BEZPIECZEŃSTWO W ZINTEGROWANYCH INFORMATYCZNYCH SYSTEMACH ZARZĄDZANIA

Transkrypt

1 BEZPIECZEŃSTWO W ZINTEGROWANYCH INFORMATYCZNYCH SYSTEMACH ZARZĄDZANIA

2 GŁÓWNE ZAGADNIENIA: 1. NORMA PN-ISO/IEC 27001: POLITYKA BEZPIECZEŃSTWA W SYSTEMACH IT

3 1. NORMA PN-ISO/IEC 27001:2007

4 SYSTEMY IT W BIZNESIE Trudno dziś wyobrazić sobie jakiekolwiek działanie biznesowe bez wsparcia systemami IT. Jednak niewielu ludzi zdaje sobie sprawę z zagrożenia płynącego z wykorzystania w/w systemów w firmach. Ryzyko wynika między innymi z zautomatyzowania niektórych operacji oraz wykorzystania oprogramowania, które nie zawsze jest bezpieczne. Systemy IT w dużym stopniu ułatwiają zarządzanie przedsiębiorstwami, lecz wprowadzają również pewne ryzyko. W celu ograniczenia ryzyka sztaby profesjonalistów zajmują się opracowywaniem wytycznych i norm, które stanowią podstawę do wdrażania Systemów Zarządzania Bezpieczeństwem Informacji (SZBI) w biznesie.

5 WYMAGANIA ZAWARTE W NORMIE Norma ISO/IEC 27001:2005 określa wymagania związane z: ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem, doskonaleniem SZBI.

6 WYMAGANIA ZAWARTE W NORMIE c.d. Wymagania zawarte w normie obejmują obszary bezpieczeństwa: fizycznego, osobowego, teleinformatycznego, prawnego. Norma nie określa szczegółowych technicznych wymagań, lecz wskazuje na elementy, które należy uregulować. Sposób zabezpieczenia tych obszarów zależy od nas samych i powinien być oparty na przeprowadzonej analizie ryzyka. Ze względu na kompleksowe podejście do tematu bezpieczeństwa informacji oraz ogólny charakter wymagań, norma może być podstawą budowy SZBI we wszystkich organizacjach, niezależnie od typu, rozmiaru i natury biznesu.

7 SKŁADNIA NORMAY PN-ISO/IEC 27001:2007 Norma PN-ISO/IEC 28001:2007 składa się z części podstawowej oraz załączników. Część podstawowa normy definiuje wymagania związane z: ustanowieniem i zarządzaniem SZBI, wymaganą dokumentacją, odpowiedzialnością kierownictwa, wewnętrznymi audytami SZBI, przeglądami SZBI, ciągłym doskonaleniem SZBI.

8 SKŁADNIA NORMAY PN-ISO/IEC 27001:2007 c.d. Należy zwrócić uwagę na normatywny załącznik A tej normy, zawierający wymagane zabezpieczenia podzielone na 11 obszarów: polityka bezpieczeństwa, organizacja bezpieczeństwa informacji, zarządzanie aktywami, bezpieczeństwo zasobów ludzkich, bezpieczeństwo fizyczne i środowiskowe, zarządzanie systemami i sieciami, kontrola dostępu, pozyskiwanie, rozwój i utrzymanie systemów informatycznych, zarządzanie incydentami związanymi z bezpieczeństwem informacji, zarządzanie ciągłością działania, zgodność (z przepisami prawnymi).

9 MODEL PLANUJ-WYKONUJ- SPRAWDZAJ-DZIAŁAJ (PDCA) Norma PN-ISO/IEC 27001:2007 stosuje (znany już dobrze) model Planuj Wykonuj Sprawdzaj Działaj (PDCA ang. Plan - Do - Check - Act). Model ten jest stosowany do całej struktury procesów SZBI.

10 MODEL PLANUJ-WYKONUJ- SPRAWDZAJ-DZIAŁAJ (PDCA) c.d. Proces wdrażania Systemu Zarządzania Bezpieczeństwem Informacji został zdefiniowany jako: Planuj - ustanowienie SZBI Ustanowienie: polityki SZBI, celów, procesów i procedur istotnych dla: zarządzania ryzykiem, doskonalenia bezpieczeństwa informacji, aby uzyskać wyniki zgodne z ogólnymi wytycznymi polityki i celami organizacji. Wykonuj - wdrożenie i eksploatacja SZBI Wdrożenie i eksploatacja: polityki SZBI, zabezpieczeń, procesów, procedur.

11 MODEL PLANUJ-WYKONUJ- SPRAWDZAJ-DZIAŁAJ (PDCA) c.d. Sprawdzaj - monitorowanie i przegląd SZBI pomiar wydajności procesów w odniesieniu do: polityki SZBI, celów, doświadczenia praktycznego, dostarczania raportów kierownictwu do przeglądu. Działaj - utrzymanie i doskonalenie SZBI podejmowanie działań korygujących i zapobiegawczych na podstawie: wyników wewnętrznego audytu SZBI, przeglądu realizowanego przez kierownictwo, innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

12 ZAKRES STOSOWANIA NORMY PN-ISO/IEC27001:2007 Wymagania opisane w normie PN-ISO/IEC są ogólne i przeznaczone do stosowania we wszystkich organizacjach, niezależnie od typu, rozmiaru i charakteru przedsięwzięć biznesowych jakie reprezentują. Norma ta określa jednak, że SZBI powinien zostać zaprojektowany tak, aby zapewnić adekwatne i proporcjonalne zabezpieczenia, które odpowiednio chronią aktywa informacyjne, oraz tak, aby uzyskać zaufanie zainteresowanych stron (klienta, podwykonawców, itp.). Zakres może obejmować całość informacji przetwarzanej w danej organizacji (nie tylko we wdrożonych systemach teleinformatycznych). Może również obejmować tylko jeden wydzielony obszar w organizacji (np. system księgowy w firmie). Jednak w takim wypadku system ten musi być ściśle oddzielony od innych systemów wdrożonych i funkcjonujących w organizacji, zarówno na poziomie organizacyjnym, fizycznym jak i technicznym.

13 ETAPY WDROŻENIA SZBI Wdrożenie skutecznego SZBI w organizacji jest często decyzją strategiczną, a realizacja tego celu nie jest prosta. Norma ISO/IEC 27001:2005 zawiera wymagania, jakie system powinien spełniać, lecz nie wskazuje dokładnie, jak należy go wdrożyć. Wdrażany SZBI powinien uwzględniać potrzeby i cele biznesowe, jak również wymagania oraz cele bezpieczeństwa organizacji. Chcąc wdrożyć SZBI, powinniśmy zdefiniować jego zakres. Najczęściej organizacje decydują się na wdrożenie SZBI obejmującego cały zakres usług oraz wszystkie lokalizacje. Można jednak wdrożyć SZBI dla jednej jednostki organizacyjnej/oddziału lub dla pojedynczego procesu.

14 ETAPY WDROŻENIA SZBI c.d. W procesie wdrożenia SZBI wyróżnić można następujące podstawowe etapy: audyt wstępny, klasyfikacja aktywów, opracowanie metody i przeprowadzenie analizy ryzyka, wdrożenie zabezpieczeń, opracowanie i wdrożenie dokumentacji SZBI, szkolenia dla pracowników, audyt wewnętrzny oraz przegląd SZBI.

15 ETAPY WDRAŻANIA SZBI AUDYT WSTĘPNY Chcąc wdrożyć SZBI, powinniśmy ocenić aktualny poziom bezpieczeństwa informacji w naszej organizacji. Planując audyt, powinniśmy uwzględnić wszystkie obszary bezpieczeństwa poruszane w normie ISO/IEC 27001:2005. W ramach audytu powinny również zostać zebrane informacje o zagrożeniach, które mogą przyczynić się do utraty informacji (w aspekcie poufności, integralności i dostępności), a także o aktywach, a w szczególności o informacjach przetwarzanych w organizacji.

16 ETAPY WDRAŻANIA SZBI AUDYT WSTĘPNY c.d. Audyt może mieć różne formy. Najczęściej obejmuje on weryfikację istniejących w organizacji dokumentów, w tym: regulaminu organizacji, schematu organizacyjnego, misji i celów biznesowych organizacji, dokumentów określających zasady postępowania z informacją w organizacji (instrukcji, procedur itp.), dokumentów z obszaru IT, planów awaryjnych.

17 ETAPY WDRAŻANIA SZBI AUDYT WSTĘPNY c.d. Na tym etapie weryfikowane są zapisy wynikające z wykonywanych przez pracowników czynności. Weryfikacji podlegają także zabezpieczenia fizyczne budynków i poszczególnych pomieszczeń, ze szczególnym uwzględnieniem pomieszczenia serwerowni. Audyt może zostać uzupełniony o weryfikację technicznych zabezpieczeń teleinformatycznych. Weryfikacja ta powinna być przeprowadzona z wykorzystaniem dedykowanego oprogramowania skanującego sieć teleinformatyczną i systemy teleinformatyczne.

18 ETAPY WDRAŻANIA SZBI KLASYFIKACJA AKTYWÓW Chcąc odpowiednio zabezpieczyć przetwarzane w naszej organizacji informacje, w pierwszej kolejności musimy określić, co i w jaki sposób chcemy chronić. Część informacji powinna być szczególnie chroniona, a część może być dostępna publicznie. Dlatego też powinniśmy określić grupy informacji przetwarzane w naszej organizacji, a następnie przypisać im odpowiednie wagi (biorąc pod uwagę poufność, integralność oraz dostępność tych danych). Mając już wyszczególnione grupy informacji i określone ich wagi, możemy zdecydować o sposobie postępowania z nimi. Zasady przetwarzania informacji, które stworzymy, powinny być zatwierdzone przez najwyższe kierownictwo i przekazane do stosowania wszystkim pracownikom.

19 ETAPY WDRAŻANIA SZBI KLASYFIKACJA AKTYWÓW c.d. Wymagania normy ISO/IEC 27001:2005 w zakresie klasyfikacji informacji: 1. Zasoby informacyjne organizacji powinny być jasno określone. 2. Odpowiedzialność za zasoby informacyjne powinna być jasno określona. 3. Zasoby informacyjne powinny być w odpowiedni sposób oznakowane, jeśli jest to wymagane. 4. Powinny istnieć zasady dotyczące akceptowalnego sposobu wykorzystania zasobów informacyjnych.

20 ETAPY WDRAŻANIA SZBI OPRACOWANIE METOD I PRZEPROWADZENIE ANALIZY RYZYKA W normie ISO/IEC 27001:2005 wyróżniono rolę analizy ryzyka jako podstawowego elementu wymaganego do budowy, a także do utrzymania SZBI. Opracowanie metody analizy ryzyka oraz przeprowadzenie takiej analizy w praktyce jest kluczowym i jednocześnie najtrudniejszym elementem budowy Systemu Zarządzania Bezpieczeństwem Informacji. Jest to szczególnie trudne, gdyż większość znanych metod analizy ryzyka jest na tyle złożona, że ich przeprowadzenie w praktyce jest bardzo pracochłonne, a czasem nawet niemożliwe.

21 ETAPY WDRAŻANIA SZBI OPRACOWANIE METOD I PRZEPROWADZENIE ANALIZY RYZYKA c.d. Analiza ryzyka powinna uwzględniać: zagrożenia wraz z prawdopodobieństwem ich wystąpienia; podatności (słabości); skutki utraty informacji. Najpierw należy określić metodę analizy ryzyka. Następnym etapem prac jest przeprowadzenie analizy ryzyka, sporządzenie raportu oraz planu postępowania z ryzykiem.

22 ETAPY WDRAŻANIA SZBI WDROŻENIE ZABEZPIECZEŃ W planie postępowania z ryzykiem wskazane są zabezpieczenia, których wdrożenie ma na celu minimalizację ryzyka, określonego w analizie ryzyka jako ryzyko nieakceptowalne. Część zabezpieczeń wiąże się z kosztami finansowymi, np.: uzupełnienie licencji wykorzystywanego oprogramowania, wymiana niewspieranych systemów operacyjnych, takich jak MS Windows 9x na MS Windows XP lub Vista, wdrożenie zabezpieczeń fizycznych itd. Wiele zabezpieczeń ma jednak charakter organizacyjny i często wiąże się z opracowaniem oraz wdrożeniem dokumentacji SZBI.

23 ETAPY WDRAŻANIA SZBI OPRACOWANIE I WDROŻENIE DOKUMENTACJI Norma ISO/IEC 27001:2005 określa wymagane procedury, które należy opracować. Podstawą opracowania dokumentacji powinny być jednak wyniki analizy ryzyka. Zanim zaczniemy opracowywać dokumentację, powinniśmy zdecydować się, jaką będzie ona miała formę. Może to być: jedna wielka księga, w której znajdą się wszystkie zasady związane z bezpieczeństwem informacji, dokumentacja wielopoziomowa, składająca się z wielu dokumentów o różnym poziomie szczegółowości.

24 ETAPY WDRAŻANIA SZBI OPRACOWANIE I WDROŻENIE DOKUMENTACJI c.d. Zalety płynące z zastosowania drugiej formy dokumentacji (dokumentacja wielopoziomowa, składająca się z wielu dokumentów o różnym poziomie szczegółowości): Przede wszystkim możemy wydzielić dokumenty przeznaczone dla określonych grup pracowników, np. dla działu kadr czy IT. Dzięki temu wszyscy pracownicy organizacji nie muszą zapoznawać się ze szczegółowymi zasadami, np. wykonywania kopii zapasowych z systemu informatycznego XYZ. Możemy również ograniczyć dostęp pracowników do części dokumentów, którą uznamy za bardziej wrażliwą, np. szczegóły zabezpieczeń technicznych, raport z analizy ryzyka itp. Przy tym podejściu o wiele łatwiejsza jest również aktualizacja dokumentacji.

25 ETAPY WDRAŻANIA SZBI SZKOLENIE DLA PRACOWNIKÓW Każdy z nas zdaje sobie sprawę, jak ważnym czynnikiem wpływającym na bezpieczeństwo informacji jest świadomość pracowników. Chcąc zapewnić skuteczne funkcjonowanie SZBI, powinniśmy przedstawić zasady tego systemu wszystkim pracownikom oraz wyraźnie wskazać, jak ważną rolę odgrywa przestrzeganie tych ustaleń. Na szkoleniach zasady SZBI powinny zostać przedstawione w sposób jasny i zrozumiały, tak aby wszyscy pracownicy poprawnie je interpretowali. W trakcie realizacji szkoleń ważna jest również rola najwyższego kierownictwa, które powinno wykazywać postawę pełnej akceptacji wdrażanego SZBI. Szkolenia z obszaru bezpieczeństwa informacji, w tym zasad wdrożonego SZBI, powinny być prowadzone okresowo oraz stanowić element szkoleń wstępnych dla nowych pracowników, stażystów i praktykantów.

26 ETAPY WDRAŻANIA SZBI AUDYT WEWNĘTRZNY ORAZ PRZEGLĄD SZBI Po wdrożeniu systemu przychodzi czas na weryfikację jego skuteczności. Istnienie samej dokumentacji nie stanowi o SZBI. Dopiero prawidłowe stosowanie zasad zawartych w tej dokumentacji przyczynia się do podwyższenia poziomu bezpieczeństwa informacji przetwarzanych w organizacji i uznawane jest jako funkcjonowanie SZBI. Norma wymaga regularnego przeprowadzania audytów wewnętrznych SZBI. Głównym celem tych audytów jest weryfikacja, czy zasady określone w dokumentacji SZBI są przestrzegane przez wszystkich pracowników. Norma wymaga również, aby naczelne kierownictwo dokonywało regularnych przeglądów SZBI.

27 CERTYFIKACJA Organizacja, która chciałaby potwierdzić skuteczność wdrożonego SZBI i jego zgodność z wymaganiami normy ISO/IEC 27001:2005, może poddać się ocenie niezależnej jednostki certyfikującej. Pozytywna ocena w tym przypadku przekłada się na uzyskanie certyfikatu zgodności z wymaganiami normy. To może być wykorzystane przez organizację jako element marketingowy. Ze względu na niewielką liczbę certyfikatów w Polsce jest to z pewnością czynnik wyróżniający organizację na rynku.

28 CERTYFIKACJA c.d. W związku z rosnącym znaczeniem bezpieczeństwa informacji w kontaktach handlowych, coraz częściej certyfikacja na zgodność z tą normą staje się wymogiem formalnym przy zawieraniu kontraktów z partnerami handlowymi (podobnie jak powszechny już wymóg potwierdzenia certyfikatem zgodności z wymaganiami norm serii ISO 9000, czy ISO 14000). Organizacje, które wdrożą SZBI zgodny z normą, mogą ubiegać się o jego certyfikację przez niezależną jednostkę certyfikującą. Certyfikat taki nie gwarantuje bezpieczeństwa informacji, lecz wyraźnie wskazuje, że organizacja w profesjonalny i procesowy sposób zarządza bezpieczeństwem informacji. Ocena taka wpływa na profesjonalny wizerunek organizacji.

29 CERTYFIKACJA c.d. Coraz więcej firm oraz organizacji działających na rynku polskim rozważa konieczność certyfikacji swojego systemu zarządzania bezpieczeństwem informacji. W ciągu ostatniego roku większość liczących się na rynku polskim podmiotów prowadzących usługi w zakresie certyfikacji lub rejestracji systemów zarządzania wprowadziło do swojej oferty certyfikację na zgodność z normą PN-I :2005 (polski odpowiedniki normy BS ) będącej poprzednikiem normy PN-ISO/IEC 27001:2007.

30 KORZYŚCI WYNIKAJĄCE Z WDROŻENIA SZBI Korzyści płynące z wdrażania SZBI: 1. Określenie podstawowych zasad związanych z bezpiecznym przetwarzaniem informacji 2. Wzrost poziomu bezpieczeństwa informacji w organizacji 3. Usprawnienie zarządzania informacjami 4. Określenie zasad postępowania w sytuacjach awaryjnych 5. Budowanie profesjonalnego wizerunku organizacji godnej zaufania (dodatkowo poparte certyfikatem) 6. Zwiększenie świadomości pracowników w obszarze postępowania z informacjami 7. Określenie odpowiedzialności i uprawnień pracowników w obszarze bezpieczeństwa informacji 8. Wdrożenie mechanizmów regularnej weryfikacji skuteczności stosowanych zabezpieczeń

31 ZESTAW NORM Z SERII ISO/IEC Celem opracowania grupy norm ISO/IEC jest zebranie i ujednolicenie dotychczasowych opracowań i standardów poświęconych bezpieczeństwu informacji. Planuje się, że w skład tej grupy wchodzić będą następujące normy: ISO/IEC 27001: wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymanie m i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC ma zastąpić normę ISO/IEC 17799: wytyczne związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymanie m i doskonaleniem Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC (w trakcie opracowywania) - porady i wskazówki dotyczące wdrażania Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC (w trakcie opracowywania) - wskaźniki i pomiar dotyczący Systemu Zarządzania Bezpieczeństwem Informacji. ISO/IEC (w trakcie opracowywania) - szacowania ryzyka w Systemie Zarządzania Bezpieczeństwem Informacji (wzorzec może stanowić norma BS ). ISO/IEC (w trakcie opracowywania) - wytyczne do certyfikacji Systemu Zarządzania Bezpieczeństwem Informacji.

32 2. POLITYKA BEZPIECZEŃSTWA W SYSTEMACH IT

33 STRATEGIE OCHRONY Istnieją dwie wiodące strategie ochrony systemów informatycznych: 1. Pierwsza opiera się na analizie ryzyka. Przeprowadzenie analizy ryzyka powoduje identyfikację obszarów systemów informatycznych, w których wymagane jest wprowadzenie zabezpieczeń. W pierwszej kolejności zabezpieczenia powinny być zastosowane do ochrony: 1. zasobów, które stanowią największą wartość, 2. zasobów, wobec których istnieje duże zagrożenie, 3. zasobów, które są najbardziej podatne na zagrożenia. 2. Druga strategia ma charakter bardziej praktyczny. Wywodzi się ona z założenia, że nadużycia bezpieczeństwa w systemach IT (np. ataki wirusów, ataki) są nieuniknione. Według tej strategii należy odpowiednio przygotować się do ich obsługi.

34 POLITYKA BEZPIECZEŃSTWA Przy ustalaniu polityki bezpieczeństwa pod uwagę powinna być brana zarówno analiza ryzyka jak i nieunikniona utrata bezpieczeństwa. Do głównych elementów polityki bezpieczeństwa można zaliczyć: zabezpieczenia lokalizacyjne, zabezpieczenia sprzętowe, zabezpieczenia programowe, analizę architektury sieci lokalnej, archiwizację danych, kontrolę dostępu do systemu, szkolenia użytkowników systemu.

35 ZABEZPIECZENIA LOKALIZACYJNE 1. Serwery (baz danych) powinny znaleźć się w odpowiednich pomieszczeniach. Pomieszczenia te powinny spełniać wiele wymogów. Powinny one zapewniać między innymi: Brak dostępu osób nieupoważnionych, Odpowiednią wentylacja, Ognioodporność Przestronność 2. Należy również zwrócić uwagę na prawidłowe rozmieszczenie stacji roboczych. 3. Ponadto dostęp do systemów IT powinny mieć tylko osoby upoważnione.

36 ZABEZPIECZENIA SPRZĘTOWE Zabezpieczenia sprzętowe stanowią jeden z najistotniejszych elementów polityki bezpieczeństwa firmy. Do zabezpieczeń sprzętowych można zaliczyć między innymi: 1. Zorganizowanie dysków twardych w macierz dyskową RAID, 2. Zastosowanie zasilaczy awaryjnych UPS, 3. Zastosowanie zasilaczy typu HOT-SWAP, 4. Zastosowanie systemów wielofunkcyjnych (np. sprzętowy firewall).

37 ZABEZPIECZENIA SPRZĘTOWE - RAID RAID (ang. Redundant Array of Independent Disks, Nadmiarowa macierz niezależnych dysków) - polega na współpracy dwóch lub większej ilości dysków twardych w taki sposób, aby zapewnić dodatkowe możliwości, nieosiągalne przy użyciu jednego dysku. RAID używa się w następujących celach: zwiększenie niezawodności (odporność na awarie), przyspieszenie transmisji danych, powiększenie przestrzeni dostępnej jako jedna całość.

38 ZABEZPIECZENIA SPRZĘTOWE RAID PRZYKŁADY Źródło:

39 ZABEZPIECZENIA SPRZĘTOWE RAID PRZYKŁADY Źródło:

40 ZABEZPIECZENIA SPRZĘTOWE RAID PRZYKŁADY Źródło:

41 ZABEZPIECZENIA SPRZĘTOWE UPS Zasilacz awaryjny (zasilacz bezprzerwowy, zasilacz UPS, ang. UPS, Uninterruptible Power Supply) jest to urządzenie lub system, którego funkcją jest nieprzerwane zasilanie urządzeń elektronicznych. Ten typ zasilacza wyposażony jest najczęściej w akumulator, i w przypadku przerwy lub zakłóceń dostawy energii elektrycznej z sieci energetycznej urządzenie przełącza się na pracę z akumulatora. Czas podtrzymania napięcia wynosi od kilku minut do kilkudziesięciu godzin i zależy m.in. od obciążenia zasilacza oraz pojemności akumulatora.

42 ZABEZPIECZENIA SPRZĘTOWE UPS c.d. Urządzenia tego typu stosowane są najczęściej do zasilania komputerów, a zwłaszcza serwerów. Dzięki ich zastosowaniu, w przypadku awarii zasilania zmniejsza się ryzyko utraty danych znajdujących się aktualnie w pamięci operacyjnej komputera. W przypadku współpracy urządzeń typu UPS z komputerami, serwerami lub całymi sieciami komputerowymi UPS może sygnalizować występujące problemy z zasilaniem. Serwery i inne urządzenia mogą reagować na takie sygnały automatycznym zamykaniem systemu operacyjnego.

43 ZABEZPIECZENIA SPRZĘTOWE ZASILACZE TYPU HOT-SWAP Hot-swap (lub hot plugging) to ogólne określenie mechanizmu pozwalającego na wymianę podzespołów (np. dyski, wentylatory) bez wyłączania systemu. Możliwość tę dają m.in. porty USB i FireWire, dyski SATA II, a także np.: dyski twarde Ultra320 SCSI w serwerach. W serwerach powszechne jest zjawisko stosowania dwóch lub trzech zasilaczy sieciowych typu hot-swap. W przypadku awarii zasilacze takie mogą być wymienione pod napięciem bez konieczności wyłączania serwera.

44 ZABEZPIECZENIA SPRZĘTOWE SYSTEMY WIELOFUNKCYJNE Jest to sprzętowe zabezpieczenie przed włamaniami. Oferują dużą wydajność, odporność na awarie oraz zazwyczaj prostą konfigurację. Urządzenia te chronią informacje przed niepowołanym dostępem zabezpieczając je przed: intruzami, atakami wirusów, atakami robaków, atakami hakerów, niepożądanym ruchem w sieci.

45 ZABEZPIECZENIA SPRZĘTOWE SYSTEMY WIELOFUNKCYJNE c.d. Niektóre funkcje systemów: Zapora ogniowa, Szyfrowanie danych, System wykrywania i blokowania danych, System antywirusowy, Filtr poczty elektronicznej, Filtr zawartości serwisów Web.

46 ZABEZPIECZENIA PROGRAMOWE Zabezpieczenia programowe zorientowane są głównie na wysokim poziomie ochrony: Infrastruktury teleinformatycznej, Przechowywanych i przetwarzanych informacji, Treści pochodzących z Internetu. Do podstawowych zabezpieczeń programowych zaliczamy: Systemy Firewall (ściana ogniowa), Systemy antywirusowe Systemy przeciwdziałania włamaniom IDS (Intrusion Detection System) Systemy kontroli treści (stron WWW oraz poczty ).

47 ZABEZPIECZENIA PROGRAMOWE - FIREWALL Zapora sieciowa (ang. firewall zapora przeciwogniowa) jest to jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych oraz Internetu.

48 ZABEZPIECZENIA PROGRAMOWE - FIREWALL - PRZEZNACZENIE Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne. Najczęściej używaną techniką obrony jest filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych. Bardzo ważną funkcją zapory przeciwogniowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Poprawnie skonfigurowany firewall powinien odeprzeć wszelkie znane typy ataków. Na zaporze można zdefiniować specjalna strefę DMZ. DMZ jest to podsieć, która izoluje od wewnętrznej sieci, lokalne serwery, które udostępniają usługi na zewnątrz.

49 ZABEZPIECZENIA PROGRAMOWE - FIREWALL - PODZIAŁ Typy zapór sieciowych: Filtrujące - monitorują przepływające przez nie pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze (zapora pracująca dodatkowo jako router). Oprogramowanie komputerów stacjonarnych - udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch. Udostępnia także połączenia na zewnątrz komputera wybranym usługom/programom. Często zintegrowane z ochroną antywirusową (na przykład Norton Internet Security). Zapory pośredniczące (proxy): wykonują połączenie z serwerem w imieniu użytkownika. Przykładowo zamiast otwarcia sesji FTP bezpośrednio na systemie zdalnym, uruchamia się sesję FTP na zaporze i dopiero stamtąd nawiązuje się połączenie z systemem zdalnym. Zapory pośredniczące w tym wypadku pozwalają nam również na zarządzanie i kontrolę, kto i kiedy oraz w jaki sposób korzysta z usługi FTP).

50 ZABEZPIECZENIA PROGRAMOWE - ANTYWIRUSY Program antywirusowy jest to program komputerowy, którego celem jest wykrywanie, zwalczanie, usuwanie i zabezpieczanie systemu przed wirusami komputerowymi (a także naprawianie w miarę możliwości uszkodzeń wywołanych infekcją wirusową). Współcześnie najczęściej jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły (uwaga: różni producenci stosują różne nazewnictwo): skaner monitor Program antywirusowy powinien mieć możliwość aktualizacji definicji nowo odkrytych wirusów (np. przez pobranie ich z Internetu).

51 ZABEZPIECZENIA PROGRAMOWE ANTYWIRUSY c.d. Obecnie pakiet antywirusowy zawiera często także: zaporę sieciową, moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, poza wirusami chroni też ogólnie przed tzw. malware, czyli różnego rodzaju szkodliwym oprogramowaniem, dba o ochronę prywatności danych użytkownika. często zawiera też narzędzia ułatwiające administrację większej ilości stanowisk (np. zdalna aktualizacja czy zgłaszanie zagrożeń administratorowi sieci). Funkcja ta jest przydatna w zarządzaniu lokalnymi sieciami firm i organizacji.

52 ZABEZPIECZENIA PROGRAMOWE ANTYWIRUSY - RODZAJE Rodzaje programów antywirusowych: Skanery (ang. scaners) Skanery to najstarszy i najprostszy sposób ochrony antywirusowej. Ich działanie polega na wyszukiwaniu określonej sekwencji bajtów w ciągu danych. Monitory (ang. behaviour blockers, resident monitors) Monitor to program antywirusowy zainstalowany jako TSR (ang. Terminate but Stay Resident) lub sterownik SYS. Monitor bada pliki ciągle w sposób automatyczny. Służy do kontroli bieżących operacji komputera.

53 ZABEZPIECZENIA PROGRAMOWE ANTYWIRUSY RODZAJE c.d. Szczepionki (ang. Disinfectors) Są to programy skierowane przeciwko konkretnym wirusom. Programy autoweryfikujące Programy te służą do sprawdzania czy dany program nie został w jakiś sposób zmieniony przez wirusa. Programy zliczające sumy kontrolne (ang. integrity checkers) Działanie tego typu programów polega na obliczaniu odpowiednich sum kontrolnych dla zadanego pliku lub plików. Zliczane sumy kontrolne są przechowywane w osobnych plikach, tworzonych po pierwszym uruchomieniu programu. Jeżeli pliki te istniały już wcześniej, program antywirusowy wykorzystuje dane w nich zawarte, aby porównać bieżąco wyliczoną sumę, z sumą poprzednio zachowaną w pliku.

54 ZABEZPIECZENIA PROGRAMOWE IDS IDS (ang. Intrusion Detection System - system wykrywania włamań) jest to jeden z mechanizmów nadzorowania bezpieczeństwa sieci. Pozwala na monitorowanie ataków, np.: 1. przez analizę ruchu sieciowego i wykrywanie zdefiniowanych sygnatur, 2. przez raportowanie ogólnych nieprawidłowości komunikacyjnych. Niektóre systemy IDS oparte są o zdolne do nauki algorytmy heurystyczne, które automatycznie dostosowują się do danej sieci.

