ZARZDZANIE RYZYKIEM W SYSTEMIE

Save this PDF as:
 WORD  PNG  TXT  JPG

Wielkość: px
Rozpocząć pokaz od strony:

Download "ZARZDZANIE RYZYKIEM W SYSTEMIE"

Transkrypt

1 PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie Technika, Informatyka, Inynieria Bezpieczestwa 2014, t. II, s Michał Pałga, Marcin Knapiski, Wiesław Kulma Politechnika Czstochowska al. Armii Krajowej 19, Czstochowa, ZARZDZANIE RYZYKIEM W SYSTEMIE BEZPIECZESTWA INFORMACJI W PRZEDSIBIORSTWIE Streszczenie. Zasoby informacyjne jako jedne z podstawowych aktywów biznesowych przedsibiorstwa warunkuj sukces rynkowy organizacji oraz utrzymanie jej kon- odpo- kurencyjnoci. Wobec powyszego istnieje potrzeba zbudowania w organizacji wiedniego systemu gwarantujcego ochron informacji przed zagroeniami. Podstawojest zarz- wym elementem w systemie bezpieczestwa informacji w przedsibiorstwie dzanie ryzykiem. W artykule zaprezentowano wyniki analizy ryzyka bezpieczestwa informacji w wybranym przedsibiorstwie przemysłowym. Słowa kluczowe: bezpieczestwo informacji, zagroenia, szacowanie ryzyka, zarzdzanie ryzykiem. RISK MANAGEMENT IN THE INFORMATION SECURITY SYSTEM IN THE ENTERPRISE Abstract. Information resources, as one of the basic assets of enterprisess determine a market success of organization and keeping its competitiveness. Therefore, it s neces- secu- sary to construct appropriate system in organization, which guarantee information rity before threats. The fundamental element of the information security system in the enterprise is the risk management. In the article the results of risk analysis of infor- mation security in the chosen industrial enterprise was presented. Keywords: informationn security, threats, risk assessment, risk management.

2 224 M. Pał%ga, M. Knapiski, W. Kulma Wprowadzenie Dowiadczenia ostatnich lat dowodz wysokiego znaczenia informacji we współczesnym wiecie oraz wskazuj na narastanie zjawisk powodujcych stany zakłócenia jej bezpieczestwa, takie jak: zniszczenie, nieautoryzowana modyfikacja, udostpnianie osobom nieupowanionym, niekontrolowany wyciek, kradzie itp. Wobec powyszego kierownictwo organizacji zmuszone jest do bacznego przygldania si problematyce zapewnienia racjonalnego poziomu bezpieczestwa w swojej jednostce oraz wdraania skutecznych mechanizmów zabezpieczajcych i profilaktycznych. Funkcje te coraz czciej w przedsibiorstwie pełni kompleksowy system zarzdzania bezpieczestwem informacji, którego kluczowy element stanowi procesy zwizane z zarzdzaniem ryzykiem bezpieczestwa informacji. Ryzyko, zgodnie z norm PN-I :1999, ( ) jest prawdopodobiestwem okre)lajcym moliwo)7 wykorzystania okre)lonej podatno)ci przez dane zagroenie w celu spowodowania strat lub zniszczenia zasobu lub grupy zasobów, a przez to negatywnego bezpo)redniego lub po)redniego wpłynicia na instytucj [7]. Zatem ryzyko jest kombinacj dwóch czynników: prawdopodobiestwa wystpienia negatywnego zdarzenia (incydentu) i zwizanych z nim nastpstw. W kontekcie bezpieczestwa informacji naley rozumie je jako potencjalne szkody spowodowane utrat poufnoci, integralnoci, dostpnoci, rozliczalnoci, autentycznoci oraz niezawodnoci informacji [3]. Artykuł podejmuje problematyk zarzdzania ryzykiem bezpieczestwa informacji w przedsibiorstwie. Omówiono w nim poszczególne etapy zarzdzania ryzykiem, a take przedstawiono charakterystyk wybranych metod oceny ryzyka. Zasadniczym punktem niniejszego opracowania jest zaprezentowanie wyników przeprowadzonej analizy ryzyka utraty bezpieczestwa informacji w wybranym przedsibiorstwie przemysłowym. Istota zarzdzania ryzkiem bezpieczestwa informacji i jego etapy Zarzdzanie ryzykiem jest procesem cigłym ukierunkowanym na identyfikacj, ocen oraz przeciwdziałanie ryzyka. Uwzgldniajc problematyk bezpieczestwa informacji, bdzie on obejmował swoim zakresem przede wszystkim [11]: identyfikacj ryzyka zwizanego z utrat bezpieczestwa informacji w organizacji; ocen stopnia wpływu ryzyka bezpieczestwa informacji na wyznaczone przez jednostk cele oraz kierunki działania;

3 Zarzdzanie ryzykiem 225 wdroenie odpowiednich rodków profilaktycznych, redukujcych poziom ryzyka. Zarzdzanie ryzykiem obejmuje kompleksowe działania zwizane z identyfikacj, kontrol, eliminacj bd minimalizacj prawdopodobiestwa wystpienia negatywnych zdarze, które mog mie wpływ na zasoby systemu informacyjnego i informatycznego przedsibiorstwa. Celem procesu zarzdzania ryzykiem jest przede wszystkim ograniczenie ryzyka do poziomu akceptowalnego, co wymaga opracowania właciwego planu postpowania z ryzykiem, który moe wiza si z [6]: zastosowaniem właciwych zabezpiecze, adekwatnych do zagroe i poziomu ryzyka; zaakceptowaniem ryzyk, w sposób wiadomy i obiektywny, przy załoeniu, e jasno spełniaj warunki okrelone w polityce bezpieczestwa oraz kryteria akceptowania ryzyk; unikaniem ryzyka; transferem ryzyka na inne podmioty, np. ubezpieczycieli, dostawców itp. Model zarzdzania ryzykiem został przedstawiony w formie graficznej na rys. 1. Fundamentalne znaczenie w procesie zarzdzania ryzykiem ma jego analiza. Pozwala ona na zidentyfikowanie nowych bd zweryfikowanie istniejcych zagroe oraz obszarów wymagajcych wprowadzania działa profilaktycznych i zabezpieczajcych. Przeprowadzona w sposób rzetelny umoliwia wyznaczy warunki, jakim musi odpowiada organizowany i funkcjonujcy w przedsibiorstwie system bezpieczestwa informacji. Istota analizy ryzyka sprowadza si do okrelenia prawdopodobiestwa wystpienia zdarzenia oraz oszacowania wielkoci jego skutków (strat). Metody szacowania ryzyka Obecnie w literaturze opisywanych jest kilkadziesit metod szacowania i oceny ryzyka, z których dua cz stała si powszechnie obowizujcym standardem, znajdujcym zastosowanie w praktyce. Najogólniej mona wyróni trzy podstawowe grupy: metody ilociowe; metody jakociowe; metody mieszane.

4 226 M. Pał%ga, M. Knapiski, W. Kulma Rys. 1. Model zarzdzania ryzykiem Uródło: [8]

