Kontrola dostępu Kontrola dostępu jest jednym z najważniejszych elementów zarządzania bezpieczeństwem informacji. Warunkiem skutecznej kontroli dostępu jest wykorzystywanie odpowiednich mechanizmów uwierzytelniających, których zadaniem jest przede wszystkim sprawdzenie tożsamości potencjalnego użytkownika poprzez zweryfikowanie podawanych przez niego w procesie uwierzytelnienia danych (identyfikator, hasło dostępu) z ewentualną pomocą dodatkowych danych (karta identyfikacyjna, dane biometryczne itp.). W wielu systemach uwierzytelnienie obejmuje nie tylko użytkownika, lecz uwierzytelnienie obejmuje również stację roboczą, z której korzysta użytkownik. Kontrola dostępu może również obejmować sprawdzenie sposobu, w jaki stacja użytkownika (np. komputer przenośny) komunikuje się z siecią korporacyjną Organizacji np. czy jest podłączona do sieci lokalnej, czy też korzysta z połączenie zestawionego ad-hoc z hotelu lub innego punktu dostępowego do Internetu. Kontrola dostępu obejmuje wiele poziomów: możliwość wykorzystywania stacji roboczej od możliwości konfigurowania systemu BIOS komputera poprzez dostęp do lokalnego systemu operacyjnego (z różnym poziomem uprawnień) aż do dostępu do lokalnie składowanych danych, dostęp do sieci Organizacji oraz do jej zasobów oraz uzależnienie zakresu tego dostępu od poziomu bezpieczeństwa wykorzystywanego kanału komunikacyjnego, dostęp do programów użytkowych (aplikacji) oraz danych (informacji) oraz tryb tego dostępu (tylko odczyt, zapis i odczyt itp.), wraz z dodatkowymi mechanizmami uwierzytelnienia wybranych akcji realizowanych przez programy użytkowe (np. operacji księgowania). W zależności od wymagań związanych z koniecznością ochrony informacji Organizacja powinna przygotować odpowiednie Polityki bezpieczeństwa kontroli dostępu na różnych poziomach. Dostęp do stacji roboczej (komputera PC) Podstawową zasadą, której należy przestrzegać jest konfigurowanie komputera jedynie przez upoważniony personel IT. Komputer powinien zostać skonfigurowany w taki sposób, aby nie była realizowana obsługa portów wejścia / wyjścia komputera, których wykorzystywanie nie jest przewidywane. Obudowa komputera powinna być zaplombowana w taki sposób, aby otwarcie obudowy bez nieodwracalnego uszkodzenia plomb było niemożliwe. System operacyjny komputera powinien być skonfigurowany w taki sposób, aby jego wykorzystywanie bez wprowadzenia informacji uwierzytelniających (identyfikatora oraz hasła) było niemożliwe. W uzasadnionych przypadkach system uwierzytelnienia może być uzupełniony np. o elementy identyfikacji biometrycznej. Użytkownik nie powinien dysponować dostępem administracyjnym do systemu operacyjnego komputera. Hasło dostępu użytkownika powinno być okresowo zmieniane. (C) Tomasz Barbaszewski str. 1 z 6
W przypadku dłuższej (np. ponad 5 minut) przerwy w wykorzystywaniu komputera powinien się automatycznie uruchomić wygaszacz ekranu uniemożliwiając wykorzystywanie komputera. Ponowne uruchomienie komputera powinno być możliwe dopiero po ponownym wprowadzeniu hasła dostępu. Polityka kontroli dostępu do stacji roboczej powinna rówież formułować jednoznaczne zalecenia dla użytkownika komputera w zakresie ochrony haseł dostępu (zachowanie ich właściwej formy, utrzymywanie haseł w tajemnicy itp.). Szczególnej ochrony wymagają komputery przenośne, celowe jest więc opracowanie odrębnej Polityki bezpieczeństwa ich wykorzystywania. Wzór takiej Polityki załączono do materiałów szkoleniowych. Użytkownik powinien być poinformowany o tym, że przyjmuje pełną odpowiedzialność za wszystkie aktywa także informacyjne związane z powierzonym mu sprzętem. W szczególności zabronione powinno być pozostawianie sprzętu i nośników danych bez bezpośredniego nadzoru. Dostęp do sieci komputerowej Zasady dostępu do usług i zasobów sieciowych powinny być określone w odpowiedniej Polityce bezpieczeństwa. Użytkownikom powinny być udostępniane jedynie takie usługi i zasoby sieci komputerowej, które są im niezbędne do wykonywania zadań służbowych. Polityka bezpieczeństwa obowiązująca zasady dostępu do sieci komputerowej powinna zawierać następujące elementy: uwierzytelnianie stacji roboczych w sieci lokalnej (np. z wykorzystaniem adresów fizycznych sieci lokalnej MAC), uwierzytelnianie stacji roboczych wykorzystujących zdalny dostęp do sieci (o ile taki dostęp jest przewidywany i dozwolony) np. z wykorzystaniem algorytmu RSA, zasady separacji ruchu sieciowego (VPN), o ile taka separacja jest przewidywana, metody filtracji ruchu sieciowego, zasady i mechanizmy bezpieczeństwa stosowane przy dostępie do sieci zewnętrznych (w tym również Internetu). Wykorzystywanie poczty elektronicznej oraz zabezpieczenia systemu poczty elektronicznej przed atakami sieciowymi (fitry antyspamowe, zabezpieczenie przed złośliwym oprogramowaniem itp.). Polityka powinna określać również zasady korzystania z systemu poczty elektronicznej obowiązujące pracowników Organizacji. Mechanizmy wykorzystywane do monitorowania i kontroli ruchu sieciowego oraz zasady ich wykorzystywania przez osoby odpowiedzialne za bezpieczeństwo informacji, Reguły stosowane przez administratorów sieci przy jej konfigurowaniu (routing, wykorzystywanie SNMP itp.). Dostęp do lokalnej sieci komputerowej powinien być możliwy po uwierzytelnieniu się stacji roboczej (komputera PC, terminala itp.). Dostęp do sieci za pomocą przypadkowego komputera powinien być blokowany. Dotyczy to również sieci bezprzewodowych. (C) Tomasz Barbaszewski str. 2 z 6
Połączenia wykorzystywane do pracy zdalnej (telepraca, pracownicy mobilni) powinny wymagać silnego obustronnego uwierzytelnienia. Transmisje sieciowe realizowane podczas pracy zdalnej powinny być zabezpieczone kryptograficznie. Stacje robocze przeznaczone do zdalnego korzystania z usług i zasobów sieci Organizacji nie powinny umożliwiać realizacji połączeń bez wykorzystywania zabezpieczeń kryptograficznych (IPSec, tunelowanie SSH, SSL/TLS itp.). Dostęp takiej stacji do sieci publicznych (Internetu) może być realizowany wyłącznie za pośrednictwem sieci lokalnej Organizacji. Jeśli separacja ruchu w sieci lokalnej jest przewidywana (np. separacja ruchu biura maklerskiego w sieci banku, sieci wymiany danych medycznych itp.) powinna być ona realizowana w technologii bezpiecznych tuneli (rękawów sleeves) np. IPSec. Urządzenia sieciowe powinny umożliwiać filtrację ruchu sieciowego zgodnie z wymaganiami SZBI np. odłączać od sieci stacje robocze użytkowników poza godzinami służbowymi. Wykorzystywanie Internetu powinno być możliwe jedynie za pośrednictwem odpowiednio skonfigurowanej bramy w sieci Organizacji (bastion Firewall, kontrola antywirusowa itp.). Użytkownicy mogą wykorzystywać jedynie takie usługi sieci publicznych, które są im konieczne do realizacji powierzonych im zadań. Próby przekraczania uprawnień przez użytkowników powinny być odnotowywane. Polityka bezpieczeństwa sieci określa zasady wykorzystywania poczty elektronicznej. Ze względów bezpieczeństwa należy unikać automatycznego zapisywania plików przesyłanych pocztą elektroniczną na komputerach użytkowników. W przypadkach, gdy na komputerach użytkowników są przechowywane cenne informacje lub komputery te mają dostęp do ważnych zasobów sieciowych zaleca się korzystanie z poczty elektronicznej w trybie terminalowym (wymaga oddzielnego serwera aplikacji, lecz znacznie zmniejsza podatności systemu E-mail). Administratorzy sieci komputerowej powinni dysponować odpowiednimi programami narzędziowymi do monitorowania jej pracy i wykrywania incydentów. Użytkownicy sieci komputerowej (pracownicy Organizacji) powinni być uprzedzeni o tym, że działanie sieci jest monitorowane i jej wykorzystywanie podlega kontroli. Polityka bezpieczeństwa sieci komputerowej powinna zawierać zalecenia dla działu IT określające zasady obowiązujące przy konfigurowaniu sieci komputerowej i uwzględnianie reguł zapewniających należyty poziom jej bezpieczeństwa (DHCP, SNMP, zabezpieczenia sieci bezprzewodowych itp.). (C) Tomasz Barbaszewski str. 3 z 6
Kontrola dostępu do serwerów Dostęp do serwerów i ich zasobów (programów użytkowych, informacji, urządzeń peryferyjnych) powinien być możliwy jedynie po pozytywnym wyniku uwierzytelnienia stacji roboczej i jej użytkownika. W sieciach zawierających wiele serwerów dane opisujące użytkowników oraz ich uprawnienia mogą być przechowywane na wydzielonych w tym celu komputerach (np. z wykorzystaniem LDAP). Hasła dostępu powinny być znane jedynie użytkownikom właścicielom haseł. Należy opisać procedury nadawania identyfikatorów użytkownikom oraz procedury przyznawania haseł tymczasowych oraz wymuszania okresowych zmian haseł oraz kontroli ich poziomu komplikacji. Dostęp do serwerów może być realizowany jedynie w trybie użytkownika. Dostęp administracyjny (do programów konfiguracyjnych oraz narzędziowych) powinien być dozwolony jedynie dla upoważnionych pracowników działu IT. Serwery sieciowe powinny być lokalizowane wewnątrz stref bezpiecznych (dział Bezpieczeństwo fizyczne i środowiskowe). Dostęp do pomieszczeń serwerów powinien być dozwolony tylko dla upoważnionych pracowników działu IT oraz monitorowany. Pomieszczenia serwerowni powinny zapewniać wysoki poziom bezpieczeństwa środowiskowego (kontrola temperatury, zasilanie bezprzerwowe itp.). Nośniki zawierające kopie awaryjne powinny być bezwarunkowo przechowywane poza pomieszczeniami serwerów w odpowiednio zabezpieczonych szafkach ogniotrwałych. W podobny sposób powinna być również przechowywana dokumentacja konfiguracyjna oraz techniczna serwerów oraz osprzętu sieciowego. Przenośne nośniki danych oraz urządzenia przenośne wyposażone w nośniki danych Zarządzanie informacjami gromadzonymi na przenośnych nośnikach danych jest obecnie sporym wyzwaniem. Związane jest to z powszechnością urządzeń wyposażonych w takie nośniki (komputery przenośne, lecz również telefony komórkowe, tablety, cyfrowe aparaty fotograficzne, dyski przenośne, pamięci FlashUSB itp.). Większość tych urządzeń może być podłączana do komputerów PC za pomocą magistrali USB i jest automatycznie wykrywana (jako nośnik danych) przez wszystkie popularne systemy operacyjne. Organizacja powinna dokonać szczegółowej analizy uzasadnionych potrzeb w zakresie wykorzystywania przenośnych nośników danych, analizy ryzyka z tym związanego i w konsekwencji opracować odpowiednią Politykę bezpieczeństwa. Szczególną uwagę należy zwrócić na możliwość wynoszenia nośników z danymi poza strefy bezpieczeństwa lub poza siedzibę organizacji. W praktyce należy się liczyć z bardzo silnymi próbami nacisku na umożliwienie wykorzystywania przenośnych nośników danych ze strony pracowników Organizacji niezbędne będzie więc uzyskanie silnego wsparcia kierownictwa dla wprowadzanych ograniczeń. (C) Tomasz Barbaszewski str. 4 z 6
Uwagi końcowe Zagadnienia związane z kontrolą dostępu są jednym z najważniejszych elementów SZBI. Charakteryzuje je znaczny udział czynnika ludzkiego, należy więc wziąć pod uwagę typowe zagrożenia z nim związane (np. zapisywanie oraz przekazywanie haseł dostępu). Zagrożenia te potęgują się wraz ze wzrostem komplikacji systemu kontroli dostępu, co w konsekwencji prowadzi do obniżenia (zamiast spodziewanego podwyższenia) poziomu bezpieczeństwa systemu. Z kolei rozwiązania określane jako single sign-on mogą powodować powstanie nowych podatności w systemie kontroli dostępu, jednakże w przypadku złożonych systemów wykazują niewątpliwą przewagę nad stosowaniem hierarchicznego systemu wielu haseł. Kontrola dostępu ma także bezpośredni związek z traktowaniem informacji. W klasycznych systemach operacyjnych najczęstszym rozwiązaniem jest kontrola dostępu oparta o system DAC - Discretionary Access Control (Uznaniowa kontrola dostępu). W systemie tym właścicielem informacji w systemie automatycznie staje się ten użytkownik, który ją wprowadził. Uzytkownik będący właścicielem informacji może suwerennie decydować o jej udostępnianiu. Administrator systemu określa jedynie domyślne prawa dostępu do informacji. Procesy inicjowane w systemie przez użytkownika dziedziczą jego uprawnienia. W systemach o podwyższonych wymaganiach bezpieczeństwa często wykorzystywana jest Obligatoryjna kontrola dostępu MAC (Mandatory Access Control). Różni się ona od MAC wprowadzeniem podziału na obiekty (objects pliki, katalogi itp.) oraz podmioty (subjects użytkownicy, procesy itp.). Atrybuty bezpieczeństwa określane zarówno dla obiektów, jak i podmiotów przez administratora systemu i nie mogą być zmieniane przez użytkowników. Decyzja o udzieleniu lub odmowie dostępu jest podejmowana przez system automatycznie w oparciu o zestaw reguł określanych przez administratora systemu stanowiących politykę dostępu. W wielu systemach można stosować równocześnie DAC (do informacji, których właścicielami są użytkownicy) oraz MAC (dla tak zwanych Protected Subsystems zawierających istotne informacje oraz ważne programy). Dla dużych organizacji odpowiednia może być kontrola dostępu oparta na rolach (RBAC Role Based Access Control). Rola odpowiada zazwyczaj zdefiniowanemu zakresowi obowiązków. Użytkownikom zostają przypisane określone role (może być ich więcej niż jedna). Podobnie, do jednej roli można przypisać wielu użytkowników. Dostęp do zasobów systemu jest określany przez rolę, a nie tożsamość użytkownika, która jednak jest w pełni zachowywana i akcje użytkownika mogą być monitorowane. Wdrożenie systemu RBAC wiąże się zazwyczaj z instalacją odpowiedniego oprogramowania ułatwiającego zarządzanie użytkownikami i rolami. Polityka kontroli dostępu nie powinna (w miarę możliwości) stwarzać zbyt dużo problemów użytkownikom. Można to osiągnąć wykorzystując automatyczne mechanizmy uwierzytelniania. Wielu użytkowników korzysta dziś z komputerów przenośnych celowe więc będzie stosowanie mechanizmów uwierzytelnienia komputera. Obecnie dostępne są także rozwiązania, które umożliwiają sprawdzenie, czy połączenie jest nawiązywane w sieci lokalnej, czy też zdalnie np. z (C) Tomasz Barbaszewski str. 5 z 6
pokoju hotelowego. Zakres uprawnień użytkownika do wykorzystywania aktywów informacyjnych lub innych zasobów sieci może być wówczas ograniczany automatycznie. Do kontroli dostępu należy również zaliczyć mechanizmy autoryzacji. O ile zadaniem uwierzytelnienia jest sprawdzenie tożsamości użytkownika o tyle autoryzacja potwierdza jego uprawnienia do realizacji istotnych poleceń w systemie oraz umożliwia odnotowanie, kto i w jakim czasie określoną akcję wykonał (lub usiłował wykonać pomimo, że nie dysponował do tego uprawnieniami). Przykładem autoryzacji transakcji mogą być potwierdzenia poleceń przelewów bankowych (karta-zdrapka, token, karta chipowa, kod przesyłany SMS itp.). Podobne mechanizmy można implementować również w systemach, które realizują ważne operacje (np. wydawanie dokumentów osobistych). Podczas ustanawiania Polityk kontroli dostępu należy brać pod uwagę nie tylko dostęp do systemu informatycznego, ale również do informacji gromadzonych na innych nośnikach (klasycznych lub elektronicznych): organizację dostępu do stref bezpiecznych (także awaryjnego w godzinach pozasłużbowych), procedury transferu informacji (także przenoszenia dokumentów i nośników) pomiędzy strefami bezpiecznymi, ochronę informacji uwierzytelniających oraz autoryzujących przesyłanych sieciami komputerowymi, zarządzanie uprawnieniami do tworzenia kopii informacji oraz dostępu do tych kopii, organizację dostępu do kopii informacji, w tym również kopii awaryjnych. (C) Tomasz Barbaszewski str. 6 z 6