Polityka bezpieczeństwa.pdf

(283 KB) Pobierz
Polityka bezpieczeństwa
Włodzimierz Mrozek Polityka bezpieczeństwa
Polityka bezpieczeństwa
1. Polityka bezpieczeństwa — założenia wstępne
2. Polityka bezpieczeństwa — procedury postępowania
3. Polityka bezpieczeństwa — rozliczanie z jej stosowania
4. Polityka bezpieczeństwa jako element zarządzania organizacją
5. Polityka bezpieczeństwa — uniwersalne zasady
Podsumowanie
Bibliografia
1
Włodzimierz Mrozek Polityka bezpieczeństwa
1. Polityka bezpieczeństwa — założenia wstępne
Ważnym elementem związanym z bezpieczeństwem systemów komputerowych jest
polityka bezpieczeństwa. Stworzenie polityki bezpieczeństwa w organizacji to nic innego,
jak przygotowanie pewnych zasad i reguł, które będą obowiązywały poszczególnych
użytkowników oraz systemy, funkcjonujące w danej sieci. Wytyczne do tworzenia polityki
bezpieczeństwa zostały zebrane w normie PN-ISO/IEC 17799 — Technika informatyczna
— Praktyczne zasady zarządzania bezpieczeństwem informacji. Polityka bezpieczeństwa
musi być odniesiona bezpośrednio do konkretnej instytucji, a dodatkowo uzależniona od
rodzaju prowadzonej działalności. Wewnętrzna organizacja instytucji w dużej mierze
determinuje przyjęcie konkretnych rozwiązań. Wszelkie atrybuty bezpieczeństwa mają
jednakowe znaczenie, ale w praktyce największy nacisk kładzie się na te obszary, gdzie
występują potencjalnie największe zagrożenia i gdzie gromadzone są dane
o największym znaczeniu dla organizacji. Polityka bezpieczeństwa każdej organizacji
musi być elastyczna i wielokierunkowa — oznacza to, że wraz ze zmianami w organizacji
muszą następować zmiany w polityce bezpieczeństwa. Polityka bezpieczeństwa musi
odnosić się zarówno do zagrożeń pochodzących z zewnątrz, jak i z wnętrza organizacji.
Planując politykę bezpieczeństwa na początku warto skoncentrować się na pewnych
podstawowych zagadnieniach. Do najważniejszych reguł tworzenia i wdrażania polityki
bezpieczeństwa można zaliczyć następujące:
Polityka bezpieczeństwa powinna być inicjowana i współtworzona przez kierownictwo
instytucji, które jest odpowiedzialne za podejmowanie decyzji organizacyjnych,
finansowych oraz za realizacje zadań statutowych.
Polityka bezpieczeństwa powinna być akceptowalna przez wszystkich pracowników
(użytkowników). W organizacji musi panować przekonanie, że polityka
bezpieczeństwa ułatwia, a nie utrudnia, funkcjonowanie firmy.
Polityka bezpieczeństwa musi być oparta na wcześniejszej analizie elementów, jakie
mają być poddane ochronie — urządzeń, oprogramowania czy usług. Należy ustalić,
jaka jest wartość tych zasobów dla potencjalnego intruza bądź jego zleceniodawcy,
oraz jakie nakłady byłyby konieczne do poniesienia w związku z pozyskaniem
określonych zasobów (nakłady finansowe, czasowe, umiejętności specjalistyczne).
Polityka bezpieczeństwa powinna uwzględniać wcześniejsze porównania ryzyka
agresji do wartości posiadanych zasobów.
Polityka bezpieczeństwa powinna być elastyczna i skalowalna. Należy pamiętać o tym,
że pewne fragmenty polityki bezpieczeństwa są ścisłą tajemnicą firmy, dla której
zostały one stworzone i nie powinny być upublicznione. Duża część polityki
2
Włodzimierz Mrozek Polityka bezpieczeństwa
bezpieczeństwa będzie przekazana odpowiednim grupom użytkowników i stanie się
informacją publiczną. Ważne jest jednak, aby zarówno fragmenty, które mogą być
upublicznione, jak i te tajne, ściśle do siebie pasowały, tworząc jeden spójny
dokument i dawały się modyfikować wraz ze zmianami w organizacji.
Polityka bezpieczeństwa powinna zostać zweryfikowana, aby mieć pewność, że
zaproponowane rozwiązania teoretyczne sprawdzą się w praktyce. Po stworzeniu
pewnych zasad warto przeprowadzić testy ich działania w warunkach rzeczywistych.
Polityka bezpieczeństwa powinna zwierać w sobie wymagania, które będą
kontrolowane podczas audytów. Polityka bezpieczeństwa to zbiór procedur z różnych
obszarów działalności firmy. Odnosi się ona do zagadnień technicznych
i organizacyjnych. Jest ona oparta na pewnych uwarunkowaniach organizacyjnych
i zależy od środowiska, w którym działa firma. Wszystkie te elementy składowe
powodują, że wraz z upływem czasu konieczne jest przeprowadzanie testów
i audytów, mających na celu stwierdzenie, jaki jest stopień dopasowania regulacji i na
ile wszystkie przyjęte w polityce bezpieczeństwa rozwiązania są skuteczne. Jeśli
zatem mówi się o konieczności przeprowadzania okresowych audytów, konieczne jest
wskazanie tych obszarów, gdzie ryzyko pojawienia się potencjalnych zagrożeń jest
największe.
Polityka bezpieczeństwa powinna określać role i miejsce poszczególnych osób
odpowiedzialnych za sprawy związane z bezpieczeństwem. W dokumencie tym
powinny być opisane zasady doboru, odpowiedzialności oraz podległości
poszczególnych osób. Nie należy zapominać również o takich elementach, jak
określenie zasad dostępu do zasobów oraz o zapewnieniu rozliczalności za powierzone
zadania na wszystkich szczeblach użytkowników. Określenie ról, odpowiedzialności
i zapewnienie rozliczalności jest ważne z tego powodu, iż często po wystąpieniu
jakiegoś incydentu trudno jest ustalić, gdzie znajduje się „słaby punkt”. Często nie
można ustalić osób, które powinny być lub były odpowiedzialne za wykonanie
zabezpieczeń, osoby, która powinna zareagować na incydent czy wreszcie osoby,
która powinna zapewnić minimalizację strat.
Polityka bezpieczeństwa musi być dokumentem zwięzłym, obejmującym swoim
zasięgiem cały system. Informacje niespójne i fragmentaryczne mogą rodzić
przeświadczenie, że w momencie wystąpienia sytuacji kryzysowej dokument i tak nie
przyda się w rozwiązaniu problemu. Wytworzenie takiego przekonania wśród
pracowników może doprowadzić do obniżenia czujności nawet w tych obszarach,
które zostały dokładnie opisane w polityce bezpieczeństwa.
W polityce bezpieczeństwa powinny być zawarte nawet takie rzeczy, jak obsługa
podstawowych urządzeń biurowych (telefony, faksy, kserokopiarki). Urządzenia te
również niosą ze sobą określonego rodzaju zagrożenia. Nie należy pominąć również
3
Włodzimierz Mrozek Polityka bezpieczeństwa
takiego sprzętu, jak notebooki. Z jednej strony można wprowadzić ubezpieczenie
takiego sprzętu oraz skuteczny system haseł zabezpieczających zawartość
informacyjną, zgromadzoną na twardych dyskach oraz przewożonych nośnikach.
Polityka bezpieczeństwa powinna być kompleksowa, a nie ograniczać się jedynie do
wybranych, dobrze opracowanych zagadnień ze sfery bezpieczeństwa instytucji — jest
to element, o którym należy pamiętać, a który bardzo często jest bagatelizowany.
Zabezpiecza się te obszary i systemy, które wydają się najważniejsze, podczas gdy te
mniej ważne mogą mieć bardzo duży wpływ na bezpieczeństwo całej organizacji.
