Włodzimierz Mrozek Polityka bezpieczeństwa
Polityka bezpieczeństwa
1. Polityka bezpieczeństwa  założenia wstępne
2. Polityka bezpieczeństwa  procedury postępowania
3. Polityka bezpieczeństwa  rozliczanie z jej stosowania
4. Polityka bezpieczeństwa jako element zarządzania organizacją
5. Polityka bezpieczeństwa  uniwersalne zasady
Podsumowanie
Bibliografia
1
Włodzimierz Mrozek Polityka bezpieczeństwa
1. Polityka bezpieczeństwa  założenia wstępne
Ważnym elementem związanym z bezpieczeństwem systemów komputerowych jest
polityka bezpieczeństwa. Stworzenie polityki bezpieczeństwa w organizacji to nic innego,
jak przygotowanie pewnych zasad i reguł, które będą obowiązywały poszczególnych
użytkowników oraz systemy, funkcjonujące w danej sieci. Wytyczne do tworzenia polityki
bezpieczeństwa zostały zebrane w normie PN-ISO/IEC 17799  Technika informatyczna
 Praktyczne zasady zarządzania bezpieczeństwem informacji. Polityka bezpieczeństwa
musi być odniesiona bezpośrednio do konkretnej instytucji, a dodatkowo uzależniona od
rodzaju prowadzonej działalności. Wewnętrzna organizacja instytucji w dużej mierze
determinuje przyjęcie konkretnych rozwiązań. Wszelkie atrybuty bezpieczeństwa mają
jednakowe znaczenie, ale w praktyce największy nacisk kładzie się na te obszary, gdzie
występują potencjalnie największe zagrożenia i gdzie gromadzone są dane
o największym znaczeniu dla organizacji. Polityka bezpieczeństwa każdej organizacji
musi być elastyczna i wielokierunkowa  oznacza to, że wraz ze zmianami w organizacji
muszą następować zmiany w polityce bezpieczeństwa. Polityka bezpieczeństwa musi
odnosić się zarówno do zagrożeń pochodzących z zewnątrz, jak i z wnętrza organizacji.
Planując politykę bezpieczeństwa na początku warto skoncentrować się na pewnych
podstawowych zagadnieniach. Do najważniejszych reguł tworzenia i wdrażania polityki
bezpieczeństwa można zaliczyć następujące:
çÅ‚ Polityka bezpieczeÅ„stwa powinna być inicjowana i współtworzona przez kierownictwo
instytucji, które jest odpowiedzialne za podejmowanie decyzji organizacyjnych,
finansowych oraz za realizacje zadań statutowych.
çÅ‚ Polityka bezpieczeÅ„stwa powinna być akceptowalna przez wszystkich pracowników
(użytkowników). W organizacji musi panować przekonanie, że polityka
bezpieczeństwa ułatwia, a nie utrudnia, funkcjonowanie firmy.
çÅ‚ Polityka bezpieczeÅ„stwa musi być oparta na wczeÅ›niejszej analizie elementów, jakie
mają być poddane ochronie  urządzeń, oprogramowania czy usług. Należy ustalić,
jaka jest wartość tych zasobów dla potencjalnego intruza bądz
jego zleceniodawcy,
oraz jakie nakłady byłyby konieczne do poniesienia w związku z pozyskaniem
określonych zasobów (nakłady finansowe, czasowe, umiejętności specjalistyczne).
çÅ‚ Polityka bezpieczeÅ„stwa powinna uwzglÄ™dniać wczeÅ›niejsze porównania ryzyka
agresji do wartości posiadanych zasobów.
çÅ‚ Polityka bezpieczeÅ„stwa powinna być elastyczna i skalowalna. Należy pamiÄ™tać o tym,
że pewne fragmenty polityki bezpieczeństwa są ścisłą tajemnicą firmy, dla której
zostały one stworzone i nie powinny być upublicznione. Duża część polityki
2
Włodzimierz Mrozek Polityka bezpieczeństwa
bezpieczeństwa będzie przekazana odpowiednim grupom użytkowników i stanie się
informacją publiczną. Ważne jest jednak, aby zarówno fragmenty, które mogą być
upublicznione, jak i te tajne, ściśle do siebie pasowały, tworząc jeden spójny
dokument i dawały się modyfikować wraz ze zmianami w organizacji.
çÅ‚ Polityka bezpieczeÅ„stwa powinna zostać zweryfikowana, aby mieć pewność, że
zaproponowane rozwiÄ…zania teoretyczne sprawdzÄ… siÄ™ w praktyce. Po stworzeniu
pewnych zasad warto przeprowadzić testy ich działania w warunkach rzeczywistych.
çÅ‚ Polityka bezpieczeÅ„stwa powinna zwierać w sobie wymagania, które bÄ™dÄ…
kontrolowane podczas audytów. Polityka bezpieczeństwa to zbiór procedur z różnych
obszarów działalności firmy. Odnosi się ona do zagadnień technicznych
i organizacyjnych. Jest ona oparta na pewnych uwarunkowaniach organizacyjnych
i zależy od środowiska, w którym działa firma. Wszystkie te elementy składowe
powodują, że wraz z upływem czasu konieczne jest przeprowadzanie testów
i audytów, mających na celu stwierdzenie, jaki jest stopień dopasowania regulacji i na
ile wszystkie przyjęte w polityce bezpieczeństwa rozwiązania są skuteczne. Jeśli
zatem mówi się o konieczności przeprowadzania okresowych audytów, konieczne jest
wskazanie tych obszarów, gdzie ryzyko pojawienia się potencjalnych zagrożeń jest
największe.
çÅ‚ Polityka bezpieczeÅ„stwa powinna okreÅ›lać role i miejsce poszczególnych osób
odpowiedzialnych za sprawy związane z bezpieczeństwem. W dokumencie tym
powinny być opisane zasady doboru, odpowiedzialności oraz podległości
poszczególnych osób. Nie należy zapominać również o takich elementach, jak
określenie zasad dostępu do zasobów oraz o zapewnieniu rozliczalności za powierzone
zadania na wszystkich szczeblach użytkowników. Określenie ról, odpowiedzialności
i zapewnienie rozliczalności jest ważne z tego powodu, iż często po wystąpieniu
jakiegoś incydentu trudno jest ustalić, gdzie znajduje się  słaby punkt . Często nie
można ustalić osób, które powinny być lub były odpowiedzialne za wykonanie
zabezpieczeń, osoby, która powinna zareagować na incydent czy wreszcie osoby,
która powinna zapewnić minimalizację strat.
çÅ‚ Polityka bezpieczeÅ„stwa musi być dokumentem zwiÄ™zÅ‚ym, obejmujÄ…cym swoim
zasięgiem cały system. Informacje niespójne i fragmentaryczne mogą rodzić
przeświadczenie, że w momencie wystąpienia sytuacji kryzysowej dokument i tak nie
przyda się w rozwiązaniu problemu. Wytworzenie takiego przekonania wśród
pracowników może doprowadzić do obniżenia czujności nawet w tych obszarach,
które zostały dokładnie opisane w polityce bezpieczeństwa.
çÅ‚ W polityce bezpieczeÅ„stwa powinny być zawarte nawet takie rzeczy, jak obsÅ‚uga
podstawowych urządzeń biurowych (telefony, faksy, kserokopiarki). Urządzenia te
również niosą ze sobą określonego rodzaju zagrożenia. Nie należy pominąć również
3
Włodzimierz Mrozek Polityka bezpieczeństwa
takiego sprzętu, jak notebooki. Z jednej strony można wprowadzić ubezpieczenie
takiego sprzętu oraz skuteczny system haseł zabezpieczających zawartość
informacyjną, zgromadzoną na twardych dyskach oraz przewożonych nośnikach.
çÅ‚ Polityka bezpieczeÅ„stwa powinna być kompleksowa, a nie ograniczać siÄ™ jedynie do
wybranych, dobrze opracowanych zagadnień ze sfery bezpieczeństwa instytucji  jest
to element, o którym należy pamiętać, a który bardzo często jest bagatelizowany.
Zabezpiecza się te obszary i systemy, które wydają się najważniejsze, podczas gdy te
mniej ważne mogą mieć bardzo duży wpływ na bezpieczeństwo całej organizacji.
çÅ‚ Polityka bezpieczeÅ„stwa koniecznie musi być Å›ciÅ›le zintegrowana z wewnÄ™trznymi
i zewnętrznymi aktami prawnymi. Powinna ona również współgrać z już zawartymi
umowami z kontrahentami oraz uwzględniać elementy przyjętej polityki w nowo
zawieranych kontraktach. Ten rodzaj harmonii musi dotyczyć nie tylko kontrahentów,
z którymi wymieniane są informacje, ale powinien być rozszerzony również na firmy
zajmujące się ochroną i sprzątaniem. Pracownicy tych firm, mając dostęp do wielu
pomieszczeń, również rodzą potencjalne ryzyko dla instytucji.
çÅ‚ Polityka bezpieczeÅ„stwa powinna stanowić jeden dokument o hierarchicznej,
trzypoziomowej strukturze. Odpowiednie poziomy powinny odnosić się do
bezpieczeństwa instytucji jako takiej, bezpieczeństwa systemów teleinformatycznych
danej instytucji oraz bezpieczeństwa konkretnego systemu. Zagadnienia związane
z bezpieczeństwem instytucji, dotyczą głównie kwestii organizacyjno-prawnych. Są
one punktem wyjścia do opracowania spójnej polityki bezpieczeństwa w całej
instytucji i powiązania jej z informatyką. Bezpieczeństwo ogółu systemów
informatycznych instytucji to płaszczyzna, na której powstają polityki bezpieczeństwa
poszczególnych, eksploatowanych w firmie systemów. Polityki te budowane są na
podstawie różnego rodzaju norm, wynikających ze specyfiki tych systemów.
çÅ‚ Polityka bezpieczeÅ„stwa musi być na bieżąco aktualizowana w trakcie życia systemu,
zatem zaleca siÄ™ jego modularnÄ… budowÄ™ oraz formÄ™ elektronicznÄ… lub papierowÄ….
çÅ‚ Podczas procesu wprowadzania polityki bezpieczeÅ„stwa w instytucji może dochodzić
do różnego rodzaju negatywnych zachowań, wynikających z uwarunkowań
psychicznych, psychologicznych i kulturowych. Należy wtedy przeprowadzić cykl
szkoleń przybliżających tematykę i wdrażanej polityki bezpieczeństwa.
çÅ‚ Polityka bezpieczeÅ„stwa powinna okreÅ›lać poziom zainteresowania potencjalnych
intruzów zasobami, jakie są gromadzone w systemie. Ważne jest, aby poddać analizie
koszt, jakie będą do poniesienia przez intruza w związku z przełamaniem
zabezpieczeń systemu.
çÅ‚ Polityka bezpieczeÅ„stwa powinna opierać siÄ™ na analizie kosztów, jakie zostaÅ‚y
poniesione w związku z wyszkoleniem personelu oraz nakładami na zabezpieczenia
i ewentualnymi stratami, jakie mogą zostać poniesione. Warto również pamiętać, że:
4
Włodzimierz Mrozek Polityka bezpieczeństwa
" zbyt wymyślne zabezpieczenia w miejscach, gdzie nie jest to potrzebne, powodują
jedynie utrudnienia, a nie zabezpieczajÄ…,
" o poziomie zabezpieczenia całego systemu decyduje element o najsłabszym
poziomie zabezpieczeń (tzw. zasada najsłabszego ogniwa),
" budowanie polityki bezpieczeństwa należy planować od najwyższego poziomu, aby
nie powielać już funkcjonujących polityk bezpieczeństwa,
" budując politykę bezpieczeństwa nie wolno w kosztach ogólnych uwzględniać
kosztów związanych ze standardową ochroną (strażnicy, systemy monitoringu
itp.),
" standardowa ochrona zawsze będzie tańsza od takiej, która  jako dedykowana
 budowana jest dla konkretnego systemu,
" wszyscy pracownicy organizacji muszą być wyszkoleni na minimalnym poziomie,
aby można było mówić o efektywnej polityce bezpieczeństwa,
" stworzony system zabezpieczający musi być okresowo kontrolowany, aby można
było mówić o jego dopasowaniu do aktualnie panujących warunków.
5
Włodzimierz Mrozek Polityka bezpieczeństwa
2. Polityka bezpieczeństwa  procedury postępowania
W ramach każdej polityki bezpieczeństwa należy stworzyć odpowiednie procedury
postępowania. Procedury te powinny spełniać następujące wymagania:
çÅ‚ nie mogÄ… one w znaczÄ…cy sposób utrudniać pracy, gdyż spowoduje to chęć ich
naturalnego pomijania,
çÅ‚ procedury powinny być spójne zarówno na poziomie prawnym, organizacyjnym,
technicznym, jak i sprzętowo-programowym (tzw. spójność pozioma) oraz na każdym
poziomie organizacji (firma, infrastruktura, systemy),
çÅ‚ procedury powinny uwzglÄ™dniać zasadÄ™ segregacji zasobów, gdyż gwarantuje to, że
procedury ochrony będą dopasowane do wartości informacji gromadzonych
w poszczególnych systemach,
çÅ‚ zasada jasnego okreÅ›lenia praw i obowiÄ…zków zwiÄ…zanych z korzystaniem
z określonych zasobów systemu,
çÅ‚ zasady potwierdzania zapoznania siÄ™ z odpowiednimi procedurami oraz odbycia
okresowych szkoleń z ich stosowania,
çÅ‚ opracowywanie procedur zgodnie z zasadÄ… minimalnego uprzywilejowania, czyli
dostępu tylko do tych informacji, jakie są niezbędne do codziennego wykonywania
określonych działań,
çÅ‚ zasada domniemanej odmowy dostÄ™pu, wedÅ‚ug której system powinien odmawiać
dostępu we wszystkich sytuacjach, kiedy pojawiają się błędy projektowe lub
programowe,
çÅ‚ zasada kontroli dziaÅ‚aÅ„ na wszystkich poziomach dostÄ™pu  czÄ™sto, mimo że
użytkownik posiada uprawnienia do danego zasobu, w momencie, kiedy chce z niego
skorzystać jest dodatkowo pytany o to, czy jest tego pewien,
çÅ‚ nowe elementy, jakie majÄ… zostać wÅ‚Ä…czone do polityki bezpieczeÅ„stwa muszÄ… być
wprowadzane w sposób świadomy, każdy nowy element musi być dopasowany do
aktualnie obowiązującej polityki bezpieczeństwa.
