Polityka Bezpieczenstwa Informacji, Książki
[ Pobierz całość w formacie PDF ]
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Polityka bezpieczeństwa informacji
Główne zagadnienia wykładu
Polityka Bezpieczeństwa Informacji
jest zbiorem zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i
wykorzystaniu informacji w organizacji. Dotyczy ona całego procesu korzystania z informacji, niezależnie od sposobu jej
gromadzenia i przetwarzania.
Procedury zabezpieczania
obejmują:
•
systemy klasyczne (papierowe) – znane, wypracowane i stosowane regulaminy
systemy komputerowe – nie opracowane lub niewystarczające zasady. W tej dziedzinie mamy do czynienia z
permanentną ewolucją technologii informatycznych. Trendy w TI zmieniają się bardzo często i systemy same
niosą pewne zagrożenia wynikające z ich awaryjności i przestarzałości.
Wstępem do tworzenia Polityki Bezpieczeństwa Informacji jest
audyt bezpieczeństwa
:
•
Rozpoznanie problemu przetwarzania informacji w organizacji (przede wszystkim podstawa prawna).
Rozpoznanie rodzajów informacji przetwarzanych w organizacji. Jedne informacje podlegają ochronie ze
względu na interes firmy, inne ze względu na przepisy prawa, jeszcze inne są jawne.
Analiza obiegu poszczególnych grup informacji i rozpoznanie systemów przetwarzania informacji. Jakie warunki
musi spełnić system aby informacja się w nim znalazła i kto ma do niej dostęp?
Analiza zagrożeń i ryzyka przetwarzania informacji. Dla grup informacji podlegających ochronie z mocy prawa,
należy przeprowadzić audyt zgodności ich przetwarzania z wymogami prawa.
Ocena stosowanych systemów zabezpieczeń. Dobrą praktyką jest zlecenie tego zadania zewnętrznym
audytorom.
Podstawowe zasady przy planowaniu polityki bezpieczeństwa:
1. Świadomość strategii i bezpieczeństwa musi spływać z góry na dół w hierarchii organizacji. Władze organizacji
powinny traktować bezpieczeństwo jako tak samo ważne jak wszystko inne.
2. Efektywne bezpieczeństwo oznacza ochronę danych. Wszystkie strategie i procedury powinny więc odzwierciedlać
potrzeby ochrony danych niezależnie od przyjmowanej przez nie formy (dokumenty na dysku, wydrukowane,
przekazywane faksem czy przez telefon). Dane powinny być chronione niezależnie od nośnika, na którym występują.
Tworzenie polityki musi być realizowane wspólnym wysiłkiem personelu technicznego i decydentów. Personel
techniczny jest w stanie ocenić skutki różnych wariantów polityki oraz jej implementację. Decydenci są w stanie wymusić
wprowadzenie polityki w życie. Polityka, której nie można zaimplementować lub wdrożyć, jest nieużyteczna.
Kluczowym elementem polityki jest zapewnienie, aby każdy uświadomił sobie własną odpowiedzialność za
utrzymywanie bezpieczeństwa.
Polityka bezpieczeństwa – ocena ryzyka
Cochronić ?
Przed czym chronić ?
Ileczasu,wysiłku, pieniędzy można poświęcić na zapewnienie ochrony?
Szacowanie ryzyka odgrywa bardzo ważną rolę podczas opracowywania strategii zapewnienia bezpieczeństwa. Do
szacowania ryzyka czasami wykorzystuje się specjalne programy, lub zatrudnia firmę konsultingową. Można również
przeprowadzić w firmie szereg zajęć warsztatowych. Wspólnie tworzona jest wówczas lista zasobów i zagrożeń.
Dodatkowym efektem jest wtedy wzrost świadomości zagrożeń wśród uczestników warsztatów.
Lista chronionych zasobów
powinna być oparta na odpowiednim planie biznesowym i zdrowym rozsądku. Lista
powinna zawierać wszystko co przedstawia pewną wartość z punktu widzenia ewentualnych strat wynikających z
nieosiągniętych zysków, straconego czasu, wartości napraw i wymiany uszkodzonych elementów. Przy tworzeniu może
okazać się niezbędna:
-
znajomość prawa,
-
zrozumienie mechanizmów funkcjonowania firmy,
-
znajomość zakresu polis ubezpieczeniowych.
Do elementów wymagających ochrony zalicza się zwykle:
komputery,
Opracował:
Zbigniew SUSKI
str. 1 / 12
środki materialne:
•
Bezpieczeństwo - Polityka bezpieczeństwa informacji
dyski, monitory, okablowanie komunikacyjne,
nośniki kopii zapasowych (archiwa),
wydruki,
nośniki z oprogramowaniem,
podręczniki,
daneosobowe,
daneaudytu.
środki niematerialne:
•
możliwość kontynuowania przetwarzania (zdolność do produkcji lub prowadzenia usług),
wizerunek firmy (opinia o firmie),
dostęp do komputera,
hasła (zwłaszcza administratora),
bezpieczeństwo i zdrowie pracowników,
prywatność użytkowników,
dobreimię klientów,
danekonfiguracyjne.
Lista zagrożeń
na jakie narażone są zasoby organizacji może obejmować:
•
zagrożenia środowiskowe (pożar, trzęsienia ziemi, wybuchy bomb, wulkanów, powodzie),
zdarzenia wyjątkowe (zawalenie się budynku, konieczność opuszczenia budynku w wyniku stwierdzenia
substancji toksycznych 9 azbest),
zagrożenia ze strony pracowników,
zagrożenia z zewnątrz.
Przykłady:
•
chorobyważnych osób,
epidemie,
utrata kluczowych pracowników (śmierć, zwolnienie),
utratamożliwości korzystania z łączy telekomunikacyjnych,
krótko lub długotrwała utrata mediów (prąd, woda, telefon),
uderzeniepioruna,
powódź,
kradzież taśm lub dysków,
kradzież komputera przenośnego,
kradzież komputera domowego,
infekcjawirusemkomputerowym,
bankructwo producenta komputerów (serwisanta),
błędy w oprogramowaniu,
destrukcja ze strony pracowników,
destrukcja ze strony współpracowników innych firm,
złośliwość przedmiotów martwych.
terroryzm polityczny i ekonomiczny,
przypadkowiwłamywacze,
użytkownicy wysyłający informacje do grup dyskusyjnych.
Po zdefiniowaniu listy zagrożeń należy wyznaczyć
wymiar zagrożeń
. Należy ocenić prawdopodobieństwo
wystąpienia każdego ze zdarzeń (np. w układzie rocznym). Zwykle jest to zadanie bardzo trudne. Takie oszacowania
mogą być dostępne w firmach ubezpieczeniowych. Wykonane szacunki trzeba okresowo weryfikować. Trzeba to również
robić przy każdej zmianie organizacyjnej (zmiana w działaniu lub strukturze organizacji).
Polityka bezpieczeństwa – analiza kosztów i zysków
Po oszacowaniu ryzyka, do każdego zagrożenia należy przypisać odpowiedni koszt i zestawić to wyliczenie z
kosztami ochrony. Takie postępowanie nazywamy
analizą kosztów i zysków
. W większości przypadków nie ma
potrzeby przypisywania dokładnych wartości kosztów do poszczególnych zagrożeń. Czasami wystarczy przedział. Należy
również wyliczyć koszty działań prewencyjnych, które odpowiadają poszczególnym pozycjom strat. Np. działaniem
prewencyjnym, zapobiegającym startom wynikłym z zaniku zasilania jest zakup i instalacja UPS’a. Należy pamiętać o
amortyzacji kosztów w określonym czasie.
Opracował:
Zbigniew SUSKI
str. 2 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Ostatnim krokiem jest sporządzenie wielowymiarowej tablicy określającej zasoby, koszty i ewentualne straty. Dla
każdej straty określa się prawdopodobieństwo jej wystąpienia, przewidywaną wartość straty i koszt prewencji. Określenie,
czy zastosowana forma prewencji jest adekwatna -polega na pomnożeniu wartości straty przez prawdopodobieństwo
wystąpienia, posortowaniu wyników malejąco i porównaniu kosztów wystąpienia strat z kosztami prewencji.
Taka tabela może dostarczyć również listy zadań priorytetowych. Czasami wyniki są zaskakujące. Celem
powinno być unikanie dużych strat. Zwykle pożar i utrata kluczowych osób z personelu są bardziej prawdopodobne i
brzemienne w skutkach niż wirusy i włamania poprzez sieć. Natomiast uwagę przykuwają zwykle te ostatnie.
Bezpieczeństwa nie uzyskuje się za darmo. Im bardziej zaawansowane metody jego uzyskania, tym droższe.
Zwykle systemy bezpieczniejsze są również trudniejsze w eksploatacji.
Szacowanie ryzyka pomaga w umotywowaniu potrzeby przeznaczenia określonych środków finansowych na
zapewnienie bezpieczeństwa. Większość kadry menadżerskiej niewiele wie na temat komputerów, ale rozumie analizę
kosztów i zysków. Podobnie specjaliści od zabezpieczeń nie zawsze znają się na technikach analizy ryzyka.
Realizacja polityki bezpieczeństwa
Kwestie które należy uwzględnić w specyfikacji polityki bezpieczeństwa:
1. Kto jest uprawniony do korzystania z zasobów ?
2. Na czym polega właściwe korzystanie z zasobów ?
3. Kto jest uprawniony do przydzielania praw dostępu ?
4. Kto ma uprawnienia
administratora
?
5. Jaki jest zakres uprawnień i odpowiedzialności użytkowników ?
6. Jakie są uprawnienia
administratora
w porównaniu do uprawnień zwykłych użytkowników ?
7. Co robić z informacjami szczególnie
wrażliwymi
?
ad. 1.
Utworzona lista powinna zawierać szczegółową specyfikację, kto jest uprawniony do korzystania z konkretnych
zasobów (w tym również usług).
ad. 2.
Zasady właściwego korzystania z zasobów mogą być różnie sformułowane dla różnych grup użytkowników. Muszą
one jasno określać co jest dozwolone a co nie. Można również określić pewne ograniczenia w używaniu
zasobów. Można włączyć zdania z licencji oprogramowania.
ad. 3.
Należy również określić jaki rodzaj praw dostępu może być przydzielany. Brak nadzoru nad przydzielaniem praw
dostępu zaowocuje brakiem nadzoru nad korzystaniem z systemu (kto może korzystać ?). W tym przypadku
może być wykorzystywanych kilka schematów postępowania. Należy rozważyć:
Czy dystrybucja uprawnień jest realizowana centralnie (z jednego miejsca), czy wsposób
rozproszony ?
Centralizacja ułatwia zapewnienie bezpieczeństwa.
Jakie metody będą stosowane do zakładania kont i blokowania dostępu ?
W przypadkach mniej
restrykcyjnych, ludzie nadający uprawnienia mogą mieć bezpośredni dostęp do systemu i zakładać konta
ręcznie lub przy pomocy ogólnie dostępnych narzędzi pomocniczych. Obdarza się ich w ten sposób dużym
zaufaniem. Przeciwne podejście polega na wykorzystaniu specjalnego zintegrowanego systemu zakładania
kont. Procedury zakładania kont powinny być dobrze zdefiniowane i udokumentowane, zrozumiałe dla
wykonawcy. Powinny być niewrażliwe na popełnianie błędów przez operatora.
ad. 4.
Niektórzy użytkownicy będą żądali pewnych specjalnych uprawnień, wchodzących zwykle w zakres uprawnień
administratora. W tym przypadku należy stosować zasadę, że każdy powinien mieć tylko tyle uprawnień, aby
mógł realizować swoje zadania. I nic więcej.
ad. 5.
W polityce powinny być zawarte jasne stwierdzenia odnośnie uprawnień i odpowiedzialności użytkowników. Inaczej
nie będą one przestrzegane. Należy rozważyć:
Czy są potrzebne jakieś zastrzeżenia odnośnie konsumpcji zasobów przez użytkowników. Czy są w tym
względzie stosowane jakieś restrykcje wobec użytkowników ?
Czyużytkownicy mogą współdzielić konta i czy użytkownicy mogą zezwalać innym na korzystanie ze swoich
kont ?
W jaki sposób użytkownicy powinni chronić swoje hasła ?
Jakczęsto użytkownicy powinni zmieniać hasła i czy są potrzebne inne restrykcje w tym względzie ?
Czy i kiedy powinno być realizowane składowanie centralne ? Czy użytkownicy realizują składowanie swoich
plików samodzielnie ?
Czy nie zachodzi możliwość ujawnienia informacji zastrzeżonych ?
Czy nie należy ograniczyć dostępu do list dyskusyjnych i niektórych budzących wątpliwości zasobów sieci ?
Ograniczenia w zakresie komunikacji elektronicznej (np. forwarding).
Czy nie należy umieścić w polityce wyjątków z dokumentów
The Electronic Mail Association
. Opublikowała
ona dokumenty odnośnie zapewnienia prywatności poczty użytkowników.
Opracował:
Zbigniew SUSKI
str. 3 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
ad. 6.
Sprzeczność, która występuje pomiędzy koniecznością zachowania prywatności użytkowników, a wymaganiami
administratorów np. w zakresie diagnozowania występujących problemów musi być rozwiązana w drodze
kompromisu. Polityka powinna określać, w jakich przypadkach administrator może przeglądać pliki
użytkowników w celu diagnozowania występujących problemów lub z innych przyczyn. Należy odpowiedzieć na
pytania:
Czy administrator może monitorować lub czytać pliki użytkowników bez wyraźnie określonej przyczyny ?
Jakiesą w tym zakresie sankcje prawne ?
Czy administrator sieci ma prawo do badania ruchu w sieci lub ruchu związanego z określonym hostem ?
ad. 7.
Przed udostępnieniem użytkownikom swoich serwisów należy określić na jakim poziomie dane w systemie będą
chronione. Należy określić poziom
wrażliwości
danych, które użytkownicy mogą przechowywać. Nie należy
dopuszczać do przechowywania przez użytkowników bardzo wrażliwej informacji, gdyż będą problemy z jej
ochroną. Należy w tym zakresie uświadomić użytkowników i wskazać im inne sposoby przechowywania.
Metodologia TISM
Wg metodologii TISM Przyjmuje się trzy podstawowe poziomy w hierarchii polityki bezpieczeństwa:
•
PolitykaBezpieczeństwa Informacji – dokument główny
GrupaInformacji
SystemPrzetwarzania
Poziom głównego dokumentu Polityki Bezpieczeństwa Informacji jest poziomem, na którym ustala się podstawowe
zasady ochrony informacji w organizacji. Na poziomie grupy informacji ustala się specyficzne wymagania ochrony dla
danej grupy informacji. Poziom systemu przetwarzania jest natomiast poziomem, na którym określa się spełnienie
wymagań wyższych poziomów przez system przetwarzania, w którym informacje z danej grupy się znajdą.
Poziomy określenia
wymagań
POLITYKA
BEZPIECZEŃSTWA
INFORMACJI
GRUPY
INFORMACJI
Poziom spełnienia
wymagań
SYSTEMY
PRZETWARZANIA
Rys. 1. Struktura polityki bezpieczeństwa wg TISM
.
Dokumenty polityki bezpieczeństwa tworzone na podstawie TISM mają strukturę hierarchiczną przedstawioną na rys. 2.
1
Total Information Security Management
oraz skrót TISM jest przedmiotem rejestracji znaku towarowego w Głównym Urzędzie
Patentowym RP. Autorem metodologii TISM jest
European Network Security Institute Sp. z o.o
(www.ensi.net). Dokumentacja TISM
jest rozpowszechniana przez autora na zasadzie Licencji Darmowej Dokumentacji GNU - GNU Free Documentation Licence.
2
Zaczerpnięto z dokumentacji TISM.
Opracował:
Zbigniew SUSKI
str. 4 / 12
Bezpieczeństwo - Polityka bezpieczeństwa informacji
Polityka
Bezpieczeństwa
Informacji
Regulaminy
Polityka Grupy
Informacji
Polityka Grupy
Informacji
Polityka Grupy
Informacji
Polityka Systemu
Przetwarzania
Polityka Systemu
Przetwarzania
Polityka Systemu
Przetwarzania
Polityka Systemu
Przetwarzania
Procedury
Procedury
Procedury
Procedury
Rys. 2. Hierarchia dokumentów w TISM
Dokument główny powinien określać:
•
Cel i zakres polityki bezpieczeństwa
Podział informacji na jawne i zastrzeżone
Dostęp do informacji zastrzeżonych
Zarządzanie informacjami niejawnymi
Przetwarzanie informacji zastrzeżonych
Wymagania dla systemów przetwarzania informacji zastrzeżonych
Sytuacjekryzysowe
Obowiązki użytkowników informacji zastrzeżonych
Obowiązki administratorów informacji
Obowiązki administratorów bezpieczeństwa informacji
Obowiązki administratorów systemów
Regulaminy skierowane są do różnych użytkowników i administratorów. Opisują zasady ochrony informacji, prawa i
obowiązki pracowników, zasady korzystania z poszczególnych środków technicznych przetwarzających informacje.
Zawierają oświadczenia, o zachowaniu tajemnicy oraz akceptacji zasad w nich zawartych, które podpisuje użytkownik
dopuszczony do informacji zastrzeżonych.
Można również utworzyć dokument określający politykę informowania mediów w przypadku incydentów
bezpieczeństwa.
Celem tego dokumentu jest ustalenie zasad informowania mediów w przypadku incydentów bezpieczeństwa wewnątrz
organizacji. W dokumencie są określone (zdefiniowane) incydenty bezpieczeństwa oraz sposoby postępowania i
informowania mediów w wyniku ich zajścia. Dokument powinien zawierać:
1. Listę osób upoważnionych do kontaktów z mediami
2. Sytuacje, w których media są informowane
3. Osobę zatwierdzającą komunikaty dla mediów
3
Zaczerpnięto z dokumentacji TISM.
Opracował:
Zbigniew SUSKI
str. 5 / 12
[ Pobierz całość w formacie PDF ]