Bezpieczeństwo - Polityka bezpieczeństwa informacji
Polityka bezpieczeństwa informacji
Główne zagadnienia wykładu
Polityka Bezpieczeństwa Informacji jest zbiorem zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i
wykorzystaniu informacji w organizacji. Dotyczy ona całego procesu korzystania z informacji, niezależnie od sposobu jej
gromadzenia i przetwarzania.
Procedury zabezpieczania obejmują:
" systemy klasyczne (papierowe)  znane, wypracowane i stosowane regulaminy
" systemy komputerowe  nie opracowane lub niewystarczające zasady. W tej dziedzinie mamy do czynienia z
permanentną ewolucją technologii informatycznych. Trendy w TI zmieniają się bardzo często i systemy same
niosą pewne zagrożenia wynikające z ich awaryjności i przestarzałości.
Wstępem do tworzenia Polityki Bezpieczeństwa Informacji jest audyt bezpieczeństwa:
" Rozpoznanie problemu przetwarzania informacji w organizacji (przede wszystkim podstawa prawna).
" Rozpoznanie rodzajów informacji przetwarzanych w organizacji. Jedne informacje podlegają ochronie ze
względu na interes firmy, inne ze względu na przepisy prawa, jeszcze inne są jawne.
" Analiza obiegu poszczególnych grup informacji i rozpoznanie systemów przetwarzania informacji. Jakie warunki
musi spełnić system aby informacja się w nim znalazła i kto ma do niej dostęp?
" Analiza zagrożeń i ryzyka przetwarzania informacji. Dla grup informacji podlegających ochronie z mocy prawa,
należy przeprowadzić audyt zgodności ich przetwarzania z wymogami prawa.
" Ocena stosowanych systemów zabezpieczeń. Dobrą praktyką jest zlecenie tego zadania zewnętrznym
audytorom.
Podstawowe zasady przy planowaniu polityki bezpieczeństwa:
1. Świadomość strategii i bezpieczeństwa musi spływać z góry na dół w hierarchii organizacji. Władze organizacji
powinny traktować bezpieczeństwo jako tak samo ważne jak wszystko inne.
2. Efektywne bezpieczeństwo oznacza ochronę danych. Wszystkie strategie i procedury powinny więc odzwierciedlać
potrzeby ochrony danych niezależnie od przyjmowanej przez nie formy (dokumenty na dysku, wydrukowane,
przekazywane faksem czy przez telefon). Dane powinny być chronione niezależnie od nośnika, na którym występują.
Tworzenie polityki musi być realizowane wspólnym wysiłkiem personelu technicznego i decydentów. Personel
techniczny jest w stanie ocenić skutki różnych wariantów polityki oraz jej implementację. Decydenci są w stanie wymusić
wprowadzenie polityki w życie. Polityka, której nie można zaimplementować lub wdrożyć, jest nieużyteczna.
Kluczowym elementem polityki jest zapewnienie, aby każdy uświadomił sobie własną odpowiedzialność za
utrzymywanie bezpieczeństwa.
Polityka bezpieczeństwa  ocena ryzyka
" Co chronić ?
" Przed czym chronić ?
" Ile czasu, wysiłku, pieniędzy można poświęcić na zapewnienie ochrony?
Szacowanie ryzyka odgrywa bardzo ważną rolę podczas opracowywania strategii zapewnienia bezpieczeństwa. Do
szacowania ryzyka czasami wykorzystuje się specjalne programy, lub zatrudnia firmę konsultingową. Można również
przeprowadzić w firmie szereg zajęć warsztatowych. Wspólnie tworzona jest wówczas lista zasobów i zagrożeń.
Dodatkowym efektem jest wtedy wzrost świadomości zagrożeń wśród uczestników warsztatów.
Lista chronionych zasobów powinna być oparta na odpowiednim planie biznesowym i zdrowym rozsądku. Lista
powinna zawierać wszystko co przedstawia pewną wartość z punktu widzenia ewentualnych strat wynikających z
nieosiągniętych zysków, straconego czasu, wartości napraw i wymiany uszkodzonych elementów. Przy tworzeniu może
okazać się niezbędna:
- znajomość prawa,
- zrozumienie mechanizmów funkcjonowania firmy,
- znajomość zakresu polis ubezpieczeniowych.
Do elementów wymagających ochrony zalicza się zwykle:
środki materialne:
" komputery,
Opracował: Zbigniew SUSKI str. 1 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
" dyski, monitory, okablowanie komunikacyjne,
" nośniki kopii zapasowych (archiwa),
" wydruki,
" nośniki z oprogramowaniem,
" podręczniki,
" dane osobowe,
" dane audytu.
środki niematerialne:
" możliwość kontynuowania przetwarzania (zdolność do produkcji lub prowadzenia usług),
" wizerunek firmy (opinia o firmie),
" dostęp do komputera,
" hasła (zwłaszcza administratora),
" bezpieczeństwo i zdrowie pracowników,
" prywatność użytkowników,
" dobre imię klientów,
" dane konfiguracyjne.
Lista zagrożeń na jakie narażone są zasoby organizacji może obejmować:
" zagrożenia środowiskowe (pożar, trzęsienia ziemi, wybuchy bomb, wulkanów, powodzie),
" zdarzenia wyjątkowe (zawalenie się budynku, konieczność opuszczenia budynku w wyniku stwierdzenia
substancji toksycznych 9 azbest),
" zagrożenia ze strony pracowników,
" zagrożenia z zewnątrz.
Przykłady:
" choroby ważnych osób,
" epidemie,
" utrata kluczowych pracowników (śmierć, zwolnienie),
" utrata możliwości korzystania z łączy telekomunikacyjnych,
" krótko lub długotrwała utrata mediów (prąd, woda, telefon),
" uderzenie pioruna,
" powódz
,
" kradzież taśm lub dysków,
" kradzież komputera przenośnego,
" kradzież komputera domowego,
" infekcja wirusem komputerowym,
" bankructwo producenta komputerów (serwisanta),
" błędy w oprogramowaniu,
" destrukcja ze strony pracowników,
" destrukcja ze strony współpracowników innych firm,
" złośliwość przedmiotów martwych.
" terroryzm polityczny i ekonomiczny,
" przypadkowi włamywacze,
" użytkownicy wysyłający informacje do grup dyskusyjnych.
Po zdefiniowaniu listy zagrożeń należy wyznaczyć wymiar zagrożeń. Należy ocenić prawdopodobieństwo
wystąpienia każdego ze zdarzeń (np. w układzie rocznym). Zwykle jest to zadanie bardzo trudne. Takie oszacowania
mogą być dostępne w firmach ubezpieczeniowych. Wykonane szacunki trzeba okresowo weryfikować. Trzeba to również
robić przy każdej zmianie organizacyjnej (zmiana w działaniu lub strukturze organizacji).
Polityka bezpieczeństwa  analiza kosztów i zysków
Po oszacowaniu ryzyka, do każdego zagrożenia należy przypisać odpowiedni koszt i zestawić to wyliczenie z
kosztami ochrony. Takie postępowanie nazywamy analizą kosztów i zysków. W większości przypadków nie ma
potrzeby przypisywania dokładnych wartości kosztów do poszczególnych zagrożeń. Czasami wystarczy przedział. Należy
również wyliczyć koszty działań prewencyjnych, które odpowiadają poszczególnym pozycjom strat. Np. działaniem
prewencyjnym, zapobiegającym startom wynikłym z zaniku zasilania jest zakup i instalacja UPS a. Należy pamiętać o
amortyzacji kosztów w określonym czasie.
Opracował: Zbigniew SUSKI str. 2 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Ostatnim krokiem jest sporządzenie wielowymiarowej tablicy określającej zasoby, koszty i ewentualne straty. Dla
każdej straty określa się prawdopodobieństwo jej wystąpienia, przewidywaną wartość straty i koszt prewencji. Określenie,
czy zastosowana forma prewencji jest adekwatna -polega na pomnożeniu wartości straty przez prawdopodobieństwo
wystąpienia, posortowaniu wyników malejąco i porównaniu kosztów wystąpienia strat z kosztami prewencji.
Taka tabela może dostarczyć również listy zadań priorytetowych. Czasami wyniki są zaskakujące. Celem
powinno być unikanie dużych strat. Zwykle pożar i utrata kluczowych osób z personelu są bardziej prawdopodobne i
brzemienne w skutkach niż wirusy i włamania poprzez sieć. Natomiast uwagę przykuwają zwykle te ostatnie.
Bezpieczeństwa nie uzyskuje się za darmo. Im bardziej zaawansowane metody jego uzyskania, tym droższe.
Zwykle systemy bezpieczniejsze są również trudniejsze w eksploatacji.
Szacowanie ryzyka pomaga w umotywowaniu potrzeby przeznaczenia określonych środków finansowych na
zapewnienie bezpieczeństwa. Większość kadry menadżerskiej niewiele wie na temat komputerów, ale rozumie analizę
kosztów i zysków. Podobnie specjaliści od zabezpieczeń nie zawsze znają się na technikach analizy ryzyka.
Realizacja polityki bezpieczeństwa
Kwestie które należy uwzględnić w specyfikacji polityki bezpieczeństwa:
1. Kto jest uprawniony do korzystania z zasobów ?
2. Na czym polega właściwe korzystanie z zasobów ?
3. Kto jest uprawniony do przydzielania praw dostępu ?
4. Kto ma uprawnienia administratora ?
5. Jaki jest zakres uprawnień i odpowiedzialności użytkowników ?
6. Jakie są uprawnienia administratora w porównaniu do uprawnień zwykłych użytkowników ?
7. Co robić z informacjami szczególnie wrażliwymi ?
ad. 1. Utworzona lista powinna zawierać szczegółową specyfikację, kto jest uprawniony do korzystania z konkretnych
zasobów (w tym również usług).
ad. 2. Zasady właściwego korzystania z zasobów mogą być różnie sformułowane dla różnych grup użytkowników. Muszą
one jasno określać co jest dozwolone a co nie. Można również określić pewne ograniczenia w używaniu
zasobów. Można włączyć zdania z licencji oprogramowania.
ad. 3. Należy również określić jaki rodzaj praw dostępu może być przydzielany. Brak nadzoru nad przydzielaniem praw
dostępu zaowocuje brakiem nadzoru nad korzystaniem z systemu (kto może korzystać ?). W tym przypadku
może być wykorzystywanych kilka schematów postępowania. Należy rozważyć:
" Czy dystrybucja uprawnień jest realizowana centralnie (z jednego miejsca), czy w sposób
rozproszony ? Centralizacja ułatwia zapewnienie bezpieczeństwa.
" Jakie metody będą stosowane do zakładania kont i blokowania dostępu ? W przypadkach mniej
restrykcyjnych, ludzie nadający uprawnienia mogą mieć bezpośredni dostęp do systemu i zakładać konta
ręcznie lub przy pomocy ogólnie dostępnych narzędzi pomocniczych. Obdarza się ich w ten sposób dużym
zaufaniem. Przeciwne podejście polega na wykorzystaniu specjalnego zintegrowanego systemu zakładania
kont. Procedury zakładania kont powinny być dobrze zdefiniowane i udokumentowane, zrozumiałe dla
wykonawcy. Powinny być niewrażliwe na popełnianie błędów przez operatora.
ad. 4. Niektórzy użytkownicy będą żądali pewnych specjalnych uprawnień, wchodzących zwykle w zakres uprawnień
administratora. W tym przypadku należy stosować zasadę, że każdy powinien mieć tylko tyle uprawnień, aby
mógł realizować swoje zadania. I nic więcej.
ad. 5. W polityce powinny być zawarte jasne stwierdzenia odnośnie uprawnień i odpowiedzialności użytkowników. Inaczej
nie będą one przestrzegane. Należy rozważyć:
" Czy są potrzebne jakieś zastrzeżenia odnośnie konsumpcji zasobów przez użytkowników. Czy są w tym
względzie stosowane jakieś restrykcje wobec użytkowników ?
" Czy użytkownicy mogą współdzielić konta i czy użytkownicy mogą zezwalać innym na korzystanie ze swoich
kont ?
