Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF
1 STRESZCZENIE Konspekt powstał na podstawie wykładu z przedmiotu Bezpieczeństwo i ochrona informacji, prowadzonego przez dr inż. Mirosława Hajdera. Omówiona tutaj została polityka bezpieczeństwa w oparciu o polskie unormowania prawne, analiza ryzyka, atrybuty bezpieczeństwa.
SPIS TREŚCI 2 Streszczenie... 1 1. Polityka bezpieczeństwa a polskie unormowania prawne... 3 2. Komponenty polityki bezpieczeństwa (obowiązujące):... 3 3. Podstawy prawne polityki bezpieczeństwa... 3 4. Analiza ryzyka... 4 5. Normy i zalecenia podstawą rozwoju zarządzania bezpieczeństwem informacji... 5 6. Atrybuty bezpieczeństwa:... 6 Literatura... 9
3 1. POLITYKA BEZPIECZEŃSTWA A POLSKIE UNORMOWANIA PRAWNE Podstawowym dokumentem opisującym politykę bezpieczeństwa jest RFC 1224. W Polsce obowiązuje polska norma PN-I-13335-1 1. W normie tej zawarte są między innymi wszelkie definicje dotyczące bezpieczeństwa a także cele polityki bezpieczeństwa systemów komputerowych. Norma ta jest nowym dokumentem powstała w roku 2000 i jest to pierwsza jej wersja. Zgodnie z PN polityka bezpieczeństwa została podzielona na trzy poziomy: - organizacji, - systemów informacyjnych, - systemu informacyjnego. 2. KOMPONENTY POLITYKI BEZPIECZEŃSTWA (OBOWIĄZUJĄCE): a) wyjaśnienia przekonanie użytkownika o słuszności i zasadności stosowania polityki bezpieczeństwa, b) informacje określające co podlega ochronie, wymagania odnoszące się do ochrony, podstawowe zasady dostępu, c) podział kompetencji, d) odpowiedzialność, Polityka nie powinna zawierać a) żadnych metod zabezpieczeń systemów, b) żadnych standardów. Definicja polityki w rozumieniu PN: Polityką bezpieczeństwa nazywamy zbiór ogólnych zasad i podstawowych wymagań określających w jaki sposób powinny być zarządzane udostępniane i chronione przed nieupoważnionym wykorzystaniem zniszczeniem lub nieautoryzowanymi zmianami materialne i informacyjne aktywa organizacji. 3. PODSTAWY PRAWNE POLITYKI BEZPIECZEŃSTWA Podstawowymi ustawami są: 1. Ustawa z dnia 27.VIII.1997 r. o ochronie danych osobowych, 2. Ustawa z dnia 22.I.1999 r. o ochronie informacji niejawnych, 3. Ustawa z dnia 22.VIII.1997 r. o ochronie osób i mienia, 4. Ustawa z dnia 16.IV.1993 r. o zwalczaniu nieuczciwej konkurencji, 5. Kodeks pracy (ustawa z 26.Vi.1974 r.), Ustawa z 02.02.1996 r. (zmiany KP) 6. Ustawa z dnia 04.II.1994 r. o prawie autorskim i prawach pokrewnych 1 Ustanowiona 01.28.1999 r.; Nazwa: Technika informatyczna Wytyczne do zarządzania bezpieczeństwem systemów informatycznych Pojęcia i modele bezpieczeństwa systemów informatycznych IDT ISO/IEC Tr13335
4 Pełna nazwa normy brzmi PN-1-13335-1 Technika informatyczna, Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. ZAKRES ROZPOWSZECHNIANIA POLITYKI Polityka bezpieczeństwa opisuje wymagania w zakresie zabezpieczania systemów. Politykę bezpieczeństwa kończy określenie odpowiedzialności za jej realizację. 4. ANALIZA RYZYKA Do celu określenia ryzyka wykorzystać można metody morfologiczne. W tym celu określa się zagrożenia dla systemu. Każde z których opisuje się skutkiem oraz podatnością. Ryzyko traktowane jest jako iloczyn skutków i podatności. Jeżeli skutek i podatność ocenione są w zakresie o 0 do 10 to: jeżeli ryzyko znajduje się w zakresie od 0 do 20 jest ono pomijalnie małe jeżeli przekracza ono 80 jest ono ekstremalnie wysokie. NOTATKI DODATKOWE: Zarządzanie bezpieczeństwem informacji to nowa dziedzina z pogranicza informatyki, prawa, organizacji i zarządzania, zajmująca się definiowaniem aspektów bezpieczeństwa dla instytucji i jej systemów teleinformatycznych, jego osiąganiem i utrzymywaniem. 2 Zarządzanie bezpieczeństwem to ciągły i złożony proces umożliwiający bezpieczną realizację misji, do której instytucję powołano. Proces ten zachodzi w stale zmieniającym się środowisku, przy występowaniu coraz to nowych form zagrożeń i wyzwań dla instytucji, a także przy niebywałym postępie technologicznym. W artykule przybliżono standardową terminologię, zwłaszcza związaną z modelami bezpieczeństwa. Zwrócono też uwagę na materiały normatywne i zalecenia dotyczące samego zarządzania bezpieczeństwem informacji. Bezpieczeństwo nie jest aktem jednorazowym, polegającym na wdrożeniu zabezpieczeń, lecz ciągłym, dynamicznym, a przy tym bardzo złożonym procesem, wymagającym stałego nadzoru i przystosowywania się do zmiennych warunków otoczenia. Bezpieczeństwo musi być rozpatrywane w aspekcie organizacyjnym, technicznym oraz prawnym - jest zawsze dziełem interdyscyplinarnego zespołu specjalistów. Jak każda dziedzina zarządzanie bezpieczeństwem informacji wykształciło swoją terminologię, modele i metody działania. 2 A. Białas Zarządzanie bezpieczeństwem informacji, NETWORLD 3/2001
5. NORMY I ZALECENIA PODSTAWĄ ROZWOJU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI Kluczowym dla zarządzania bezpieczeństwem informacji jest Raport Techniczny - ISO/IEC TR 13335, składający się z pięciu części, z których pierwsza obowiązuje od roku jako Polska Norma. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje: * ISO/IEC/TR 13335-1/PN-I-13335-1: Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: - terminologia, związki między pojęciami, - podstawowe modele. * ISO/IEC/TR 13335-2: Planowanie i zarządzanie bezpieczeństwem systemów informatycznych: - różne podejścia do prowadzenia analizy ryzyka, - plany zabezpieczeń, - rola szkoleń i działań uświadamiających, - stanowiska pracy w instytucji związane z bezpieczeństwem. * ISO/IEC/TR 13335-3: Techniki zarządzania bezpieczeństwem systemów informatycznych: - formułowanie trójpoziomowej polityki bezpieczeństwa, - rozwinięcie problematyki analizy ryzyka, - rozwinięcie problematyki implementacji planu zabezpieczeń, - reagowanie na incydenty. * ISO/IEC/TR 13335-4: Wybór zabezpieczeń: - klasyfikacja i charakterystyka różnych form zabezpieczeń, - dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu. * ISO/IEC/WD 13335-5: Zabezpieczenie dla połączeń z sieciami zewnętrznymi: - dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną. Oprócz dokumentów ISO istnieje szereg zaleceń zawierających wytyczne w zakresie ochrony systemów teleinformatycznych o zasięgu raczej lokalnym, dotyczących kraju, grupy krajów lub grupy użytkowników, np. Internetu. Dokumenty tego typu, opracowane w sposób dość szczegółowy, stanowią cenne uzupełnienie norm ISO/IEC. Należy przypuszczać, że na ich podstawie niebawem powstaną normy międzynarodowe. Ponadto istnieje wiele standardów związanych z bezpieczeństwem teleinformatycznym, które pośrednio dotykają problematyki zarządzania bezpieczeństwem informacji. Do tej grupy należy zaliczyć przede wszystkim Wspólne Kryteria do Oceny Zabezpieczeń Teleinformatyki, które uzyskały status normy ISO (ISO/IEC 15408). Na uwagę zasługują także standardy FIPS, np. do oceny modułów kryptograficznych, standardy związane z infrastrukturą klucza publicznego, podpisem elektronicznym, zabezpieczeniami kryptograficznymi, kartami elektronicznymi i jeszcze z wieloma innymi zagadnieniami szczegółowymi z obszaru bezpieczeństwa. 5
6 6. ATRYBUTY BEZPIECZEŃSTWA: Określenie atrybutów bezpieczeństwa (powyższa tabela) pozwoli precyzyjnie zdefiniować inne pojęcia, w tym tak kluczowe, jak samo bezpieczeństwo, jego polityka i zarządzanie bezpieczeństwem. Bezpieczeństwo informacji czy systemu teleinformatycznego utożsamiane jest z uwzględnieniem tych właśnie atrybutów. Nie można mówić o zarządzaniu bezpieczeństwem bez próby określenia, czym jest samo pojęcie bezpieczeństwa. Bezpieczeństwo teleinformatyczne (IT security) określane jest jako wszelkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Drugie kluczowe pojęcie, które w tym miejscu należy przytoczyć, to polityka bezpieczeństwa instytucji w zakresie systemów informatycznych (IT security policy). Obejmuje ona zasady, zarządzenia i procedury, które określają, jak zasoby - włącznie z informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w instytucji i jej systemach teleinformatycznych. Zarządzanie bezpieczeństwem informacji (systemów informatycznych) (IT security management) obejmuje zespół procesów zmierzających do osiągnięcia i utrzymywania ustalonego poziomu bezpieczeństwa, tzn. poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Jego realizacja obejmuje działania, takie jak: - określenie celów (co należy chronić), strategii (w jaki sposób) i polityk bezpieczeństwa systemów informatycznych w instytucji (jakie konkretne przedsięwzięcia należy podjąć), - identyfikowanie i analizowanie zagrożeń dla zasobów,
- identyfikowanie i analizowanie ryzyka, - określenie adekwatnych zabezpieczeń, - monitorowanie wdrożenia, eksploatacji (skuteczności) zabezpieczeń, - opracowanie i wdrożenie programu szkoleniowo-uświadamiającego, - wykrywanie incydentów i reakcja na nie. 7 Zarządzanie bezpieczeństwem systemów informatycznych (poniższy rysunek rys.), jak już wspomniano, obejmuje zbiór procesów zawierających inne procesy bezpośrednio lub pośrednio związane z bezpieczeństwem. Kluczowym jest tu proces zarządzania ryzykiem z podprocesem analizy ryzyka. Istotnymi z punktu widzenia bezpieczeństwa są również procesy zarządzania konfiguracją oraz zarządzania zmianami. Zarządzanie konfiguracją jest procesem śledzenia zmian w konfiguracji systemu, aby nie obniżały one już osiągniętego poziomu bezpieczeństwa. Wiadomo, że trudno obyć się bez takich zmian, ale czyż muszą one oznaczać obniżenie bezpieczeństwa? Należy być świadomym wpływu zmian na bezpieczeństwo. Może się nawet zdarzyć, że konieczne są zmiany, które obniżą poziom bezpieczeństwa - tego typu przypadki wymagają świadomej decyzji kierownictwa popartej szczegółową analizą. Ważne jest, aby wszelkie zmiany były odzwierciedlane w różnych dokumentach związanych z bezpieczeństwem, takich jak plany awaryjne czy plany odtwarzania po katastrofach. Zarządzanie zmianami - jest procesem wykorzystywanym do identyfikacji nowych wymagań bezpieczeństwa wówczas, gdy w systemie informatycznym występują zmiany, co jest dość częstym zjawiskiem. Nowe wyzwania dla instytucji wymuszają rozwój technologii informatycznych, a temu towarzyszy występowanie nowych typów zagrożeń i podatności. Za przykłady zmian w systemach informatycznych mogą posłużyć: - zmiany sprzętowe, - aktualizacje oprogramowania, - nowe procedury, - nowe funkcje, - nowi użytkownicy, w tym grupy użytkowników zewnętrznych i anonimowych, - dodatkowe połączenia sieciowe i międzysieciowe. Dla każdej zmiany należy określić jej wpływ na bezpieczeństwo - czasem zmiana wymaga głębszej analizy, a czasem wystarczy ocena gremium zajmującego się systemem informatycz-
nym i jego bezpieczeństwem. Wyniki takich ocen powinny zostać pisemnie udokumentowane. 8 Kluczowym procesem jest zarządzanie ryzykiem, które powinno być prowadzone podczas całego okresu eksploatacji systemu, gdyż tylko wówczas jest efektywne. Analiza ryzyka - jest głównym procesem zarządzania ryzykiem, identyfikuje ryzyko, które ma być kontrolowane lub akceptowane. Analiza ryzyka obejmuje ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Pełny cykl analizy ryzyka może być stosowany: - dla nowych systemów, - dla eksploatowanych systemów - w dowolnym momencie życia systemu, - podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń, - podczas projektowania systemu, - przy planowaniu znaczących zmian w systemie. Proces zarządzania ryzykiem sprowadza się do porównywania określonego ryzyka z zyskami i/lub kosztami zabezpieczeń oraz wypracowywania strategii ich wdrożenia oraz polityki bezpieczeństwa instytucji w zakresie systemów informatycznych zgodnej z polityką bezpieczeństwa instytucji i celami działania instytucji. Po analizie zysków i/lub kosztów oraz potencjalnych następstw spośród wielu możliwych do zastosowania zabezpieczeń wybierane jest właściwe, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Należy ponadto mieć na uwadze, że zabezpieczenia mogą wprowadzać własne podatności. Trzeba więc skupić uwagę nie tylko na redukcji znanego ryzyka, lecz również nie wprowadzać nowego, związanego z zabezpieczeniem. Stosowane są różne metody analizy ryzyka. Niezależnie od tego, jakiej użyjemy, decydująca jest równowaga między czasem a kosztem identyfikacji, kosztem zabezpieczeń a osiągniętym poziomem bezpieczeństwa. Analiza ryzyka jest pracochłonna, jednak w większości systemów wystarczy wprowadzenie tzw. ochrony podstawowej (baseline controls, baseline protection), którą określa się jako minimalny zbiór zabezpieczeń ustalony dla systemu lub instytucji. Skuteczność działań w dziedzinie bezpieczeństwa zależy od osiągnięcia i utrzymywania wysokiego poziomu fachowości i świadomości personelu, który jest powszechnie uważany za najsłabsze ogniwo. Osiąga się to przez program działań uświadamiających, szkoleniowych, motywujących i dyscyplinujących. Program musi dotykać wszystkich szczebli organizacji instytucji i musi być dostosowany do ich specyfiki. Jak już wspomniano na wstępie, osiągnięcie bezpieczeństwa nie jest aktem jednorazowym - bezpieczeństwo musi być utrzymywane, a więc również monitorowane. Analizowany jest wpływ zmian na bezpieczeństwo, kontrolowana permanentnie rozliczalność, sprawdzane są - coraz częściej automatycznie - dzienniki działań (logi), używane są narzędzia do wykrywania i odstraszania intruzów, praktykowany jest kontrolowany audyt itp. Nawet najlepsze zabezpieczenia nie likwidują do końca ryzyka szczątkowego. Należy być zawsze przygotowanym na wypadek niekorzystnych zdarzeń, mając przygotowane różne warianty planów awaryjnych, opisujące różne scenariusze zachowań, uwzględniające między innymi: - różne okresy trwania awarii, - częściową lub pełną utratę funkcjonalności, - brak dostępu do pomieszczeń lub budynków zajmowanych przez instytucję.
Plany odtwarzania po katastrofach opisują sposoby przywrócenia systemu do pierwotnego stanu, uwzględniając elementy, takie jak: - kryteria definiujące katastrofę, - odpowiedzialnego za wprowadzenie w życie planu odtwarzania, - odpowiedzialnych za poszczególne działania odtwarzające, - opis działań odtwarzających. 9 Cytowane powyżej pojęcia oraz cele działania instytucji tworzą razem plany, strategie i politykę bezpieczeństwa w zakresie systemów informatycznych dla instytucji. Instytucja musi mieć zapewnioną możliwość prawidłowego funkcjonowania, z ryzykiem ograniczonym do akceptowalnego poziomu. Nie istnieją absolutnie skuteczne zabezpieczenia, stąd instytucja musi być przygotowana do odtwarzania swego stanu po incydentach. LITERATURA [1] Raport Techniczny - ISO/IEC TR 13335 [2] Strona WWW autorów konspektu: http://city.net.pl/editha/