Audyt bezpieczeństwa informacji w praktyce

IDZ DO
IDZ DO
PRZYKŁADOWY ROZDZIAŁ
PRZYKŁADOWY ROZDZIAŁ
Audyt bezpieczenstwa
SPIS TRERCI
SPIS TRERCI
informacji w praktyce
KATALOG KSIĄŻEK
KATALOG KSIĄŻEK
Autor: Tomasz Polaczek
ISBN: 83-246-0402-2
KATALOG ONLINE
KATALOG ONLINE
Format: B5, stron: około 126
ZAMÓW DRUKOWANY KATALOG
ZAMÓW DRUKOWANY KATALOG
TWÓJ KOSZYK
TWÓJ KOSZYK
Rozpoczęła się era społeczeństwa informacyjnego. DziałalnoSć coraz większej
DODAJ DO KOSZYKA
DODAJ DO KOSZYKA
liczby organizacji i firm zależy od szybkiego i efektywnego przetwarzania informacji.
Informacja stała się cennym, często wykradanym towarem. Zagrożeniem dla
bezpieczeństwa danych są nie tylko crackerzy, lecz często także pracownicy firmy,
CENNIK I INFORMACJE
CENNIK I INFORMACJE
którzy nieSwiadomie udostępniają zastrzeżone informacje osobom trzecim.
Upowszechnienie informacji, będących tajemnicą lub własnoScią intelektualną
ZAMÓW INFORMACJE
ZAMÓW INFORMACJE
i handlową firmy lub instytucji, może oznaczać utratę reputacji, zakończenie
O NOWORCIACH
O NOWORCIACH
działalnoSci na rynku lub nawet wywołać kłopoty natury prawnej. Z tych powodów
informację trzeba należycie chronić oraz odpowiednią nią zarządzać.
ZAMÓW CENNIK
ZAMÓW CENNIK
Książka Audyt bezpieczeństwa informacji w praktyce przedstawia praktyczne
aspekty wdrażania i realizowania polityki ochrony danych. Opisuje zarówno regulacje
prawne, jak i normy ISO traktujące o bezpieczeństwie informacji. Zawiera informacje
CZYTELNIA
CZYTELNIA
o odpowiednim zarządzaniu systemami przechowywania danych, fizycznym
FRAGMENTY KSIĄŻEK ONLINE
FRAGMENTY KSIĄŻEK ONLINE
zabezpieczaniu miejsc, w których znajdują się noSniki danych, oraz szkoleniu
użytkowników systemów.
" Normy ISO i PN dotyczące ochrony informacji
" Planowanie polityki bezpieczeństwa
" Umowy o zachowaniu poufnoSci
" Zabezpieczanie budynku i pomieszczeń
" Tworzenie procedur eksploatacji sprzętu i systemów
" Ochrona sieci przed programami szpiegującymi
" Zarządzanie dostępem użytkowników do systemu
Odpowiednio zaplanowane procedury ochrony danych mogą uchronić
przedsiębiorstwo przed poważnymi problemami. Wykorzystaj wiadomoSci zawarte
w tej książce i wprowadx podobne procedury w swojej firmie.
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
O autorze ........................................................................................................................... 5
Wstęp ................................................................................................................................ 7
Zezwolenie ........................................................................................................................ 9
Od autora ........................................................................................................................11
Podstawowe założenia polityki bezpieczeństwa informacji ...........................................13
Czym jest informacja .............................................................................................................. 13
Gdzie przechowujemy informacje .......................................................................................... 14
Informacja w świetle regulacji prawnych ................................................................................ 15
Zasady audytu ........................................................................................................................ 15
Norma ISO/IEC TR 13335 ...................................................................................................... 19
Zarządzanie bezpieczeństwem informacji ......................................................................23
Polityka bezpieczeństwa informacji ........................................................................................ 23
Co powinna zawierać polityka bezpieczeństwa informacji .................................................... 24
Czego nie powinna zawierać polityka bezpieczeństwa informacji ......................................... 25
Utworzenie infrastruktury bezpieczeństwa informacji ........................................................... 25
Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji ...................... 26
Autoryzacja urządzeń do przetwarzania informacji ............................................................... 26
Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji ........................................ 27
Współpraca między organizacjami ......................................................................................... 28
Niezależne przeglądy stanu bezpieczeństwa informacji ....................................................... 28
Zabezpieczenie przed dostępem osób trzecich ..................................................................... 29
Zlecenie przetwarzania danych firmom zewnętrznym ............................................................ 33
Klasyfikacja i kontrola aktywów ......................................................................................35
Rozliczanie aktywów .............................................................................................................. 35
Klasyfikacja informacji ............................................................................................................ 37
Bezpieczeństwo osobowe ...............................................................................................39
Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi 39
Szkolenie użytkowników ......................................................................................................... 43
Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu ........... 44
Bezpieczeństwo fizyczne i środowiskowe ......................................................................47
Fizyczny obwód zabezpieczający .......................................................................................... 48
Zabezpieczenie sprzętu .......................................................................................................... 54
Ogólne zabezpieczenia .......................................................................................................... 59
Zarządzanie systemami informatycznymi i sieciami komputerowymi ............................63
Procedury eksploatacyjne oraz okres odpowiedzialności ...................................................... 63
Planowanie i odbiór systemu .................................................................................................. 67
Ochrona przed szkodliwym oprogramowaniem ..................................................................... 69
Procedury wewnętrzne ........................................................................................................... 71
Zarządzanie sieciami .............................................................................................................. 73
Postępowanie z nośnikami i ich bezpieczeństwo ................................................................... 74
Wymiana danych i oprogramowania ...................................................................................... 77
Kontrola dostępu do systemu .........................................................................................85
Potrzeby biznesowe związane z dostępem do informacji ..................................................... 85
Zarządzanie dostępem użytkowników ................................................................................... 86
Zakres odpowiedzialności użytkowników ............................................................................... 89
Kontrola dostępu do sieci ....................................................................................................... 91
Kontrola dostępu do systemów operacyjnych ....................................................................... 94
Kontrola dostępu do aplikacji ................................................................................................. 97
Monitorowanie dostępu do systemu i jego wykorzystywania ................................................. 98
Komputery przenośne i praca zdalna ................................................................................... 100
Zabezpieczenia kryptograficzne ........................................................................................... 103
Zarządzanie ciągłością działania organizacji w sytuacji krytycznej ..................................... 105
Zgodność ............................................................................................................................. 111
Przegląd polityki bezpieczeństwa informacji i zgodności technicznej .................................. 114
Skorowidz ..................................................................................................................... 115
4 SPI S TREŚ CI
Sieci komputerowe, a właściwie wszelakie systemy informatyczne, stały się
już niezbędne zarówno przy wykonywaniu czynności służbowych, jak rów-
nież w życiu prywatnym. W rzeczywistości bez tego dobrodziejstwa techniki
trudno się obyć. Przykładowo, coraz częściej sieci komputerowe służą do do-
konywania zakupów. Siecią przesyła się wszelakie informacje i dane te
ważne i te mniej istotne. Systemy informatyczne z kolei dane te przetwarzają
i przechowują. Oczywistym jest, że aby służyły one w należyty i przede
wszystkim w bezpieczny sposób, trzeba zapewnić ich odpowiednią obsługę
i poprawnie zarządzać nimi.
Bardzo istotnym elementem systemu bezpieczeństwa informacji jest staranne
zabezpieczenie sieci komputerowych i systemów informatycznych przed oso-
bami niepowołanymi. W tym celu podobnie jak w przypadku innych sys-
temów trzeba wprowadzić odpowiednie procedury eksploatacyjne.
Procedury eksploatacyjne
oraz okres odpowiedzialności
Informacja jest wykorzystywana za pomocą różnego typu urządzeń. Skoro
tak się dzieje, oznacza to również konieczność zabezpieczenia tych urządzeń.
W tym przypadku oczywistą sprawą jest sprecyzowanie odpowiednich pro-
cedur zarządzania tymi urządzeniami oraz zakresów odpowiedzialności za te
urządzenia oraz informacje w nich przechowywane lub przetwarzane. Należy
również wdrożyć procedury reagowania na incydenty związane z uszkodze-
niem takich urządzeń bądz niewłaściwym ich użytkowaniem, co może się
przyczynić do uszkodzenia sprzętu lub utraty przechowywanych danych.
Dokumentowanie procedur eksploatacyjnych
Procedury zawarte w polityce bezpieczeństwa informacji powinny być ogól-
nodostępne dla wszystkich osób w organizacji jest to warunek sprawnego
funkcjonowania całego systemu. Jak wspomniałem we wcześniejszych rozdzia-
łach tej książki, poszczególne procedury powinny być opracowane w sposób
ściśle odpowiadający specyfice pracy na danych stanowiskach, jednak istnieją
jeszcze procedury ogólnodostępne, skierowane do wszystkich pracowników
organizacji. Istnieje przecież wiele urządzeń, wykorzystywanych przez prak-
tycznie wszystkie osoby w firmie do przeglądania, przesyłania, przechowy-
wania czy przetwarzania informacji. Sposób posługiwania się tym sprzętem
i zasady ochrony informacji z nim związanej powinny zatem zostać precy-
zyjnie określone w odpowiednich procedurach. Do takich procedur należą
właśnie m.in. procedury eksploatacyjne. Oczywiście, należy je odpowiednio
dokumentować i przechowywać. Każda z tych procedur powinna zawierać
dokładną instrukcję postępowania z określonymi urządzeniami oraz z infor-
macją w nich zawartą lub przetwarzaną.
Podczas codziennej pracy bardzo często dochodzi do incydentów, które po-
tencjalnie mają wpływ na jakość pracy lub na bezpieczeństwo przetwarzanych
danych. Oczywiście, te zdarzenia są spowodowane różnymi przyczynami,
np. błędnym działaniem aplikacji lub niepoprawną pracą systemu informa-
tycznego. W takich przypadkach, gdy praca zostanie zakłócona przez np. zle
działający system informatyczny, procedury powinny mówić m.in. o obsłudze
technicznej i sposobie uzyskania pomocy działu lub firmy zajmującej się
utrzymaniem bądz serwisem struktur informatycznych. Poza tym należy rów-
nież udokumentować procedury ponownego uruchomienia systemu bądz jego
odtworzenia w przypadku awarii.
Kontrola zmian w eksploatacji
W przypadku każdego systemu informatycznego na porządku dziennym jest
dokonywanie zmian, aktualizacji zabezpieczeń lub innych czynności związanych
z podniesieniem wydajności działania sprzętu i oprogramowania. Wszystkie
tego typu zmiany powinny być starannie dokumentowane, co ułatwia zapo-
bieganie awariom systemu lub przynajmniej pozwala na odpowiednio szybkie
zdiagnozowanie przyczyn jego uszkodzenia. Każda zmiana czy aktualizacja
64 ROZDZI AA 6. ZARZDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI
jest przeprowadzana ze względu na konieczność lub chęć usprawnienia całego
systemu czy aplikacji, ale nie zawsze zamierzony cel jest osiągany. Dlatego też
w dokumentacji odnoszącej się do dokonywanych zmian, powinny znalezć
się informacje o ewentualnych następstwach danej modyfikacji lub zmiany.
Trzeba również uzyskać pisemnie potwierdzone pozwolenie od kierownika
działu lub od upoważnionego członka kierownictwa organizacji na dokona-
nie tego typu czynności. Ponadto należy zdefiniować procedury przywracania
systemu do pierwotnego stanu w przypadku problemów występujących w efek-
cie tego typu zmian.
Procedury zarządzania incydentami
związanymi z bezpieczeństwem
Jeśli w organizacji dojdzie do jakiegoś incydentu związanego z naruszeniem
prawidłowego funkcjonowania systemu lub zdarzenia mającego bezpośredni
wpływ na bezpieczeństwo informacji, należy zastosować wcześniej przygo-
towane, odpowiednie procedury, które zapewnią szybką reakcję. Przykładem
takiego incydentu w przypadku systemów informatycznych są ataki typu
DoS (Denial of Service), co można przetłumaczyć jako odmowa obsługi. Tego
typu ataki na systemy informatyczne powtarzają się coraz częściej. Często
również mówi się o błędach w oprogramowaniu, które umożliwiają prowa-
dzenie ataków typu DoS. Dobrze przeprowadzony atak na sieć informatyczną
może spowodować jej całkowity paraliż, trwający nawet kilka dni lub tygo-
dni w przypadku rzeczywiście rozległych sieci. Ataki te mają również bezpo-
średni wpływ na bezpieczeństwo przechowywanych danych. Oczywiście, ist-
nieją techniki zabezpieczania się przed atakami, ale nigdy nie są one w stu
procentach skuteczne.
Organizacja powinna przygotować i wdrożyć odpowiednie procedury, które
obejmują wszystkie takie potencjalne incydenty, mające wpływ na utratę do-
stępności, poufności i integralności przechowywanych informacji. Procedury
te powinny również uwzględnić plan działania, w tym sporządzenie nie-
zbędnych analiz związanych z rozpoznaniem natury incydentu oraz jego
przyczyn. Trzeba również umieć zaplanować i wdrożyć odpowiednie środki
zaradcze, aby ograniczyć do minimum możliwość pojawienia się podobnego
zdarzenia w przyszłości (warto podkreślić, że nie zawsze można zabezpieczyć
system w całkowicie skuteczny sposób).
Następną czynnością jest zebranie wszelkich informacji bądz śladów związa-
nych z zaistniałym incydentem. Ma to na celu zminimalizowanie prawdopo-
dobieństwa wystąpienia podobnego zdarzenia w przyszłości oraz ewentualne
wykrycie sprawcy lub przyczyny zaistnienia incydentu.
PROCEDURY EKSPLOATACYJNE ORAZ OKRES ODPOWI EDZI ALNOŚ CI 65
W przypadku stwierdzenia, że zródłem incydentu było niewłaściwe zarzą-
dzanie systemem bądz dostęp osoby nieuprawnionej do określonej jego części,
należy wdrożyć bardziej restrykcyjne procedury dostępowe. Przykładowo,
każdorazowe uzyskanie dostępu lub praca przy systemie powinny podlegać
starannej rejestracji. Oczywiście, można by tu przytoczyć o wiele więcej po-
tencjalnych sposobów dokładniejszego zabezpieczenia przechowywanych in-
formacji, jednak byłoby to niecelowe, gdyż większość z nich wiąże się ze spe-
cyfiką działania organizacji oraz innych czynników.
Podział obowiązków
Mówiąc o naruszeniach bezpieczeństwa danych, o utracie poufności, dostęp-
ności i integralności chronionej informacji, w większości przypadkach opi-
suje się zamierzone ataki, spowodowane czy to zemstą zwolnionych pracowni-
ków, czy też chęcią uzyskania profitów finansowych bądz innych, przykładowo,
wynikających z przekazania informacji konkurencji. Mimo to poza tymi
wszystkimi przypadkami, częstą przyczyną incydentów jest również zwykła
ludzka nieuwaga lub pomyłka.
Niezależnie od powyższego, ważną częścią polityki bezpieczeństwa informa-
cji jest wprowadzenie podziału obowiązków, gdyż to jest dobra metoda zmi-
nimalizowania ryzyka zaistnienia incydentu bądz wystąpienia pomyłek.
Jednym z istotnych zaleceń jest zwracanie większej uwagi na pojedyncze zda-
rzenia, wynikające z błędów jednej osoby. Nawet niewielkie pomyłki mogą
mieć duży wpływ na szereg zdarzeń, których konsekwencją może być, przy-
kładowo, utrata danych.
Oczywiście, nie można wykluczyć zmowy grupy pracowników. Zmowa taka
może spowodować utratę chronionej informacji lub duże straty finansowe.
Aby zapobiec takim zdarzeniom, należy bardziej rozgraniczyć obowiązki pra-
cowników poszczególnych grup, np. działu zajmującego się wysyłką towaru,
działu finansowego itd.
Oddzielenie urządzeń produkcyjnych
od znajdujących się w fazie rozwoju
Niektóre organizacje doskonalą swoje systemy informatyczne w celu zwięk-
szenia ich wydajności bądz też zwiększenia swojej konkurencyjności. Jeśli
w jednostce funkcjonują działy zajmujące się badaniami rozwojowymi, to
ich sprzęt, oprogramowanie, a nawet cała sieć komputerowa powinny zostać
66 ROZDZI AA 6. ZARZDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI
odizolowane od pozostałej infrastruktury informatycznej. Jeśli takie rozgra-
niczenie nie zostanie wykonane, konsekwencją tego stanu rzeczy mogą być
poważne komplikacje w pracy oprogramowania, systemu lub nawet całej in-
frastruktury.
Celom badawczym powinny służyć osobne domeny lub poddomeny, które
zostaną starannie zabezpieczone i oddzielone od pozostałych systemów, niewy-
korzystywanych podczas badań. W ten sposób można uchronić się przed nie-
przewidzianymi sytuacjami, które mogą ujemnie wpływać na funkcjonalność
całego systemu.
Zarządzanie urządzeniami przez firmy zewnętrzne
Ostatnimi czasy zlecanie usług informatycznych firmom zewnętrznym stało
się częstą praktyką. Jest to dobry sposób zmniejszania kosztów oraz odpo-
wiedzialności związanych z utrzymaniem własnego systemu informatycznego.
Firma, która zleciła obsługę informatyczną innemu przedsiębiorstwu, nie musi
się martwić o awarie, zabezpieczenia przed wirusami, krakerami oraz o na-
prawę i wdrażanie sprzętu i oprogramowania. Jest to wygodna forma pracy,
lecz również niebezpieczna, jeśli chodzi o zachowanie poufności, dostępności
i integralności chronionych informacji. Zlecanie obsługi informatycznej ze-
wnętrznej firmie stanowi potencjalnie duże ryzyko, przed którym trzeba się
należycie zabezpieczyć. Oczywiście, jednym z możliwych zabezpieczeń jest
starannie sporządzona umowa między firmami, ale umowa nie daje stupro-
centowej pewności bezpieczeństwa chronionych danych ani nie zagwarantuje
uczciwości strony pracowników firmy świadczącej usługę. Dlatego też należy
m.in. zdefiniować czynności, które mogą i powinny być wykonywane przez
pracowników organizacji, który sprzęt powinien być serwisowany w firmie,
a jaki może zostać przeniesiony poza siedzibę jednostki. Oczywiście, przed-
stawiciele firmy zewnętrznej, tacy jak serwisanci, inżynierowie systemowi oraz
inne osoby wchodzące w skład obsługi technicznej, powinni zostać zapoznani
z obowiązującymi procedurami bezpieczeństwa informacji. Należy też opra-
cować i wdrożyć procedury zgłaszania oraz przyjmowania zgłoszeń przez
pracowników.
Planowanie i odbiór systemu
Aby zminimalizować ryzyko awarii systemów informatycznych, należy za-
planować oraz zapewnić odpowiednie zasoby sprzętowe (np. niezbędną prze-
strzeń dyskową). Oczywistą sprawą jest możliwość przeciążenia systemów in-
formatycznych, sieci oraz urządzeń przechowujących i przetwarzających dane.
PLANOWANI E I ODBI ÓR SYSTEMU 67
Aby uniknąć takich incydentów, należy dobrze sprecyzować potrzeby firmy
w zakresie potrzeb sprzętowych: liczby, rodzaju i wielkości dysków twardych,
liczby serwerów, szybkości sieci komputerowej. Przemyślane zaplanowanie
konfiguracji sprzętowej pozwoli na zminimalizowanie ryzyka wystąpienia
awarii i częściowej lub całkowitej utraty chronionej informacji.
Należy też pamiętać, że w przypadku wprowadzania dodatkowych uspraw-
nień, takich jak nowe urządzenia, aplikacje czy nawet rozbudowa sieci kom-
puterowej, przed ich wdrożeniem należy dokładnie przetestować każdą z tych
modyfikacji.
Planowanie pojemności
Jak już wcześniej wspomniałem, aby móc dobrze zaplanować konfigurację
sprzętową systemu informatycznego, trzeba dokładnie znać wymagania or-
ganizacji dotyczące przechowywania danych. W przypadku funkcjonujących
systemów informatycznych jest konieczne bieżące monitorowanie zwiększa-
jącej się ilości przechowywanych danych, aby w odpowiednim czasie móc
zwiększyć dostępną przestrzeń dyskową bądz inne niezbędne zasoby sprzę-
towe. Niedopełnienie tych zadań może spowodować przeciążenie systemu,
a w konsekwencji jego zatrzymanie bądz nawet uszkodzenie.
Istotną kwestią jest zaznajomienie się kierownictwa organizacji z podstawo-
wymi zagadnieniami dotyczącymi potrzeb sprzętowych, aby w odpowiednim
czasie zapewniono rozbudowę systemu informatycznego w niezbędnym zakresie.
Odbiór systemu
Przed przekazaniem systemu informatycznego do eksploatacji po jego utwo-
rzeniu bądz po wykonaniu napraw czy aktualizacji należy przeprowadzić
odpowiednie testy, co pozwoli na uniknięcie poważniejszych skutków ewen-
tualnej awarii. Zanim system zostanie włączony do całej infrastruktury in-
formatycznej, należy spełnić pewne warunki i wykonać dodatkowe czynności.
Obostrzenia te powinny odpowiadać istotności informacji przechowywanej
i przetwarzanej w tym systemie. Warunki przekazania do eksploatacji zmo-
dyfikowanej części systemu informatycznego należy określić na etapie pla-
nowania systemu bezpieczeństwa informacji. Trzeba się tu odnieść m.in. do
takich zagadnień jak:
sposoby ponownego rozruchu systemu;
opisanie wszystkich wdrożonych zabezpieczeń;
68 ROZDZI AA 6. ZARZDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI
potwierdzenie zgodności nowego systemu z całą infrastrukturą informa-
tyczną;
szkolenia kadry technicznej i pracowników z użytkowania nowego systemu;
pozostałe czynniki, wynikające ze specyfiki działalności organizacji bądz
potrzeb samego systemu.
Wprowadzenie nowego systemu bądz modyfikacja istniejącego wiąże się
również z przeprowadzeniem rozeznania wśród pracowników szczebla admi-
nistracyjnego oraz obsługi technicznej. Celem tego rozeznania jest zebranie
informacji dotyczących samego systemu, czy spełnia on wymagania użyt-
kowników, czy jest łatwy w obsłudze, czy też nie trzeba czegoś zmienić bądz
poprawić. Są to ważne informacje, ponieważ system skomplikowany, trudny
w obsłudze i niespełniający oczekiwań użytkowników jest z zasady systemem
niebezpiecznym. Należy stale mieć na uwadze, że niewiedza osób korzystających
z systemu może doprowadzić do nieumyślnego uszkodzenia lub utraty danych.
Ochrona przed szkodliwym oprogramowaniem
W dobie powszechnego wykorzystywania internetu największym zagrożeniem
dla systemów informatycznych jest szkodliwe oprogramowanie. Pod tym ter-
minem należy rozumieć oczywiście wszelkiego rodzaju wirusy komputerowe,
robaki internetowe, konie trojańskie oraz inne złośliwe programy-skrypty.
Złośliwe oprogramowanie może nawet zniszczyć system informatyczny czy
dane. Coraz to nowsze generacje złośliwego oprogramowania powodują
problemy różnego typu. Twórcy takich programów wkładają wiele wysiłku,
by ich zachowanie było coraz bardziej inteligentne. Znane są już takie wirusy
czy robaki, które są zdolne do reprodukowania się lub też do samoistnego
zmieniania swojej postaci, dzięki czemu są coraz trudniejsze do unieszkodli-
wienia. Znane są przypadki, gdy infekcja wirusowa przyczyniła się do za-
trzymania pracy dużych korporacji na wiele dni lub nawet tygodni, mimo że
owe przedsiębiorstwa uchodziły za organizacje dobrze zabezpieczające się
przed tego typu atakami. Z tego wynika, że złośliwe oprogramowanie coraz
częściej jest w stanie rozprzestrzeniać się mimo coraz doskonalszych mecha-
nizmów antywirusowych. Sprawa jest bardzo poważna, gdyż prawdopodo-
bieństwo, że infekcja wirusem może doprowadzić nie tylko do poważnych
strat finansowych, ale także do upadku całej firmy, jest znaczące. Oczywiste
jest, że organizacje starają się zabezpieczyć przed podobnymi zdarzeniami,
nawet kosztem ogromnych środków finansowych. Wyspecjalizowane przed-
siębiorstwa opracowują coraz bardziej wyrafinowane i często bardzo kosz-
towne mechanizmy zabezpieczające przed atakami złośliwego oprogra-
mowania, podczas gdy liczni twórcy takich programów piszą coraz to nowsze
OCHRONA PRZED SZKODLI WYM OPROGRAMOWANI EM 69
ich odmiany, które coraz sprawniej pokonują coraz to nowsze zabezpiecze-
nia. I tak koło się zamyka ten swoisty wyścig zbrojeń trwa. Obecnie
stuprocentowe wyeliminowanie plagi złośliwego oprogramowania jest nie-
możliwe i zapewne taki stan rzeczy jeszcze potrwa jakiś czas. Wirusy oraz inne
szkodliwe oprogramowanie trzeba zatem uznać za tzw. ryzyko akceptowalne.
Termin ten oznacza ryzyko, którego nie można całkowicie wyeliminować.
A skoro nie można go wyeliminować, trzeba się przed nim jak najlepiej za-
bezpieczyć, aby je zminimalizować.
Przede wszystkim trzeba wdrożyć mechanizm wykrywania wirusów i względ-
nie szybko reagować na ich działanie. Wykrywalność złośliwego oprogra-
mowania zwiększy się na pewno, jeśli personel techniczny będzie na bieżąco
prowadził monitoring nie tylko zachowania systemów, ale również gdy bę-
dzie śledził najnowsze informacje ze świata na temat powstających wirusów.
Zabezpieczenie przed szkodliwym oprogramowaniem
Aby odpowiednio zabezpieczyć się przed wirusami komputerowymi oraz in-
nym szkodliwym oprogramowaniem, należy wprowadzić szereg usprawnień,
procedur oraz odpowiednio przeszkolić i uświadomić użytkowników systemów
informatycznych w tym zakresie.
Przede wszystkim polityka bezpieczeństwa informacji powinna jasno określać,
kto ma dostęp do poszczególnych elementów systemu, na jakich zasadach
i z jakimi uprawnieniami. Należy wystrzegać się przyznawania większości lub
nawet wszystkim użytkownikom uprawnień administratora systemu, ponie-
waż wtedy stanowią oni największe po internecie zagrożenie dla całego
systemu informatycznego. Jeśli użytkownicy posiadają konta ze wszelkimi
możliwymi uprawnieniami, z pewnością będą posługiwali się oprogramowa-
niem z niepewnych zródeł (takim jak np. różnego rodzaju gry), a to znacząco
zwiększa ryzyko nieświadomego zainfekowania komputera wirusami. Jeśli
taki komputer jest podłączony do sieci, oznacza to grozbę rozprzestrzenienia
się złośliwego oprogramowania.
Oto kilka praktycznych zaleceń, które powinny okazać się przydatne podczas
wprowadzenia systemu zabezpieczeń przed złośliwym oprogramowaniem:
korzystanie tylko z legalnego oprogramowania, ponieważ aplikacje sko-
piowane nielegalnie mogą zawierać ukryte wirusy, robaki lub konie tro-
jańskie. Poza tym legalne oprogramowanie pozwala na bieżące aktuali-
zowanie systemu, co w przypadku nielegalnych kopii jest niemożliwe;
wykonywanie na bieżąco aktualizacji wydawanych przez producenta
oprogramowania;
70 ROZDZI AA 6. ZARZDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI
zainstalowanie na serwerach oraz na każdej stacji roboczej oprogramo-
wania antywirusowego oraz innego oprogramowania chroniącego przed
np. robakami;
pilnowanie regularnej aktualizacji baz sygnatur wirusów i innego opro-
gramowania zabezpieczającego;
dokonywanie systematycznych przeglądów oprogramowania;
podczas instalowania nowego oprogramowania należy zawsze skanować
pliki instalacyjne w celu sprawdzenia, czy nie zostały zainfekowane;
przeszkolenie użytkowników w zakresie zasad ochrony przed złośliwym
oprogramowaniem (użytkowanie oprogramowania antywirusowego, pod-
stawowe techniki unikania wirusów, takie jak ignorowanie wiadomości
e-mail pochodzących z nieznanych zródeł, unikanie odwiedzania pewnych
witryn WWW itp.).
To są tylko podstawowe wymagania, które mogą posłużyć jako punkt wyj-
ścia do w miarę skutecznego zabezpieczenia organizacji przed złośliwym opro-
gramowaniem.
Procedury wewnętrzne
Procedury wewnętrzne, mające na celu zapewnienie sprawnego funkcjono-
wania systemów informatycznych, mogą być bardzo liczne. W tym podroz-
dziale przedstawię pewne zasady sporządzania kopii zapasowych, częstotli-
wości ich wykonywania, ich liczby oraz kwestie weryfikacji gotowych kopii.
Kopie zapasowe ważnych danych
Kopie zapasowe można porównać do polisy ubezpieczeniowej, nieocenionej
w przypadku nieprzewidzianych awarii, włamań do systemu informatycznego,
utraty informacji, czyichś celowych działań na szkodę organizacji też lub
klęsk żywiołowych. Dzięki posiadaniu aktualnych kopii zapasowych można
uchronić organizację przed ogromnymi nieraz stratami finansowymi, konse-
kwencjami prawnymi spowodowanymi utratą pewnych informacji czy też
nawet przed upadłością firmy. Niejednokrotnie kopie zapasowe okazywały
się ratunkiem dla reputacji jednostki.
Aby uzyskać pewność, że operacje sporządzania kopii zapasowych są należycie
przeprowadzane, trzeba spełnić kilka warunków. Przede wszystkim trzeba
wskazać odpowiednie miejsce przechowywania kopii zapasowych. Nie powinno
PROCEDURY WEWN TRZNE 71

Wyszukiwarka

Podobne podstrony:
Zagrożenia bezpieczeństa informacji
Normy i standardy z zakresu bezpieczenstwa informacyjnego i teleinformatycznego
Adamczewski Zintegrowane systemy informatyczne w praktyce Początek, Spis treści
Adamczewski Zintegrowane systemy informatyczne w praktyce System CRM tendencje rozwojowe syste
Wpływ systemów wykrywania włamań na bezpieczeństwo informatyczne instytucji
Adamczewski Zintegrowane systemy informatyczne w praktyce Spis rysunków
Adamczewski Zintegrowane systemy informatyczne w praktyce Scenariusze realizacji ZSI
4 Systemy zarządzania bezpieczeństwem informacji
wyzwania i zagrożenia dla globalnego bezpieczeństwa informacyjnego Jemioło
ISO 27001 zapewnij bezpieczeństwo informacji ebook demo
Adamczewski Zintegrowane systemy informatyczne w praktyce Organizacja prac wdrożeniowych ZSI
bezpieczenstwo informacji

więcej podobnych podstron