55 ARCHITEKTURA SIECI LOKALNEJ LAN Sieć LAN (ang. Local Area Network lokalna sieć miejscowa') to najmniej rozległa postać sieci komputerowej obejmująca zazwyczaj jeden budynek, biuro, mieszkanie czy domy na osiedlu. Technologie stosowane w sieciach LAN dzielimy na: rozwiązanie oparte na przewodach (kable miedziane czy światłowody) komunikacji bezprzewodowej (Wi-Fi - inaczej WLAN, czyli Wireless Local Area Network). W sieciach przewodowych zazwyczaj używa się technologii Ethernet. Natomiast w Wi-Fi odmianę tego standardu a więc Ethernet bezprzewodowy, opisany w IEEE

56 ARCHITEKTURA SIECI LOKALNEJ LAN c.d. Schemat lokalnej sieci komputerowej z serwerem i dostępem do Internetu Źródło:

57 ARCHITEKTURA SIECI LOKALNEJ LAN c.d. Schemat lokalnej sieci komputerowej z IDS Źródło:

58 ARCHITEKTURA SIECI LOKALNEJ LAN c.d. Schemat lokalnej sieci komputerowej ze zdalnymi terminalami Źródło:

59 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN Sieć bezprzewodowa LAN (ang. Wireless LAN) sieć lokalna zrealizowana bez użycia przewodów. Sieci tego typu wykonywane są najczęściej z wykorzystaniem fal radiowych jako medium przenoszącego sygnały, ale również z użyciem podczerwieni. Są one projektowane z użyciem standardu IEEE

60 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN Schemat lokalnej sieci bezprzewodowej WLAN z dostępem do Internetu Źródło:

61 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN BEZPIECZEŃSTWO Wdrożenie sieci bezprzewodowych niesie ze sobą szereg zagrożeń. Najpoważniejszym z nich jest możliwość dostępu do medium (fal radiowych) przez osoby postronne. Sieć bezprzewodowa powinna być szczególnie chroniona ze względu na możliwość obejścia za jej pomocą takich mechanizmów ochronnych jak: Ściany ogniowe, Proxy, Mechanizmy wydzielające strefy ochronne. W przypadku uzyskania dostępu do sieci WLAN, intruz znajduje się bezpośrednio w sieci lokalnej.

62 ARCHITEKTURA SIECI LOKALNEJ LAN SIECI BEZPRZEWODOWE WLAN BEZPIECZEŃSTWO c.d. Środki wykorzystywane w celu ograniczenia niebezpieczeństwa płynącego z używania sieci WLAN: 1. Uwierzytelnianie użytkownika do punktu dostępowego za pośrednictwem protokołu 802.1x, 2. Zastosowanie mechanizmów zarządzania kluczami WEP, 3. Stosowanie dodatkowych metod szyfrowania ruchu, 4. Podłączenie urządzeń dostępowych sieci WLAN w dedykowanej strefie bezpieczeństwa.

63 ARCHIWIZACJA DANYCH Archiwizacja (ang. backup) to proces wykonywania kopii danych w celu zabezpieczenia ich przed utratą, wskutek wystąpienia takich zdarzeń losowych jak: Powódź, pożar, włamanie, awaria sprzętu lub oprogramowania, czy skasowanie ich przez użytkownika. Pod pojęciem archiwizacji rozumie się również proces przenoszenia danych z systemów komputerowych na inne nośniki w celu zredukowania ilości danych np. już niepotrzebnych w głównym systemie komputerowym (bazie danych). Archiwizację można przeprowadzać w regularnych odstępach czasu - tym częściej im ważniejsze (dla użytkownika/użytkowników) są dane. Aby zmniejszyć objętość takich danych poddawane są one najczęściej kompresji, a przy częstych archiwizacjach zapisywane są np. tylko zmienione dane (tzw. kopie przyrostowe).

64 ARCHIWIZACJA DANYCH c.d. Sposób i rodzaj archiwizacji jest ściśle związany z: potrzebami, systemem operacyjnym, kosztami, wymaganym czasem niezbędnym do jej odtworzenia, dostępnym oprogramowaniem. Najczęściej im mniej skomplikowany jest proces odtwarzania informacji tym szybciej można je odtworzyć. Stąd informacje poddane kompresji, czy podzielone na kopie przyrostowe (które wymagają połączenia) mogą przedłużyć taki proces, ale jednocześnie zajmują mniej miejsca na dysku i są przez to mniej kosztowne. W wypadku danych, które nie muszą być szybko odtwarzane nośniki z kopią danych można trzymać w innym miejscu niż nośniki z oryginalnymi danymi.

65 ARCHIWIZACJA DANYCH METODY TWORZENIA KOPII ZAPASOWYCH Metody tworzenia kopii bezpieczeństwa i odtwarzania danych: Kopie bezpieczeństwa tworzone na zimno (cold backup, offline backup) Tworzenie kopii bezpieczeństwa na gorąco (hot backup, online backup)

66 ARCHIWIZACJA DANYCH METODY TWORZENIA KOPII ZAPASOWYCH c.d. Kopie bezpieczeństwa tworzone na zimno (cold backup, offline backup) oraz odtwarzanie: Wykonane są przy zamkniętej instancji bazy danych Oracle. Następnie kopiowane są wszystkie istotne pliki bazy (pliki danych, pliki sterujące, dzienniki powtórzeń, archiwa dzienników powtórzeń, pliki init.ora i config.ora).

67 ARCHIWIZACJA DANYCH METODY TWORZENIA KOPII ZAPASOWYCH c.d. Tworzenie kopii bezpieczeństwa na gorąco (hot backup, online backup) oraz odtwarzanie: Wykonanie kopii bezpieczeństwa odbywa się podczas ciągłej pracy bazy. Polega na skopiowaniu gorącej kopii pliku sterującego, plików danych, archiwizowanych plików dziennika powtórzeń, plików init.ora i config.ora (jeżeli istnieją).

68 ARCHIWIZACJA DANYCH ROZWIĄZANIA DLA TWORZENIA KOPII ZAPASOWYCH Rozwiązania dla tworzenia kopii zapasowych: Backup pełny - kopiowane są wszystkie dane na jeden nośnik. Daje to najkrótszy czas odtworzenia, ale wydłuża czas archiwizacji. Różnicowy backup tygodniowy - kopiowane są wszystkie dane, które uległy zmianie od ostatniej pełnej archiwizacji. Przyspiesza proces archiwizacji. Backup przyrostowy - kopiowane są wszystkie dane, które uległy zmianie od ostatniej archiwizacji lub nowe pliki. Jest to najszybsza metoda archiwizacji, czas odtwarzania najdłuższy.

69 KONTROLA DOSTĘPU DO SYSTEMU W większości systemów operacyjnych istnieje wbudowane oprogramowanie, które służy do uwierzytelnienia (logowania) użytkowników. Najczęściej spotykane metody wykorzystują hasła. Dostęp do Zintegrowanego Informatycznego Systemu Zarządzania powinien wymagać odrębnego logowania.

70 KONTROLA DOSTĘPU DO SYSTEMU c.d. Inne metody wspomagające kontrolę dostępu do systemu IT: Automatyczne kończenie sesji roboczej użytkownika w przypadku długiego okresu braku sygnałów z terminala, Blokowanie konta, na którym przekroczono limit wprowadzeń błędnego hasła Prowadzenie historii haseł i uniemożliwienie ponownego wykorzystania hasła używanego w przeszłości, Blokowanie konta, na którym nie pracowano dłuższy okres czasu, Wymuszenie zmiany hasła po upływie określonych cyklów czasowych.

71 SZKOLENIE UŻYTKOWNIKÓW SYSTEMU Użytkownicy systemu IT odgrywają kluczową rolę w zachowaniu bezpieczeństwa sytemu oraz danych przedsiębiorstwa. Z tego względu administrator systemu IT powinien przeprowadzić odpowiednie szkolenia dla pracowników (użytkowników systemu IT). Szkolenia te powinny dotyczyć prawidłowego i bezpiecznego korzystania z systemu IT. Powinny również ukazywać zagrożenia płynące z nieprzestrzegania tych zasad. Szkolenia nie powinny być przeprowadzane jednorazowo, lecz należ je przeprowadzać regularnie (co jakiś czas).

72 OBOWIĄZKI ADMINISTRATORA SYSTEMÓW IT Do głównych obowiązków administratora bezpieczeństwa informacji, zgodnie z treścią zawartą w 3 paragrafie rozporządzenia MSWiA z dnia 3 czerwca 1998 roku należy: Zabezpieczenie i kontrola pomieszczeń, w których przetwarzane są dane osobowe Zapewnienie awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzanych danych, Dopilnowanie, aby komputery przenośne, w których przetwarzane są dane osobowe, zabezpieczone były hasłem dostępu przed nieautoryzowanym uruchomieniem oraz nie były udostępnione osobom nieupoważnionym Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych Nadzór nad przeglądami, konserwacjami oraz uaktualnieniami systemów służących do przetwarzania danych osobowych oraz wszystkimi innymi czynnościami wykonywanymi na bazach danych osobowych

73 OBOWIĄZKI ADMINISTRATORA SYSTEMÓW IT c.d. Nadzór nad systemem komunikacji w sieci komputerowej oraz przesyłaniem danych za pośrednictwem urządzeń teletransmisji Dopilnowanie, aby ekrany monitorów na stanowiskach komputerowych, na których przetwarzane są dane osobowe, automatycznie wyłączały się po upływie ustalonego czasu nieaktywności użytkownika Odpowiednie usytuowanie monitorów, tak aby uniemożliwić wgląd w dane osobowe osobom nieupoważnionym Podjęcie działań zabezpieczających stan systemu IT w przypadku otrzymania informacji o naruszeniu zabezpieczeń tego systemu

74 PRZYCZYNY AWARII SYSTEMÓW IT 4% 20% 2% 10% 55% Pomyłki ludzi Niezadowolony personel Nieuczciwy personel Ataki z zewnątrz 9% Problemy fizycznych zabezpieczeo Wirusy Źródło: opracowanie dr hab. P. Biała, Uniwersytet Mikołaja Kopernika w Toruniu, 2005 r.