" W jaki sposób użytkownicy powinni chronić swoje hasła ?
" Jak często użytkownicy powinni zmieniać hasła i czy są potrzebne inne restrykcje w tym względzie ?
" Czy i kiedy powinno być realizowane składowanie centralne ? Czy użytkownicy realizują składowanie swoich
plików samodzielnie ?
" Czy nie zachodzi możliwość ujawnienia informacji zastrzeżonych ?
" Czy nie należy ograniczyć dostępu do list dyskusyjnych i niektórych budzących wątpliwości zasobów sieci ?
" Ograniczenia w zakresie komunikacji elektronicznej (np. forwarding).
" Czy nie należy umieścić w polityce wyjątków z dokumentów The Electronic Mail Association. Opublikowała
ona dokumenty odnośnie zapewnienia prywatności poczty użytkowników.
Opracował: Zbigniew SUSKI str. 3 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
ad. 6. Sprzeczność, która występuje pomiędzy koniecznością zachowania prywatności użytkowników, a wymaganiami
administratorów np. w zakresie diagnozowania występujących problemów musi być rozwiązana w drodze
kompromisu. Polityka powinna określać, w jakich przypadkach administrator może przeglądać pliki
użytkowników w celu diagnozowania występujących problemów lub z innych przyczyn. Należy odpowiedzieć na
pytania:
" Czy administrator może monitorować lub czytać pliki użytkowników bez wyraz
nie określonej przyczyny ?
" Jakie są w tym zakresie sankcje prawne ?
" Czy administrator sieci ma prawo do badania ruchu w sieci lub ruchu związanego z określonym hostem ?
ad. 7. Przed udostępnieniem użytkownikom swoich serwisów należy określić na jakim poziomie dane w systemie będą
chronione. Należy określić poziom wrażliwości danych, które użytkownicy mogą przechowywać. Nie należy
dopuszczać do przechowywania przez użytkowników bardzo wrażliwej informacji, gdyż będą problemy z jej
ochroną. Należy w tym zakresie uświadomić użytkowników i wskazać im inne sposoby przechowywania.
Metodologia TISM1
Wg metodologii TISM Przyjmuje się trzy podstawowe poziomy w hierarchii polityki bezpieczeństwa:
" Polityka Bezpieczeństwa Informacji  dokument główny
" Grupa Informacji
" System Przetwarzania
Poziom głównego dokumentu Polityki Bezpieczeństwa Informacji jest poziomem, na którym ustala się podstawowe
zasady ochrony informacji w organizacji. Na poziomie grupy informacji ustala się specyficzne wymagania ochrony dla
danej grupy informacji. Poziom systemu przetwarzania jest natomiast poziomem, na którym określa się spełnienie
wymagań wyższych poziomów przez system przetwarzania, w którym informacje z danej grupy się znajdą.
POLITYKA
Poziomy określenia
BEZPIECZEC
STWA
wymagań
INFORMACJI
GRUPY
INFORMACJI
Poziom spełnienia
SYSTEMY
wymagań PRZETWARZANIA
Rys. 1. Struktura polityki bezpieczeństwa wg TISM2.
Dokumenty polityki bezpieczeństwa tworzone na podstawie TISM mają strukturę hierarchiczną przedstawioną na rys. 2.
1
Total Information Security Management oraz skrót TISM jest przedmiotem rejestracji znaku towarowego w Głównym Urzędzie
Patentowym RP. Autorem metodologii TISM jest European Network Security Institute Sp. z o.o (www.ensi.net). Dokumentacja TISM
jest rozpowszechniana przez autora na zasadzie Licencji Darmowej Dokumentacji GNU - GNU Free Documentation Licence.
2
Zaczerpnięto z dokumentacji TISM.
Opracował: Zbigniew SUSKI str. 4 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Polityka Bezpieczeństwa
Polityka Bezpieczeństwa
Informacji
Informacji
Regulaminy
Polityka Grupy Polityka Grupy Polityka Grupy
Informacji Informacji Informacji
Polityka Systemu Polityka Systemu Polityka Systemu Polityka Systemu
Przetwarzania Przetwarzania Przetwarzania Przetwarzania
Procedury Procedury Procedury Procedury
Rys. 2. Hierarchia dokumentów w TISM3
Dokument główny powinien określać:
" Cel i zakres polityki bezpieczeństwa
" Podział informacji na jawne i zastrzeżone
" Dostęp do informacji zastrzeżonych
" Zarządzanie informacjami niejawnymi
" Przetwarzanie informacji zastrzeżonych
" Wymagania dla systemów przetwarzania informacji zastrzeżonych
" Sytuacje kryzysowe
" Obowiązki użytkowników informacji zastrzeżonych
" Obowiązki administratorów informacji
" Obowiązki administratorów bezpieczeństwa informacji
" Obowiązki administratorów systemów
Regulaminy skierowane są do różnych użytkowników i administratorów. Opisują zasady ochrony informacji, prawa i
obowiązki pracowników, zasady korzystania z poszczególnych środków technicznych przetwarzających informacje.
Zawierają oświadczenia, o zachowaniu tajemnicy oraz akceptacji zasad w nich zawartych, które podpisuje użytkownik
dopuszczony do informacji zastrzeżonych.
Można również utworzyć dokument określający politykę informowania mediów w przypadku incydentów
bezpieczeństwa.
Celem tego dokumentu jest ustalenie zasad informowania mediów w przypadku incydentów bezpieczeństwa wewnątrz
organizacji. W dokumencie są określone (zdefiniowane) incydenty bezpieczeństwa oraz sposoby postępowania i
informowania mediów w wyniku ich zajścia. Dokument powinien zawierać:
1. Listę osób upoważnionych do kontaktów z mediami
2. Sytuacje, w których media są informowane
3. Osobę zatwierdzającą komunikaty dla mediów
3
Zaczerpnięto z dokumentacji TISM.
Opracował: Zbigniew SUSKI str. 5 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Schemat dokumentu Polityki Bezpieczeństwa grupy informacji zastrzeżonych4
1. Cel:
Polityka bezpieczeństwa grupy informacji zastrzeżonych jest wypełnieniem założeń dokumentu głównego Polityki
Bezpieczeństwa Informacji w stosunku do danej grupy informacji zastrzeżonych.
2. Zakres
Określenie w stosunku do jakich informacji polityka ma zastosowanie (zdefiniowanie rodzajów i zakresu informacji
zastrzeżonych należących do tej grupy).
3. Dostęp do informacji
Określenie poszczególnych ról dostępu do danej grupy informacji.
(spis ról i ich uprawnień)
4. Zarządzanie informacją
Określenie:
1. Kto jest Administratorem grupy informacji: (imię, nazwisko, stanowisko lub wskazanie odpowiedniej uchwały Zarządu)
2. Kto jest Administratorem bezpieczeństwa grupy informacji: / imię, nazwisko, stanowisko lub wskazanie odpowiedniej
uchwały Zarządu /
5. Przetwarzanie informacji
Określenie w jakich systemach mogą być przetwarzane informacje zastrzeżone z tej grupy.
(Spis wszystkich dopuszczonych systemów)
6. Archiwizowanie informacji
Określenie systemu do tworzenia kopii bezpieczeństwa informacji zastrzeżonych należących do tej grupy.
7. Priorytety postępowania w sytuacjach kryzysowych
Określenie priorytetów postępowania w sytuacjach kryzysowych dla tej grupy.
Schemat dokumentu Polityki bezpieczeństwa systemu przetwarzania grupy informacji
zastrzeżonych5
1. Cel
Polityka bezpieczeństwa systemu przetwarzania jest wypełnieniem założeń dokumentu głównego Polityki
Bezpieczeństwa Informacji oraz Polityki Bezpieczeństwa danej grupy informacji zastrzeżonych przez system
przetwarzania tej grupy informacji zastrzeżonych.
2. Zakres
Określenie w stosunku do jakich elementów systemu oraz osób uczestniczących w systemie polityka ma zastosowanie.
3. Schemat systemu
Opis poszczególnych elementów systemu (schemat, dokumentacja).
4. Kontrola dostępu
Określenie:
1. Czy system zapewnia, że do informacji zastrzeżonych mają dostęp wyłącznie upoważnione osoby poprzez
zaimplementowane systemy:
1.1. Ochrony logicznej przy pomocy np. kont i haseł
1.2. Ochrony fizycznej
4
Zaczerpnięto z dokumentacji TISM.
5
Zaczerpnięto z dokumentacji TISM
Opracował: Zbigniew SUSKI str. 6 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
2. Czy system zapewnia, że upoważnione osoby mogą wykonywać wyłącznie dopuszczone operacje?
3. Czy wszystkie konta zdefiniowane w systemie mają określony czas ważności?
4. Czy wszyscy użytkownicy systemu zapoznali się i podpisali odpowiednie regulaminy użytkownika?
5. Czy wszelkie podzespoły, na których mogły być zapisane informacje zastrzeżone są przed opuszczeniem systemu
kasowane (naprawa, zniszczenie itp.)?
5. Integralność
Określenie:
1. Czy system składa się wyłącznie z dopuszczonych do systemu elementów?
2. Czy system przed rozpoczęciem pracy przeszedł pomyślnie kontrolę bezpieczeństwa i jego konfiguracja została
zatwierdzona?
3. Czy Stan systemu jest przez cały czas eksploatacji pod kontrolą?
3.1. Kontrola antywirusowa
3.2. Kontrola instalacji i wymiany podzespołów i oprogramowania
3.3. Kontrola integralności oprogramowania
6. Jednoznaczność operacji
Określenie:
1. Czy system w jednoznaczny sposób umożliwia identyfikację osób, które dokonały zmiany w informacji zastrzeżonej
2. W jakiej postaci są dostępne informacje umożliwiające identyfikację osób dokonujących zmian w informacji
zastrzeżonej
7. Zarządzanie bezpieczeństwem
Określenie:
1. Czy system posiada mechanizmy pozwalające wykryć próby nieautoryzowanego dostępu do informacji
zastrzeżonych lub wykonania nieuprawnionych operacji:
8. Zarządzanie informacją
Określenie:
1. Czy system zapewnia integralność danych przez cały czas przechowywania informacji.
2. Czy system posiada mechanizmy bezpowrotnego niszczenia informacji
9. Administrator systemu i administrator bezpieczeństwa systemu
Określenie:
1. Kto jest Administratorem systemu: /dane personalne lub wskazanie odpowiedniej uchwały Zarządu /
2. Kto jest Administratorem bezpieczeństwa systemu: /dane personalne lub wskazanie odpowiedniej uchwały Zarządu /
10. Okresowe audyty bezpieczeństwa zlecane przez Zarząd firmy
Określenie:
1. Czy system przechodzi okresowe audyty bezpieczeństwa zlecane przez Zarząd /częstość ich przeprowadzania/
2. Gdzie są dostępne dokumenty z okresowych audytów bezpieczeństwa zlecanych przez Zarząd.
11. Sytuacje kryzysowe
Określenie działań:
1. Powoływanie sztabu kryzysowego
2. Ustalenie działań i przyjęcie priorytetów (w kolejności ważności):
2.1. Zabezpieczenie informacji przed nieautoryzowanym dostępem
2.2. Zachowanie ciągłości działania
2.3. Zabezpieczenie informacji przed utratą
2.4. Ujęcie sprawców
3. Podanie listy stworzonych odpowiednich procedur dla przewidzianych sytuacji kryzysowych, np.:
3.1. Włamanie do systemu (nieautoryzowany dostęp)
3.2. Nadużywanie dostępnych praw
3.3. Następne sytuacje .....
Opracował: Zbigniew SUSKI str. 7 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Schemat uniwersalnej procedury zakładania/modyfikacji/usuwania konta dostępu w systemie
przetwarzania grup informacji zastrzeżonych6
CEL PROCEDURY
Celem niniejszej procedury jest określenie warunków i sposobu zakładania/modyfikacji/usuwania konta w systemie
przetwarzania (nazwa)w sposób bezpieczny i kontrolowany, zgodnie z założeniami Polityki Bezpieczeństwa Informacji
WYMAGANIA
Istnienie następujących ról w strukturze firmy:
(Role te są opisane w Dokumencie Głównym Polityki Bezpieczeństwa)
" Główny Administrator Bezpieczeństwa Informacji (GABI)
" Administrator Informacji (AI) dla wszystkich grup informacji przetwarzanych w systemie przetwarzania
" Administrator Bezpieczeństwa Informacji (ABI) dla wszystkich grup informacji przetwarzanych w systemie
przetwarzania
" Administrator Bezpieczeństwa Systemu (ABS) systemu przetwarzania
ZAKRES STOSOWANIA
Pracownicy działu (nazwa) firmy (nazwa)
OPIS
Procedura ma zapewnić, że zakładanie/modyfikacja/usuwanie konta w systemie przetwarzania (nazwa) odbywać się
będzie w sposób zgodny z Polityką Bezpieczeństwa Informacji firmy (nazwa)
WEJŚCIE
Właściwie wypełniony wniosek (tzw.WZMUK) o założenie/modyfikację/usunięcie atrybutów konta w systemie
przetwarzania(nazwa)
WYJŚCIE
Założone/zmodyfikowane/usunięte konto w systemie przetwarzania (nazwa)
STANDARD
Formularz  WZMUK
 Wykaz praw dostępu do informacji
Standard Przesyłania Haseł - Standardy
Rejestr Użytkowników Grupy Informacji - Standardy
Rejestr Użytkowników Systemu Przetwarzania  Standardy
Księga podpisów i pieczęci  Standardy
Standard Komunikacji miedzy AI, ABI, ABS, GABI  Standardy
PROCES
1. Sprawdzić autentyczność podpisów ABI w Księdze Podpisów i Pieczęci
1.1. W przypadku braku zgodności skontaktować się osobiście z ABI w celu wyjaśnienia niezgodności.
2. Dokonać modyfikacji konta zgodnie z wytycznymi w  WZMUK otrzymanym od ABI.
KONIEC PROCEDURY
Literatura:
1. S.Garfinkel, G.Spafford. Practical Unix and Internet Security. O Reilly & Associates 1996 (tłum. RM 1997).
2. V.Ahuja. Network & Internet Security. Academic Press 1996 (tłum. MIKOM 1997).
3. D.Atkins. Internet Security: Professional Reference. New Riders Publishing 1997 (tłum. LT&P 1997)
4. L.Klander. Hacker Proof. Jamsa Press, 1997 (tłum. MIKOM 1998).
6
Zaczerpnięto z dokumentacji TISM
Opracował: Zbigniew SUSKI str. 8 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Bezpieczeństwo  tworzenie polityki bezpieczeństwa
Tworzenie polityki
Podczas tworzenia polityki bezpieczeństwa należy
rozważyć następujące kwestie:
8.Kto jest uprawniony do korzystania z zasobów ?
9.Na czym polega właściwe korzystanie z zasobów ?
10.Kto jest uprawniony do przydzielania praw dostępu
?
11.Kto ma uprawnienia administratora ?
12.Jaki jest zakres uprawnień i odpowiedzialności
użytkowników ?
13.Jakie są uprawnienia administratora w porównaniu
do uprawnień zwykłych użytkowników ?
14. Co robić z informacjami wrażliwymi ?
POLI 04
Opracował: Zbigniew SUSKI str. 9 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Bezpieczeństwo  tworzenie polityki bezpieczeństwa
Tworzenie polityki
Podczas tworzenia polityki bezpieczeństwa należy
rozważyć następujące kwestie:
15.Kto jest uprawniony do korzystania z zasobów ?
16.Na czym polega właściwe korzystanie z zasobów ?
17.Kto jest uprawniony do przydzielania praw dostępu
?
18.Kto ma uprawnienia administratora ?
19.Jaki jest zakres uprawnień i odpowiedzialności
użytkowników ?
20.Jakie są uprawnienia administratora w porównaniu
do uprawnień zwykłych użytkowników ?
21. Co robić z informacjami wrażliwymi ?
POLI 08
Opracował: Zbigniew SUSKI str. 10 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Bezpieczeństwo  tworzenie polityki bezpieczeństwa
Norma regulująca sporządzanie kopii zapasowych
Kopie zapasowe będą sporządzane regularnie z działających programów i
wykorzystywanych danych. Pod żadnym pozorem kopie nie mogą być sporządzane
rzadziej niż raz na 48 godzin normalnej działalności firmy. Wszystkie dane archiwalne
powinny być przechowywane przynajmniej przez 6 miesięcy. Kopie ze stycznia i lipca
każdego roku będą przechowywane stale w zabezpieczonym miejscu poza siedzibą
firmy. W każdym tygodniu będzie sporządzana przynajmniej jedna kopia całego systemu.
Wszystkie nośniki archiwalne będą zgodne z odpowiednimi normami i będą się nadawały
do odczytania przynajmniej przez 5 lat po dokonani na nich zapisu.
Norma dotyczaca uwierzytelniania
Dostęp do wszystkich kont w każdym komputerze używanym przez wiele osób będzie
miała tylko jedna upoważniona osoba. Osoba ta będzie musiała udowodnić swoją
tożsamość przed systemem. Dowodem tożsamości będzie zatwierdzona karta
identyfikacyjna działająca na podstawie zatwierdzonego systemu haseł jednorazowych
oraz urządzenia biometrycznego. Haseł wielokrotnych nie będzie się używać do
weryfikacji tożsamości użytkowników w przypadku komputera, który bywa podłączany do
sieci zewnętrznej lub modemu, który jest przenośny, wynoszony poza firmę, lub używany
prywatnie.
POLI 09
Opracował: Zbigniew SUSKI str. 11 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Bezpieczeństwo  tworzenie polityki bezpieczeństwa
Procedura sporządzania kopii zapasowych
Kopie zapasowe w komputerach z systemem operacyjnym UNIX
powinny być wykonywane za pomocą programu dump. Archiwizacje
powinny być robione w nocy, a w przypadku komputerów działających
24 godziny na dobę  w trybie pojedynczego użytkownika.
Archiwizacje w systemach całodobowych powinno się przeprowadzać
podczas zmiany, która jest najbliższa północy, podczas najmniejszego
obciążenia systemu. Dane zapisane na nośnikach należy odczytać w
celu zweryfikowania ich poprawności.
Pierwsza archiwizacja w styczniu i lipcu będzie zrzutem zerowym.
Archiwizacje na poziomie 3 powinny być wykonywane w pierwszym i
piętnastym dniu każdego miesiąca. Archiwizacje na poziomie 5
powinny być wykonywane w każdy poniedziałek i czwartek, chyba że w
tych dniach jest realizowana archiwizacja na poziomie 3 lub 0. Co noc,
nie licząc świat, należy przeprowadzać archiwizację na poziomie 7.
Raz w tygodniu administrator wybierze losowo plik z kopii
zapasowej wykonanej w poprzednim tygodniu. W ramach testowania
prawidłowości procedur archiwizacyjnych, operator będzie musiał
odtworzyć plik wskazany przez operatora.
POLI 10
Opracował: Zbigniew SUSKI str. 12 / 12


Wyszukiwarka

Podobne podstrony:
2014 vol 09 UE i FR PORÓWNANIE SKUTECZNOŚCI PROWADZENIA POLITYKI BEZPIECZEŃSTWA ENERGETYCZNEGO [NA
2006 06 Analiza Naruszeń i Egzekwowanie Polityki Bezpieczeństwa
S Bielań Polityka bezpieczeństwa państwa
polityka bezpieczeństwa informacji
2014 vol 09 POLITYKA BEZPIECZEŃSTWA ENERGETYCZNEGO UNII EUROPEJSKIEJ W REGIONIE MORZA KASPIJSKIEGO
Europejska polityka bezpieczeństwa i obrony
2015 nr 33 Konflikt na Ukrainie – porażka czy szansa dla Wspólnej Polityki Bezpieczeństwa i Obrony U
Polityka bezpieczeństwa
Kaminski, Tomasz Miejsce Chin w polityce bezpiec

więcej podobnych podstron