6
Włodzimierz Mrozek Polityka bezpieczeństwa
3. Polityka bezpieczeństwa  rozliczanie z jej stosowania
Wprowadzenie w życie polityki bezpieczeństwa wiąże się z koniecznością rozpoczęcia
rozliczania z jej stosowania. Procedury, jakie zostanÄ… stworzone oraz system
raportowania powinien być przez określone służby okresowo sprawdzany i analizowany
pod kątem prawidłowości jego działania.
O ile jest to możliwe, polityka bezpieczeństwa powinna zwierać również elementy
pozwalające na analizę zdarzeń w czasie rzeczywistym, aby można było podjąć
natychmiastową reakcję w przypadku pojawienia się jakiegokolwiek zagrożenia. Analizy
tego typu często prowadzone są przez wyspecjalizowane instytucje, które
przeprowadzają na przykład audyty penetracyjne systemów.
Budując politykę bezpieczeństwa danej organizacji należy mieć na uwadze dodatkowo
dwa obszary technologiczne:
çÅ‚ COMPUSEC, czyli obszar bezpieczeÅ„stwa samego komputera,
çÅ‚ COMSEC, czyli obszar bezpieczeÅ„stwa infrastruktury i bezpieczeÅ„stwa komunikacji
między poszczególnymi urządzeniami.
Analiza bezpieczeństwa powinna obejmować następujące zagadnienia:
çÅ‚ dane, aktualnie wykorzystywane przez systemy oraz te, które zostaÅ‚y już
zarchiwizowane i są przechowywane jako kopie zapasowe. Należy uwzględnić wszelkie
dane i nośniki, na jakich zapisane są dane w organizacji. O nośnikach danych oraz
potencjalnych zagrożeniach z nimi związanymi będzie jeszcze mowa w dalszej części
kursu;
çÅ‚ oprogramowanie systemowe oraz użytkowe wykorzystywane w organizacji,
wszelkiego rodzaju programy do archiwizacji danych czy wreszcie kod z
ródłowy;
çÅ‚ sprzÄ™t i fizyczne metody ochrony, majÄ…ce na celu uniemożliwienie dostÄ™pu do sprzÄ™tu
osobom postronnym;
çÅ‚ noÅ›niki danych oraz wszelkiego rodzaju materiaÅ‚y dodatkowe muszÄ… być również
objęte mechanizmem ochrony. Wśród materiałów dodatkowych warto wymienić
chociażby wszelkiego rodzaju dokumentację, która może zawierać istotne informacje,
ważne z punktu widzenia bezpieczeństwa;
çÅ‚ ludzie i wykorzystanie elementów inżynierii spoÅ‚ecznej do pozyskania informacji
istotnych.
7
Włodzimierz Mrozek Polityka bezpieczeństwa
Jak już wspomniano wcześniej, kompleksowa polityka bezpieczeństwa instytucji musi
obejmować działania organizacyjne i prawne, ale muszą być one sprzężone z elementami
ochrony fizycznej oraz sprzętowo-programowej.
Działania te muszą być okresowo weryfikowane w celu stworzenia modelu nieustannego
doskonalenia. Wynika to z co najmniej z dwóch aspektów:
çÅ‚ biznesowego  zapewnienia ciÄ…gÅ‚oÅ›ci dziaÅ‚alnoÅ›ci instytucji, zwiÄ…zanego z analizÄ…
ryzyka i jego ograniczaniem we wszystkich obszarach działalności,
çÅ‚ prawnego  zwiÄ…zanego z koniecznoÅ›ciÄ… dostosowania siÄ™ organizacji do wymogów
prawnych, uzależnionych od prowadzonej działalności.
Realizowane polityki bezpieczeństwa często wykorzystują dwie zasady:
çÅ‚ proponowane rozwiÄ…zania w swoim ksztaÅ‚cie organizacyjnym i technicznym majÄ…
wyprzedzać zagrożenia wewnętrzne i zewnętrzne, co w efekcie powinno umożliwić
prawidłowe i realne zarządzanie ryzykiem operacyjnym w realizacji statutowych
zadań, a także powinno umożliwić realizowanie zadań w warunkach kryzysowych;
çÅ‚ bezpieczeÅ„stwo, jako element organizacji, jest traktowane jako proces, a zatem
mechanizmy organizacyjne zarządzania w nim zawarte powinny zapewniać stałe
podnoszenia jego poziomu, czyli proces ten powinien zawierać element
samodoskonalenia. Przyjęte rozwiązania należy ciągle modyfikować, w zależności od
zmieniających się w czasie hierarchii zagrożeń, ze szczególnym uwzględnieniem
planowania przedsięwzięć prewencyjnych, mających na celu doprowadzenie do
zaniechania działań przez potencjalnych intruzów. Aktywne działania prewencyjne
powinny tworzyć przekonanie, że wszelka działalność na szkodę instytucji jest
nieopłacalna i skończy się niepowodzeniem.
8
Włodzimierz Mrozek Polityka bezpieczeństwa
4. Polityka bezpieczeństwa jako element zarządzania organizacją
W tym module zostanie przedstawiony przykład podejścia do tworzenia polityki
bezpieczeństwa w organizacji, gdzie zarządzanie bezpieczeństwem jest składową
uniwersalnego zarządzania organizacją. Poniższy rysunek obrazuje sposób podejścia do
zarządzania bezpieczeństwem.
ZarzÄ…dzanie organizacjÄ…
ZarzÄ…dzanie analizÄ… ryzyka gospodarczego
Zintegrowany system zarządzania jakością TQM
Zintegrowane zarządzanie bezpieczeństwem
ZarzÄ…dzanie analizÄ… ryzyka operacyjnego
Zarządzanie bezpieczeństwem osobowym
ZarzÄ…dzanie ochronÄ… fizycznÄ…
Zarządzanie bezpieczeństwem informacji
Zarządzanie bezpieczeństwem
systemów informatycznych
Zarządzanie ciągłością działania
Rysunek 1. Zarządzanie organizacją a zintegrowane zarządzanie bezpieczeństwem
9
Włodzimierz Mrozek Polityka bezpieczeństwa
W ramach zintegrowanego zarządzania bezpieczeństwem uwzględnia się element
zarządzania ryzykiem. W zależności od rodzaju zdarzenia lub awarii różny jest obszar
jego oddziaływania. Stopień oddziaływania w zależności od rodzaju zdarzenia pokazano
na rysunku 2. W zależności od tego, jak duży jest to obszar oraz jakie mogą być jego
konsekwencje, w różny sposób będzie odbywało się planowanie polityki bezpieczeństwa
i w różny sposób będzie prowadzony cały proces zarządzania bezpieczeństwem.
Awaria energetyczna
Trzęsienie ziemi
Huragan
Powódz

Burza, burza śnieżna
Pożar
Infrastruktura budowlana
Terroryzm/sabotaż
Atak hackera
BÅ‚Ä…d operatora
Awaria hardware'u
Oprogramowanie
Oprogramowanie Systemy Budynek Kompleks Region
budynków
Rysunek 2. Możliwe zdarzenia i awarie oraz ich obszar oddziaływania
W obszarze zintegrowanego zarządzania bezpieczeństwem można wyróżnić obszar
zarządzania ryzykiem operacyjnym, które na powyższym rysunku realizuje się w czterech
obszarach działalności operacyjnej organizacji i w tych to obszarach wprowadza się
rozwiązania, mające zapewnić odpowiedni stopień bezpieczeństwa. Obszary te to:
çÅ‚ zarzÄ…dzanie bezpieczeÅ„stwem osobowym,
çÅ‚ zarzÄ…dzanie ochronÄ… fizycznÄ…,
çÅ‚ zarzÄ…dzanie bezpieczeÅ„stwem informacji z wbudowanym zarzÄ…dzaniem
bezpieczeństwem systemów informatycznych,
çÅ‚ zarzÄ…dzaniem ciÄ…gÅ‚oÅ›ciÄ… dziaÅ‚ania.
Kwestie systemów informatycznych są współcześnie na tyle specyficzne i ważne dla
działania organizacji, że wymagają odrębnego postępowania. Występują one we
wszystkich wyżej wymienionych obszarach i maja na nie istotny wpływ.
Na poniższym rysunku przedstawiony został mechanizm kompleksowego podejścia do
zarządzania ciągłością działania, bezpieczeństwem informacji, ochroną fizyczną
i bezpieczeństwem osobowym, przez pryzmat analizy i oceny ryzyka.
10
Włodzimierz Mrozek Polityka bezpieczeństwa
KOMPLEKSOWE ZARZ
DZANIE BEZPIECZEC
STWEM
Analiza [zagrożeń i ocena] ryzyka
ZarzÄ…dzanie ZarzÄ…dzanie
ZarzÄ…dzanie
ZarzÄ…dzanie
bezpieczeń- bezpieczeń-
ciągłością
ochronÄ…
stwem stwem
działania
fizycznÄ…
informacji osobowym
ZARZ
DZANIE BEZPIECZEC
STWEM
SYSTEMÓW INFORMACYJNYCH
Rysunek 3. Kompleksowe zarządzanie bezpieczeństwem
a zarządzanie bezpieczeństwem systemów informacyjnych
W celu pełnego rozwiązania problemów związanych z bezpieczeństwem stosuje się
kompleksowe podejście do wskazanych na powyższym rysunku obszarów zarządzania,
ponieważ tylko takie gwarantuje skuteczność podejmowanych działań:
çÅ‚ ZarzÄ…dzanie ochronÄ… fizycznÄ… to okresowe weryfikowane dozorowanie ruchu
osobowego i materiałowego na terenie organizacji, podzielonej na strefy dostępu
w zwiÄ…zku z ich przeznaczeniem i wykonywanymi tam funkcjami i zadaniami. Obszar
ten z reguły jest przedmiotem odrębnej polityki zabezpieczeń fizycznych, stanowiącej
element strategicznej polityki bezpieczeństwa organizacji.
çÅ‚ ZarzÄ…dzanie bezpieczeÅ„stwem osobowym odnosi siÄ™ zarówno do ryzyka zwiÄ…zanego
z nieumyślnym błędem, jak i z zamierzonym, destrukcyjnym działaniem
pracowników. Dążeniem organizacji w tym obszarze jest odpowiedni dobór
pracowników, tworzenie odpowiednich rozwiązań, odpowiednie szkolenie,
motywowanie i dyscyplinowanie, mające na celu stworzenie właściwych warunków
pracy i współpracy. Zarządzanie tym obszarem jest również przedmiotem odrębnej
polityki bezpieczeństwa osobowego, składowej polityki bezpieczeństwa organizacji.
çÅ‚ ZarzÄ…dzanie bezpieczeÅ„stwem informacji ma gwarantować nienaruszalność reguÅ‚
poufności i dostępności informacji. Jest ono przedmiotem odrębnej polityki, jako
element składowy polityki bezpieczeństwa organizacji.
çÅ‚ ZarzÄ…dzanie bezpieczeÅ„stwem systemów informatycznych obejmuje elementy
dokładnie opisane pod względem technicznym i formalnym, do których można
zaliczyć:
11
Włodzimierz Mrozek Polityka bezpieczeństwa
" bezpieczeństwo sprzętu i okablowania,
" bezpieczeństwo oprogramowania systemowego i aplikacji,
" bezpieczne procedury zarządzania i eksploatacji poszczególnych produktów,
" ochronę przed nieuprawnionym dostępem i szkodliwym oprogramowaniem,
" rozwój, serwis i konserwację systemów (sprzęt, oprogramowanie, okablowanie),
" zgodność techniczną i prawną systemu.
çÅ‚ ZarzÄ…dzanie ciÄ…gÅ‚oÅ›ciÄ… dziaÅ‚ania za kluczowe elementy uznaje:
" zrozumienie ryzyka, przed którym stoi organizacja, mierzonego jego
prawdopodobieństwem i skutkami, w tym identyfikowanie i nadawanie priorytetów
krytycznym procesom biznesowym,
" zrozumienie wpływu, jaki przerwy w działaniu mogą wywierać na działalność
biznesową (ważne jest, aby znalez
ć rozwiązania możliwe do zastosowania
w przypadku mniejszych oraz poważnych incydentów, które mogą zagrozić
istnieniu organizacji na rynku) i ustalenie celów biznesowych dla systemów
przetwarzajÄ…cych informacje,
" rozważenie wykupienia odpowiedniego ubezpieczenia, które może stanowić część
procesu zapewnienia ciągłości działania,
" sformułowanie i opisanie strategii zapewnienia ciągłości działania, zgodnej
z ustalonymi celami i priorytetami biznesowymi,
" sformułowanie i opisanie planów zapewnienia ciągłości działania, zgodnych
z przyjętą strategią,
" regularne testowanie i aktualizację przyjętych planów i procesów,
" zapewnienie, że zarządzanie ciągłością działania jest włączone w procesy
i struktury organizacji.
Realizowanie polityki bezpieczeństwa operacyjnego wymaga nie tylko przestrzegania
określonych zasad bezpieczeństwa, ale przede wszystkim bieżącego analizowania
zagrożeń i korygowania istniejących rozwiązań oraz prognozowania przewidywanych
kierunków powstania zagrożeń związanych z wprowadzaniem nowych produktów, a także
doskonaleniem organizacji.
W polityce bezpieczeństwa zadaniem nadrzędnym jest zapewnienie, że dostęp do danych
i informacji będzie pewny i bezpieczny, oraz że dane nie zostaną w jakikolwiek sposób
zmodyfikowane. Z tego też powodu warto na informacje zgromadzone w organizacji
patrzeć przez pryzmat nośników, na jakich są one gromadzone i w ten sposób podchodzić
do analizy potencjalnych ryzyk, jakie mogą się pojawiać.
12
Włodzimierz Mrozek Polityka bezpieczeństwa
Informacje w organizacji, w zależności od ich przeznaczenia oraz potrzeb odbiorców,
mogą występować w różnej postaci, a mianowicie jako:
çÅ‚ NoÅ›niki papierowe  tabulogramy i wydruki obsÅ‚ugowe z systemu informatycznego,
różnego rodzaju potwierdzenia i wzory dokumentacji do póz
niejszego wypełnienia.
Informacja w nich zawarta jest z reguły prezentowana w sposób skondensowany
i wymaga pewnych nawyków i wiedzy, w celu jej pełnego wykorzystania. Wypełnione
wzorce majÄ… charakter jednostkowy i sÄ… stosunkowo Å‚atwo identyfikowalne.
Inne rodzaje nośników papierowych to różnego rodzaju druki i formularze, papier ze
znakami firmowymi i znakami wodnymi oraz papier specjalnego stosowania.
Informacje na tego typu nośnikach z reguły są potwierdzane w określony sposób, na
przykład traktuje się jako druki ścisłego zarachowania.
çÅ‚ NoÅ›niki magnetyczne  dyskietki, ZIP-y, dyski wymienne, taÅ›my magnetyczne,
taśmy magnetofonowe itp. Informacja na nich zawarta jest przedstawiana w sposób
nieczytelny bezpośrednio dla zmysłów człowieka, za wyjątkiem opisu formalnego
samego nośnika. Dotarcie do zgromadzonej na nośniku informacji wymaga użycia
odpowiednich urządzeń pośredniczących. Sama informacja może być w inny sposób
zabezpieczona, może być dodatkowo szyfrowana (tekst i dane) lub kodowana
(pakiety). Niebezpieczeństwo tkwi w opcji stosunkowo łatwego, wręcz
niezauważalnego kopiowania.
çÅ‚ NoÅ›niki optoelektroniczne  pÅ‚yty CD-R, CD-RW i inne. Informacja na nich zawarta
przedstawiana jest w sposób nieczytelny bezpośrednio dla zmysłów człowieka (za
wyjątkiem opisu formalnego samego nośnika), co wymaga użycia narzędzi
pośredniczących. Tego typu nośniki również charakteryzują się łatwością kopiowania
oraz możliwością zamiany (CD-RW) lub zniszczenia (CD-R, CD-RW).
çÅ‚ NoÅ›niki elektromagnetyczne  dyski komputerowe, zewnÄ™trzne pamiÄ™ci (karty
procesorowe, pamięci typu flash, wewnętrzne moduły pamięciowe  EPROM, SRAM,
DRAM) i inne. Informacja jest w nich przedstawiana w sposób nieczytelny
bezpośrednio dla człowieka, co wymaga użycia różnego rodzaju urządzeń
pośredniczących w celu jej wydobycia. Pamięci tego typu również umożliwiają ich
szybkie kopiowanie, ale już znacznie bardziej ograniczona jest możliwość zamiany lub
zniszczenia zapisu. Dla niektórych z tego typu pamięci konieczne są dodatkowe
uprawnienia.
çÅ‚ NoÅ›niki optyczne bezpoÅ›redniego odczytu  klisze, taÅ›my, mikrofisze
dokumentacyjne. Informacje prezentowane na tego typu nośnikach są bezpośrednio
dostępne dla człowieka i są stosunkowo łatwe do skopiowania. Nośniki tego typu są
natomiast stosunkowo trudne do bezpośredniego sfałszowania.
çÅ‚ Informacje w systemie informatycznym  pakiety sieciowe i dane przesyÅ‚ane sÄ…
w sposób nieczytelny dla użytkownika niewyposażonego w odpowiednie narzędzia.
13
Włodzimierz Mrozek Polityka bezpieczeństwa
Informacje można łatwo kopiować, a przy małej dbałości o sieć istnieje
niebezpieczeństwo niekontrolowanego rozsiewania informacji wewnątrz sieci.
çÅ‚ Informacje w postaci werbalnej  bezpoÅ›rednie lub okazjonalne usÅ‚yszenie rozmowy
miedzy osobami uprawnionymi przez osobę trzecią, która nie jest do tego
uprawniona. Ochroną przed tego typu niebezpieczeństwami są ustawiczne szkolenia
personelu i wyrabianie odpowiednich nawyków.
14
Włodzimierz Mrozek Polityka bezpieczeństwa
5. Polityka bezpieczeństwa  uniwersalne zasady
Na zakończenie omawiania zagadnień związanych z tworzeniem polityki bezpieczeństwa
warto podać kilka uniwersalnych zasad, jakie obowiązują w ochronie informacji:
çÅ‚ zasada uprawnionego dostÄ™pu  każdy z pracowników przeszedÅ‚ odpowiednie
szkolenie z zasad ochrony informacji, spełnia kryteria dopuszczenia do informacji
i podpisał stosowne oświadczenie o zachowaniu poufności,
çÅ‚ zasada przywilejów koniecznych  każdy pracownik posiada prawo dostÄ™pu do
informacji, ograniczone wyłącznie do tych, które konieczne są do wykonywania
powierzonych mu zadań,
çÅ‚ zasada wiedzy koniecznej  każdy pracownik posiada wiedzÄ™ o systemie, do którego
ma ograniczony dostęp (wyłącznie do zagadnień, które są konieczne do realizacji
powierzonych mu zadań),
çÅ‚ zasada usÅ‚ug koniecznych  organizacja Å›wiadczy tylko takie usÅ‚ugi, jakich wymagajÄ…
od niej jej klienci,
çÅ‚ zasada asekuracji  każdy mechanizm zabezpieczajÄ…cy musi być zabezpieczony
drugim, podobnym; w przypadkach szczególnych możliwe jest stosowanie
dodatkowych  trzecich  systemów zabezpieczających,
çÅ‚ zasada Å›wiadomoÅ›ci zbiorowej  wszyscy pracownicy sÄ… Å›wiadomi koniecznoÅ›ci
ochrony zasobów informacyjnych organizacji i aktywnie uczestniczą w tym procesie,
çÅ‚ zasada indywidualnej odpowiedzialnoÅ›ci  za bezpieczeÅ„stwo poszczególnych
elementów powierzonych danemu pracownikowi odpowiada on sam,
çÅ‚ zasada obecnoÅ›ci koniecznej  prawo przebywania w okreÅ›lonych obszarach
(strefach) mają tylko upoważnione osoby,
çÅ‚ zasada staÅ‚ej gotowoÅ›ci  system jest przygotowany na wszelkie zagrożenia,
niedopuszczalne jest tymczasowe wyłączanie mechanizmów zabezpieczających,
çÅ‚ zasada najsÅ‚abszego ogniwa  poziom bezpieczeÅ„stwa wyznacza najsÅ‚abszy
(najmniej zabezpieczony) jego element,
çÅ‚ zasada kompletnoÅ›ci  zabezpieczenie jest skuteczne tylko wtedy, gdy stosuje siÄ™
podejście kompleksowe, uwzględniające wszystkie stopnie i ogniwa ogólnie pojętego
procesu przetwarzania informacji,
çÅ‚ zasada ewolucji  każdy system musi ciÄ…gle dostosowywać mechanizmy wewnÄ™trzne
do zmieniających się warunków zewnętrznych i wewnętrznych,
çÅ‚ zasada odpowiedzialnoÅ›ci  używane mechanizmy ochrony muszÄ… być adekwatne do
sytuacji, w jakiej siÄ™ je stosuje,
çÅ‚ zasada akceptacji równowagi  podejmowane Å›rodki zaradcze nie mogÄ… przekraczać
poziomu akceptacji.
15
Włodzimierz Mrozek Polityka bezpieczeństwa
Podsumowanie
Stworzenie polityki bezpieczeństwa dla danej organizacji nie może przebiegać w sposób
rutynowy. Proces ten musi być poprzedzony analizą wszelkich możliwych zagrożeń dla
organizacji, inwentaryzacją aktualnego stanu i musi być dostosowany do konkretnej
organizacji. Polityka bezpieczeństwa musi być zbiorem takich zasad i reguł, które będą
akceptowalne i realizowalne przez wszystkich pracowników. Reguły i zasady będą
zapewniały z jednej strony prawidłową reakcję na pojawiający się w organizacji incydent
oraz będą na tyle elastyczne i łatwo modyfikowalne, że umożliwią dostosowanie do
zmieniających się warunków zewnętrznych i wewnętrznych.
Należy pamiętać, że istnienie w organizacji polityki bezpieczeństwa nie uchroni jej przed
stratami, jakie może wywołać incydent, jeśli nie będzie prowadzony proces
uświadamiania pracowników oraz jeśli nie będą stosowane pewne elementarne zasady
związane z bezpieczeństwem informacji.
16
Włodzimierz Mrozek Polityka bezpieczeństwa
Bibliografia
1. Lockhart Andrew, 2004: 100 sposobów na bezpieczeństwo sieci, Wydawnictwo Helion,
Gliwice.
2. Smith Ben, Komar Brian, 2003: Windows Security Resource Kit, Microsoft Security
Team, Microsoft Press, Warszawa.
3. Stokłosa J., Bilski T., Pankowski T., 2001: Bezpieczeństwo danych w systemach
informatycznych, WNT, Warszawa Poznań.
4. Schetina E., Green K., Carlson J., 2002: Bezpieczeństwo w sieci, Wydawnictwo
Helion, Gliwice.
5. Kaeo Merike, 2003: Tworzenie bezpiecznych sieci, Wydawnictwo Micom, Warszawa.
6. Miesięcznik WinSecurity Magazine.
7. Miesięcznik Hackin9.
8. Studio Info. Witryna internetowa. http://www.studioinfo.pl, stan z 17 lutego 2005 r.
9. Microsoft. Witryna internetowa. http://www.microsoft.com, stan z 17 lutego 2005 r.
17


Wyszukiwarka

Podobne podstrony:
2014 vol 09 UE i FR PORÓWNANIE SKUTECZNOŚCI PROWADZENIA POLITYKI BEZPIECZEŃSTWA ENERGETYCZNEGO [NA
2006 06 Analiza Naruszeń i Egzekwowanie Polityki Bezpieczeństwa
S Bielań Polityka bezpieczeństwa państwa
polityka bezpieczeństwa informacji
2014 vol 09 POLITYKA BEZPIECZEŃSTWA ENERGETYCZNEGO UNII EUROPEJSKIEJ W REGIONIE MORZA KASPIJSKIEGO
Europejska polityka bezpieczeństwa i obrony
2015 nr 33 Konflikt na Ukrainie – porażka czy szansa dla Wspólnej Polityki Bezpieczeństwa i Obrony U
Kaminski, Tomasz Miejsce Chin w polityce bezpiec
Polityka Bezpieczenstwa

więcej podobnych podstron