PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie. Technika, Informatyka, Inynieria Bezpieczestwa 2014, t. II, s

Transkrypt

1 PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie Technika, Informatyka, Inynieria Bezpieczestwa 2014, t. II, s Justyna ywiołek, Ewa Staniewska Politechnika Czstochowska al. Armii Krajowej 19, Czstochowa staniew@wip..pcz.pl, j.zywiolek@wip.pcz.pl ROLA POLITYKI BEZPIECZESTWA INFORMACJI W OCHRONIE DANYCH PRZEDSIBIORSTWA Streszczenie. W artykule przedstawione zostały zasady tworzenia polityki bezpiecze- stwa informacji. Uwzgldniono zarzdzanie bezpieczestwem informacji w przedsi- biorstwie, co jest podstaw planów bezpieczestwa IT. Opisane w artykule elementy polityki bezpieczestwa informacyjnego kompleksowo obrazuj elementy niezbdne do zapewnienia bezpieczestwa informacji w przedsibiorstwie. Słowa kluczowe: bezpieczestwo informacyjne, polityka bezpieczestwa, ochrona danych. THE ROLE THE OF INFORMATION SECURITY POLICY DATA PROTECTION COMPANY Abstract. The article presents the principles of creating an information security policy. Includes management of information security in an enterprise which is the basis of IT security plans. Described in the article information security policy elements comprehen- sively illustrate the elements necessary to ensure the safety of information in an enterprise. Keywords: informationn security, security policy, data protection Wstp W warunkach postpujcej digitalizacji, gdy coraz wicej danych dostp- Mona nych jest w sieci, konieczno ich ochrony wydaje si oczywistoci. wyróni dwa rodzaje danych wraliwych, które powinny by w szczególnoci objte systemem bezpieczestwa: dane osobowe oraz wszelkie dane przedsi- biorstwa i klientów, dotyczce zakresu i obszaru działa firmy oraz powiza-

2 482 Justyna,ywiołek, Ewa Staniewska nych z ni podmiotów. Z jednej strony mamy do czynienia z danymi pracowników, z drugiej za strategicznymi informacjami w przedsibiorstwie. Ochrona informacji wymaga spełnienia co najmniej trzech warunków, aby mona było mówi o jej skutecznoci [1, 2]: 1. wysokiej wiadomoci pracowników, poczynajc od najwyszego kierownictwa; 2. efektywnego zarzdzania informacjami w taki sposób, aby zapewni ich bezpieczestwo; 3. stworzenia odpowiednich rozwiza technologicznych, które zapewniaj realizacj tej polityki. Zasady polityki bezpieczestwa informacji W kadej organizacji znajduj si rónego rodzaju informacje, które powinny podlega ochronie [3]. Informacje te mona podzieli na: strategiczne, do których okrela si równie zakres dostpu poszczególnych uytkowników, oraz informacje chronione z mocy prawa (głównie dane osobowe oraz tajemnice firmy). Kluczowe w tej sytuacji jest spełnienie trzech podstawowych warunków PBI (polityka bezpieczestwa informacji) [6]: zachowanie poufnoci, integralnoci oraz dostpnoci informacji. Zachowanie poufnoci oznacza, e do okrelonych informacji dostp maj tylko osoby uprawnione. Natomiast zasada dostpnoci definiuje czas, kiedy osoby upowanione mog korzysta z powyszych informacji. Natomiast przez zasad integralnoci rozumie si zapewnienie dokładnoci i kompletnoci informacji oraz metod jej przetwarzania. Tak wic PBI ujmuje ogólne zasady bezpiecznego wytwarzania, przetwarzania, przesyłania i przechowywania informacji oraz organizacj i zarzdzanie tym procesem. Z punktu widzenia prawnego podstaw do opracowania PBI bd wszelkie dokumenty wyszego rzdu (ustawy, rozporzdzenia) dotyczce ochrony informacji niejawnych, podstawowych wymaga bezpieczestwa systemów informatycznych i telefonicznych, wspomnianej ju wczeniej ochrony danych osobowych i ochrony praw autorskich. Tak wic stworzenie takiej dokumentacji oraz zarzdzania procesem bezpieczestwa wymaga spojrzenia na przedsibiorstwo z rónych punktów widzenia, w ujciu całociowym. Kolejnym wanym czynnikiem opracowania PBI jest odniesienie si do specyfiki organizacji. Jeli, przykładowo, organizacja ma charakter korporacyjny i funkcjonuje w łacuchu dostaw, to dochodzi do do szerokiej wymiany informacji za pomoc systemów teleinformatycznych zarówno wewntrz korporacji (midzy ogniwami sieci korporacyjnej, na ogół znajdujcymi si na rónych kontynentach), jak te midzy zewntrznymi uczestnikami łacucha dostaw, a wic klientami, klientami klientów (jeli organizacja działa na ryn-

3 Rola polityki bezpieczestwa informacji 483 kach B2B i B2C), dostawcami, administracj, bankami i innymi interesariuszami, uczestniczcymi w realizowanych transakcjach. Zasady zarzdzania bezpieczestwem informacji w przedsibiorstwie Zarzdzanie bezpieczestwem IT Zarzdzanie bezpieczestwem IT, zwłaszcza w branach, w których platforma IT stanowi podstaw do rozwoju biznesu, powinno by wyodrbnione w infrastruktury organizacyjnej i oddzielone od systemów IT. Obecnie kada działalno biznesowa w coraz wikszym stopniu uwzgldnia platform internetow jako jeden z kanałów docierania do klientów. Brane bankowa, ubezpieczeniowa i logistyczna (w tym: kurierska, ekspresowa i paczkowa tzw. KEP) traktuj ten obszar jako jeden z kluczowych czynników wartoci oferowanej klientom. W tej sytuacji kluczowe jest, aby osoba zarzdzajca (np. szef bezpieczestwa informacji) raportowała bezporednio do zarzdu i miała moliwo niezalenego audytowania systemów IT, jak równie mogła koordynowa wszelkie funkcje, dotyczce szeroko rozumianego bezpieczestwa (w tym równie bezpieczestwa fizycznego). Istotnym elementem zarzdzania bezpieczestwem jest stworzenie odpowiedniego dokumentu, w którym s okrelone zasady polityki, jak równie procedury i standardy oraz system raportowania w tym obszarze. Niekiedy, przy rozbudowanych strukturach organizacyjnych i sieciowej organizacji, warto stworzy i wyszkoli zespół ludzi, który na miejscu dba o bezpieczestwo informacji, sprawdzajc systemy, procedury oraz sam sprzt IT i oprogramowanie. Plan bezpieczestwa IT Opracowanie planu bezpieczestwa wymaga zidentyfikowania kluczowych ryzyk zwizanych z bezpieczestwem informacji [7]. Ryzyka te mog by zmienne w czasie i mie róny aspekt finansowy z punktu widzenia firmy i pozostałych interesariuszy uczestników łacucha/sieci dostaw (w tym przede wszystkim klientów i dostawców). Konieczne jest równie dokonanie analizy kosztowej takiego planu i zbadanie, jakie s rzeczywiste oczekiwania klientów w tym zakresie. Awaria systemów IT moe prowadzi do utracenia czci informacji niezbdnych do efektywnego zarzdzania danym produktem czy usług, co wie si z powstaniem kategorii utraconych moliwoci z punktu widzenia klienta lub innych interesariuszy. W tej sytuacji konieczne jest podjcie decyzji wspólnie z osobami/firmami najbardziej zainteresowanymi, w jakim czasie konieczne jest przywrócenie pełnej funkcjonalnoci systemu, biorc pod

4 484 Justyna,ywiołek, Ewa Staniewska uwag zarówno koszty, jak te efekty. Czsto decyzja ta moe mie charakter trade off, gdzie optymalizacja kosztowa rozwizania bdzie podstawowym czynnikiem wyboru. Mona sobie bowiem wyobrazi, e kady klient/osoba oczekuje natychmiastowej reakcji na awari systemu, co oznacza bardzo wysokie inwestycje w dublowanie drogiej infrastruktury. Po głbszej analizie okazuje si jednak, e mona si zgodzi na czas reakcji na poziomie kilku godzin, a nawet dłuej, co zdecydowanie zmniejsza koszty takiego rozwizania. W efekcie oznacza to konieczno zidentyfikowania krytycznych z punktu widzenia klienta systemów informatycznych oraz przygotowania kompletnych planów awaryjnych, które mona wykorzysta w sytuacji zakłóce lub te okrelonych wyra nie incydentów [6]. Tego typu plany awaryjne, podobnie jak w przypadku systemów bezpieczestwa osób, powinny by testowane w naturalnym rodowisku z okrelon czstotliwoci, tak aby w przypadku, gdy dojdzie do zaburze procedura była w pełni opanowana. W praktyce czsto zdarza si, e plany awaryjne, rozpisane profesjonalnie, w rzeczywistoci zawodz, poniewa zabrakło wicze w tym zakresie. Zdarza si take, e w planach awaryjnych brakuje informacji, kto podejmuje decyzje w przypadku, gdy awaria odbiega w jakim stopniu od wczeniej zidentyfikowanej. Kolejnym istotnym elementem zabezpieczenia systemu jest przegld planów awaryjnych zaplanowany co najmniej kilka razy w roku. Liczba przegldów uzaleniona jest od dynamiki rozwoju platformy IT, a tym samym zmian, jakie zachodz w głównych systemach. Przegld czsto niesie za sob konieczno zmiany planów awaryjnych. Warto te pamita, e awarie dotyczce systemów IT, jeli zwizane s z zawodnoci danego systemu, nios nieco mniejsze ryzyko ni naruszenie bezpieczestwa IT, którego dokonano wiadomie przez ludzi w celu przejcia okrelonych informacji (np. konkurencja), pozyskania baz danych (np. pracownicy). Jak wynika z bada, wikszo włama do systemów IT jest wynikiem działa pracowników firmy (cel moe by róny, jednym z nich jest take pewnego rodzaju zabawa w łamanie systemów). Jednym z waniejszych czynników bezpieczestwa jest opracowanie standardu bezpieczestwa dla kluczowych platform technologicznych oraz zarejestrowanie standardowej konfiguracji w rejestrze konfiguracji. Warto te si upewni, e plan obejmuje: kompletny zestaw polityk i standardów, procedury ich wdroenia i egzekwowania, opis ról i odpowiedzialnoci, wymagania kadrowe, podnoszenie wiadomoci uytkowników i szkolenia, opis wymaganych inwestycji w bezpieczestwo informacji.

5 Rola polityki bezpieczestwa informacji 485 Zarzdzanie tosamoci Zarzdzanie tosamoci oznacza ustalenie zakresu dostpu i moliwoci pasywnego bd aktywnego wpływania na obowizujce standardy. W tym celu konieczne jest stworzenie kluczowej dokumentacji (moe ona by zarówno w formie papierowej, jak te elektronicznej) oraz listy osób, które maj dostp do tej informacji na zasadzie przegldania jej i/lub dokonywania zmian. Dostp do systemów powinien by moliwy wyłcznie dla uwierzytelnionych uytkowników. Polityka bezpieczestwa informacji jest cile powizana z zasadami podziału ról i obowizków w ramach procesów biznesowych, co w praktyce oznacza, e właciciele procesów biznesowych musz akceptowa tworzenie nowych funkcji oraz ich zmian. Take sam proces przyznawania uprawnie i mechanizmy uwierzytelnienia powinny by oparte na okrelonych procedurach. Zarzdzanie kontami uytkowników Zarzdzanie kontami uytkowników wymaga, podobnie jak inne czynno- ci z zakresu zarzdzania, wyra nie okrelonych procedur oraz zasad ich weryfikacji, jak równie kontroli uprawnie do systemów. Do czsto zdarza si, zwłaszcza w duych organizacjach, e zmiany organizacyjne, rozwizanie umowy o prac czy te zwolnienia nie znajduj odzwierciedlenia w weryfikacji uprawnie. W przypadku dobrze prowadzonej polityki bezpieczestwa informacji, tego typu sytuacje s jednoznacznie opisane w ramach procedur i w momencie wystpienia której z nich nastpuje uruchomienie danej procedury. Sprowadza si ona najczciej do realizacji okrelonej liczby działa w okrelonym porzdku, co ma istotne znaczenie dla zachowania bezpieczestwa. Zdarza si take, e uprawnienia do korzystania z systemów otrzymuj równie osoby z zewntrz, przykładowo: klienci w pewnym zakresie korzystaj z udostpnionego im miejsca na serwerze usługodawcy czy te producenta (operatora logistycznego itp.). Za pomoc haseł mog oni sprawdzi status swojej przesyłki albo stopie zaawansowania realizacji zamówienia. Ten sposób, wygodny dla klienta, stwarza jednak okrelone zagroenia: moe nastpi nawet przypadkowa awaria systemu i klient bdzie miał dostp do całoci informacji (w tym równie utajnionych informacji firmy producenta lub usługodawcy); włamanie do systemu firmy moe spowodowa nie tylko naruszenie danych firmy, ale równie dostp do danych firm, z którymi prowadzone s działania biznesowe. W zwizku z powyszym równie w tym obszarze naley zadba o stworzenie właciwej ochrony danych, przy czym systemy, aplikacje i dane powinny by sklasyfikowane według kryterium wanoci i ryzyka.

6 486 Justyna,ywiołek, Ewa Staniewska Testy bezpieczestwa i monitorowanie Ten obszar wymaga pełnej inwentaryzacji wszystkich urzdze sieciowych oraz ich okresowej weryfikacji. Kade z tych urzdze powinno mie przypisany poziom ryzyka z punktu widzenia krytycznoci systemów wykorzystywanych w firmie i systemów uytkowanych wspólnie przez kilka firm w ramach łacucha/sieci dostaw. Na tej podstawie tworzone s standardy bezpieczestwa dla wszystkich wykorzystywanych technologii. Pewnym problemem moe by brak opisów aplikacji, co czsto wystpuje w firmach, gdzie działy IT s rozbudowane i nie ma wyra nych procedur dotyczcych zasad tworzenia aplikacji. Członkowie zespołów IT, czsto uzdolnieni informatycznie, tworz aplikacje zgodnie z oczekiwaniem klienta biznesowego, prawie na poczekaniu, nie zajmujc si faktycznym opisem aplikacji. W efekcie w momencie powstania zakłócenia w działaniu danej aplikacji nikt, oprócz autora, nie jest w stanie usun powyszego zakłócenia. Ten sposób działania znacznie utrudnia zarzdzanie polityk bezpieczestwa informacji. Zdarza si równie, e członkowie zespołów IT nie przywizuj wagi do wykonywania przed ostatecznym uruchomieniem aplikacji testów bezpieczestwa, traktujc je jako zbdn czynno, niepotrzebnie wydłuajc cał procedur. W tym przypadku moe dochodzi do konfliktu midzy szefem bezpieczestwa a szefem IT. Aby zminimalizowa tego typu sytuacje, konieczne jest budowanie wiadomoci bezpieczestwa wród wszystkich pracowników, w szczególnoci jednak wród pracowników IT. Dodatkowe zagro- enie moe powsta w sytuacji, gdy cz działa IT bdzie realizowana przez firm zewntrzn. Std te kluczowe dla utrzymania systemu bezpieczestwa jest właciwe okrelenie systemów, które s najwaniejsze z punktu widzenia podstawowej działalnoci biznesowej danej firmy, i ustanowienie dla nich szczególnej ochrony. Konieczne jest równie opracowanie systemów monitoringu urzdze o krytycznym znaczeniu z punktu widzenia moliwoci wystpienia incydentów bezpieczestwa. Jeli organizacja zarzdzana jest projektowo, warto pamita o wbudowaniu w metodyk projektow ju w momencie ustalania podstawowych elementów projektu równie analizy bezpieczestwa informacji. Sam proces zarzdzania incydentami powinien obejmowa [4]: wykrywanie zdarze, korelacj zdarze i ocen zagroenia, wyeliminowanie zagroenia lub eskalacji i uruchomienie innych procedur, ustalenie kryteriów uruchomienia procedur obsługi incydentu, weryfikacj i wymagany poziom dokumentacji incydentu i jego rozwizania,

7 Rola polityki bezpieczestwa informacji 487 analiz po rozwizaniu incydentu, procedury zamknicia incydentu. Ochrona technologii bezpieczestwa Właciwy system ochrony technologii stanowi wany czynnik prewencji w przypadku polityki bezpieczestwa informacji. W tym celu konieczne jest zbadanie, jak dalece procedury, opisane w polityce, uwzgldniaj konsekwencje naruszenia bezpieczestwa informacji. Kolejnym krokiem jest analiza dokumentacji, na podstawie której jest przyznawany i akceptowany dostp do systemów oraz dzienników systemowych pod ktem nieudanych prób dostpu, blokady kont, dostpu do wraliwych zasobów oraz dostpu do pomieszcze. Jednym z waniejszych, czsto niedocenianych (zwłaszcza przez uytkowników) elementów jest wdroenie i przestrzeganie polityki haseł (długo, kompozycja, wano itp.). Sam dostp do systemów powinien by przyznawany po odpowiedniej akceptacji, a weryfikacja mechanizmów bezpieczestwa logicznego i fizycznego systemów i danych oraz uprawnie uytkowników powinna by dokonywana przynajmniej raz w roku. Warto równie dokonywa analizy raportów bezpieczestwa systemów pod ktem istniejcych podatnoci i systematycznie wprowadza nowe rozwizania. Ta zasada działa podobnie jak aplikacje chronice przed wirusami. W krótkim czasie (do miesica) definicje wirusów staj si przestarzałe i wymagaj od- wieenia. Podobnie systemy zabezpiecze, w kontekcie bardzo szybko rozwijajcych si systemów IT, staj si mało skuteczne. Zarzdzanie kluczami kryptograficznymi Klucze kryptograficzne s narzdziem pozwalajcym zwiksza poziom bezpieczestwa przechowywanych i wymienianych informacji poprzez zapewnienie szyfrowania i deszyfrowania informacji (w kryptografii symetrycznej). Do obu czynnoci uywa si tego samego klucza, co oznacza, e powinien on by znany tylko uczestnikom wymiany informacji. Klucz przypisany jest do danej komunikacji. W przypadku kryptografii asymetrycznej wystpuj dwa rodzaje kluczy: publiczny i prywatny. W pierwszym przypadku mamy do czynienia z jawn informacj, w drugim jest w pełni utajniona. W celu lepszej ochrony konieczne jest zatem zdefiniowanie procesu zarzdzania cyklem ycia kluczy kryptograficznych. Klucze prywatne powinny podlega odpowiedniej ochronie przed utrat poufnoci i integralnoci. Ochrona, wykrywanie i usuwanie złoliwego oprogramowania Tak jak wczeniej wspomniano, najbardziej skutecznym narzdziem zabezpieczenia informacji jest zwikszenie poziomu wiadomoci pracowników,

8 488 Justyna,ywiołek, Ewa Staniewska klientów oraz innych interesariuszy, którzy uczestnicz w łacuchu/sieci dostaw. Jednym z czciej wystpujcych zakłóce jest tzw. złoliwe oprogramowanie, czsto samoinstalujce si na danym komputerze, przekazywane czy te podczepiane do plików, otrzymywanych nawet z wiarygodnych (sprawdzonych) adresów. W zwizku z powyszym konieczne jest opracowanie polityki ochrony przed złoliwym oprogramowaniem, udokumentowanie i zakomunikowanie jej wszystkim pracownikom firmy. Jednoczenie niezbdne jest wdroenie systemów, które wykrywaj złoliwe oprogramowanie i zabezpieczaj przed jego instalacj. W efekcie prowadzi to do ograniczenia adresów internetowych, które mog by wykorzystane w pracy. W niektórych firmach zablokowane s równie moliwoci przegrywania plików na zewntrzne noniki informacji oraz wgrywania plików do komputera. To w znaczcy sposób zmniejsza zagroenie zwizane z przeniesieniem wirusa, cho z drugiej strony ogranicza swobodny dostp do zewntrznych ródeł wiedzy. Oprogramowanie antywirusowe powinno by dystrybuowane i zarzdzane centralnie, przy czym kluczowe jest okrelenie jego skutecznoci operacyjnej. Na ogół funkcjonuj ju filtry w postaci firewall, które nie pozwalaj przedosta si do rodka systemu niepewnym informacjom, jednoczenie sam uytkownik moe zdefiniowa, które adresy czy te słowa uyte w temacie wiadomoci powinny by automatycznie wysyłane do kosza. Wymiana wraliwych informacji W dobie łczenia si za pomoc rónych protokołów transmisji z zewntrznymi podmiotami i/lub udostpniania miejsca na własnym serwerze innym uytkownikom konieczne jest wykorzystanie specjalnych metod szyfrowania w celu ochrony danych. W praktyce zdarza si, e nawet audytorzy z wielkiej czwórki nie maj opracowanych zasad wykorzystania wraliwych danych i w ramach audytu prosz o przekazywanie kopii w formie papierowej, któr nastpnie chc wykorzystywa ju w siedzibie własnego przedsibiorstwa. Tego typu praktyki powoduj powstawanie dodatkowego ryzyka po stronie audytowanego i naraenie klientów na utrat poufnych danych. W kontekcie coraz czciej pojawiajcych si zagroe w zakresie zarzdzania bezpieczestwem informacji, a take zagroe wynikajcych z podejmowania działa niezgodnych z prawem i obowizujcymi regułami/procedurami w organizacjach zaczto wprowadza, zgodnie z ustaleniami Komisji Europejskiej, polityk w zakresie zgodnoci (ang. compliance).

9 Rola polityki bezpieczestwa informacji 489 Podsumowanie W warunkach globalizacji, powszechnej digitalizacji i swobodnego dostpu do informacji wzrastaj zagroenia zwizane z cyberatakami, przypadkow utrat wraliwych informacji wszystkich uczestników sieci/łacucha dostaw. W tym kontekcie ochrona bezpieczestwa informacji staje si coraz istotniejsz funkcj przedsibiorstwa. Z kolei naruszenie zasad działania, brak monitoringu zagroe, uchybienia prawne i proceduralne, które były przyczyn spektakularnych upadków znaczcych korporacji midzynarodowych, spowodowały, e zaczto rozwija polityk w zakresie przestrzegania i systematycznego audytowania procedur okrelan jako compliance. Mona si spodziewa, e w przyszłoci funkcja bezpieczestwa informacji zostanie włczona do szerokiej działalnoci działów operacyjnych realizujcych polityk w zakresie compliance. Literatura [1] D. Brink, Beyond Demonstrating Compliance, The Reinvention of Internal Audit, Aberdeen Group, August [2] Dziennik Ustaw z 1993 r. Nr 47, poz [3] R. Kaczmarek, Przegld procesu zarzdzania bezpieczestwem informacji w pigułce [w:] Computerworld z dn r. [4] S. Kosielinski, W krgu piciu ywiołów [w:] Computerworld z dn r. [5] M. Kowalewski, A. Ołtarzewska, Polityka bezpieczestwa informacji instytucji na przykładzie Instytutu Łcznoci Pastwowego Instytutu Badawczego, Telekomunikacja i Techniki Informacyjne, nr 3.4/2007. [6] Rzdowy Program Ochrony Cyberprzestrzeni, marzec 2012 r. [7] B. Zdanowicz, Compliance nowa funkcja banków,