5 Zarzdzanie ryzykiem 227 Metody ilociowe (kwantyfikatywne) polegaj na zastosowaniu matematycznych oblicze w celu wyznaczenia wpływu zagroe (skutków) na bezpieczestwo systemu oraz okrelenia prawdopodobiestwa ich wystpienia. Skutki te mog by wyznaczane w oparciu o ocen wyników zdarze bd przez ekstrapolacj, biorc pod uwag dane z przeszłoci (statystyczne, archiwalne). Wyniki oszacowanego ryzyka mog by wyraone w formie procentowej bd pieninej. Wród zalet opisywanej metodyki szacowania ryzyka mona wyróni [4]: szacowanie oraz wyniki s obiektywne i mog by ze sob porównywane; warto informacji wyraona jest w postaci konkretnej kwoty pieninej; wyniki oszacowanego ryzyka maj okrelon struktur (posta) finansow bd procentow. Do wad metod ilociowych mona natomiast zaliczy [4]: wyliczenia dokonywane s kompleksowo, dlatego te wymagaj odpowiedniego zrozumienia oraz wytłumaczenia, w przeciwnym przypadku kierownictwo organizacji moe nie ufa wynikom oszacowanego ryzyka, uznajc je za efekt czarnej skrzynki ; praktyczne oraz skuteczne stosowanie metod ilociowych narzuca konieczno wykorzystywania zautomatyzowanych narzdzi oraz aplikacji informatycznych; konieczno gromadzenia informacji odnonie do rodowiska IT, zabezpiecze oraz zasobów. Metody jakociowe (kwalifikatywne) charakteryzuj si do duym subiektywizmem z uwagi na fakt, i w procesie szacowania ryzyka wykorzystuje si wiedz i dowiadczenie specjalistów oraz tzw. dobre praktyki [2]. W analizie jakociowej ryzyko oraz potencjalne jego skutki mog zosta przedstawione w sposób opisowy, przy uyciu rónych wariantów scenariuszy zdarze. W praktyce czsto zawieraj one bardzo duo detali determinujcych trafno podejmowanych decyzji w kwestii konkretnych działa oraz wyboru mechanizmów ochronnych (zabezpiecze). Do opisu zdarze i sytuacji uywa si róne skale (np. ryzyko małe 1; ryzyko maksymalne 4). Zaletami metod jakociowych s [4]: brak kalkulacji i oblicze, a jeeli one wystpuj, to s zrozumiałe i bardzo proste; w wikszoci przypadków nie istnieje konieczno wyceny informacji (jej dostpnoci, poufnoci oraz integralnoci); brak jest koniecznoci ilociowej oceny skutków negatywnych zdarze oraz czstotliwoci ich wystpowania; nie istnieje potrzeba szacowania kosztów zalecanych zabezpiecze oraz ewentualnych strat;

6 228 M. Pał%ga, M. Knapiski, W. Kulma ogólne wskazanie sfer zwizanych z wystpowaniem ryzyka, na które naley połoy szczególny nacisk. Ponadto wród korzyci z uycia metod jakociowych mona wskaza moliwo uwzgldniania w procesie szacowania ryzyka takich sfer, jak np. kultura organizacyjna czy wizerunek przedsibiorstwa. Naley take podkreli, i zastosowanie tego rodzaju metod nie wymaga zbierania konkretnych informacji i danych ilociowych, jak w przypadku metod ilociowych [4]. Metody mieszane stanowi kombinacj dwóch wyej prezentowanych metod (ilociowej i jakociowej). Na etapie identyfikowania wszystkich obszarów ryzyka oraz jego skutków wykorzystuje si metody jakociowe, najczciej z uyciem narzdzia, jakim jest scenariusz zdarze. Analiza ilociowa natomiast słuy do oszacowania kosztów skutków wystpienia ryzyka. Zastosowanie takiego podejcia znacznie zwiksza wiedz uytkow kierownictwa organizacji w kwestii zachodzcych procesów oraz uwiadamiania potencjalnego ryzyka [5]. Ocena ryzyka bezpieczestwa informacji za pomoc metody CRAMM studium przypadku 1. Ogólne informacje o przedsibiorstwie Badane przedsibiorstwo działa na krajowym i zagranicznym rynku usług budowlanych od wielu lat. W szczególnoci specjalizuje si w realizacji duych projektów inwestycyjnych dla samorzdów terytorialnych w zakresie budowy oczyszczalni cieków oraz sieci kanalizacji. Firma swoj pozycj konkurencyjn zawdzicza przede wszystkim wysoko wykwalifikowanej kadrze technicznej, administracyjnej i wykonawczej oraz profesjonalizmowi, dokładnoci i terminowoci wykonywanych robót. Ponadto przedsibiorstwo korzysta z własnego zaplecza projektowego oraz laboratorium badawczego, posiadajcego akredytacj PCA w zakresie normy PN-EN ISO/IEC 17025: Metodologia bada Do przeprowadzenia analizy ryzyka zwizanego z bezpieczestwem informacji dla wybranego przedsibiorstwo przemysłowego zastosowano metod CRAMM (Crisis Risk Analysis and Management Method). Prezentowana metoda naley do grupy metod jakociowych i opiera si na dwóch wska nikach: prawdopodobiestwie wystpienia danego zagroenia oraz wielkoci strat spowodowanych zaistnieniem danego zdarzenia. Zaleno t przedstawia nastpujca formuła:

7 Zarzdzanie ryzykiem 229 R= S x P (1) gdzie: R wielko oczekiwane straty zwizanej z danym ryzykiem; S wielko straty, w przypadku wystpienia danego zdarzania; P prawdopodobiestwo wystpienia danego zdarzenia. W tab. 1. zaprezentowano cztery przyjte poziomy wielkoci ryzyka. Tab. 1. Kategorie ryzyka Przedział wielkoci ryzyka Kategoria ryzyka 1 20 Niskie rednie Wysokie Maksymalne Uródło: opracowanie własne na podstawie: [1] Wskazana metoda zakłada take, i ryzyko po przekroczeniu wartoci 20 wymaga szczegółowej analizy, z kolei po przekroczeniu wartoci 60 bezwzgldnej redukcji podatnoci. 3. Wyniki z przeprowadzonych bada własnych Zgodnie z załoeniami przyjtej metodologii analizy ryzyka, pierwszy jej etap polega na identyfikacji moliwych do wystpienia w przedsibiorstwie zagroe zwizanych z bezpieczestwem informacji oraz zdefiniowaniu, co organizacja rozumie przez dane zagroenie. Jest to niezbdne działanie, majce na celu zapewnienie poprawnej weryfikacji i oceny niebezpieczestw (tab. 2). Tab. 2. Identyfikacja zagroe bezpieczestwa informacji w badanym przedsibiorstwie Numer zagroenia Nazwa zagroenia Opis zagroenia ZG-1 Poar Niekontrolowane rozprzestrzenianie si ognia ZG-2 ZG-3 ZG-4 Zalanie Klska ywiołowa Katastrofa budowlana Wydostanie si wody, pary lub innej cieczy w wyniku niedronej bd uszkodzonej instalacji Klska ywiołowa: sztorm, wichura, trzsienie ziemi, tornado, tsunami, ekstremalne temperatury Niezamierzone, nagłe zniszczenie obiektu budowlanego, bd jego czci

8 230 M. Pał%ga, M. Knapiski, W. Kulma Numer zagroenia ZG-5 ZG-6 ZG-7 Nazwa zagroenia Oddziaływanie elektromagnetyczne Awaria sprztu Awaria oprogramowania ZG-8 Przerwy w zasilaniu Przerwy w zasilaniu ZG-9 ZG-10 ZG-11 ZG-12 ZG-13 ZG-14 ZG-15 Awaria łcznoci Uszkodzenie noników Braki organizacyjne Przypadkowe działania,błdy uytkowników Błdy oprogramowania Złoliwy kod Podsłuch Opis zagroenia Interferencja fal radiowych, pola magnetyczne, ultrafiolet Awaria sprztu, która moe wynika z wady sprztu lub pojawi si w trakcie jego uytkowania i narasta do momentu całkowitego zniszczenia Awaria oprogramowania, która moe wynika z wady oprogramowania lub pojawi si w trakcie jego uytkowania i narasta do momentu całkowitego zniszczenia Brak lub zaniki transmisji danych pomidzy lokalizacjami, komputerami. Najczciej wynika ze zniszczenia, awarii okablowania, lub przecie, zniszczenia urzdze sieciowych Uszkodzenie elektronicznych noników danych, uniemoliwiajcych odczytywanie, zapisywanie i przetwarzanie danych Brak jasno zdefiniowanego zakresu odpowiedzialnoci (kto za co odpowiada), brak raportowania do kierownictwa, brak działa koordynacyjnych Przypadkowy wyciek, zmiana, uszkodzenie, ujawnienie informacji. Przypadkowe wprowadzenie błdnych informacji Błdy wystpujce w oprogramowaniu, niewynikajce z działania uytkownika Program lub kod zdolny do przenikania do systemów, dysków lub indywidualnych plików, najczciej bez zgodny i wiedzy uytkownika Przechwycenie danych i informacji przekazywanych za pomoc rónych kanałów komunikacyjnych bd bezporednio pomidzy stronami upowanionymi do informacji stanowicymi własno firmy

9 Zarzdzanie ryzykiem 231 Numer zagroenia ZG-16 ZG-17 ZG-18 ZG-19 ZG-20 ZG-21 ZG-22 ZG-23 ZG-24 ZG-25 Nazwa zagroenia Złamanie hasła Braki personelu Niewiadomo pracownika Przekroczenie kompetencji Niestosowanie si do regulaminów Uchybienia proceduralne Sabota Kradzie Wtargnicie Socjotechnika Uródło: opracowanie własne na podstawie [5] Opis zagroenia Nieuprawnione wejcie w posiadanie haseł dostpu do systemów, wskutek ich odgadnicia, odszyfrowania Nieobecno personelu np. z powodu choroby, zdarze losowych, problemów komunikacyjnych Brak znajomoci procedur i regulaminów firmy przez personel Działanie pracownika (współpracownika) niezgodne z udzielonym zakresem uprawnie Postpowanie niezgodne z regulaminami firmy (oraz klientów) w przypadku, gdy pracownicy zostali z nimi zapoznani i zobligowani do ich przestrzegania Działanie uprawnionego pracownika firmy, które narusza obowizujce w organizacji regulaminy i procedury oraz przepisy prawa Umylne niewypełnianie lub wadliwe wypełnianie obowizków przez personel w celu spowodowania dezorganizacji, szkód i strat Przywłaszczenie sprztu, danych, noników, wyposaenia bdcych własnoci bd w posiadaniu firmy; w wyniku kradziey moe nastpi brak dostpu do danych Wtargniecie nieuprawnionej osoby na teren, do budynku bd pomieszczenia Oddziaływanie na personel w celu spowodowania okrelonego działania W ramach dalszych bada dla kadego zidentyfikowanego zagroenia okrelono prawdopodobiestwo jego wystpienia oraz wielko strat, jakie organizacja poniesie w zwizku z jego wystpieniem. W tym celu posłuono si dziesiciostopniow skal w zakresie od 1 do 10, gdzie 1 oznacza niski poziom prawdopodobiestwa bd kosztów, natomiast 10 bardzo wysoki poziom. Wyniki szacowania ryzyka dla badanego obiektu zostały zawarte w tab. 3.

10 232 M. Pał%ga, M. Knapiski, W. Kulma Tab. 3. Szacowanie ryzyka bezpieczestwa informacji w badanym przedsibiorstwie Numer zagroenia Nazwa zagroenia Strata Prawdopodobiestwo Miara ryzyka Kategoria ryzyka ZG-1 Poar rednie ZG-2 Zalanie rednie ZG-3 Klska ywiołowa Niskie ZG-4 Katastrofa budowlana Niskie ZG-5 Oddziaływanie elektromagnetyczne rednie ZG-6 Awaria sprztu rednie ZG-7 Awaria oprogramowania rednie ZG-8 Przerwy w zasilaniu rednie ZG-9 Awaria łcznoci rednie ZG-10 Uszkodzenie noników Wysokie ZG-11 Braki organizacyjne rednie ZG-12 Przypadkowe działania rednie ZG-13 Błdy oprogramowania rednie ZG-14 Złoliwy kod rednie ZG-15 Podsłuch rednie ZG-16 Złamanie hasła rednie ZG-17 Braki personelu rednie ZG-18 Niewiadomo pracownika Wysokie ZG-19 Przekroczenie kompetencji rednie ZG-20 Niestosowanie si do regulaminów Wysokie ZG-21 Uchybienia proceduralne rednie ZG-22 Sabota rednie ZG-23 Kradzie Maksymalne ZG-24 Wtargnicie Maksymalne ZG-25 Socjotechnika rednie Uródło: opracowanie własne na podstawie danych ródłowych przedsibiorstwa

11 Zarzdzanie ryzykiem 233 Przeprowadzona analiza ryzyka wskazuje na podstawowe wymagania w zakresie ochrony informacji przedsibiorstwa. W oparciu o zaprezentowane w tab. 3 wyniki mona stwierdzi, i najwiksze zagroenie utraty bezpieczestwa informacji wie si z wtargniciem oraz kradzie dokumentów, sprztu czy te noników danych. Wysoki poziom ryzyka oszacowany został dla takich zagroe, jak: uszkodzenie noników, niewiadomo pracowników, niestosowanie si do regulaminów. Z przeprowadzonych bada wynika zatem, e najsłabszym ogniwem w systemie bezpieczestwa informacji w badanym przedsibiorstwie jest czynnik ludzki, i to włanie ten obszar bezpieczestwa wymaga szczegółowej analizy oraz zaimplementowania działa profilaktycznych i kontrolnych. Dlatego te budowanie skutecznego systemu ochrony informacji wymaga obok wdraania nowych zabezpiecze take podnoszenia ogólnej wiadomoci pracowników w zakresie bezpieczestwa informacji, np. za po- rednictwem cyklicznie organizowanych szkole. W tabeli 4 zaprezentowano przykładowe rozwizania techniczne i organizacyjne majce na celu obnienie wszystkich oszacowanych dla badanego przedsibiorstwa ryzyk do poziomu akceptowalnego. Tab. 4. -rodki i zabezpieczenia wdroone w badanym przedsibiorstwie Numer zagroenia ZG-1 ZG-2 ZG-3 ZG-4 ZG-5 Nazwa zagroenia Poar Zalanie Klska ywiołowa Katastrofa budowlana Oddziaływanie elektromagnetyczne Wdroone rodki i zabezpieczenia Sprzt i jego otoczenie powinny zosta naleycie zabezpieczone przed rozprzestrzenianiem si ognia; naley wdroy rodki utrudniajce zaprószenie ognia oraz zabezpieczenia przeciwpoarowe (czujki ognia i dymu, alarmy, rodki gaszce) Najwaniejsze urzdzenia i noniki danych powinny by zlokalizowane w miejscach, które nie s szczególnie naraone na wyciek wody bd innych płynów Naley wykonywa kopie zapasowe, które powinny by przechowywane poza terenem przedsibiorstwa Naley wykonywa kopie zapasowe, które powinny by przechowywane poza terenem przedsibiorstwa Naley zastosowa właciwe uziemienie, separacj urzdze, ekranowanie okablowania

12 234 M. Pał%ga, M. Knapiski, W. Kulma Numer zagroenia ZG-6 ZG-7 ZG-8 ZG-9 ZG-10 ZG-11 ZG-12 Nazwa zagroenia Awaria sprztu Awaria oprogramowania Przerwy w zasilaniu Awaria łcznoci Uszkodzenie noników Braki organizacyjne Przypadkowe działania, błdy uytkowników Wdroone rodki i zabezpieczenia Naley wdroy procedury dokonywania okresowych przegldów i konserwacji sprztu IT oraz wprowadzi procedury reagowania na incydenty Oprogramowanie przed jego wdroeniem do eksploatacji powinno zosta poddane dokładnym testom. Naley systematycznie monitorowa zmiany oprogramowania oraz raportowa osobie odpowiedzialnej wszystkie nieprawidłowe działania oprogramowania Naley dokonywa systematycznej konserwacji i przegldów awaryjnych ródeł zasilania (UPSów), mechanizmów zwalniania zwór elektromagnetycznych itp. Naley starannie rozmieci i rozłoy okablowanie oraz zastosowa zabezpieczenia fizyczne chronice przed przypadkowym bd umylnym uszkodzeniem. W uzasadnionych przypadkach naley zastosowa zabezpieczenia przed podsłuchem. Ponadto naley prawidłowo eksploatowa i utrzymywa sprzt sieciowy, aby unikn błdów transmisji Naley przechowywa noniki pamici tak, aby unikn wpływu szkodliwych czynników rodowiskowych oraz czynników zewntrznych, które mog spowodowa ich uszkodzenie. Naley wprowadzi procedury bezpiecznego przekazywania i zbywania noników pamici Polityka bezpieczestwa informacji firmy oraz pozostałe dokumenty zwizane z bezpieczestwem powinny by systematycznie monitorowane oraz aktualizowane Naley wprowadzi cykliczne szkolenia uytkowników, z zakresu prawidłowego korzystania ze rodków teleinformatycznych i unikania błdów z tym zwizanych. Personel powinien systematycznie otrzymywa instrukcje i inne materiały podnoszce jego wiadomo bezpieczestwa

13 Zarzdzanie ryzykiem 235 Numer zagroenia ZG-13 ZG-14 ZG-15 ZG-16 ZG-17 ZG-18 Nazwa zagroenia Błdy oprogramowania Złoliwy kod Podsłuch Złamanie hasła Braki personelu Niewiadomo pracownika Wdroone rodki i zabezpieczenia Oprogramowanie przed jego wdroeniem do eksploatacji powinno zosta poddane dokładnym testom. Naley systematycznie monitorowa zmiany oprogramowania oraz raportowa osobie odpowiedzialnej wszystkie nieprawidłowe działania oprogramowania Naley stosowa skanery celem wykrycia i usunicia szkodliwego oprogramowania najlepszym rozwizaniem s skanery pracujce on-line, które gwarantuj wykrycie i ewentualne usunicie szkodliwego oprogramowania zanim zostanie zainfekowany i uszkodzony system. Skanery powinny by stale aktualizowane. Naley opracowa wytyczne ograniczajce ryzyko wprowadzenia szkodliwego oprogramowania (np. zakaz uruchamiania gier i innych programów, sprawdzanie plików nieznanych typów) oraz organizowa systematyczne szkolenia z zakresu procedur i wskazówek zwizanych z ochron przed szkodliwym oprogramowaniem. Naley zastosowa tak konstrukcj pokoi, cian pomieszcze, budynku, która znacznie utrudni bd uniemoliwi podsłuch. Naley zastosowa właciwe uziemienie, separacj urzdze, ekranowanie okablowania Naley kontrolowa przydzielanie haseł oraz ich regularn zmian. Uytkownicy powinni zosta zaznajomieni z zasadami tworzenia bezpiecznego hasła. Postuluje si wdroenie oprogramowania ograniczajcego stosowanie pospolitych haseł. Kopie haseł powinny zosta zdeponowane w bezpieczny sposób. Naley wdroy właciw polityk kadrowofinansow, przeszkoli dodatkowe osoby funkcyjne celem zastpienia etatowego personelu Kady pracownik powinien by wiadomy swojej odpowiedzialnoci i roli w utrzymaniu bezpieczestwa. Naley systematycznie organizowa szkolenia dla personelu podnoszce wiadomo bezpieczestwa informacji w firmie. Szkolenia takie musz by obowizkowe, a obecno na nich pracowników dokumentowana.

14 236 M. Pał%ga, M. Knapiski, W. Kulma Numer zagroenia ZG-19 ZG-20 ZG-21 ZG-22 ZG-23 ZG-24 ZG-25 Nazwa zagroenia Przekroczenie kompetencji Niestosowanie si do regulaminów Uchybienia proceduralne Sabota Kradzie Wtargnicie Socjotechnika Wdroone rodki i zabezpieczenia Pracownicy powinny by wiadomi konsekwencji naruszenia postanowie polityki bezpieczestwa informacji, polityki bezpieczestwa teleinformatycznego oraz innych zwizanych z bezpieczestwem dokumentów. Naley regularnie weryfikowa i uaktualnia przyznawane prawa dostpu. Trzeba dokonywa kontroli uprawnie personelu, aby upewni si, e nie s one naduywane. Ponadto prawa dostpu powinny by wycofywane, gdy nie s ju potrzebne Naley wprowadzi restrykcje za nieprzestrzeganie zasad obowizujcych w firmie regulaminów i procedur, zapozna z nimi personel oraz bezwarunkowo stosowa je wobec pracowników Naley wprowadzi restrykcje za nieprzestrzeganie zasad obowizujcych w firmie regulaminów i procedur, zapozna z nimi personel oraz bezwarunkowo stosowa je wobec pracowników Naley wprowadzi restrykcje za nieprzestrzeganie zasad obowizujcych w firmie regulaminów i procedur, zapozna z nimi personel oraz bezwarunkowo stosowa je wobec pracowników Naley oznakowa posiadany sprzt, umoliwiajc w ten sposób jego lokalizacj. Wprowadzi procedury przechowywania i udostpniania dokumentów zawierajcych wraliwe informacje oraz procedury dotyczce kontroli dostpu do okrelonych pomieszcze i stref ochronnych Naley wdroy stosowne rodki ochrony fizycznej w szczególnoci rodki kontroli dostpu. Naley zobligowa pracowników pionu ochrony do przeprowadzania systematycznych kontroli Kady pracownik powinien by wiadomy swojej odpowiedzialnoci i roli w utrzymaniu bezpieczestwa. Naley systematycznie organizowa szkolenia dla personelu podnoszce wiadomo bezpieczestwa informacji w firmie Uródło: opracowanie własne na podstawie danych ródłowych przedsibiorstwa

15 Zarzdzanie ryzykiem 237 Podsumowanie Zarzdzanie ryzkiem pełni szczególn rol w procesie kształtowania systemu bezpieczestwa informacji w organizacji. Umoliwia ono identyfikacj rónego rodzaju zagroe determinujcych utrat poufnoci, integralnoci i dostpnoci informacji, oszacowanie wielkoci strat oraz prawdopodobiestwa ich wystpienia w konkretnej jednostce gospodarczej. Ponadto nieodzownym elementem zarzdzania ryzkiem jest jego akceptacja oraz wybór odpowiedniej strategii postpowania z ryzkiem. Literatura przedmiotu wskazuje na trzy podstawowe strategie: ignorowanie wystpowania ryzyka, transferowanie ryzyka bd jego redukcja do poziomu akceptowanego (ryzyko rezydualne). W przypadku omawianego przedsibiorstwa, w reakcji na oszacowane ryzyko kierownictwo podjło decyzj o redukcji wartoci poszczególnych podatnoci poprzez zastosowanie właciwych zabezpiecze, adekwatnych do biecych i przyszłych zagroe, zgodnych z przyjtymi wymogami bezpieczestwa. Literatura [1] Anzel M., Szacowanie ryzyka oraz zarzdzanie ryzykiem w wietle nowej ustawy z dn. 5 sierpnia 2010 r. o ochronie informacji niejawnych, PHU One, Pozna [2] zpieczenstwa.informacji.w.systemach.ti.html [3] Janczak J., Nowak A., Bezpieczestwo informacyjne. Wybrane problemy, Akademia Obrony Narodowej, Warszawa [4] Łuczak J., Metody szacowania ryzyka kluczowy element systemu zarzdzania bezpieczestwem informacji ISO/IEC 27001, Zeszyty Naukowe, Akademia Morska w Szczecinie, Nr 19(91) [5] Łuczak J., Tyburski M., Systemowe zarzdzanie bezpieczestwem informacji ISO/IEC 27001, Uniwersytet Ekonomiczny w Poznaniu, Pozna [6] Nowak A., Scheffs W., Zarzdzanie bezpieczestwem informacyjnym, Wyd. AON, Warszawa [7] PN-I : 1999, Wytyczne do zarzdzania bezpieczestwem systemów informatycznych pojcia i modele bezpieczestwa systemów informatycznych, PKN, Warszawa [8] PN-ISO/IEC 27005:2010 Technika informatyczna techniki bezpieczestwa Zarzdzanie ryzykiem w bezpieczestwie informacji.

16 238 M. Pał%ga, M. Knapiski, W. Kulma [9] Prauzner T., Prawo a bezprawie w Internecie [w:] Prace Naukowe Akademii im. Jana Długosza w Czstochowie, Tom IV, AJD, red. A. Gil, Czstochowa [10] Prauzner T., Technologia informacyjna wybrane problemy społeczne, [w] Edukacja-Technika-Informatyka nt: Wybrane problemy edukacji informatycznej i informacyjnej, Rocznik Naukowy Nr 3/2012 cz.2, red. dr hab. prof. UR Walat W., FOSZE, Rzeszów [11] Sasor T., Ryzyko i polityka bezpieczestwa w przedsibiorstwie wirtualnym [w:] Kisielnicki J., Grabara J.K., Nowak J.S., Informatyka i współczesne zarzdzanie, Polskie Towarzystwo Informatyczne, Katowice 2005.