PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie. Technika, Informatyka, Inynieria Bezpieczestwa 2014, t. II, s

Podobne dokumenty
Wymierne korzyci wynikajce z analizy procesów

ZAKRES OBOWIZKÓW, UPRAWNIE I ODPOWIEDZIALNOCI PRACOWNIKA BIURA ZARZDU POWIATU STAROSTWA POWIATOWEGO W PABIANICACH

Studium przypadku Case Study CCNA2-ROUTING

Cele i zasady zarzdzania bezpieczestwem informacji w przedsibiorstwach

Cloud Computing - czego wymaga od dostawcy usług w zakresie bezpieczestwa. Telekomunikacja Polska S.A. Andrzej Karpiski Łukasz Pisarczyk

Aspekty prawne korzystania z oprogramowania udostpnionego w modelu cloud computing na przykładzie aplikacji Google

INSTRUKCJA ZARZDZANIA SYSTEMEM INFORMATYCZNYM SŁUCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W URZDZIE GMINY MICHAŁOWO

Regulamin Audytu Wewntrznego Urzdu Miasta w Ktrzynie

PROCEDURY l METODYKA PRZEPROWADZANIA AUDYTU WEWNTRZNEGO

Art. 1. W ustawie z dnia 20 pa dziernika 1994 r. o specjalnych strefach ekonomicznych (Dz. U. z 2007 r. Nr 42, poz. 274) wprowadza si nast puj ce

Wzorcowy załcznik techniczny, do umowy w sprawie przesyłania faktur elektronicznych pomidzy Firm A oraz Firm B

" # # Problemy budowy bezpiecznej i niezawodnej globalnej sieci szerokopasmowej dla słub odpowiadajcych za bezpieczestwo publiczne

Program Współpracy Gminy Michałowo z Organizacjami Pozarzdowymi na rok 2008.

1. WSTP. 2. Koncepcja platformy bezpieczestwa publicznego

Program Certyfikacji Oprogramowania Autodesk. Załoenia

- 1 - OPIS TECHNICZNY Do projektu wykonawczego modernizacji budynku Komisariatu Policji w Gniewoszowie, pow. Kozienice

Roboty budowlane publikacja obowizkowa publikacja nieobowizkowa Usługi

Klonowanie MAC adresu oraz TTL

DECYZJA. Warszawa, dnia 4 padziernika 2004 r. GI-DEC-DS-208/04

INSTRUKCJA WYPEŁNIENIA KARTY PROJEKTU W KONKURSIE NA NAJLEPSZY PROJEKT

Opera Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Opera wersja 1.1 UNIZETO TECHNOLOGIES SA

Bazy danych Podstawy teoretyczne

Wzór Umowy Nr RAP/54/2010

UMOWA nr./.. - PROJEKT. zawarta dnia roku. po przeprowadzonym post&powaniu o zamówienie publiczne w trybie przetargu

Prawne uwarunkowania ochrony informacji niejawnych

Planowanie adresacji IP dla przedsibiorstwa.

DECYZJA. odmawiam uwzgldnienia wniosku. Uzasadnienie

WYBRANE METODY DOSKONALENIA SYSTEMÓW ZARZDZANIA. L. KRÓLAS 1, P. KRÓLAS 2 Orodek Kwalifikacji Jakoci Wyrobów SIMPTEST ul. Przemysłowa 34A Pozna

-OPIS WYMAGA - OPIS ZAKRESU. a. w zakresie usługi b. w zakresie personelu technicznego

UBEZPIECZENIE MIENIA I ODPOWIEDZIALNOCI CYWILNEJ Regionalnego Centrum Krwiodawstwa i

Forensic jak nie utraci danych

Rozdział 1 Przepisy ogólne

ZATWIERDZAM. Warszawa, dn. 28 czerwca 2006 r.

VPN Virtual Private Network. Uycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

ODPOWIEDZIALNO KARANA NIELETNICH

Program Sprzeda wersja 2011 Korekty rabatowe

Szczegółowy opis przedmiotu zamówienia:

SGB. Spółdzielcza Grupa Bankowa

1) Instytucje kształcce w tym zawodzie (w kraju i we Wrocławiu). 2) Moliwoci podnoszenia kwalifikacji i dokształcania w tym zawodzie.

AltiumLive Dashboard - sownik. AltiumLive Dashboard - Glossary. Language. Contents

System Connector Opis wdrożenia systemu

Regulamin Organizacyjny Gminnego Orodka Pomocy Społecznej w Jasienicy. Rozdział I Podstawy prawne

Kod pocztowy Województwo Mazowieckie. Faks Adres internetowy (URL)

Uchwała Nr Rady Miasta Rejowiec Fabryczny

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

DECYZJA. odmawiam uwzgldnienia wniosku. Uzasadnienie

REGULAMIN KONKURSU OFERT NA WYBÓR BROKERA UBEZPIECZENIOWEGO DLA MIASTA ZIELONA GÓRA, JEGO JEDNOSTEK ORGANIZACYJNYCH ORAZ SPÓŁEK KOMUNALNYCH.

PRZYKŁAD ROZWIZANIA ZADANIAZ INFORMATORA DO ETAPU PRAKTYCZNEGO EGZAMINU W ZAWODZIE TECHNIK INFORMATYK

Biznesowe spojrzenie na ryzyka zwizane z Cloud Computing

ZARZDZENIE Nr.PO151/80/06 Burmistrza Miasta Sandomierza

Poradnik korzystania z serwisu UNET: Konfiguracja programu pocztowego

POLITYKA PRZECIWDZIAANIA ZAGRO ENIOM KORUPCYJNYM W POCZCIE POLSKIEJ S.A.

Mozilla Firefox PL. Wykorzystanie certyfikatów niekwalifikowanych w oprogramowaniu Mozilla Firefox PL. wersja 1.1

Instrukcja zarzdzania systemem informatycznym słucym do przetwarzania danych osobowych w Starostwie Powiatowym w Pabianicach

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

D E C Y Z J A. Uzasadnienie

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

6.3 Opłata za dostpno jako komponent wynagrodzenia partnera prywatnego

Załcznik nr 2 do SIWZ UMOWA

Mozilla Thunderbird PL

Szkolenie otwarte 2016 r.

A. Zakres obowizków pracowniczych z art.100 k.p.

ROZPORZDZENIE MINISTRA INFRASTRUKTURY 1)

RZDOWY PROGRAM WYRÓWNYWANIA WARUNKÓW STARTU SZKOLNEGO UCZNIÓW W 2006 r. WYPRAWKA SZKOLNA

WZÓR. W rezultacie dokonania przez Zamawiajcego w trybie przetargu nieograniczonego wyboru Wykonawcy została zawarta umowa nastpujcej treci:

Bazy danych. Plan wykładu. Proces modelowania i implementacji bazy danych. Elementy ERD. Wykład 2: Diagramy zwizków encji (ERD)

PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie Technika, Informatyka, Inynieria Bezpieczestwa

Bazy danych. Plan wykładu. Proces modelowania i implementacji bazy danych. Elementy ERD. Wykład 2: Diagramy zwizków encji (ERD)

ROZPORZDZENIE KOMISJI (WE) NR 69/2001. z dnia 12 stycznia 2001 r.

3) formy zabezpieczenia zwrotu otrzymanych rodków, o których mowa w pkt 1, w przypadku naruszenia warunków umowy dotyczcej ich przyznania;

Na podstawie art. 14a 1 i 4 ustawy z dnia 29 sierpnia 1997r. - Ordynacja podatkowa (tekst jednolity Dz. U. Nr 8, poz. 60 z 2005r. ze zm.

Nazwa Wykonawcy: Adres: nr identyfikacyjny VAT: REGON: zwanym dalej Wykonawc.

Promotor: dr inż. Krzysztof Różanowski

SUPLEMENT SM-BOSS WERSJA 6.15

Zielona Góra: UBEZPIECZENIA KOMUNIKACYJNE POJAZDÓW Numer ogłoszenia: ; data zamieszczenia: OGŁOSZENIE O ZAMÓWIENIU - usługi

Uchwała Nr 94/08 Sejmiku Województwa Mazowieckiego z dnia 26 maja 2008 roku

Ustawa z dnia... o zmianie ustawy o urzdach i izbach skarbowych

I. Prawa i obowizki właciciela, uytkownika obiektu wpisanego do rejestru zabytków

Wojciech Drzewiecki SYSTEMY INFORMACJI GEOGRAFICZNEJ

NA-P/ 94 /09. Załcznik nr 3

POROZUMIENIE. w sprawie realizacji zada administracji rzdowej w zakresie weryfikacji danych z informatycznej bazy danych prowadzonej przez starost

Wspólnicy. Sprawy spółki

Marta Kaczyska Dyrektor Polskiego Biura REC

PROGRAM WSPÓŁPRACY POWIATU KŁOBUCKIEGO Z ORGANIZACJAMI POZARZDOWYMI W 2005 ROKU.

REGULAMIN RADY NADZORCZEJ "IMPEXMETAL" S.A.

ń Ę ń ń ń Ż ń Ć Ś

Informacja i Promocja. Mechanizm Finansowy EOG Norweski Mechanizm Finansowy

ZAŁCZNIK nr 3. DO OGÓLNYCH WARUNKÓW KOMPLEKSOWEGO UBEZPIECZENIA PZU DORADCA ustalonych uchwał Nr UZ/49/2011 Zarzdu PZU SA z dnia 10 lutego 2011 roku

PROGRAM WSPÓŁPRACY POWIATU OPOLSKIEGO Z ORGANIZACJAMI POZARZDOWYMI ORAZ PODMIOTAMI PROWADZCYMI DZIAŁALNO POYTKU PUBLICZNEGO NA ROK 2007

Uchwała Nr VIII/65/07 Rady Miejskiej w Lenicy z dnia 23 kwietnia 2007 r.

Zasady rozliczania dotacji udzielanych przez Zarzd Województwa Mazowieckiego dla organizacji pozarzdowych

EMAS równowanik czy uzupełnienie ISO 14001?

ubezpieczenie mienia oraz odpowiedzialnoci cywilnej (CPV: , , )

Załcznik do uchwały nr 39/2006 Rady Ministrów z dnia 28 marca 2006 r. Wstp

Argumenty na poparcie idei wydzielenia OSD w formie tzw. małego OSD bez majtku.

SEKCJA III: INFORMACJE O CHARAKTERZE PRAWNYM, EKONOMICZNYM, FINANSOWYM I TECHNICZNYM

2.5 Trwało projektu. 5 Metodologia tworzenia analiz ryzyk w projektach PPP i ich podziału pomidzy stron publiczn i prywatn w kontekcie ich wpływu

Uchwała Nr XXVIII/266/2008 Rady Miejskiej w Jarocinie z dnia 16 czerwca 2008 r.

USTAWA z dnia o zmianie ustawy o komercjalizacji, restrukturyzacji i prywatyzacji przedsibiorstwa pastwowego Polskie Koleje Pastwowe

Transkrypt:

PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie Technika, Informatyka, Inynieria Bezpieczestwa 2014, t. II, s. 481 489 http://dx.doi.org/10.16926/tiib.2014.02.44 Justyna ywiołek, Ewa Staniewska Politechnika Czstochowska al. Armii Krajowej 19, 42-200 Czstochowa e-mail: staniew@wip..pcz.pl, j.zywiolek@wip.pcz.pl ROLA POLITYKI BEZPIECZESTWA INFORMACJI W OCHRONIE DANYCH PRZEDSIBIORSTWA Streszczenie. W artykule przedstawione zostały zasady tworzenia polityki bezpiecze- stwa informacji. Uwzgldniono zarzdzanie bezpieczestwem informacji w przedsi- biorstwie, co jest podstaw planów bezpieczestwa IT. Opisane w artykule elementy polityki bezpieczestwa informacyjnego kompleksowo obrazuj elementy niezbdne do zapewnienia bezpieczestwa informacji w przedsibiorstwie. Słowa kluczowe: bezpieczestwo informacyjne, polityka bezpieczestwa, ochrona danych. THE ROLE THE OF INFORMATION SECURITY POLICY DATA PROTECTION COMPANY Abstract. The article presents the principles of creating an information security policy. Includes management of information security in an enterprise which is the basis of IT security plans. Described in the article information security policy elements comprehen- sively illustrate the elements necessary to ensure the safety of information in an enterprise. Keywords: informationn security, security policy, data protection Wstp W warunkach postpujcej digitalizacji, gdy coraz wicej danych dostp- Mona nych jest w sieci, konieczno ich ochrony wydaje si oczywistoci. wyróni dwa rodzaje danych wraliwych, które powinny by w szczególnoci objte systemem bezpieczestwa: dane osobowe oraz wszelkie dane przedsi- biorstwa i klientów, dotyczce zakresu i obszaru działa firmy oraz powiza-

482 Justyna,ywiołek, Ewa Staniewska nych z ni podmiotów. Z jednej strony mamy do czynienia z danymi pracowników, z drugiej za strategicznymi informacjami w przedsibiorstwie. Ochrona informacji wymaga spełnienia co najmniej trzech warunków, aby mona było mówi o jej skutecznoci [1, 2]: 1. wysokiej wiadomoci pracowników, poczynajc od najwyszego kierownictwa; 2. efektywnego zarzdzania informacjami w taki sposób, aby zapewni ich bezpieczestwo; 3. stworzenia odpowiednich rozwiza technologicznych, które zapewniaj realizacj tej polityki. Zasady polityki bezpieczestwa informacji W kadej organizacji znajduj si rónego rodzaju informacje, które powinny podlega ochronie [3]. Informacje te mona podzieli na: strategiczne, do których okrela si równie zakres dostpu poszczególnych uytkowników, oraz informacje chronione z mocy prawa (głównie dane osobowe oraz tajemnice firmy). Kluczowe w tej sytuacji jest spełnienie trzech podstawowych warunków PBI (polityka bezpieczestwa informacji) [6]: zachowanie poufnoci, integralnoci oraz dostpnoci informacji. Zachowanie poufnoci oznacza, e do okrelonych informacji dostp maj tylko osoby uprawnione. Natomiast zasada dostpnoci definiuje czas, kiedy osoby upowanione mog korzysta z powyszych informacji. Natomiast przez zasad integralnoci rozumie si zapewnienie dokładnoci i kompletnoci informacji oraz metod jej przetwarzania. Tak wic PBI ujmuje ogólne zasady bezpiecznego wytwarzania, przetwarzania, przesyłania i przechowywania informacji oraz organizacj i zarzdzanie tym procesem. Z punktu widzenia prawnego podstaw do opracowania PBI bd wszelkie dokumenty wyszego rzdu (ustawy, rozporzdzenia) dotyczce ochrony informacji niejawnych, podstawowych wymaga bezpieczestwa systemów informatycznych i telefonicznych, wspomnianej ju wczeniej ochrony danych osobowych i ochrony praw autorskich. Tak wic stworzenie takiej dokumentacji oraz zarzdzania procesem bezpieczestwa wymaga spojrzenia na przedsibiorstwo z rónych punktów widzenia, w ujciu całociowym. Kolejnym wanym czynnikiem opracowania PBI jest odniesienie si do specyfiki organizacji. Jeli, przykładowo, organizacja ma charakter korporacyjny i funkcjonuje w łacuchu dostaw, to dochodzi do do szerokiej wymiany informacji za pomoc systemów teleinformatycznych zarówno wewntrz korporacji (midzy ogniwami sieci korporacyjnej, na ogół znajdujcymi si na rónych kontynentach), jak te midzy zewntrznymi uczestnikami łacucha dostaw, a wic klientami, klientami klientów (jeli organizacja działa na ryn-

Rola polityki bezpieczestwa informacji 483 kach B2B i B2C), dostawcami, administracj, bankami i innymi interesariuszami, uczestniczcymi w realizowanych transakcjach. Zasady zarzdzania bezpieczestwem informacji w przedsibiorstwie Zarzdzanie bezpieczestwem IT Zarzdzanie bezpieczestwem IT, zwłaszcza w branach, w których platforma IT stanowi podstaw do rozwoju biznesu, powinno by wyodrbnione w infrastruktury organizacyjnej i oddzielone od systemów IT. Obecnie kada działalno biznesowa w coraz wikszym stopniu uwzgldnia platform internetow jako jeden z kanałów docierania do klientów. Brane bankowa, ubezpieczeniowa i logistyczna (w tym: kurierska, ekspresowa i paczkowa tzw. KEP) traktuj ten obszar jako jeden z kluczowych czynników wartoci oferowanej klientom. W tej sytuacji kluczowe jest, aby osoba zarzdzajca (np. szef bezpieczestwa informacji) raportowała bezporednio do zarzdu i miała moliwo niezalenego audytowania systemów IT, jak równie mogła koordynowa wszelkie funkcje, dotyczce szeroko rozumianego bezpieczestwa (w tym równie bezpieczestwa fizycznego). Istotnym elementem zarzdzania bezpieczestwem jest stworzenie odpowiedniego dokumentu, w którym s okrelone zasady polityki, jak równie procedury i standardy oraz system raportowania w tym obszarze. Niekiedy, przy rozbudowanych strukturach organizacyjnych i sieciowej organizacji, warto stworzy i wyszkoli zespół ludzi, który na miejscu dba o bezpieczestwo informacji, sprawdzajc systemy, procedury oraz sam sprzt IT i oprogramowanie. Plan bezpieczestwa IT Opracowanie planu bezpieczestwa wymaga zidentyfikowania kluczowych ryzyk zwizanych z bezpieczestwem informacji [7]. Ryzyka te mog by zmienne w czasie i mie róny aspekt finansowy z punktu widzenia firmy i pozostałych interesariuszy uczestników łacucha/sieci dostaw (w tym przede wszystkim klientów i dostawców). Konieczne jest równie dokonanie analizy kosztowej takiego planu i zbadanie, jakie s rzeczywiste oczekiwania klientów w tym zakresie. Awaria systemów IT moe prowadzi do utracenia czci informacji niezbdnych do efektywnego zarzdzania danym produktem czy usług, co wie si z powstaniem kategorii utraconych moliwoci z punktu widzenia klienta lub innych interesariuszy. W tej sytuacji konieczne jest podjcie decyzji wspólnie z osobami/firmami najbardziej zainteresowanymi, w jakim czasie konieczne jest przywrócenie pełnej funkcjonalnoci systemu, biorc pod

484 Justyna,ywiołek, Ewa Staniewska uwag zarówno koszty, jak te efekty. Czsto decyzja ta moe mie charakter trade off, gdzie optymalizacja kosztowa rozwizania bdzie podstawowym czynnikiem wyboru. Mona sobie bowiem wyobrazi, e kady klient/osoba oczekuje natychmiastowej reakcji na awari systemu, co oznacza bardzo wysokie inwestycje w dublowanie drogiej infrastruktury. Po głbszej analizie okazuje si jednak, e mona si zgodzi na czas reakcji na poziomie kilku godzin, a nawet dłuej, co zdecydowanie zmniejsza koszty takiego rozwizania. W efekcie oznacza to konieczno zidentyfikowania krytycznych z punktu widzenia klienta systemów informatycznych oraz przygotowania kompletnych planów awaryjnych, które mona wykorzysta w sytuacji zakłóce lub te okrelonych wyra nie incydentów [6]. Tego typu plany awaryjne, podobnie jak w przypadku systemów bezpieczestwa osób, powinny by testowane w naturalnym rodowisku z okrelon czstotliwoci, tak aby w przypadku, gdy dojdzie do zaburze procedura była w pełni opanowana. W praktyce czsto zdarza si, e plany awaryjne, rozpisane profesjonalnie, w rzeczywistoci zawodz, poniewa zabrakło wicze w tym zakresie. Zdarza si take, e w planach awaryjnych brakuje informacji, kto podejmuje decyzje w przypadku, gdy awaria odbiega w jakim stopniu od wczeniej zidentyfikowanej. Kolejnym istotnym elementem zabezpieczenia systemu jest przegld planów awaryjnych zaplanowany co najmniej kilka razy w roku. Liczba przegldów uzaleniona jest od dynamiki rozwoju platformy IT, a tym samym zmian, jakie zachodz w głównych systemach. Przegld czsto niesie za sob konieczno zmiany planów awaryjnych. Warto te pamita, e awarie dotyczce systemów IT, jeli zwizane s z zawodnoci danego systemu, nios nieco mniejsze ryzyko ni naruszenie bezpieczestwa IT, którego dokonano wiadomie przez ludzi w celu przejcia okrelonych informacji (np. konkurencja), pozyskania baz danych (np. pracownicy). Jak wynika z bada, wikszo włama do systemów IT jest wynikiem działa pracowników firmy (cel moe by róny, jednym z nich jest take pewnego rodzaju zabawa w łamanie systemów). Jednym z waniejszych czynników bezpieczestwa jest opracowanie standardu bezpieczestwa dla kluczowych platform technologicznych oraz zarejestrowanie standardowej konfiguracji w rejestrze konfiguracji. Warto te si upewni, e plan obejmuje: kompletny zestaw polityk i standardów, procedury ich wdroenia i egzekwowania, opis ról i odpowiedzialnoci, wymagania kadrowe, podnoszenie wiadomoci uytkowników i szkolenia, opis wymaganych inwestycji w bezpieczestwo informacji.

Rola polityki bezpieczestwa informacji 485 Zarzdzanie tosamoci Zarzdzanie tosamoci oznacza ustalenie zakresu dostpu i moliwoci pasywnego bd aktywnego wpływania na obowizujce standardy. W tym celu konieczne jest stworzenie kluczowej dokumentacji (moe ona by zarówno w formie papierowej, jak te elektronicznej) oraz listy osób, które maj dostp do tej informacji na zasadzie przegldania jej i/lub dokonywania zmian. Dostp do systemów powinien by moliwy wyłcznie dla uwierzytelnionych uytkowników. Polityka bezpieczestwa informacji jest cile powizana z zasadami podziału ról i obowizków w ramach procesów biznesowych, co w praktyce oznacza, e właciciele procesów biznesowych musz akceptowa tworzenie nowych funkcji oraz ich zmian. Take sam proces przyznawania uprawnie i mechanizmy uwierzytelnienia powinny by oparte na okrelonych procedurach. Zarzdzanie kontami uytkowników Zarzdzanie kontami uytkowników wymaga, podobnie jak inne czynno- ci z zakresu zarzdzania, wyra nie okrelonych procedur oraz zasad ich weryfikacji, jak równie kontroli uprawnie do systemów. Do czsto zdarza si, zwłaszcza w duych organizacjach, e zmiany organizacyjne, rozwizanie umowy o prac czy te zwolnienia nie znajduj odzwierciedlenia w weryfikacji uprawnie. W przypadku dobrze prowadzonej polityki bezpieczestwa informacji, tego typu sytuacje s jednoznacznie opisane w ramach procedur i w momencie wystpienia której z nich nastpuje uruchomienie danej procedury. Sprowadza si ona najczciej do realizacji okrelonej liczby działa w okrelonym porzdku, co ma istotne znaczenie dla zachowania bezpieczestwa. Zdarza si take, e uprawnienia do korzystania z systemów otrzymuj równie osoby z zewntrz, przykładowo: klienci w pewnym zakresie korzystaj z udostpnionego im miejsca na serwerze usługodawcy czy te producenta (operatora logistycznego itp.). Za pomoc haseł mog oni sprawdzi status swojej przesyłki albo stopie zaawansowania realizacji zamówienia. Ten sposób, wygodny dla klienta, stwarza jednak okrelone zagroenia: moe nastpi nawet przypadkowa awaria systemu i klient bdzie miał dostp do całoci informacji (w tym równie utajnionych informacji firmy producenta lub usługodawcy); włamanie do systemu firmy moe spowodowa nie tylko naruszenie danych firmy, ale równie dostp do danych firm, z którymi prowadzone s działania biznesowe. W zwizku z powyszym równie w tym obszarze naley zadba o stworzenie właciwej ochrony danych, przy czym systemy, aplikacje i dane powinny by sklasyfikowane według kryterium wanoci i ryzyka.

486 Justyna,ywiołek, Ewa Staniewska Testy bezpieczestwa i monitorowanie Ten obszar wymaga pełnej inwentaryzacji wszystkich urzdze sieciowych oraz ich okresowej weryfikacji. Kade z tych urzdze powinno mie przypisany poziom ryzyka z punktu widzenia krytycznoci systemów wykorzystywanych w firmie i systemów uytkowanych wspólnie przez kilka firm w ramach łacucha/sieci dostaw. Na tej podstawie tworzone s standardy bezpieczestwa dla wszystkich wykorzystywanych technologii. Pewnym problemem moe by brak opisów aplikacji, co czsto wystpuje w firmach, gdzie działy IT s rozbudowane i nie ma wyra nych procedur dotyczcych zasad tworzenia aplikacji. Członkowie zespołów IT, czsto uzdolnieni informatycznie, tworz aplikacje zgodnie z oczekiwaniem klienta biznesowego, prawie na poczekaniu, nie zajmujc si faktycznym opisem aplikacji. W efekcie w momencie powstania zakłócenia w działaniu danej aplikacji nikt, oprócz autora, nie jest w stanie usun powyszego zakłócenia. Ten sposób działania znacznie utrudnia zarzdzanie polityk bezpieczestwa informacji. Zdarza si równie, e członkowie zespołów IT nie przywizuj wagi do wykonywania przed ostatecznym uruchomieniem aplikacji testów bezpieczestwa, traktujc je jako zbdn czynno, niepotrzebnie wydłuajc cał procedur. W tym przypadku moe dochodzi do konfliktu midzy szefem bezpieczestwa a szefem IT. Aby zminimalizowa tego typu sytuacje, konieczne jest budowanie wiadomoci bezpieczestwa wród wszystkich pracowników, w szczególnoci jednak wród pracowników IT. Dodatkowe zagro- enie moe powsta w sytuacji, gdy cz działa IT bdzie realizowana przez firm zewntrzn. Std te kluczowe dla utrzymania systemu bezpieczestwa jest właciwe okrelenie systemów, które s najwaniejsze z punktu widzenia podstawowej działalnoci biznesowej danej firmy, i ustanowienie dla nich szczególnej ochrony. Konieczne jest równie opracowanie systemów monitoringu urzdze o krytycznym znaczeniu z punktu widzenia moliwoci wystpienia incydentów bezpieczestwa. Jeli organizacja zarzdzana jest projektowo, warto pamita o wbudowaniu w metodyk projektow ju w momencie ustalania podstawowych elementów projektu równie analizy bezpieczestwa informacji. Sam proces zarzdzania incydentami powinien obejmowa [4]: wykrywanie zdarze, korelacj zdarze i ocen zagroenia, wyeliminowanie zagroenia lub eskalacji i uruchomienie innych procedur, ustalenie kryteriów uruchomienia procedur obsługi incydentu, weryfikacj i wymagany poziom dokumentacji incydentu i jego rozwizania,

Rola polityki bezpieczestwa informacji 487 analiz po rozwizaniu incydentu, procedury zamknicia incydentu. Ochrona technologii bezpieczestwa Właciwy system ochrony technologii stanowi wany czynnik prewencji w przypadku polityki bezpieczestwa informacji. W tym celu konieczne jest zbadanie, jak dalece procedury, opisane w polityce, uwzgldniaj konsekwencje naruszenia bezpieczestwa informacji. Kolejnym krokiem jest analiza dokumentacji, na podstawie której jest przyznawany i akceptowany dostp do systemów oraz dzienników systemowych pod ktem nieudanych prób dostpu, blokady kont, dostpu do wraliwych zasobów oraz dostpu do pomieszcze. Jednym z waniejszych, czsto niedocenianych (zwłaszcza przez uytkowników) elementów jest wdroenie i przestrzeganie polityki haseł (długo, kompozycja, wano itp.). Sam dostp do systemów powinien by przyznawany po odpowiedniej akceptacji, a weryfikacja mechanizmów bezpieczestwa logicznego i fizycznego systemów i danych oraz uprawnie uytkowników powinna by dokonywana przynajmniej raz w roku. Warto równie dokonywa analizy raportów bezpieczestwa systemów pod ktem istniejcych podatnoci i systematycznie wprowadza nowe rozwizania. Ta zasada działa podobnie jak aplikacje chronice przed wirusami. W krótkim czasie (do miesica) definicje wirusów staj si przestarzałe i wymagaj od- wieenia. Podobnie systemy zabezpiecze, w kontekcie bardzo szybko rozwijajcych si systemów IT, staj si mało skuteczne. Zarzdzanie kluczami kryptograficznymi Klucze kryptograficzne s narzdziem pozwalajcym zwiksza poziom bezpieczestwa przechowywanych i wymienianych informacji poprzez zapewnienie szyfrowania i deszyfrowania informacji (w kryptografii symetrycznej). Do obu czynnoci uywa si tego samego klucza, co oznacza, e powinien on by znany tylko uczestnikom wymiany informacji. Klucz przypisany jest do danej komunikacji. W przypadku kryptografii asymetrycznej wystpuj dwa rodzaje kluczy: publiczny i prywatny. W pierwszym przypadku mamy do czynienia z jawn informacj, w drugim jest w pełni utajniona. W celu lepszej ochrony konieczne jest zatem zdefiniowanie procesu zarzdzania cyklem ycia kluczy kryptograficznych. Klucze prywatne powinny podlega odpowiedniej ochronie przed utrat poufnoci i integralnoci. Ochrona, wykrywanie i usuwanie złoliwego oprogramowania Tak jak wczeniej wspomniano, najbardziej skutecznym narzdziem zabezpieczenia informacji jest zwikszenie poziomu wiadomoci pracowników,

488 Justyna,ywiołek, Ewa Staniewska klientów oraz innych interesariuszy, którzy uczestnicz w łacuchu/sieci dostaw. Jednym z czciej wystpujcych zakłóce jest tzw. złoliwe oprogramowanie, czsto samoinstalujce si na danym komputerze, przekazywane czy te podczepiane do plików, otrzymywanych nawet z wiarygodnych (sprawdzonych) adresów. W zwizku z powyszym konieczne jest opracowanie polityki ochrony przed złoliwym oprogramowaniem, udokumentowanie i zakomunikowanie jej wszystkim pracownikom firmy. Jednoczenie niezbdne jest wdroenie systemów, które wykrywaj złoliwe oprogramowanie i zabezpieczaj przed jego instalacj. W efekcie prowadzi to do ograniczenia adresów internetowych, które mog by wykorzystane w pracy. W niektórych firmach zablokowane s równie moliwoci przegrywania plików na zewntrzne noniki informacji oraz wgrywania plików do komputera. To w znaczcy sposób zmniejsza zagroenie zwizane z przeniesieniem wirusa, cho z drugiej strony ogranicza swobodny dostp do zewntrznych ródeł wiedzy. Oprogramowanie antywirusowe powinno by dystrybuowane i zarzdzane centralnie, przy czym kluczowe jest okrelenie jego skutecznoci operacyjnej. Na ogół funkcjonuj ju filtry w postaci firewall, które nie pozwalaj przedosta si do rodka systemu niepewnym informacjom, jednoczenie sam uytkownik moe zdefiniowa, które adresy czy te słowa uyte w temacie wiadomoci powinny by automatycznie wysyłane do kosza. Wymiana wraliwych informacji W dobie łczenia si za pomoc rónych protokołów transmisji z zewntrznymi podmiotami i/lub udostpniania miejsca na własnym serwerze innym uytkownikom konieczne jest wykorzystanie specjalnych metod szyfrowania w celu ochrony danych. W praktyce zdarza si, e nawet audytorzy z wielkiej czwórki nie maj opracowanych zasad wykorzystania wraliwych danych i w ramach audytu prosz o przekazywanie kopii w formie papierowej, któr nastpnie chc wykorzystywa ju w siedzibie własnego przedsibiorstwa. Tego typu praktyki powoduj powstawanie dodatkowego ryzyka po stronie audytowanego i naraenie klientów na utrat poufnych danych. W kontekcie coraz czciej pojawiajcych si zagroe w zakresie zarzdzania bezpieczestwem informacji, a take zagroe wynikajcych z podejmowania działa niezgodnych z prawem i obowizujcymi regułami/procedurami w organizacjach zaczto wprowadza, zgodnie z ustaleniami Komisji Europejskiej, polityk w zakresie zgodnoci (ang. compliance).

Rola polityki bezpieczestwa informacji 489 Podsumowanie W warunkach globalizacji, powszechnej digitalizacji i swobodnego dostpu do informacji wzrastaj zagroenia zwizane z cyberatakami, przypadkow utrat wraliwych informacji wszystkich uczestników sieci/łacucha dostaw. W tym kontekcie ochrona bezpieczestwa informacji staje si coraz istotniejsz funkcj przedsibiorstwa. Z kolei naruszenie zasad działania, brak monitoringu zagroe, uchybienia prawne i proceduralne, które były przyczyn spektakularnych upadków znaczcych korporacji midzynarodowych, spowodowały, e zaczto rozwija polityk w zakresie przestrzegania i systematycznego audytowania procedur okrelan jako compliance. Mona si spodziewa, e w przyszłoci funkcja bezpieczestwa informacji zostanie włczona do szerokiej działalnoci działów operacyjnych realizujcych polityk w zakresie compliance. Literatura [1] D. Brink, Beyond Demonstrating Compliance, The Reinvention of Internal Audit, Aberdeen Group, August 2009. [2] Dziennik Ustaw z 1993 r. Nr 47, poz. 211. [3] R. Kaczmarek, Przegld procesu zarzdzania bezpieczestwem informacji w pigułce [w:] Computerworld z dn. 10.03.2009 r. [4] S. Kosielinski, W krgu piciu ywiołów [w:] Computerworld z dn. 10.02.2009 r. [5] M. Kowalewski, A. Ołtarzewska, Polityka bezpieczestwa informacji instytucji na przykładzie Instytutu Łcznoci Pastwowego Instytutu Badawczego, Telekomunikacja i Techniki Informacyjne, nr 3.4/2007. [6] Rzdowy Program Ochrony Cyberprzestrzeni, marzec 2012 r. [7] B. Zdanowicz, Compliance nowa funkcja banków, www.nbp.pl

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres