czysto informatycznych (np. odzyskiwanie danych utraconych na skutek awarii sprzętowych), na technicznych kończąc (np. dostawa sprzętu zastępczego w określonym czasie). Przykładowo, można sobie wyobrazić, że na skutek zwarcia w instalacji elektrycznej doszło do pożaru, w efekcie którego siedziba organizacji uległa zniszczeniu. Utracono cały sprzęt, komputery, serwery, dane w postaci papierowej oraz inne nośniki przechowujące i przetwarzające informacje. Można powiedzieć, że w takiej sytuacji, na skutek nieodwracalnego zniszczenia majątku jednostka praktycznie zakończyła swą działalność. Pomimo wypłacenia odszkodowania przez ubezpieczyciela, firma od momentu katastrofy nie jest w stanie przywrócić działalności i przestaje istnieć. Pracownicy tracą zatrudnienie, akcjonariusze ponoszą straty, trzeba wstrzymać wiele rozpoczętych prac, co jest poważnym utrudnieniem dla podwykonawców lub firm współpracujących.

106 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

To jest najczarniejszy z możliwych scenariuszy — upadek firmy. Należy jednak w tym miejscu wyraźnie powiedzieć, że jeśli tylko organizacja odpowiednio wcześnie opracuje i wdroży plan działania w sytuacji krytycznej, może szybko pokonać problemy. Przykładowo, nawet jeśli sprzęt komputerowy ulegnie całkowitemu zniszczeniu, ale dane są bezpiecznie przechowywane w innej lokalizacji w formie kopii zapasowych, można wypożyczyć potrzebny sprzęt od firm, z którymi wcześniej podpisano odpowiednie umowy. W takim przypadku dostawca sprzętu komputerowego i oprogramowania może bardzo szybko dostarczyć niezbędne komputery oraz serwery i odpowiednio je przygotować. Dzięki temu pracownicy mogą kontynuować swoje zadania w innej, zastępczej lokalizacji. Niewątpliwie zachowanie ciągłości działania biznesowego uchroni firmę od jeszcze większych strat.

Ciągłość działania i analiza skutków dla działalności biznesowej Przystępując do tworzenia planu ciągłości działania organizacji w sytuacji krytycznej trzeba przede wszystkim wziąć pod uwagę wszystkie możliwe zagrożenia, jakie mogą mieć bezpośredni wpływ na wystąpienie ewentualnej przerwy w działalności biznesowej. Do takich okoliczności można zaliczyć m.in.: l

awarię sprzętu komputerowego,

l

awarię serwerów,

l

awarię sieci komputerowej,

l

awarię zasilania,

l

klęski żywiołowe,

l

włamanie do firmy z zewnątrz: zarówno włamanie fizyczne (złodzieje), jak i włamania poprzez sieć komputerową (działanie krakerów),

l

pożar,

l

katastrofy budowlane.

Po dokonaniu klasyfikacji wszystkich podatności oraz zagrożeń dla ciągłości działania firmy, należy przygotować odpowiednio szczegółową analizę ryzyka. Analiza ryzyka powinna odnosić się ściśle do zagrożeń i podatności na nie, tak aby nie ominąć żadnego ważnego aspektu. Ważną kwestią jest dokonanie przybliżonych szacunków: l

czasu trwania sytuacji krytycznej,

l

niezbędnych środków i działań, jakie należy podjąć w celu usunięcia zagrożenia.

ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA ORGANIZACJI W SYTUACJI KRYTYCZNEJ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

107

Na tym etapie należy również określić osobę, która będzie prawdopodobnie kierowała działaniami mającymi na celu opanowanie sytuacji kryzysowej. Należy pamiętać, że wszystkie działania związane z tworzeniem planu ciągłości działania organizacji w sytuacji krytycznej nie mogą odnosić się tylko i wyłącznie do systemów przetwarzających oraz przechowujących informacje, ale do wszystkich aspektów działalności biznesowej. Opracowana w ten sposób analiza ryzyka powinna stać się podstawą do podjęcia ostatecznej decyzji dotyczącej strategii planu. Oczywiście, w tworzenie tego typu planów należy zawsze angażować kierownictwo organizacji.

Tworzenie i wdrażanie planu ciągłości działania w sytuacji krytycznej Proces przygotowania planu ciągłości działania w sytuacji krytycznej może wyglądać różnie w zależności od przewidywanego zakresu planu, przyjętej wcześniej strategii, wyników analizy ryzyka, wykazu zagrożeń i podatności. Poniżej przedstawiono przykładowy scenariusz dla hipotetycznej firmy produkującej wyroby hutnicze. Po przeprowadzeniu analizy ryzyka, sklasyfikowaniu zagrożeń, podatności oraz po oszacowaniu potencjalnych strat dla firmy, które mogły wystąpić w konsekwencji sytuacji krytycznej, kierownictwo firmy podjęło decyzję o opracowaniu kompletnego planu ciągłości działania biznesowego w przypadku wystąpienia nieprzewidzianych zdarzeń. Powołano kilku specjalistów, m.in. z dziedziny informatyki, analizy, zarządzania, finansów, bezpieczeństwa osobowego, ochrony informacji i wspólnie z kierownictwem utworzono zespół ds. planu ciągłości działania w sytuacji krytycznej. Wzięto pod uwagę specyfikę działania organizacji, która jest obecna na wielu światowych rynkach, sprzedając swe usługi i wyroby wysokiej jakości. Poza produkcją i świadczeniu usług, niezwykle ważnym aspektem działalności tej jednostki jest współpraca z podwykonawcami oraz firmami zainteresowanymi sprzedażą jej wyrobów i usług. Opisywana organizacja bardzo dobrze prosperuje, jej akcje są wysoko notowane, inwestorzy, udziałowcy oraz akcjonariusze są bardzo zadowoleni. Niestety, w najmniej oczekiwanym momencie, na skutek klęski żywiołowej wszystkie ważne aktywa, takie jak sprzęt komputerowy, sieć, nośniki zawierające kluczowe informacje ulegają całkowitemu zniszczeniu. Żywioł doprowadził do paraliżu ogromnej firmy w ciągu jednego dnia. Konsekwencje takiego zdarzenia mogłyby być bardzo poważne, gdyby wcześniej nie wdrożono

108 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

procedur tworzenia oraz przechowywania kopii zapasowych ważnych informacji w innej, odległej lokalizacji. W ten sposób nie utracono ważnych danych, jednak problem istnieje nadal. Przede wszystkim trzeba jak najszybciej przywrócić działalność biznesową, niezależnie od miejsca, w którym miałaby być prowadzona. Wszelkie czynności, które do tego doprowadzą, powinny być wykonywane przez specjalny, wcześniej powołany zespół, którego członkowie zostali wskazani w planach awaryjnych. Do tych osób należy zorganizowanie niezbędnego zaplecza lokalowego. Oczywiście, w planach awaryjnych można było również uwzględnić wcześniejsze przygotowanie zapasowych pomieszczeń w innych lokalizacjach bądź podpisanie stosownych umów z innym przedsiębiorstwem, które może udostępnić wolne pomieszczenia. Następnym krokiem będzie zatem zorganizowanie w jak najszybszym czasie zasobów potrzebnych do zwykłej pracy, takich jak maszyny, komputery, sprzęt biurowy, środki łączności. Dzięki wcześniej podpisanym umowom z dostawcami niezbędnego sprzętu i usług, zgodnie z wcześniejszymi szacunkami, przywrócenie funkcjonowania firmy mogło nastąpić w ciągu dwóch dni od chwili wystąpienia sytuacji krytycznej. Po szybkim zainstalowaniu potrzebnego sprzętu trzeba jeszcze skopiować wszystkie niezbędne dane do tymczasowych serwerów. Wszystkie prace i projekty wykonywane przez firmę powinny zostać jak najszybciej przywrócone, aby uniknąć dużych kosztów spowodowanych przestojem. Ponadto kierownictwo firmy powinno przygotować specjalne oświadczenia dla swoich udziałowców, akcjonariuszy oraz firm współpracujących na różnych płaszczyznach. W oświadczeniu tym należy poinformować o wystąpieniu zdarzenia oraz jego przyczynach, jeśli zostały ustalone (oczywiście, nie dotyczy to klęsk żywiołowych z uwagi na ich nieprzewidywalność), jak również o krokach, jakie podjęto w celu jak najszybszego przywrócenia normalnego funkcjonowania firmy. Niewątpliwie, takie oświadczenie zostanie dobrze przyjęte przez osoby i przedsiębiorstwa, jako wyraz poważnego traktowania współpracowników, udziałowców i klientów organizacji.

Struktura planowania ciągłości działania w sytuacji krytycznej Plany ciągłości działania organizacji powinny charakteryzować się jednolitą strukturą. Oznacza to, że każdy plan ciągłości działania, niezależnie od tego, jakiej dziedziny dotyczy, powinien dokładne określać warunki uruchomienia poszczególnych procedur oraz zakresy odpowiedzialności związane z ich realizacją. Ponadto ważne jest to, iż dokładnie opracowana struktura jest elastyczna i można ją w miarę potrzeby uzupełniać o nowe procedury i schematy. Dzięki temu w przypadku określenia możliwości wystąpienia nowych zagrożeń, których wcześniej nie sklasyfikowano, gotowy plan ciągłości działania można uzupełnić o nowe procedury.

ZARZĄDZANIE CIĄGŁOŚCIĄ DZIAŁANIA ORGANIZACJI W SYTUACJI KRYTYCZNEJ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

109

Struktura planowania ciągłości działania powinna uwzględniać przede wszystkim warunki, w jakich ma nastąpić uruchomienie procesu, wskazywać osoby zaangażowane w danej sytuacji, jak również sposoby oceny i klasyfikacji tej sytuacji. Następnie należy określić procedury współpracy organizacji z przedstawicielami organów zewnętrznych w przypadku wystąpienia katastrofy. Kolejnym ważnym aspektem planowania ciągłości działania są procedury związane z przywracaniem firmy do pierwotnego funkcjonowania. Należy dokładnie wskazać, gdzie będzie się odbywała praca w firmie w czasie usuwania skutków zdarzenia, a także ile czasu potrwa przywrócenie całej struktury organizacji do postaci sprzed sytuacji krytycznej. Niezwykle istotnym elementem wdrażania planu zachowania ciągłości działania są ciągłe szkolenia z zakresu istniejących procedur oraz konsekwentne wymuszanie na pracownikach wykonywania obowiązków związanych z realizacją konkretnych elementów planu.

Testowanie, utrzymanie i ponowna ocena planów ciągłości działania Aby zyskać pewność, że plan ciągłości działania w sytuacji krytycznej został dobrze opracowany, należy poddać go testowaniu. Można sobie wyobrazić sytuację, że organizacja opracowała taki plan, uwzględniła w nim wszystkie zagrożenia oraz podatności, przeprowadzono również dogłębną analizę ryzyka i przeprowadzono serię szkoleń. Pracownicy otrzymali komplet materiałów opisujących interesujące ich procedury, lecz same plany ani zawarte w nich procedury nie zostały przetestowane w praktyce. Co się stanie w przypadku wystąpienia sytuacji krytycznej? Nie można przecież przewidzieć, czy będzie to tylko awaria systemu informatycznego, czy może pożar. W każdym bądź razie, niezależnie od rodzaju sytuacji i przyczyn jej wystąpienia, ludzie, którzy nie uczestniczyli w praktycznych ćwiczeniach, mogą reagować w różny sposób, niekoniecznie zgodnie z zaleceniami planu. Pomimo przeszkolenia teoretycznego i zapoznania pracowników z planami, panika może całkowicie uniemożliwić dokładne przeprowadzenie jakichkolwiek procedur. Dlatego też tak ważne jest przeprowadzenie testów kontrolnych i sprawdzających procedury ujęte w planie. Efektem takiego testowania będzie, po pierwsze, praktyczne pokazanie pracownikom, jak wygląda wykonanie takiego planu i z czym się wiąże, a po drugie, firma będzie mogła stwierdzić, czy nie trzeba utworzyć bądź wyeliminować niektórych procedur. Tak więc, jak już wspomniałem, bardzo ważne jest przeprowadzanie okresowych — planowanych oraz nieplanowanych — testów wykonywania planu ciągłości działania.

110 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Podczas takich testów należy: l

wziąć pod uwagę wiele możliwych scenariuszy,

l

dokładnie zweryfikować i ocenić stan techniczny urządzeń, aby określić ich możliwość działania na wypadek awarii bądź włamania do sieci,

l

przetestować procedury związane z przywróceniem działalności firmy do stanu pierwotnego sprzed awarii,

l

przeprowadzić symulację zachowania się personelu podczas wystąpienia sytuacji kryzysowej,

l

upewnić się, w jaki sposób organizacja może sobie poradzić z przerwami w działalności biznesowej.

Utrzymanie i ponowna ocena planów Plany ciągłości działania powinny być na bieżąco przeglądane i ewentualnie modyfikowane. Ich aktualizacja pod kątem wystąpienia nowych potencjalnych zagrożeń powinna być procesem prowadzonym stale. Nie można przecież od razu przewidzieć wszystkich możliwych sytuacji awaryjnych, dlatego też bieżące przeglądy planów ciągłości działania organizacji pozwolą na szybkie wychwycenie ewentualnych błędów i ich poprawę. Oczywiście, o dokonaniu zmian w planie ciągłości działania należy niezwłocznie powiadomić personel. Nie można dopuścić do sytuacji, że o tego typu modyfikacjach wiedzą tylko osoby dokonujące tych zmian, Brak skutecznego informowania pracowników o prowadzonych modyfikacjach może spowodować całkowite fiasko zaplanowanych procedur w przypadku wystąpienia zdarzenia. Modyfikacje, o których trzeba informować wszystkich zainteresowanych, mogą dotyczyć każdego szczegółu, począwszy od zmiany numerów telefonu, przepisów prawnych, zasad współpracy z nowymi kontrahentami bądź zaprzestania współpracy z istniejącymi, na zmianach kadrowych kończąc.

Zgodność Opracowanie oraz wdrożenie polityki bezpieczeństwa informacji w organizacji wiąże się z uwzględnieniem przepisów prawnych, w szczególności ustaw oraz rozporządzeń wykonawczych, regulujących kwestie bezpieczeństwa informacji. W rozdziale 1. niniejszej książki przytoczyłem szereg aktów prawnych,

ZGODNOŚĆ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

111

którymi należy się kierować podczas tworzenia polityki bezpieczeństwa informacji oraz prowadzenia audytu sprawdzającego wdrożenie procedur z tego zakresu. Przedstawienie w niniejszej książce wszystkich wymogów prawnych wykroczyłoby poza jej zakres, poza tym akty prawne są dokumentami ogólnie dostępnymi dla każdego obywatela. Wspomnę tylko o ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U.97.133.883 z późniejszymi zmianami), która reguluje kwestie przetwarzania danych osobowych przez systemy informatyczne. Ponadto warto powiedzieć o ustawie z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz.U.02.144.1204 z późniejszymi zmianami), jak również o rozporządzeniu Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U.05.171.1433). Te akty prawne należy traktować jako kluczowe podczas określania zgodności systemu informatycznego organizacji z obowiązującymi regulacjami. W szczególności dotyczy to obowiązków administratora bezpieczeństwa informacji oraz zabezpieczeń systemów i sprzętu przetwarzającego i przechowującego dane firmowe oraz dane osobowe. Wszystkich Czytelników zainteresowanych tematem bezpieczeństwa informacji gorąco zachęcam do dokładnego zapoznania się z powyższymi dokumentami.

Określenie odpowiednich przepisów prawnych Wszystkie poniższe zalecenia oraz wymagania powinny być jasno określone, a ich wdrożenie — udokumentowane dla każdego systemu informatycznego przetwarzającego dane.

Prawo własności intelektualnej Wartość intelektualna jest własnością każdej organizacji bądź osoby, która dzięki swojej wiedzy i doświadczeniu opracowała i wdrożyła nowatorskie rozwiązania bądź usługi, które stanowią innowację na rynku. Prawa autorskie Jeśli organizacja używa narzędzi lub metod objętych prawami autorskimi bądź prawami wartości intelektualnej, powinna wdrożyć odpowiednie procedury regulujące sposób korzystania z tych narzędzi bądź usług, tak aby nie naruszyć przepisów prawa. Lekceważenie tych zasad automatycznie spowoduje wszczęcie postępowania karnego. Należy w tym miejscu przypomnieć, że wielu materiałów nie można powielać w dowolny sposób. Także w tej kwestii działanie organizacji nie może powodować naruszenie prawa.

112 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Prawa autorskie dotyczące oprogramowania Każde komercyjne oprogramowanie jest objęte prawami autorskimi oraz prawami wartości intelektualnej. Niektórzy producenci oprogramowania kładą szczególny nacisk w tej kwestii, zabezpieczając się m.in. stosownymi umowami, które zawierają z użytkownikami. Aby działać zgodnie z prawem, należy: l

przeprowadzić w organizacji audyt legalności oprogramowania, który wykaże ewentualne braki w licencjach oprogramowania,

l

prowadzić rejestry aktywów,

l

skrupulatnie przechowywać w bezpiecznym miejscu dowody zakupu oprogramowania, oryginały dokumentów licencyjnych, nośniki,

l

wdrożyć procedury określające sposoby niszczenia oprogramowania.

Zabezpieczenie dokumentów instytucji Na temat zabezpieczenia dokumentów w firmie wiele zostało już wcześniej powiedziane w tej książce. Przedstawiono tu metody oraz wymieniono szczegółowe zalecenia. Należy przede wszystkim pamiętać o należytym zabezpieczeniu całej dokumentacji organizacji (czy to w postaci papierowej, elektronicznej czy innej) przed jej utratą, zniszczeniem bądź nieuprawnioną modyfikacją. Miejsce przechowywania takiej dokumentacji również jest bardzo ważne. W tym celu należy wydzielić odpowiednie pomieszczenia lub część konkretnego pomieszczenia, gdzie ryzyko jej zniszczenia jest możliwie niskie. Wszystkie procedury dotyczące przechowywania i zabezpieczania dokumentów powinny być jasno i precyzyjnie sformułowane. Należy wymusić ścisłe przestrzegane tych zasad przez personel. Jeśli kierownictwo organizacji uzna, że wszystkie ważne informacje będą przechowywane na nośnikach elektronicznych w celach np. archiwizacyjnych, należy zadbać o stałą dostępność i gotowość tych informacji do przeglądu, nawet po wprowadzeniu np. nowszych technologii. Innymi słowy, należy pilnować, aby nie dopuścić do sytuacji, gdy na skutek wdrożenia nowej technologii nie będzie można odczytać ważnych danych ze starszych nośników. Warto przypomnieć, że przyjęta technologia archiwizowania i przechowywania dokumentów w formie elektronicznej powinna również umożliwiać odzyskiwanie danych lub ich odtwarzanie w znanych formatach.

ZGODNOŚĆ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

113

Ochrona danych osobowych i prywatności informacji dotyczących osób fizycznych Wiele krajów na świecie wprowadziło przepisy prawne, które mówią o ochronie danych osób fizycznych. W Polsce organem właściwym w tych sprawach jest Główny Inspektor Ochrony Danych Osobowych (GIODO). Wdrażając politykę bezpieczeństwa informacji należy w niej uwzględnić przepisy ustawy o ochronie danych osobowych (Dz.U.97.133.883 z późniejszymi zmianami). Ustawa ta reguluje zasady m.in. przetwarzania danych osobowych oraz określa, jakie wymogi powinny spełniać systemy informatyczne i urządzenia, które służą do przetwarzania i przechowywania tych danych. Warto na przykład wspomnieć, że organizacja, która przetwarza dane osób fizycznych, powinna powołać osobę odpowiedzialną za przestrzeganie tych przepisów. Osoba ta opracowuje wytyczne dla kierownictwa, pracowników i kontrahentów, którzy również powinni przestrzegać przepisów o ochronie danych osobowych. Taką osobą może zostać na przykład administrator danych bądź administrator bezpieczeństwa informacji. Powołanie pracownika odpowiedzialnego za te zagadnienia pozwoli na zachowanie porządku w systemach przechowujących dane osobowe i na przestrzeganie przepisów przywołanej wcześniej ustawy.

Przegląd polityki bezpieczeństwa informacji i zgodności technicznej Wdrożenie w organizacji polityki bezpieczeństwa informacji jest dopiero pierwszym etapem złożonego procesu zabezpieczania danych, informacji, systemów itd. Zamknięty w sejfie dokument opisujący procedury zachowania bezpieczeństwa informacji nie zapewni jakiejkolwiek ochrony cennych danych przed zniszczeniem bądź utratą. Aby całe przedsięwzięcie miało sens, należy stosować się do zaleceń i procedur zawartych w polityce bezpieczeństwa informacji. Tylko wtedy będzie można mówić, że organizacja podejmuje starania w kwestii zabezpieczenia swoich danych. Należy prowadzić wszystkie stosowne rejestry i ewidencje, przeprowadzać testowanie systemów informatycznych, doskonalić szkolenia uświadamiające, testować procedury na wypadek sytuacji krytycznej itd.

114 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

Zgodność z polityką bezpieczeństwa informacji Aby stwierdzić, czy wdrożona polityka bezpieczeństwa informacji jest przestrzegana a wprowadzone procedury są odpowiednie dla rodzaju prowadzonej działalności, należy przeprowadzać okresowe przeglądy wszystkich obszarów funkcjonowania firmy. Przeglądy takie pozwolą na stwierdzenie, czy cały system działa poprawnie, czy pracownicy podchodzą poważnie do zagadnienia bezpieczeństwa informacji oraz czy nie należy poprawić lub zmodyfikować procedur. Takie przeglądy są bardzo cenną i pożądaną praktyką. Powinny one obejmować całą infrastrukturę informatyczną firmy, plany ciągłości działania w sytuacji krytycznej, sprawdzać wiedzę użytkowników na temat wdrożonych procedur, uwzględniać analizę ryzyka. Przeglądy powinny być przeprowadzane przez kierownictwo organizacji lub pełnomocników zarządu ds. bezpieczeństwa informacji. Oczywiście po dokonaniu przeglądu należy opracować raport bądź szereg raportów, mówiących o stanie systemu bezpieczeństwa informacji w jednostce. Raporty z przeglądów powinny być starannie przechowywane, gdyż stanowią dowód przeprowadzania takich przeglądów. Raporty tego typu mogą być wymagane przez audytorów podczas audytu certyfikującego system bezpieczeństwa informacji.

Sprawdzanie zgodności technicznej Sprawdzanie zgodności technicznej ma na celu ocenę wykorzystywanego sprzętu komputerowego, systemów informatycznych oraz oprogramowania. Testy tego typu powinny być przeprowadzane przez doświadczony zespół fachowców z branży IT. Najlepiej zatrudnić do tego celu osoby z zewnątrz — niezależnych ekspertów, którzy będą w stanie sprawdzić systemy informatyczne. Także w tym przypadku wymaga się sporządzenia raportu z przeprowadzanych testów. Testy te mogą, przykładowo, dotyczyć przydatności stosowanego oprogramowania. Przy sprawdzaniu zgodności technicznej warto dokonać kontroli zabezpieczeń informatycznych. Godną polecenia praktyką jest zlecenie specjaliście wykonania testów penetracyjnych, które pozwolą na ocenę podatności systemu informatycznego na ataki, zarówno z zewnątrz, jak i od wewnątrz firmy. Oczywiście, tego typu testowanie musi być poprzedzone uzyskaniem zgody zarządu organizacji, a samo zlecenie takiej usługi powinno być dokonane za pomocą stosownej umowy.

PRZEGLĄD POLITYKI BEZPIECZEŃSTWA INFORMACJI I ZGODNOŚCI TECHNICZNEJ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

115

116 Ÿ ROZDZIAŁ 7. KONTROLA DOSTĘPU DO SYSTEMU

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

A aktywa, 35 informacyjne, 37 klasyfikacja, 36 analiza ryzyka, 108 audyt, 15 socjotechniczny, 48 automatyczna identyfikacja terminalu, 94 autoryzacja dostępu do pomieszczeń, 50 autoryzacja urządzeń do przetwarzania informacji, 26

B bariery dostępu do danego pomieszczenia, 49 bezpieczeństwo dokumentacja systemu informatycznego, 76 fizyczne, 47, 48 informacja, 23 nośniki, 74 osobowe, 39 środowiskowe, 47, 48 bezpieczne zbywanie sprzętu, 59 biura, 51

Ć ciągłość działania, 105, 107

D dokumentacja systemu informatycznego, 76 dokumentowanie procedur eksploatacyjnych, 64 dokumenty instytucji, 113 doradztwo specjalistyczne w zakresie bezpieczeństwa informacji, 27 dostęp do informacji, 85 fizyczny, 29 logiczny, 29 użytkownicy, 86 dostęp osób trzecich, 29 identyfikacja ryzyka, 29 przyczyny udzielania dostępu, 30 rodzaje dostępu, 29 wykonawcy działający w siedzibie firmy, 31 dzienniki operatorów, 72 dzienniki zdarzeń, 73

E ekspoloatacja sprzętu, 55

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

F firmy zewnętrzne, 67 fizyczny obwód zabezpieczający, 48

H handel elektroniczny, 79 hasła, 89, 96

I identyfikacja użytkowników, 95 informacja, 13 kategorie, 14 klasyfikacja, 37 oznaczenia, 38 postępowanie, 38 przechowywanie, 14 regulacje prawne, 15 infrastruktura bezpieczeństwa informacji, 25 inwentaryzacja aktywów, 35 ISMS, 17 ISO/IEC/TR 13335-1/PN-I-13335-1, 19 ISO/IEC/TR 13335-2, 19 ISO/IEC/TR 13335-3, 19 ISO/IEC/TR 13335-4, 19 ISO/IEC/TR 13335-5, 19 izolowane obszary dostaw i załadunku, 54 izolowanie systemów wrażliwych, 98

K klasyfikacja aktywa, 35, 36 informacja, 37 kompetencje w systemie bezpieczeństwa informacji, 26 komputerowe systemy biurowe, 81

118 Ÿ SKOROWIDZ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

komputery przenośne, 100 konie trojańskie, 69 konserwacja sprzętu, 57 kontrola aktywa, 35 połączenia sieciowe, 93 routing w sieci, 94 zmiany w eksploatacji, 64 kontrola dostępu, 85 do aplikacji, 97 do informacji, 85, 86 do sieci, 91 do systemów operacyjnych, 94 kopie informacji, 52 kopie zapasowe, 71 kryptografia, 103

M monitorowanie dostęp do systemu, 98 użycie systemu, 99

N nabór nowego pracownika, 40 naruszenia bezpieczeństwa, 44 niewłaściwe funkcjonowanie systemu, 44 niezależne przeglądy stanu bezpieczeństwa informacji, 28 niszczenie nośników, 75 normy BS 7799-2:2002, 16, 17 ISO/IEC TR 13335, 19 PN ISO/IEC 17799:2003, 15 nośniki, 14, 74 bezpieczeństwo, 74 niszczenie, 75 zabezpieczenia podczas transportu, 79 zarządzanie, 75

O obszary bezpieczne, 53 ocena wdrożenia SZBI, 16 ochrona dane osobowe i prywatność informacji dotyczących osób fizycznych, 114 przed szkodliwym oprogramowaniem, 69 sprzęt, 55 odbiór systemu informatycznego, 67, 68 oddzielenie urządzeń produkcyjnych od znajdujących się w fazie rozwoju, 66 odłączanie terminalu po określonym czasie, 96 odpowiedzialność w systemie bezpieczeństwa informacji, 26 ogólne zabezpieczenia, 59 ograniczanie czas trwania połączenia, 97 dostęp do informacji, 97 okablowanie, 56 określanie obowiązków personelu, 39

P PBI, 24 plan ciągłości działania w sytuacji krytycznej, 108, 109 ocena, 111 testowanie, 110 utrzymanie, 111 planowanie polityka bezpieczeństwa informacji, 24 system informatyczny, 67 poczta elektroniczna, 80 podpisy cyfrowe, 104 podział obowiązków, 66

polityka bezpieczeństwa informacji, 13, 23 zawartość, 24 polityka bezpieczeństwa organizacji, 23 polityka czystego biurka, 60 polityka czystego ekranu, 60 polityka kontroli dostępu do informacji, 85 polityka kontroli korzystania z usług sieciowych, 91 polityka używania zabezpieczeń kryptograficznych, 103 pomieszczenia, 51 z serwerami, 49 porozumienie dotyczące wymiany danych i oprogramowania, 77 porządek na stanowisku pracy, 60 postępowanie dyscyplinarne, 46 pozostawianie sprzętu użytkownika bez opieki, 90 praca zdalna, 100, 101 prawa autorskie, 112 prawo własności intelektualnej, 112 procedury eksploatacyjne, 63, 64 procedury postępowania z informacją, 76 procedury wewnętrzne, 71 procedury zarządzania incydentami związanymi z bezpieczeństwem, 65 przechowywanie informacji, 14 przeglądy, 115 polityka bezpieczeństwa informacji, 114 prawa dostępu, 89 stan bezpieczeństwa informacji, 28 przekazywanie sprzętu do ponownego użycia, 59 przepisy prawne, 112 przywileje, 87

SKOROWIDZ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

119

R reagowanie na naruszenia bezpieczeństwa, 44 na niewłaściwe funkcjonowanie systemu, 44 rejestracja użytkowników, 87 rejestrowanie terminalu w systemie, 95 robaki, 69 rozdzielanie sieci, 93 rozliczanie aktywów, 35 rozmieszczenie sprzętu, 55

S sieci komputerowe, 63, 73 zabezpieczenia, 74 sprawdzanie zgodności technicznej, 115 sprzęt, 54 poza siedzibą, 58 zbywanie, 59 strefy bezpieczeństwa, 52 system informatyczny, 63 odbiór, 68 okres odpowiedzialności, 63 pojemność, 68 procedury eksploatacyjne, 63 procedury wewnętrzne, 71 System Zarządzania Bezpieczeństwem Informacji, 15 aspekty prawne, 19 systemowe programy narzędziowe, 96 systemy publicznie dostępne, 82 systemy wrażliwe, 98 systemy zarządzania hasłami, 96 sytuacje krytyczne, 105 szkodliwe oprogramowanie, 69 szkolenie użytkowników, 43 szyfrowanie, 104

120 Ÿ SKOROWIDZ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

T tworzenie infrastruktury bezpieczeństwa informacji, 25

U ubezpieczenie sprzętu, 58 umowy o zachowaniu poufności, 41 z osobami trzecimi, 31 zlecenia na zewnątrz, 33 urządzenia, 51 mobilne, 58 uwierzytelnienie użytkownicy, 88, 95 użytkownicy przy połączeniach zewnętrznych, 92 wiadomości, 102 użytkownicy, 86, 95 identyfikacja, 95 zakres odpowiedzialności, 89

V VPN, 74

W warunki zatrudnienia, 43 wdrażanie system zarządzania bezpieczeństwem informacji, 15 wejście do budynku, 50 wirusy, 69 wnioski po wystąpieniu incydentu, 46 współpraca między organizacjami, 28 wykrywanie zagrożeń, 44 wymiana informacji, 77, 82 wymuszanie dróg połączeń, 92 wynoszenie sprzętu poza siedzibę firmy, 60

Z zabezpieczenia do budynku, 50 dokumenty instytucji, 113 kryptograficzne, 103 nośniki podczas transportu, 79 pomieszczenia, 51 przed dostępem osób trzecich, 29 przed szkodliwym oprogramowaniem, 70 sieć, 74 sprzęt, 54 sprzęt poza siedzibą, 58 zakres obowiązków służbowych, 40 zakres odpowiedzialności użytkowników, 89 zapisy zdarzeń, 99 zapisywanie informacji o zdarzeniach, 98 zarządzanie bezpieczeństwo informacji, 23 ciągłość działania w sytuacji krytycznej, 105, 106 dostęp użytkowników, 86 hasła, 96 przywileje, 87 sieci, 73

system informatyczny, 63 urządzenia przez firmy zewnętrzne, 67 uwierzytelnianie użytkowników, 88 wyjmowalne nośniki danych cyfrowych, 75 zasoby ludzkie, 39 zasady audytu, 15 zasilanie, 56 zatrudnianie nowego pracownika, 40 zbywanie sprzętu, 59 zgłaszanie niewłaściwe funkcjonowanie oprogramowania, 45 przypadki naruszenia bezpieczeństwa, 44 słabości systemu bezpieczeństwa, 44 zgodność prawa z polityką bezpieczeństwa informacji, 111 zgodność techniczna, 115 zlecenie przetwarzania danych firmom zewnętrznym, 33 złośliwe oprogramowanie, 69

SKOROWIDZ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]

l

121

122 Ÿ SKOROWIDZ

Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]