Polityka bezpieczeństwa musi być dokumentem spisanym. Należy zadbać, aby była przeczytana i zrozumiana przez wszystkich pracowników organizacji, która użytkuje system komputerowy. Nowi pracownicy powinni podlegać obowiązkowi zaznajamiania się z dokumentem opisującym politykę bezpieczeństwa. Złym pomysłem jest opracowywanie takiej polityki bezpieczeństwa, która zakłada zapewnienie bezpieczeństwa za każdą cenę. Projektując politykę bezpieczeństwa należy zadbać o to, czy organizacja będzie w stanie ponieść koszty jej realizacji. Czasem jednak, co mogłoby się wydawać sprzeczne, małe niedociągnięcia w systemie bezpieczeństwa mogą pozytywnie wpłynąć na jego poziom. Świadomość niebezpieczeństwa idąca w parze z obawą przed jego wystąpieniem zaostrza czujność administratorów i użytkowników systemu, co oczywiście jest pozytywnym zjawiskiem.
Opracowania polskich polityk bezpieczeństwa w głównej mierze dotyczą zabezpieczeń i administracji systemów informatycznych. Jednak rzadko która polityka określa, jakie rodzaje informacji w tych systemach mogą być przetwarzane oraz jakie warunki musi spełnić system, aby informacja się w nim znalazła. Polityka bezpieczeństwa powinna jasno i wyraźnie określać, że jej przedmiotem jest informacja znajdująca się w systemie informatycznym, a nie sam system. W każdej jednostce organizacyjnej znajduje się wiele różnego rodzaju informacji chronionych, np. ze względu na interes firmy (np. informacje finansowe, zbiory danych osobowych) oraz jawnych (np. informacje marketingowe). Dlatego też to grupa informacji powinna być punktem wyjścia do stworzenia polityki bezpieczeństwa.
Polityka bezpieczeństwa powinna zawierać następujące elementy:
Jest to niezwykle ważna część tego dokumentu. Polityka bezpieczeństwa musi być czytelna i zrozumiała. Powinna zawierać uzasadnienia, dlaczego zasady postępowania, które ją określają, są takie a nie inne. Dlatego w dokumencie tym powinny znajdować się wyjaśnienia zalecanych metod ochrony informacji.
Dokument ten ma efektywnie definiować zasady bezpieczeństwa i dlatego właśnie język, którym jest napisany powinien być prosty i zrozumiały.
Podział odpowiedzialności
Aby nie było żadnych nieporozumień i nie jasnych sytuacji w polityce bezpieczeństwa powinien znaleźć się podział kompetencji i odpowiedzialności. Informacje takie pozytywnie wpływają na organizację działań.
Opis mechanizmów realizacji polityki bezpieczeństwa
Aby polityka bezpieczeństwa była realizowana muszą istnieć mechanizmy wymuszające jej realizację w praktyce, ponieważ nawet najlepiej opracowana polityka bezpieczeństwa na nic się nie zda, jeśli nie będzie można jej zastosować i realizować praktycznie. Dlatego stosuje się przeróżne metody. Mechanizmem takim może być np. uczynienie odpowiednich osób odpowiedzialnymi za realizację polityki bezpieczeństwa.
Elementy, których polityka bezpieczeństwa nie powinna zawierać:
Bezkrytycznie wzięte zapożyczenia z innych rozwiązań
Każda organizacja ma pewną specyfikę, która nadaje jej charakter a którą powinna uwzględniać polityka bezpieczeństwa. Bezkrytyczne kopiowanie elementów z polityk innych organizacji jest niepożądane. Oczywiście można wykorzystać te elementy, które mają swoje uzasadnienie w charakterze danej organizacji.
Polityka bezpieczeństwa definiuje metody zapewniania odpowiednio wysokiego poziomu bezpieczeństwa organizacji; nie powinna więc zawierać szczegółów technicznych. Szczegóły techniczne powinny znaleźć się w opisie strategii i taktyk zapewniania bezpieczeństwa organizacji.
Przykładowa polityka bezpieczeństwa organizacji znajduje się tutaj
Typowe elementy polityki bezpieczeństwa
Poniżej zostały przedstawione typowe zagadnienia, na które należy zwrócić uwagę opracowując politykę bezpieczeństwa:[3]
1. Określenie, kto może mieć konto w systemie; czy mogą istnieć konta typu "gość", na jakich kontach mogą pracować pracownicy innych instytucji-dostawców oprogramowania zajmujący się konserwacją tego oprogramowania.
2. Określenie czy wiele osób może korzystać z jednego konta (należy pamiętać nie tylko o pracownikach instytucji, ale i o ich rodzinach, przyjaciołach itp.).
3. Określenie, w jakich sytuacjach odbierane jest prawo do korzystania z konta; co dzieje się z kontami pracowników, którzy odeszli z instytucji.
4. Zdefiniowanie wymagań dot. haseł; na ile powinny być zawikłane (nietrywialnie), czy można je zdradzać współpracownikom, przełożonym; określenie okresów ważności haseł, itp.
5. Określenie zasad przyłączania się i korzystania z globalnej sieci komputerowej; określenie osób, której mają do tego prawo. Określenie zakresu i zasad udostępniania informacji instytucji użytkownikom globalnej sieci komputerowej (np. przez www czy ftp).
6. Zobligowanie pracowników do wyrażenia zgody na wykonywanie przez administratorów czynności związanych z bezpieczeństwem instytucji.
7. Określenie zasad korzystania z połączeń modemowych z instytucją; opisanie zasad korzystania z systemu przez osoby znajdujące się w oddaleniu od niego (czy przez sieć globalną czy przez łącza telefoniczne).
9. Określenie metod ochrony informacji o finansach i pracownikach firmy.
10. Określenie zasad sporządzania i przechowywania wydruków informacji związanych. z instytucją.
11. Określenie metod ochrony przed wirusami.
Organizacje podlegają różnorodnym zmianom odnośnie struktury, wielkości, zatrudniania nowych pracowników, dlatego nie można sądzić, że raz opracowana polityka bezpieczeństwa instytucji będzie funkcjonować w niej zawsze. Ponieważ następuje ciągły rozwój globalnej sieci komputerowej, a co za tym idzie wzrost liczby związanych z nim zagrożeń, raz określona polityka bezpieczeństwa powinna być ciągle dostosowywana do pojawiających się nowych sytuacji i potrzeb.
Strategie realizacji polityki bezpieczeństwa
Wszystkie zapisane strategie bezpieczeństwa tworzą dokument zwany planem ochrony. Taki plan opracowywany jest przede wszystkim przez osoby opiekujące się systemem informatycznym, czyli przez administratorów. I to właśnie na nich ciąży realizacja planu ochrony informacji mimo, iż pozostali użytkownicy również są zobligowani do przestrzegania zasad polityki bezpieczeństwa.
W planie bezpieczeństwa powinny być zawarte następujące elementy:
opis realizacji metod kontroli dostępu do systemu.
opis realizacji metod kontroli dostępu do zasobów systemu.
opis metod okresowego lub stałego monitorowania systemu.
dokładny (na poziomie technicznym) opis metod reagowania na wykrycie zagrożenia.
opis metod likwidacji skutków zagrożeń (np. tworzenia kopii zapasowych).
Do najczęściej stosowanych strategii należą:
Zapewnianie bezpieczeństwa dzięki wielowarstwowemu mechanizmowi ochrony
Strategia ta obejmuje kilka warstw ochrony informacji. Pierwszą linię obrony stanowi ograniczanie fizycznego dostępu do systemu komputerowego. Realizowana jest przez zamykanie komputerów w pomieszczeniach, do których dostęp odbywa się przy uwierzytelnieniu, np. za pomocą karty magnetycznej lub wstukania kodu dostępu na klawiaturce przy drzwiach. Aby dodatkowo zabezpieczyć się przed dostępem do takich drzwi, mogą one być chronione przez kolejne punkty wartownicze z pracownikami ochrony. W ten sposób chronione są systemy wymagające największego poziomu bezpieczeństwa, np. w organizacjach rządowych lub w wojsku. Zwykle systemy takie nie są podłączone do globalnej sieci komputerowej, lecz korzystają z własnych sieci telekomunikacyjnych. Zaistnienie zagrożenia w takim systemie automatycznie kieruje podejrzenia na wąskie grono osób mających do nich dostęp. Kolejną warstwą ochrony może być procedura uwierzytelniania użytkownika rozpoczynającego pracę w systemie. Procedura ta ma na celu ochronę przed nielegalnym dostępem do systemu. Wykorzystywanym narzędziem są tutaj hasła. Aby procedura ta zapewniała odpowiednio wysoki poziom bezpieczeństwa, hasło powinno być kontrolowane na etapie tworzenia.
Nie powinno się dopuszczać haseł, które:
wywodzą się z nazwy lub opisu użytkownika,
zawierają zbyt ubogi wachlarz znaków,
wynikają z kodu klawiatury, itp.
Istnieje szereg narzędzi, zarówno dostarczanych z systemami operacyjnymi, jak i dodatkowych, służących do kontroli zawiłości haseł (np. npasswd, passwd+, goodpw, crack). Niektóre z tych narzędzi tworzą słowniki najpopularniejszych wyrażeń, (wśród których są nazwy użytkowników systemu) i stosując pewien zbiór reguł próbują wygenerować niebezpieczne hasła, które później nie są dopuszczane do użytkowania. Inna warstwą ochrony są metody wykorzystujące inteligentne karty. Karty takie mogą mieć różnorakie formy, często przypominają karty telefoniczne, a nawet kalkulatory osobiste. Aby karta rozpoczęła działanie, konieczne jest podanie przez użytkownika osobistego numeru identyfikacyjnego PIN (ang. Personal Identification Number). Tyle ile jest rodzajów inteligentnych kart tyle jest sposobów ich działania. Jednym z najpopularniejszych jest protokół typu wezwanie-odpowiedź, metoda oparta na tzw. kryptograficznym protokole uwierzytelniania ze współdzielonym kluczem. System generuje pewną losową liczbę i podaje ją użytkownikowi. Ten wprowadza ją do karty, która szyfruje liczbę. Rezultat szyfrowania zwracany jest do systemu. System sprawdza, czy liczba została zaszyfrowana poprawnie. Inna metoda wykorzystuje protokół Lamporta. Polega ona na tym, że liczba, którą należy podać systemowi, generowana jest przez kartę po wprowadzeniu numeru identyfikacyjnego. Karta musi być uprzednio zainicjowana w systemie, z którym będzie współdziałać.
Inną warstwą uwierzytelniającą, stosowaną z kolei w systemach z modemami, jest procedura hasła telefonicznego, które musi być podawane przy logowaniu w systemie, który wykorzystuje połączenie telefoniczne.
Różnicowanie typów mechanizmów ochrony
Różnicowanie typów mechanizmów ochrony jest niejako dodatkiem do koncepcji wielowarstwowego mechanizmu ochrony. Przy zabezpieczeniach jednego rodzaju poznanie słabego punktu danego typu zabezpieczenia umożliwia swobodną ingerencję wewnątrz systemu. Stosowanie produktów zabezpieczających, np. pochodzących od różnych dostawców znacznie zmniejsza prawdopodobieństwo utraty bezpieczeństwa całego systemu, gdy zawiedzie jego jedno ogniwo, zwłaszcza w sytuacji, gdy metoda ta połączona jest z wielowarstwowym mechanizmem ochrony. Należy mieć na uwadze, że administrowanie takim zróżnicowanym systemem bezpieczeństwa może być znacznie bardziej złożone, niż administrowanie systemem jednolitym.
Wydzielanie i monitorowanie punktów wymiany informacji systemu z otoczeniem
Przykładem realizacji tej strategii jest architektura firewall, w której wszelka wymiana informacji pomiędzy systemem informatycznym organizacji, a siecią globalną odbywa się przez wydzielony fragment systemu. Może nim być komputer łączący sieć organizacji z siecią globalną czy podsieć spełniająca taką funkcję pod kontrolą odpowiedniego oprogramowania. Oprogramowanie takie ma za zadanie monitorować przesyłane informacje i sygnalizować wszelkie nieprawidłowości, bądź fakty mogące zagrozić bezpieczeństwu systemu organizacji.
Automatyczne blokowanie się systemu w przypadku wykrycia włamania
W strategii tej w przypadku wykrycia zagrożenia system sam blokuje w mniejszym lub większym stopniu swoje działanie uniemożliwiając intruzowi wyrządzanie większych szkód. Oczywiście ograniczona zostaje (bądź blokowana) możliwość pracy legalnych użytkowników. Jednocześnie system zapisuje wykaz swojego stanu w momencie wykrycia zagrożenia, co później ułatwia likwidację ewentualnych szkód lub lokalizację wyłomu w systemie bezpieczeństwa.
Hierarchizacja uprawnień użytkowników systemu
Do systemu wprowadza się hierarchie użytkowników w związku z uprawnieniami, jakie posiadają. Użytkownicy pełniący funkcje administracyjne mają większe prawa, niż użytkownicy tych funkcji nie pełniący. Administratorzy poszczególnych podsystemów (np. podsystemu drukowania, czy podsystemu poczty elektronicznej) posiadają mniejsze prawa, niż administratorzy główni, dzięki temu w przypadku ataku na system narażony jest tylko fragment systemu.
Świadome kreowanie i eksponowanie "słabych punktów"
Strategia ta polega na zastosowaniu pewnego triku polegającego na świadomym wyborze i eksponowaniu fragmentów systemu, które w opinii włamywacza mają uchodzić za "słaby punkt". Odwrócona zostaje wówczas uwaga intruza od pozostałych, ważniejszych części systemu. Należy oczywiście zadbać, aby poziom ochrony w tych "słabych punktach" był dostatecznie wysoki dla uniemożliwienia przeprowadzenia udanego ataku.
|
