Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 1 / 12

Polityka bezpieczeństwa informacji

Główne zagadnienia wykładu

Polityka Bezpieczeństwa Informacji jest zbiorem zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i
wykorzystaniu informacji w organizacji. Dotyczy ona całego procesu korzystania z informacji, niezależnie od sposobu jej
gromadzenia i przetwarzania.

Procedury zabezpieczania obejmują:

•

systemy klasyczne (papierowe) – znane, wypracowane i stosowane regulaminy

•

systemy komputerowe – nie opracowane lub niewystarczające zasady. W tej dziedzinie mamy do czynienia z

permanentną ewolucją technologii informatycznych. Trendy w TI zmieniają się bardzo często i systemy same
niosą pewne zagrożenia wynikające z ich awaryjności i przestarzałości.

Wstępem do tworzenia Polityki Bezpieczeństwa Informacji jest audyt bezpieczeństwa:

•

Rozpoznanie problemu przetwarzania informacji w organizacji (przede wszystkim podstawa prawna).

•

Rozpoznanie rodzajów informacji przetwarzanych w organizacji. Jedne informacje podlegają ochronie ze

względu na interes firmy, inne ze względu na przepisy prawa, jeszcze inne są jawne.

•

Analiza obiegu poszczególnych grup informacji i rozpoznanie systemów przetwarzania informacji. Jakie warunki

musi spełnić system aby informacja się w nim znalazła i kto ma do niej dostęp?

•

Analiza

zagrożeń i ryzyka przetwarzania informacji. Dla grup informacji podlegających ochronie z mocy prawa,

należy przeprowadzić audyt zgodności ich przetwarzania z wymogami prawa.

•

Ocena stosowanych systemów zabezpieczeń. Dobrą praktyką jest zlecenie tego zadania zewnętrznym

audytorom.

Podstawowe zasady przy planowaniu polityki bezpieczeństwa:
1. Świadomość strategii i bezpieczeństwa musi spływać z góry na dół w hierarchii organizacji. Władze organizacji

powinny traktować bezpieczeństwo jako tak samo ważne jak wszystko inne.

2. Efektywne

bezpieczeństwo oznacza ochronę danych. Wszystkie strategie i procedury powinny więc odzwierciedlać

potrzeby ochrony danych niezależnie od przyjmowanej przez nie formy (dokumenty na dysku, wydrukowane,
przekazywane faksem czy przez telefon). Dane powinny być chronione niezależnie od nośnika, na którym występują.

Tworzenie polityki musi być realizowane wspólnym wysiłkiem personelu technicznego i decydentów. Personel

techniczny jest w stanie ocenić skutki różnych wariantów polityki oraz jej implementację. Decydenci są w stanie wymusić
wprowadzenie polityki w życie. Polityka, której nie można zaimplementować lub wdrożyć, jest nieużyteczna.

Kluczowym elementem polityki jest zapewnienie, aby każdy uświadomił sobie własną odpowiedzialność za

utrzymywanie bezpieczeństwa.

Polityka bezpieczeństwa – ocena ryzyka

•

Co

chronić ?

•

Przed czym chronić ?

•

Ile

czasu,

wysiłku, pieniędzy można poświęcić na zapewnienie ochrony?

Szacowanie ryzyka odgrywa bardzo ważną rolę podczas opracowywania strategii zapewnienia bezpieczeństwa. Do

szacowania ryzyka czasami wykorzystuje się specjalne programy, lub zatrudnia firmę konsultingową. Można również
przeprowadzić w firmie szereg zajęć warsztatowych. Wspólnie tworzona jest wówczas lista zasobów i zagrożeń.
Dodatkowym efektem jest wtedy wzrost świadomości zagrożeń wśród uczestników warsztatów.

Lista chronionych zasobów powinna być oparta na odpowiednim planie biznesowym i zdrowym rozsądku. Lista
powinna zawierać wszystko co przedstawia pewną wartość z punktu widzenia ewentualnych strat wynikających z
nieosiągniętych zysków, straconego czasu, wartości napraw i wymiany uszkodzonych elementów. Przy tworzeniu może
okazać się niezbędna:

- znajomość prawa,
- zrozumienie mechanizmów funkcjonowania firmy,
- znajomość zakresu polis ubezpieczeniowych.

Do elementów wymagających ochrony zalicza się zwykle:

Æ środki materialne:

•

komputery,

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 2 / 12

•

dyski, monitory, okablowanie komunikacyjne,

•

nośniki kopii zapasowych (archiwa),

•

wydruki,

•

nośniki z oprogramowaniem,

•

podręczniki,

•

dane

osobowe,

•

dane

audytu.

Æ środki niematerialne:

•

możliwość kontynuowania przetwarzania (zdolność do produkcji lub prowadzenia usług),

•

wizerunek firmy (opinia o firmie),

•

dostęp do komputera,

•

hasła (zwłaszcza administratora),

•

bezpieczeństwo i zdrowie pracowników,

•

prywatność użytkowników,

•

dobre

imię klientów,

•

dane

konfiguracyjne.

Lista zagrożeń na jakie narażone są zasoby organizacji może obejmować:

•

zagrożenia środowiskowe (pożar, trzęsienia ziemi, wybuchy bomb, wulkanów, powodzie),

•

zdarzenia wyjątkowe (zawalenie się budynku, konieczność opuszczenia budynku w wyniku stwierdzenia

substancji toksycznych 9 azbest),

•

zagrożenia ze strony pracowników,

•

zagrożenia z zewnątrz.

Przykłady:

•

choroby

ważnych osób,

•

epidemie,

•

utrata kluczowych pracowników (śmierć, zwolnienie),

•

utrata

możliwości korzystania z łączy telekomunikacyjnych,

•

krótko lub długotrwała utrata mediów (prąd, woda, telefon),

•

uderzenie

pioruna,

•

powódź,

•

kradzież taśm lub dysków,

•

kradzież komputera przenośnego,

•

kradzież komputera domowego,

•

infekcja

wirusem

komputerowym,

•

bankructwo producenta komputerów (serwisanta),

•

błędy w oprogramowaniu,

•

destrukcja ze strony pracowników,

•

destrukcja ze strony współpracowników innych firm,

•

złośliwość przedmiotów martwych.

•

terroryzm polityczny i ekonomiczny,

•

przypadkowi

włamywacze,

•

użytkownicy wysyłający informacje do grup dyskusyjnych.

Po zdefiniowaniu listy zagrożeń należy wyznaczyć wymiar zagrożeń. Należy ocenić prawdopodobieństwo

wystąpienia każdego ze zdarzeń (np. w układzie rocznym). Zwykle jest to zadanie bardzo trudne. Takie oszacowania
mogą być dostępne w firmach ubezpieczeniowych. Wykonane szacunki trzeba okresowo weryfikować. Trzeba to również
robić przy każdej zmianie organizacyjnej (zmiana w działaniu lub strukturze organizacji).

Polityka bezpieczeństwa – analiza kosztów i zysków

Po oszacowaniu ryzyka, do każdego zagrożenia należy przypisać odpowiedni koszt i zestawić to wyliczenie z

kosztami ochrony. Takie postępowanie nazywamy analizą kosztów i zysków. W większości przypadków nie ma
potrzeby przypisywania dokładnych wartości kosztów do poszczególnych zagrożeń. Czasami wystarczy przedział. Należy
również wyliczyć koszty działań prewencyjnych, które odpowiadają poszczególnym pozycjom strat. Np. działaniem
prewencyjnym, zapobiegającym startom wynikłym z zaniku zasilania jest zakup i instalacja UPS’a. Należy pamiętać o
amortyzacji kosztów w określonym czasie.

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 3 / 12

Ostatnim krokiem jest sporządzenie wielowymiarowej tablicy określającej zasoby, koszty i ewentualne straty. Dla

każdej straty określa się prawdopodobieństwo jej wystąpienia, przewidywaną wartość straty i koszt prewencji. Określenie,
czy zastosowana forma prewencji jest adekwatna -polega na pomnożeniu wartości straty przez prawdopodobieństwo
wystąpienia, posortowaniu wyników malejąco i porównaniu kosztów wystąpienia strat z kosztami prewencji.

Taka tabela może dostarczyć również listy zadań priorytetowych. Czasami wyniki są zaskakujące. Celem

powinno być unikanie dużych strat. Zwykle pożar i utrata kluczowych osób z personelu są bardziej prawdopodobne i
brzemienne w skutkach niż wirusy i włamania poprzez sieć. Natomiast uwagę przykuwają zwykle te ostatnie.

Bezpieczeństwa nie uzyskuje się za darmo. Im bardziej zaawansowane metody jego uzyskania, tym droższe.

Zwykle systemy bezpieczniejsze są również trudniejsze w eksploatacji.

Szacowanie ryzyka pomaga w umotywowaniu potrzeby przeznaczenia określonych środków finansowych na

zapewnienie bezpieczeństwa. Większość kadry menadżerskiej niewiele wie na temat komputerów, ale rozumie analizę
kosztów i zysków. Podobnie specjaliści od zabezpieczeń nie zawsze znają się na technikach analizy ryzyka.

Realizacja polityki bezpieczeństwa

Kwestie które należy uwzględnić w specyfikacji polityki bezpieczeństwa:

1. Kto jest uprawniony do korzystania z zasobów ?
2. Na czym polega właściwe korzystanie z zasobów ?
3. Kto jest uprawniony do przydzielania praw dostępu ?
4. Kto ma uprawnienia administratora ?
5. Jaki jest zakres uprawnień i odpowiedzialności użytkowników ?
6. Jakie są uprawnienia administratora w porównaniu do uprawnień zwykłych użytkowników ?
7. Co robić z informacjami szczególnie wrażliwymi ?

ad. 1. Utworzona lista powinna zawierać szczegółową specyfikację, kto jest uprawniony do korzystania z konkretnych

zasobów (w tym również usług).

ad. 2. Zasady właściwego korzystania z zasobów mogą być różnie sformułowane dla różnych grup użytkowników. Muszą

one jasno określać co jest dozwolone a co nie. Można również określić pewne ograniczenia w używaniu
zasobów. Można włączyć zdania z licencji oprogramowania.

ad. 3. Należy również określić jaki rodzaj praw dostępu może być przydzielany. Brak nadzoru nad przydzielaniem praw

dostępu zaowocuje brakiem nadzoru nad korzystaniem z systemu (kto może korzystać ?). W tym przypadku
może być wykorzystywanych kilka schematów postępowania. Należy rozważyć:

•

Czy dystrybucja uprawnień jest realizowana centralnie (z jednego miejsca), czy w

sposób

rozproszony ? Centralizacja ułatwia zapewnienie bezpieczeństwa.

•

Jakie metody będą stosowane do zakładania kont i blokowania dostępu ? W przypadkach mniej

restrykcyjnych, ludzie nadający uprawnienia mogą mieć bezpośredni dostęp do systemu i zakładać konta
ręcznie lub przy pomocy ogólnie dostępnych narzędzi pomocniczych. Obdarza się ich w ten sposób dużym
zaufaniem. Przeciwne podejście polega na wykorzystaniu specjalnego zintegrowanego systemu zakładania
kont. Procedury zakładania kont powinny być dobrze zdefiniowane i udokumentowane, zrozumiałe dla
wykonawcy. Powinny być niewrażliwe na popełnianie błędów przez operatora.

ad. 4. Niektórzy użytkownicy będą żądali pewnych specjalnych uprawnień, wchodzących zwykle w zakres uprawnień

administratora. W tym przypadku należy stosować zasadę, że każdy powinien mieć tylko tyle uprawnień, aby
mógł realizować swoje zadania. I nic więcej.

ad. 5. W polityce powinny być zawarte jasne stwierdzenia odnośnie uprawnień i odpowiedzialności użytkowników. Inaczej

nie będą one przestrzegane. Należy rozważyć:

•

Czy są potrzebne jakieś zastrzeżenia odnośnie konsumpcji zasobów przez użytkowników. Czy są w tym

względzie stosowane jakieś restrykcje wobec użytkowników ?

•

Czy

użytkownicy mogą współdzielić konta i czy użytkownicy mogą zezwalać innym na korzystanie ze swoich

kont ?

•

W jaki sposób użytkownicy powinni chronić swoje hasła ?

•

Jak

często użytkownicy powinni zmieniać hasła i czy są potrzebne inne restrykcje w tym względzie ?

•

Czy i kiedy powinno być realizowane składowanie centralne ? Czy użytkownicy realizują składowanie swoich

plików samodzielnie ?

•

Czy nie zachodzi możliwość ujawnienia informacji zastrzeżonych ?

•

Czy nie należy ograniczyć dostępu do list dyskusyjnych i niektórych budzących wątpliwości zasobów sieci ?

•

Ograniczenia w zakresie komunikacji elektronicznej (np. forwarding).

•

Czy nie należy umieścić w polityce wyjątków z dokumentów The Electronic Mail Association. Opublikowała

ona dokumenty odnośnie zapewnienia prywatności poczty użytkowników.

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 4 / 12

ad. 6. Sprzeczność, która występuje pomiędzy koniecznością zachowania prywatności użytkowników, a wymaganiami

administratorów np. w zakresie diagnozowania występujących problemów musi być rozwiązana w drodze
kompromisu. Polityka powinna określać, w jakich przypadkach administrator może przeglądać pliki
użytkowników w celu diagnozowania występujących problemów lub z innych przyczyn. Należy odpowiedzieć na
pytania:

•

Czy administrator może monitorować lub czytać pliki użytkowników bez wyraźnie określonej przyczyny ?

•

Jakie

są w tym zakresie sankcje prawne ?

•

Czy administrator sieci ma prawo do badania ruchu w sieci lub ruchu związanego z określonym hostem ?

ad. 7. Przed udostępnieniem użytkownikom swoich serwisów należy określić na jakim poziomie dane w systemie będą

chronione. Należy określić poziom wrażliwości danych, które użytkownicy mogą przechowywać. Nie należy
dopuszczać do przechowywania przez użytkowników bardzo wrażliwej informacji, gdyż będą problemy z jej
ochroną. Należy w tym zakresie uświadomić użytkowników i wskazać im inne sposoby przechowywania.

Metodologia TISM

1

Wg metodologii TISM Przyjmuje się trzy podstawowe poziomy w hierarchii polityki bezpieczeństwa:

•

Polityka

Bezpieczeństwa Informacji – dokument główny

•

Grupa

Informacji

•

System

Przetwarzania

Poziom głównego dokumentu Polityki Bezpieczeństwa Informacji jest poziomem, na którym ustala się podstawowe
zasady ochrony informacji w organizacji. Na poziomie grupy informacji ustala się specyficzne wymagania ochrony dla
danej grupy informacji. Poziom systemu przetwarzania jest natomiast poziomem, na którym określa się spełnienie
wymagań wyższych poziomów przez system przetwarzania, w którym informacje z danej grupy się znajdą.

Rys. 1. Struktura polityki bezpieczeństwa wg TISM

2

.

Dokumenty polityki bezpieczeństwa tworzone na podstawie TISM mają strukturę hierarchiczną przedstawioną na rys. 2.

1

Total Information Security Management oraz skrót TISM jest przedmiotem rejestracji znaku towarowego w Głównym Urzędzie

Patentowym RP. Autorem metodologii TISM jest European Network Security Institute Sp. z o.o (www.ensi.net). Dokumentacja TISM
jest rozpowszechniana przez autora na zasadzie Licencji Darmowej Dokumentacji GNU - GNU Free Documentation Licence.

2

Zaczerpnięto z dokumentacji TISM.

POLITYKA

BEZPIECZEŃSTWA

INFORMACJI

GRUPY

INFORMACJI

SYSTEMY

PRZETWARZANIA

Poziomy określenia
wymagań

Poziom spełnienia

wymagań

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 5 / 12

Rys. 2. Hierarchia dokumentów w TISM

3

Dokument główny powinien określać:

•

Cel i zakres polityki bezpieczeństwa

•

Podział informacji na jawne i zastrzeżone

•

Dostęp do informacji zastrzeżonych

•

Zarządzanie informacjami niejawnymi

•

Przetwarzanie informacji zastrzeżonych

•

Wymagania dla systemów przetwarzania informacji zastrzeżonych

•

Sytuacje

kryzysowe

•

Obowiązki użytkowników informacji zastrzeżonych

•

Obowiązki administratorów informacji

•

Obowiązki administratorów bezpieczeństwa informacji

•

Obowiązki administratorów systemów

Regulaminy skierowane są do różnych użytkowników i administratorów. Opisują zasady ochrony informacji, prawa i
obowiązki pracowników, zasady korzystania z poszczególnych środków technicznych przetwarzających informacje.
Zawierają oświadczenia, o zachowaniu tajemnicy oraz akceptacji zasad w nich zawartych, które podpisuje użytkownik
dopuszczony do informacji zastrzeżonych.

Można również utworzyć dokument określający politykę informowania mediów w przypadku incydentów

bezpieczeństwa.
Celem tego dokumentu jest ustalenie zasad informowania mediów w przypadku incydentów bezpieczeństwa wewnątrz
organizacji. W dokumencie są określone (zdefiniowane) incydenty bezpieczeństwa oraz sposoby postępowania i
informowania mediów w wyniku ich zajścia. Dokument powinien zawierać:
1. Listę osób upoważnionych do kontaktów z mediami
2. Sytuacje, w których media są informowane
3. Osobę zatwierdzającą komunikaty dla mediów

3

Zaczerpnięto z dokumentacji TISM.

P

P

o

o

l

l

i

i

t

t

y

y

k

k

a

a

B

B

e

e

z

z

p

p

i

i

e

e

c

c

z

z

e

e

ń

ń

s

s

t

t

w

w

a

a

I

I

n

n

f

f

o

o

r

r

m

m

a

a

c

c

j

j

i

i

Polityka Grupy

Informacji

Polityka Systemu

Przetwarzania

Polityka Grupy

Informacji

Polityka Grupy

Informacji

Polityka Systemu

Przetwarzania

Polityka Systemu

Przetwarzania

Polityka Systemu

Przetwarzania

Procedury

Procedury

Procedury

Procedury

Regulaminy

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 6 / 12

Schemat dokumentu Polityki Bezpieczeństwa grupy informacji zastrzeżonych

4

1. Cel:
Polityka bezpieczeństwa grupy informacji zastrzeżonych jest wypełnieniem założeń dokumentu głównego Polityki
Bezpieczeństwa Informacji w stosunku do danej grupy informacji zastrzeżonych.

2. Zakres
Określenie w stosunku do jakich informacji polityka ma zastosowanie (zdefiniowanie rodzajów i zakresu informacji
zastrzeżonych należących do tej grupy).

3. Dostęp do informacji
Określenie poszczególnych ról dostępu do danej grupy informacji.
(spis ról i ich uprawnień)

4. Zarządzanie informacją
Określenie:
1. Kto jest Administratorem grupy informacji: (imię, nazwisko, stanowisko lub wskazanie odpowiedniej uchwały Zarządu)
2. Kto jest Administratorem bezpieczeństwa grupy informacji: / imię, nazwisko, stanowisko lub wskazanie odpowiedniej

uchwały Zarządu /

5. Przetwarzanie informacji
Określenie w jakich systemach mogą być przetwarzane informacje zastrzeżone z tej grupy.
(Spis wszystkich dopuszczonych systemów)

6. Archiwizowanie informacji
Określenie systemu do tworzenia kopii bezpieczeństwa informacji zastrzeżonych należących do tej grupy.

7. Priorytety postępowania w sytuacjach kryzysowych
Określenie priorytetów postępowania w sytuacjach kryzysowych dla tej grupy.

Schemat dokumentu Polityki bezpieczeństwa systemu przetwarzania grupy informacji
zastrzeżonych

5

1. Cel
Polityka bezpieczeństwa systemu przetwarzania jest wypełnieniem założeń dokumentu głównego Polityki
Bezpieczeństwa Informacji oraz Polityki Bezpieczeństwa danej grupy informacji zastrzeżonych przez system
przetwarzania tej grupy informacji zastrzeżonych.

2. Zakres
Określenie w stosunku do jakich elementów systemu oraz osób uczestniczących w systemie polityka ma zastosowanie.

3. Schemat systemu
Opis poszczególnych elementów systemu (schemat, dokumentacja).

4. Kontrola dostępu
Określenie:
1. Czy

system

zapewnia,

że do informacji zastrzeżonych mają dostęp wyłącznie upoważnione osoby poprzez

zaimplementowane systemy:
1.1. Ochrony logicznej przy pomocy np. kont i haseł
1.2. Ochrony fizycznej

4

Zaczerpnięto z dokumentacji TISM.

5

Zaczerpnięto z dokumentacji TISM

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 7 / 12

2. Czy

system

zapewnia,

że upoważnione osoby mogą wykonywać wyłącznie dopuszczone operacje?

3. Czy wszystkie konta zdefiniowane w systemie mają określony czas ważności?
4. Czy wszyscy użytkownicy systemu zapoznali się i podpisali odpowiednie regulaminy użytkownika?
5. Czy wszelkie podzespoły, na których mogły być zapisane informacje zastrzeżone są przed opuszczeniem systemu

kasowane (naprawa, zniszczenie itp.)?

5. Integralność
Określenie:
1. Czy system składa się wyłącznie z dopuszczonych do systemu elementów?
2. Czy system przed rozpoczęciem pracy przeszedł pomyślnie kontrolę bezpieczeństwa i jego konfiguracja została

zatwierdzona?

3. Czy Stan systemu jest przez cały czas eksploatacji pod kontrolą?

3.1. Kontrola antywirusowa
3.2. Kontrola instalacji i wymiany podzespołów i oprogramowania
3.3. Kontrola integralności oprogramowania

6. Jednoznaczność operacji
Określenie:
1. Czy system w jednoznaczny sposób umożliwia identyfikację osób, które dokonały zmiany w informacji zastrzeżonej
2. W jakiej postaci są dostępne informacje umożliwiające identyfikację osób dokonujących zmian w informacji

zastrzeżonej

7. Zarządzanie bezpieczeństwem
Określenie:
1. Czy system posiada mechanizmy pozwalające wykryć próby nieautoryzowanego dostępu do informacji

zastrzeżonych lub wykonania nieuprawnionych operacji:

8. Zarządzanie informacją
Określenie:
1. Czy system zapewnia integralność danych przez cały czas przechowywania informacji.
2. Czy system posiada mechanizmy bezpowrotnego niszczenia informacji

9. Administrator systemu i administrator bezpieczeństwa systemu
Określenie:
1. Kto jest Administratorem systemu: /dane personalne lub wskazanie odpowiedniej uchwały Zarządu /
2. Kto jest Administratorem bezpieczeństwa systemu: /dane personalne lub wskazanie odpowiedniej uchwały Zarządu /

10. Okresowe audyty bezpieczeństwa zlecane przez Zarząd firmy
Określenie:
1. Czy system przechodzi okresowe audyty bezpieczeństwa zlecane przez Zarząd /częstość ich przeprowadzania/
2. Gdzie

są dostępne dokumenty z okresowych audytów bezpieczeństwa zlecanych przez Zarząd.

11. Sytuacje kryzysowe
Określenie działań:
1. Powoływanie sztabu kryzysowego
2. Ustalenie

działań i przyjęcie priorytetów (w kolejności ważności):

2.1. Zabezpieczenie informacji przed nieautoryzowanym dostępem
2.2. Zachowanie ciągłości działania
2.3. Zabezpieczenie informacji przed utratą
2.4. Ujęcie sprawców

3. Podanie listy stworzonych odpowiednich procedur dla przewidzianych sytuacji kryzysowych, np.:

3.1. Włamanie do systemu (nieautoryzowany dostęp)
3.2. Nadużywanie dostępnych praw
3.3. Następne sytuacje .....

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 8 / 12

Schemat uniwersalnej procedury zakładania/modyfikacji/usuwania konta dostępu w systemie
przetwarzania grup informacji zastrzeżonych

6

CEL PROCEDURY
Celem niniejszej procedury jest określenie warunków i sposobu zakładania/modyfikacji/usuwania konta w systemie
przetwarzania (nazwa)w sposób bezpieczny i kontrolowany, zgodnie z założeniami Polityki Bezpieczeństwa Informacji

WYMAGANIA
Istnienie następujących ról w strukturze firmy:
(Role te są opisane w Dokumencie Głównym Polityki Bezpieczeństwa)

•

Główny Administrator Bezpieczeństwa Informacji (GABI)

•

Administrator Informacji (AI) dla wszystkich grup informacji przetwarzanych w systemie przetwarzania

•

Administrator Bezpieczeństwa Informacji (ABI) dla wszystkich grup informacji przetwarzanych w systemie

przetwarzania

•

Administrator Bezpieczeństwa Systemu (ABS) systemu przetwarzania

ZAKRES STOSOWANIA
Pracownicy działu (nazwa) firmy (nazwa)

OPIS
Procedura ma zapewnić, że zakładanie/modyfikacja/usuwanie konta w systemie przetwarzania (nazwa) odbywać się
będzie w sposób zgodny z Polityką Bezpieczeństwa Informacji firmy (nazwa)

WEJŚCIE
Właściwie wypełniony wniosek (tzw.WZMUK) o założenie/modyfikację/usunięcie atrybutów konta w systemie
przetwarzania(nazwa)

WYJŚCIE
Założone/zmodyfikowane/usunięte konto w systemie przetwarzania (nazwa)

STANDARD
Formularz „WZMUK”
„Wykaz praw dostępu do informacji”
Standard Przesyłania Haseł - Standardy
Rejestr Użytkowników Grupy Informacji - Standardy
Rejestr Użytkowników Systemu Przetwarzania – Standardy
Księga podpisów i pieczęci – Standardy
Standard Komunikacji miedzy AI, ABI, ABS, GABI – Standardy

PROCES
1. Sprawdzić autentyczność podpisów ABI w Księdze Podpisów i Pieczęci

1.1. W przypadku braku zgodności skontaktować się osobiście z ABI w celu wyjaśnienia niezgodności.

2. Dokonać modyfikacji konta zgodnie z wytycznymi w „WZMUK” otrzymanym od ABI.

KONIEC PROCEDURY

Literatura:
1. S.Garfinkel,

G.Spafford.

Practical Unix and Internet Security. O’Reilly & Associates 1996 (tłum. RM 1997).

2. V.Ahuja.

Network & Internet Security. Academic Press 1996 (tłum. MIKOM 1997).

3. D.Atkins.

Internet Security: Professional Reference. New Riders Publishing 1997 (tłum. LT&P 1997)

4. L.Klander.

Hacker Proof. Jamsa Press, 1997 (tłum. MIKOM 1998).

6

Zaczerpnięto z dokumentacji TISM

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 9 / 12

Bezpieczeństwo –tworzenie polityki bezpieczeństwa

Tworzenie polityki

Podczas tworzenia polityki bezpieczeństwa należy
rozważyć następujące kwestie:

8. Kto jest uprawniony do korzystania z zasobów ?
9. Na czym polega właściwe korzystanie z zasobów ?
10. Kto jest uprawniony do przydzielania praw dostępu

?

11. Kto ma uprawnienia administratora ?
12. Jaki jest zakres uprawnień i odpowiedzialności

użytkowników ?

13. Jakie są uprawnienia administratora w porównaniu

do uprawnień zwykłych użytkowników ?

14. Co robić z informacjami wrażliwymi ?

POLI 04

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 10 / 12

Bezpieczeństwo –tworzenie polityki bezpieczeństwa

Tworzenie polityki

Podczas tworzenia polityki bezpieczeństwa należy
rozważyć następujące kwestie:

15. Kto jest uprawniony do korzystania z zasobów ?
16. Na czym polega właściwe korzystanie z zasobów ?
17. Kto jest uprawniony do przydzielania praw dostępu

?

18. Kto ma uprawnienia administratora ?
19. Jaki jest zakres uprawnień i odpowiedzialności

użytkowników ?

20. Jakie są uprawnienia administratora w porównaniu

do uprawnień zwykłych użytkowników ?

21. Co robić z informacjami wrażliwymi ?

POLI 08

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 11 / 12

Bezpieczeństwo – tworzenie polityki bezpieczeństwa

Norma regulująca sporządzanie kopii zapasowych

Kopie zapasowe będą sporządzane regularnie z działających programów i
wykorzystywanych danych. Pod żadnym pozorem kopie nie mogą być sporządzane
rzadziej niż raz na 48 godzin normalnej działalności firmy. Wszystkie dane archiwalne
powinny być przechowywane przynajmniej przez 6 miesięcy. Kopie ze stycznia i lipca
każdego roku będą przechowywane stale w zabezpieczonym miejscu poza siedzibą
firmy. W każdym tygodniu będzie sporządzana przynajmniej jedna kopia całego systemu.
Wszystkie nośniki archiwalne będą zgodne z odpowiednimi normami i będą się nadawały
do odczytania przynajmniej przez 5 lat po dokonani na nich zapisu.

Norma dotyczaca uwierzytelniania

Dostęp do wszystkich kont w każdym komputerze używanym przez wiele osób będzie
miała tylko jedna upoważniona osoba. Osoba ta będzie musiała udowodnić swoją
tożsamość przed systemem. Dowodem tożsamości będzie zatwierdzona karta
identyfikacyjna działająca na podstawie zatwierdzonego systemu haseł jednorazowych
oraz urządzenia biometrycznego. Haseł wielokrotnych nie będzie się używać do
weryfikacji tożsamości użytkowników w przypadku komputera, który bywa podłączany do
sieci zewnętrznej lub modemu, który jest przenośny, wynoszony poza firmę, lub używany
prywatnie.

POLI 09

Bezpieczeństwo - Polityka bezpieczeństwa informacji

Opracował: Zbigniew SUSKI

str. 12 / 12

Bezpieczeństwo – tworzenie polityki bezpieczeństwa

Procedura sporządzania kopii zapasowych

Kopie zapasowe w komputerach z systemem operacyjnym UNIX

powinny być wykonywane za pomocą programu dump. Archiwizacje
powinny być robione w nocy, a w przypadku komputerów działających
24 godziny na dobę – w trybie pojedynczego użytkownika.
Archiwizacje w systemach całodobowych powinno się przeprowadzać
podczas zmiany, która jest najbliższa północy, podczas najmniejszego
obciążenia systemu. Dane zapisane na nośnikach należy odczytać w
celu zweryfikowania ich poprawności.

Pierwsza archiwizacja w styczniu i lipcu będzie zrzutem zerowym.

Archiwizacje na poziomie 3 powinny być wykonywane w pierwszym i
piętnastym dniu każdego miesiąca. Archiwizacje na poziomie 5
powinny być wykonywane w każdy poniedziałek i czwartek, chyba że w
tych dniach jest realizowana archiwizacja na poziomie 3 lub 0. Co noc,
nie licząc świat, należy przeprowadzać archiwizację na poziomie 7.

Raz w tygodniu administrator wybierze losowo plik z kopii

zapasowej wykonanej w poprzednim tygodniu. W ramach testowania
prawidłowości procedur archiwizacyjnych, operator będzie musiał
odtworzyć plik wskazany przez operatora.

POLI 10