Polityka bezpieczeństwa koniecznie musi być ściśle zintegrowana z wewnętrznymi
i zewnętrznymi aktami prawnymi. Powinna ona również współgrać z już zawartymi
umowami z kontrahentami oraz uwzględniać elementy przyjętej polityki w nowo
zawieranych kontraktach. Ten rodzaj harmonii musi dotyczyć nie tylko kontrahentów,
z którymi wymieniane są informacje, ale powinien być rozszerzony również na firmy
zajmujące się ochroną i sprzątaniem. Pracownicy tych firm, mając dostęp do wielu
pomieszczeń, również rodzą potencjalne ryzyko dla instytucji.
Polityka bezpieczeństwa powinna stanowić jeden dokument o hierarchicznej,
trzypoziomowej strukturze. Odpowiednie poziomy powinny odnosić się do
bezpieczeństwa instytucji jako takiej, bezpieczeństwa systemów teleinformatycznych
danej instytucji oraz bezpieczeństwa konkretnego systemu. Zagadnienia związane
z bezpieczeństwem instytucji, dotyczą głównie kwestii organizacyjno-prawnych. Są
one punktem wyjścia do opracowania spójnej polityki bezpieczeństwa w całej
instytucji i powiązania jej z informatyką. Bezpieczeństwo ogółu systemów
informatycznych instytucji to płaszczyzna, na której powstają polityki bezpieczeństwa
poszczególnych, eksploatowanych w firmie systemów. Polityki te budowane są na
podstawie różnego rodzaju norm, wynikających ze specyfiki tych systemów.
Polityka bezpieczeństwa musi być na bieżąco aktualizowana w trakcie życia systemu,
zatem zaleca się jego modularną budowę oraz formę elektroniczną lub papierową.
Podczas procesu wprowadzania polityki bezpieczeństwa w instytucji może dochodzić
do różnego rodzaju negatywnych zachowań, wynikających z uwarunkowań
psychicznych, psychologicznych i kulturowych. Należy wtedy przeprowadzić cykl
szkoleń przybliżających tematykę i wdrażanej polityki bezpieczeństwa.
Polityka bezpieczeństwa powinna określać poziom zainteresowania potencjalnych
intruzów zasobami, jakie są gromadzone w systemie. Ważne jest, aby poddać analizie
koszt, jakie będą do poniesienia przez intruza w związku z przełamaniem
zabezpieczeń systemu.
Polityka bezpieczeństwa powinna opierać się na analizie kosztów, jakie zostały
poniesione w związku z wyszkoleniem personelu oraz nakładami na zabezpieczenia
i ewentualnymi stratami, jakie mogą zostać poniesione. Warto również pamiętać, że:
4
Włodzimierz Mrozek Polityka bezpieczeństwa
zbyt wymyślne zabezpieczenia w miejscach, gdzie nie jest to potrzebne, powodują
jedynie utrudnienia, a nie zabezpieczają,
o poziomie zabezpieczenia całego systemu decyduje element o najsłabszym
poziomie zabezpieczeń (tzw. zasada najsłabszego ogniwa),
budowanie polityki bezpieczeństwa należy planować od najwyższego poziomu, aby
nie powielać już funkcjonujących polityk bezpieczeństwa,
budując politykę bezpieczeństwa nie wolno w kosztach ogólnych uwzględniać
kosztów związanych ze standardową ochroną (strażnicy, systemy monitoringu
itp.),
standardowa ochrona zawsze będzie tańsza od takiej, która — jako dedykowana
— budowana jest dla konkretnego systemu,
wszyscy pracownicy organizacji muszą być wyszkoleni na minimalnym poziomie,
aby można było mówić o efektywnej polityce bezpieczeństwa,
stworzony system zabezpieczający musi być okresowo kontrolowany, aby można
było mówić o jego dopasowaniu do aktualnie panujących warunków.
5

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin