mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl
ZARZĄDZANIE USŁUGAMI
W SYSTEMACH
OPERACYJNYCH
Wykład 6
Agenda
Zarządzanie bezpieczeństwem i zarządzanie
ryzykiem w systemach komputerowych:
1.
Polityka bezpieczeństwa.
2.
Typy polityki bezpieczeństwa.
3.
Opracowanie polityk bezpieczeństwa.
4.
Dokumentowanie polityk bezpieczeństwa
5. Osoby odpowiedzialne za
bezpieczeństwo systemów
komputerowych.
Literatura
1. Mark S. Merkow, Jim Breithaupt,
Information Security: Principles and
Practices, Second Edition,
June 04, 2014
2. David Kim, Michael G. Solomon,
Fundamentals of Information Systems
Security,
November 17, 2010
Polityka bezpieczeństwa
1. Zgodnie z Certified Information Systems Security
Professional (CISSP), zarządzanie
bezpieczeństwem i zarządzanie ryzykiem stanowi
podstawową domenę bezpieczeństwa, na której
buduje się cały system.
2. Jest to zbiór czynności zarządczych i
wykonawczych, które definiują
program
bezpieczeństwa systemów komputerowych.
Dlaczego użyto słowa „program”?
Czym się różni program od projektu?
Zarządzenia bezpieczeństwem
3. Etapy zarządzania bezpieczeństwem:
a) deklaracja kierownictwa dot. celu
b) polityki bezpieczeństwa
c) określenie sposobu wykonania,
odpowiedzialności, szkoleń, świadomości.
4. Klasyfikacja danych.
5. Zarządzanie ryzykiem.
6. Wyznaczenia ról, władzy i odpowiedzialności.
Po co jest to wszystko określane?
Jaki jest główny cel?
Aby zapewnić świadomość o wadze
bezpieczeństwa systemów w danej organizacji!
Polityka bezpieczeństwa
1. Polityka bezpieczeństwa jest kluczowym
elementem bezpieczeństwa organizacji i musi być
brana pod uwagę na długo przed tym jak
systemy komputerowe będą wdrażane.
Jeżeli nie masz polityki bezpieczeństwa, to masz
coś, ale nie wiesz po co, ponieważ nikt tobie nie
powiedział co powinno to robić.” /M. Ranum/
2. Implementacja zabezpieczeń systemów
komputerowych bez zdefiniowanych reguł
spowoduje tylko przypadkową ochronę.
„Nawet zepsute zegarek wskaże dobrą godzinę …
i to dwa razy na dobę!”
Polityka bezpieczeństwa
Typy polityk bezpieczeństwa
1. Polityka dla Programu Bezpieczeństwa
(
Programme-level Policy
) – jest używany w celu
ustanowienia programu bezpieczeństwa SK, jest to
najwyższy dokument, opisuje potrzebę stosowania
bezpieczeństwa SK, może powierzać funkcję
zarządzenia bezpieczeństwem działowi IT
2. Polityka dla Struktury Programu Bezpieczeństwa
(
Programme-framework policy
) - ustanawia ogólne
podejście do bezpieczeństwa komputerowego (jako
struktury bezpieczeństwa komputerowego), dodaje
szczegółowy opis do programu, opisując elementy i
organizację oraz dział, który będzie odpowiedzialny
za Program.
Typy polityk bezpieczeństwa
3. Polityka obszaru (
Issue-specyfic Policy
) –
rozwiązuje konkretne kwestie mające znaczenie dla
organizacji. Kwestie te mogą mieć na przykład
charakter regulacyjny (np. standard
bezpieczeństwa danych dla kart bankomatowych)
lub ustawowy (np. ustawa o ochronnie danych
osobowych).
4. Polityka systemu (System-specific policy) -
koncentruje się problemach, które dotyczą
określonego systemu.
.
Programme-level Policy
1. Zarząd potrzebuje polityki aby ustanowić program
ochrony, przypisać role zarządzania programem,
wskazywać cel bezpieczeństwa SK dla całej
organizacji oraz stworzenia podstaw do
przestrzegania zasad bezpieczeństwa.
2. Obejmuje:
1. Cel bezpieczeństwa SK w organizacji.
2. Zakres wymaganego bezpieczeństwa.
3. Obowiązki poszczególnych komórek i osób
funkcyjnych.
4. Zasady przestrzegania polityki.
Programme-level Policy
Cel bezpieczeństwa
1. Wyraźnie zdefiniowany cel organizacji.
2. Struktury bezpieczeństwa organizacji.
3. Potrzeby związane z bezpieczeństwem (np.
poufność, dostępność).
4. Przykłady:
organizacja utrzymująca duże bazy danych o
znaczeniu krytycznym może podkreślić redukcję
błędów, utratę danych lub uszkodzenie danych.
w organizacji odpowiedzialnej za utrzymanie
poufnych danych osobowych cele mogą
podkreślić silniejszą ochronę przed
nieuprawnionym ujawnieniem danych.
Programme-level Policy
Zakres bezpieczeństwa
1. Zakres określa jakie zasoby (lokalizacje, sprzęt
i oprogramowanie), dane i personel program
obejmuje.
2. Może wymienić konkretne aktywa, takie jak główne
lokalizacje i duże systemy (lub wszystkie aktywa).
3. Powinien określić zastosowanie do kontraktorów,
podwykonawców, podłączonych innych firm do
organizacji.
4. Wziąć pod uwagę pracowników domowy
(telepracowników), pracowników mobilnych, dostęp
do zasobów firmy z odległych miejsc,
wprowadzanie prywatnych urządzeń.
Programme-level Policy
Obowiązki
1. Polityka opisuje obowiązki zarówno działów, osób
funkcyjnych i pracowników w całej organizacji.
2. Polityki rozróżniają odpowiedzialności dostawców
usług komputerowych (IT) i obowiązków właścicieli
aplikacji korzystających z usług komputerowych.
3. Na poziomie polityki programu przypisanie
obowiązków obejmuje działania i personelu, które
będą niezbędne do realizacji i ciągłości polityki
bezpieczeństwa komputera.
Programme-level Policy
Przestrzeganie polityk
1. Określenie kar i postępowań dyscyplinarnych dla
osób, które nie są przestrzegają polityki
bezpieczeństwa komputerowego.
2. Ponieważ polityka bezpieczeństwa jest
dokumentem wysokiego szczebla, kary za różne
przewinienia nie są zazwyczaj tam szczegółowo
określone.
3. Ostrzeżenia i związane z nimi kary są zazwyczaj
określone w polityce dla danego problemu lub
specyficzne dla danego systemu.
4. Złamanie polityk bezpieczeństwa może być
spowodowane niewiedzą lub brakiem szkoleń.
Programme-Framework Policy
1. Określa elementy programu bezpieczeństwa w
organizacji, które stanowią podstawę dla programu
bezpieczeństwa SK
2. Odzwierciedla decyzje kierownictwa IT dotyczące
priorytetów w zakresie ochrony, przydziału zasobów
oraz przypisywania odpowiedzialności.
3. Przykłady:
planowanie dostępności procesów
biznesowych;
wymagania na bezpieczeństwo fizyczne
centrów danych;
bezpieczeństwo przy tworzeniu aplikacji.
Issue-Specific Policy
1. Identyfikują i definiują zidentyfikować konkretne
obszary zainteresowania i podać pozycję w
organizacji lub postawę w tej kwestii. W zależności
od problemu jak i potencjalnego wpływu, polityka
może pochodzić od szefem organizacji, dyrektora
ds. IT lub zarządzającego programem
bezpieczeństwa komputerowego.
2. W praktyce: Powinien być to żywy dokument
aktualizowany zgodnie z rozwojem nowych
technologii.
Issue-Specific Policy
3. Przykład: laptopy i tablety stały się wszechobecne w
gabinetach lekarskich i szpitalach ze względu na wygodę i
łatwość bezprzewodowych sieci lokalnych (WLAN).
Pozwalają one lekarzom i pielęgniarkom zdalnie uzyskać
dostęp do dokumentacji pacjenta, dodać uwagi i diagnoz i
sprawdzać leki, między innymi. Ten dostęp powoduje, że
powinny być zadane nowe i trudne pytania dot.
zabezpieczeń:
a) Jak można mieć pewność, że żadne nieautoryzowane
komputery nie będą mogły podsłuchiwać komunikacji
bezprzewodowej?
b) Jak pacjenci mogą być pewni, że prywatność danych o
pacjencie i jego chorobach nie jest ceną za wygodę
lekarzy?
Issue-Specific Policy
4. Polityka obejmuje:
A.
Opis problemu
obejmujący definicję,
powiązanie z bezpieczeństwem oraz
specyficzne warunki, np.
Organizacja
opracowuje Issu-Specific Policy dla
„Intranetu”, która obejmuje jakie działania są
dozwolone, kto nie ma dostępu i zasady
dostępu do sieci z zewnątrz.
Issue-Specific Policy
B.
Stanowisko organizacji
związane z problemem,
np
. Polityka dostępu do Intranetu może mieć
zastosowanie wyłącznie do własnych zasobów
organizacji i pracowników na miejscu, a nie do
podwykonawców i biur organizacji w innych
miejscach. Dodatkowo, zastosowanie polityki
wobec pracowników wymagających dostępu z
zewnątrz może wymagać dalszych wyjaśnień.
C.
Przypisanie ról i obowiązków
, np.
dostęp do
sieci z zewnątrz wymaga odpowiedniej zgody,
przy czym powinna być wskazana osoba
funkcyjna, która taką zgodę wydaje i która
odpowiada za jej przestrzeganie.
Issue-Specific Policy
D.
Przestrzeganie polityk,
opisuje wykroczenia
i odpowiednie kary, które muszą być zgodne z
zasadami i praktykami stosowanymi w
organizacji oraz muszą być skoordynowane z
odpowiednimi działami i nawet związkami
zawodowymi.
E.
Punkty kontaktowy
, odpowiednie osoby
odpowiedzialne za informowanie o
obowiązujących normach i wytycznych. Dla
niektórych kwestii punktem kontaktowy może
być przełożony, a w innych sprawach może to
być kierownik obiektu, wsparcie techniczne,
lub administrator systemu.
Issue-Specific Policy
5. Przykłady polityk:
a) Dopuszczalna zastosowanie poczty
elektronicznej.
b) Dopuszczalne wykorzystanie Internetu.
c) Polityki dla urządzeń mobilnych.
System-Specific Policy
1. Poprzednie polityki miały zastosowanie dla całej
organizacji. Jednakże system-specific policy ma
zastosowanie do wąskiego zastosowania – dla
jednego systemu.
2. Jest opracowywany przez tzw. sponsora systemu
(lub władzę operacyjną systemu).
3. Jest w szczególności wykorzystywany, gdy jeden z
działów organizacji ze względu na swoją specyfikę
nie zgadza się z politykami bezpieczeństwa dla
całej organizacji.
System-Specific Policy
1. Obejmuje:
1. Cele bezpieczeństwa dla określonego systemu.
2. Wytyczne jak system powinien być
eksploatowany w celu osiągnięcia celów
bezpieczeństwa.
3. Stosowane zabezpieczenia, które będą
wypełniały cele bezpieczeństwa.
Wiele decyzji polityki bezpieczeństwa mają
zastosowanie tylko na poziomie systemu.
Przykłady obejmują następujące decyzje:
System-Specific Policy
4. Osoby mające uprawnienia do czytania i
modyfikacji dane w systemie.
5. W jakich przypadkach dane mogą być
odczytywane lub modyfikowane?
6. Czy użytkownicy będą mogli połączyć się z
system komputerowym z domu lub w
podróży?
Dziękuję za uwagę!
mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl
mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl
ZARZĄDZANIE USŁUGAMI
W SYSTEMACH
OPERACYJNYCH
Ćwiczenia 6
Polityka bezpieczeństwa zawiera następujące
informacje:
Tytuł.
Cel.
Zatwierdzający.
Wykonawca.
Odniesienia do innych polityk.
Zakres.
Oczekiwane efekty.
Odstępstwa.
Odpowiedzialności.
Zarządzanie zgodnością.
Opis sposobu sprawdzenia osiągnięcia oczekiwanego efektu.
Data wejścia w życie oraz czas ważności.
Użyte definicje.
Polityka bezpieczeństwa
Polityka poczty elektronicznej
1. Programme-level policy
2. Programme-framework policy
3. Issue-specyfic Policy: Stosowanie sieci WiFi i haseł
4. System-specyfic Policy: System „branżowy”
Polityka poczty elektronicznej
1. Cel
Celem
dokumentu
(polityki)
jest
zapobieganie
kształtowaniu szkodliwego publicznego wizerunku
<nazwa firmy>. Dla
każdego e-mail wysyłanego z
<nazwa
firmy>,
(autoryzowanego
lub
nieautoryzowanego),
opinia
publiczna
będzie
traktowała tą wiadomość jako oficjalny stanowisko
firmy <nazwa firmy>.
Polityka poczty elektronicznej
2. Niedozwolone wykorzystanie
System pocztowy <Nazwa firmy> nie
może być
wykorzystany do tworzenia lub rozpowszechniania
jakichkolwiek
niechcianych
lub
obraźliwych
wiadomości, w tym obraźliwych komentarzy lub
uwagami
dotyczącymi rasy, płci, niepełnosprawności,
wieku, orientacji seksualnej,
przekonań religijnych i
politycznych, pochodzenie narodowe itp. Pracownicy,
którzy otrzymują e-maili z taką zawartością powinien
to natychmiast
zgłosić do swojego przełożonego.
Zabrania
się otwierania załączników wiadomości od
niezweryfikowanych
nadawców.
Polityka poczty elektronicznej
3.
Użytkowanie do celów osobistych
Rozsądne korzystanie z zasobów poczty do celów
prywatnych jest dopuszczalne, ale e-
mail’e nie
związane z pracą powinny być zapisane w osobnym
folderze. Wysyłanie tzw. „łańcuszków” lub żartów
(kawałów) z konto e-mail jest zabronione. Ostrzeżenie
o wirusa lub innego zagrożeniach oraz masowe
wysyłanie wiadomości powinny być zatwierdzone
przez <funkcja> przed wysłaniem. Ograniczenia te
mają zastosowanie także do wiadomości
przekazywanych pocztą przez pracowników <nazwa
firmy>.
Polityka poczty elektronicznej
4. Monitorowanie
Poczta
pracowników <nazwa firmy> nie podlega
ochronie zgodnie z
ustawą o ochronie danych
osobowych w zakresie przechowywania,
wysyłanie
lub odbierania
wiadomości w systemie poczty
elektronicznej
spółki.
<nazwa
firmy>
może
monitorować
wiadomości
bez
wcześniejszego
uprzedzenia.
Jednocześnie <nazwa firmy> nie jest
zobowiązana do monitorowania wiadomości e-mail.
.
Polityka poczty elektronicznej
5.
Odpowiedzialność
Każdy pracownik podejrzany o niestosowanie się do
polityki może zostać ukarany dyscyplinarnie włącznie
z natychmiastowym wypowiedzeniem stosunku pracy
Polityka poczty elektronicznej
6. Definicje
• E-mail
• Przekazywanie wiadomości
• Wiadomości „łańcuszki”
• Nieuprawnione ujawnienie informacji
Dziękuję za uwagę!
mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl