Bezpieczeństwo
systemów
informatycznych
cd. Wykładu dotyczącego
Systemów MIS
Bezpieczeństwo
systemów
informatycznych
cd. Wykładu dotyczącego
Systemów MIS
Niniejsze opracowanie oparto w dużej mierze na
zaleceniach
zawartych
w
wymienionych
poniżej
dokumentach:
1. „Ustawa z dnia 29 sierpnia 1997 roku o ochronie
danych osobowych”, Dz.U. z dnia 29 października 1997 Nr
133 poz. 883 (ustawa weszła w życie 30 kwietnia 1998 r.)
2. „Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z dnia 3 czerwca 1998 roku w sprawie
określenia
podstawowych
warunków
technicznych
i
organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych
osobowych”, Dz.U. z dnia 30 czerwca 1998 r. Nr 80 poz.521.
3. „Nowy Kodeks Karny”, Dz.U. z dnia 20 czerwca 1997 r.
Nr 88 poz. 553.
4.
Polska
norma:
PN-I-02000:1998
Technika
informatyczna.
Zabezpieczenia
w
systemach
informatycznych. Terminologia”.
Definicja polityki
bezpieczeństwa
Polityka bezpieczeństwa urzędu lub
przedsiębiorstwa jest zbiorem norm i
procedur rządzących zasobami urzędu oraz
zbiorem wymagań w dziedzinie
implementacji i użycia zabezpieczeń., których
egzekwowanie prowadzi do uzyskania
założonego przez urząd poziomu
bezpieczeństwa systemu informatycznego
oraz informacji przetwarzanej całkowicie lub
tylko częściowo w tym systemie.
Cele opracowania i
wdrożenia polityki
bezpieczeństwa sieci
urzędu lub
przedsiębiorstwa
Ochrona danych
Wdrożenie polityki bezpieczeństwa za
cel główny stawia zapewnienie
wymaganej prawnie ochrony danych,
w szczególności ochrony danych
osobowych. Znowelizowane akty
prawne zawierają przepisy mówiące
o konieczności ochrony danych
osobowych.
Polityka bezpieczeństwa
stanowi podstawę dla
właściwej implementacji
zabezpieczeń.
Bardzo często bezpieczeństwo jest postrzegane przez pryzmat
zastosowanych środków technicznych. Na przykład,
organizacja inwestuje w pakiet oprogramowania umożliwiający
realizację dostępu do systemu na bazie haseł. Jednakże bez
jasnego zdefiniowania polityki w zakresie kto ma jakie prawa
dostępu do danych, aplikacji, sieci lub pomieszczenia,
wykorzystanie takiego pakietu nie zwiększa poziomu
bezpieczeństwa danych. Przed wyborem i instalacją takiego
pakietu należy mieć jasny pogląd (politykę) w zakresie ryzyka
związanego z danymi przechowywanymi w systemie,
podmiotów uprawnionych do dostępu do danych, sposobu
realizacji tego dostepu czy sposobu nadzoru nad właściwą
realizacją dostępu.
Polityka bezpieczeństwa
stanowi wytyczne przy
podejmowaniu decyzji o
wyborze zabezpieczeń.
W wielu wypadkach produkty wspomagające
zapewnianie bezpieczeństwa danych nie są
wytwarzane w organizacji, lecz kupowane
od niezależnych dostawców. Produkt taki
jest następnie integrowany w ramach
własnego systemu. Bez zrozumienia celów
bezpieczeństwa organizacji, integracja ta
może
nie
odpowiadać
rzeczywistym
potrzebom.
Polityka bezpieczeństwa
stanowi jawny wyraz
wsparcia zarządu
organizacji w stosunku do
problemów
bezpieczeństwa.
Sformułowanie polityki bezpieczeństwa jest środkiem
wyraźnego stwierdzenia, że bezpieczeństwo danych
jest ważne i pracownicy muszą mu poświęcać
odpowiednią uwagę. Takie postawienie spraw jest
szczególnie istotne z punktu widzenia planowania,
gdyż
występuje
naturalna
tendencja
do
niedostrzegania
potrzeb
związanych
z
bezpieczeństwem danych (na pośrednich szczeblach
zarządzania bezpieczeństwo jest postrzegane jako
„balast” utrudniający osiąganie ważniejszych celów).
Polityka bezpieczeństwa
pozwala uniknąć
odpowiedzialności karnej.
Tendencje w rozwoju legislacji w krajach zachodnich wskazują na
możliwość formalnego zaskarżania zarządu, który nie podjął
adekwatnych kroków w celu zapewnienia bezpieczeństwa
danych w swojej organizacji. W warunkach krajowych
szczególnym przypadkiem ochrony danych jest konieczność
zabezpieczenia danych osobowych, dla których jawne
sformułowanie polityki bezpieczeństwa może być argumentem
obrony w obliczu oskarżenia niedopełnienia środków ochrony
danych. W tym ostatnim przypadku istnieją wręcz zalecenia
zebrane w Rozporządzeniu Ministra Spraw Wewnętrznych i
Administracji z dnia 3 czerwca 1998 r. w sprawie określenia
podstawowych środków technicznych i organizacyjnych jakimi
powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych
Polityka bezpieczeństwa
stanowi podstawę do
wytworzenia spójnego i
kompletnego systemu
ochrony.
W wielu wypadkach słabość systemu ochrony
wiąże się z jego niekompletnością (nie
wszystkie zasoby zostały objęte ochroną)
oraz niespójnością (konflikty używanych
zabezpieczeń, brak spójnych procedur
wykonawczych, itp.).
Jawnie zdefiniowana polityka bezpieczeństwa,
ustalająca cele i odpowiedzialność osób,
umożliwia uniknięcie takich sytuacji.
Definicje pojęć
Analiza ryzyka
Proces identyfikacji zagrożeń, ich
wielkości, prawdopodobieństwa ich
wystąpienia oraz identyfikacja
obszarów wymagających
zabezpieczenia
Bezpieczeństwo
Wszystkie aspekty dotyczące
systemu informatycznego i danych w
nim
przetwarzanych
związane
z
zapewnieniem wymaganych poziomów
każdej z wymienionych kategorii:
Poufność (ang. confidentiality) -
właściwość zapewniająca, że informacja nie jest
ujawniana nieuprawnionym do tego osobom lub
procesom (w szczególności informatycznym);
cd. bezpieczeństwo
Autentyczność (ang.
authenticity) - właściwość zapewniająca, że
tożsamość zasobu jest taka jak deklarowana;
integralność danych (ang. data integrity) –
właściwość zapewniająca, że dane nie
zostały
zmienione
(w
szczególności
zniszczone) w sposób nieautoryzowany;
integralność
systemu
(ang.
system
integrity) – właściwość zapewniająca, żę
system realizuje zamierzoną funkcję w
sposób
nienaruszony,
wolny
od
nieautoryzowanej manipulacji umyślnej lub
przypadkowej;
cd. bezpieczeństwo
dostępność
(ang.
availability)
–
właściwość bycia dostępnym i możliwym
do
wykorzystania
na
żądanie,
w
założonym
czasie,
przez
podmiot
autoryzowany;
rozliczalność (ang. accountability) –
właściwość zapewniająca, że działania
podmiotu mogą być przypisane w sposób
jednoznaczny tylko temu podmiotowi
Incydent
Zdarzenie, które może doprowadzić
do
naruszenia
bezpieczeństwa,
typowe
incydenty to:
- przechwycenie
danych
(naruszenie
poufności)
- modyfikacja
danych
(naruszenie
integralności i autentyczności)
- podszywanie się pod źródło danych
(naruszenie autentyczności)
- zniszczenie danych (naruszenie dostępności)
- czasowe blokowanie dostępu do danych
(naruszenie dostępności)
Modele Bezpieczeństwa
Bezpieczeństwo systemów informatycznych jest
problemem wielowymiarowym, który może być
rozpatrywany w różnych aspektach.
Zbiór zagrożeń ulega stałym zmianom w czasie i
jest znany tylko częściowo.
Zarządzanie
RYZYKIEM
Zarządzanie
RYZYKIEM
Implementacja
ZABEZPIECZEŃ
Implementacja
ZABEZPIECZEŃ
Monitorowanie
I WERYFIKACJA
Monitorowanie
I WERYFIKACJA
M
O
N
I
T
O
R
O
W
A
N
I
E
Model zarządzania bezpieczeństwem
Polityka bezpieczeństwa
w zakresie systemów
Aspekty organizacyjne
Metodyka budowy
polityki bezpieczeństwa
Budowę kompleksowego systemu
bezpieczeństwa należy podzielić na
etapy:
1.
Etap analizy
a) określenie celów
b) analiza ryzyka
2. Etap projektu
a) opracowanie polityki bezpieczeństwa systemu informatycznego
organizacji
b) opracowanie zabezpieczeń wraz z analizą kosztów i korzyści
c) określenie ról i odpowiedzialności
3. Etap wdrożenia
a) implementacja zabezpieczeń (opcjonalnie)
b) instalacja zabezpieczeń wraz z integracją
c) testowanie
d) uświadamianie w zakresie bezpieczeństwa
1. Etap użytkowania, opieki i rozwijania
a) zarządzanie ryzykiem (kontynuacja analizy
ryzyka)
b) zarządzanie konfiguracją
c) zarządzanie zmianami
d) monitorowanie skuteczności zabezpieczeń
e) aktualizacja polityki bezpieczeństwa
Etap Analizy
Określenie celów
Celem nadrzędnym budowy polityki bezpieczeństwa sieci jest
zapewnienie organizacji, możliwości prawidłowego
działania z ryzykiem ograniczonym do akceptowanego
minimalnego poziomu. Żadne z zabezpieczeń nie jest w
pełni efektywne i w związku z tym ważne jest aby
opracowana polityka pomagała przywróceniu działania
organizacji i minimalizację zakresu szkód. Osiągnięcie
pełnego bezpieczeństwa jest ze względu na koszty oraz
skalę problemu celem niemożliwym do zrealizowania,
dlatego posługując się wynikami procesu analizy ryzyka (o
czym dalej) należy określić cele konieczne do osiągnięcia w
kolejności zgodnej z priorytetem ważności. Cele mogą być
określane hierarchicznie od poziomu organizacji do
poziomu eksploatacyjnego.
cd. Określenie celów
Celem nadrzędnym niewątpliwie będą:
- zapewnienie zgodności z wytycznymi ustawy o ochronie
danych osobowych i poprzez to z „Rozporządzeniem
Ministra Spraw Wewnętrznych i Administracji z dnia 3
czerwca 1998 roku w sprawie określenia podstawowych
warunków technicznych i organizacyjnych jakim powinny
odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych”,
- zapewnienie dostępności i niezawodności funkcjonowania
sieci (w szczególności ochrona zasobów użytkowników przed
uszkodzeniem i zniszczeniem)
- ochrona przed ujawnieniem stronom nieautoryzowanym
(będącym zewnętrznymi) informacji przetwarzanych i
gromadzonych przez klientów
- wewnętrzna kontrola dostępu do informacji prowadzona na
poziomie
poszczególnych
zasobów
(w
szczególności
użytkowników)
- zagwarantowanie rozliczalności użytkowników.
Analiza ryzyka
Analiza
identyfikuje
ryzyka,
które
mają
być
kontrolowane lub zaakceptowane. Analiza ryzyka
składa się:
z analizy wartości zasobów,
analizy zagrożeń
podatności.
Ryzyka określane są poprzez potencjalne następstwa
spowodowane naruszeniem jednej z kategorii
bezpieczeństwa
(poufności,
integralności,
dostępności,
rozliczalności,
autentyczności
i
niezawodności). Wynikiem analizy ryzyka jest
określenie prawdopodobieństwa ryzyka dla
zasobów. Analiza ryzyka jest częścią zarządzania
ryzykiem, procesu ciągłego prowadzonego stale w
trakcie eksploatacji
.
Identyfikacja zasobów
Należy odpowiedzieć na pytanie, jakie dane są
przetwarzane, które dane będą podlegały
ochronie oraz dlaczego należy je chronić.
Atrybuty zasobów, które należy wziąć pod
uwagę to ich wartość, wrażliwość oraz
związane z nimi zabezpieczenia. Na
wymagania ochronne zasobów wpływa ich
podatność wobec konkretnych zagrożeń.
Jeśli te aspekty stają się oczywiste już na
etapie identyfikacji zasobów, powinny być
wyróżnione na tym etapie analizy. W
opracowaniach opisujących zagadnienia
bezpieczeństwa systemów informatycznych
atrybutem często wykorzystywanym przy
opisie zasobów jest ich wartość.
Wartość zasobu rozumiana jest co najmniej w
dwóch kategoriach:
1. jako waga (ważność) danego zasobu (np.
dokumentu) opisana poziomami wymaganej
poufności, np.:(1) dane jawne, (2) dane poufne, (3)
dane
tajne,
(4)
dane
tajne
specjalnego
przeznaczenia, gdzie zasób o wadze (4) jest
szczególnie wartościowy w kontekście strat
materialnych i niematerialnych poniesionych w
przypadku
jego
ujawnienia
podmiotom
nieautoryzowanym lub zniszczenia,
jako materialny koszt odtworzenia danego
zasobu w przypadku jego zniszczenia lub
uszkodzenia (w tym przypadku może być tak, że
sam fakt ujawnienia zasobu podmiotom
nieautoryzowanym nie prowadzi do strat).
Po zidentyfikowaniu zasobów należy określić jakie
fizyczne
formy
mogą
przybierać
zasoby
podlegające ochronie w trakcie procesów ich
przetwarzania, przesyłania, przechowywania i
niszczenia. Przykładowe formy jakie mogą
przybierać zasoby będące danymi to:
- dokumentacja papierowa,
- folie, taśmy, filmy, zdjęcia,
- zapis na nośnikach magnetycznych,
- strumień sygnałów elektrycznych lub optycznych
w okablowaniu telekomunikacyjnym,
- fale elektromagnetyczne (emisja ujawniająca).
Należy zidentyfikować zasoby mające dostęp do
danych
podlegających
ochronie
oraz
zidentyfikować użytkowników uczestniczących w
ich
przetwarzaniu.
Należy
zidentyfikować
procedury organizacyjne sterujące procesami
przetwarzania, przesyłania i przechowywania
danych. Procedury sterujące określają między
innymi:
- procedura i forma (nośniki) wejścia danych do
organizacji,
- procedura i sposoby dystrybucji (przesyłania)
danych wewnątrz organizacji,
- procedury przetwarzania danych,
-procedury i technologie archiwizacji danych,
-procedury i sposoby niszczenia danych (poprzez
niszczenia nośników danych)
Identyfikacja zagrożeń
Zasoby podlegają różnym rodzajom zagrożeń. Zagrożenie może
spowodować niepożądany incydent, który z kolei może
spowodować szkodę. Szkoda może powstać jako skutek
bezpośredniego lud pośredniego ataku na zasób. Zagrożenie
musi wykorzystać istniejącą podatność zasobu.
Zagrożenia mogą mieć pochodzenie naturalne lub ludzkie, mogą
być przypadkowe lub rozmyślne. Zarówno zagrożenia
przypadkowe jak i rozmyślne muszą być zidentyfikowane a
ich poziom i prawdopodobieństwo muszą zostać określone.
Należy
zidentyfikować
zagrożenia
(incydenty),
które
bezpośrednio przez wpływ na zasoby i procedury mogą
przyczynić się do naruszenia bezpieczeństwa zasobów
podlegających ochronie. Należy odpowiedzieć na pytanie:
przed czym należy chronić?
Identyfikacja podatności
Podatność zasobu oznacza pewną słabość fizyczną, systemową,
proceduralną, charakteryzującą zasoby i ich otoczenie,
możliwą do wykorzystania przez zagrożenie, co może
spowodować szkodę dla całej organizacji. Podatność same w
sobie nie powodują szkód, są jedynie warunkami, które mogą
umożliwić zagrożeniom wpływ na zasoby (innymi słowy okazja
pozwalająca wyrządzić szkodę).
Podatność konkretnego zasobu jest określeniem łatwości z jaką
temu zasobowi może być wyrządzona szkoda (np. brak
mechanizmu kontroli dostępu jest podatnością, która może
pozwolić zaistnieć zagrożeniu w postaci włamania i utraty
zasobów; brak kontroli nad hasłami, brak kontroli nad
dostępem do plików zawierających dane niejawne mogą
powodować zagrożenia ujawnienia informacji).
Szacowanie ryzyka
Ryzyko jest prawdopodobieństwem określającym możliwość
wykorzystania określonej podatności przez dane zagrożenie w
celu spowodowania straty lub zniszczenia zasobu lub grupy
zasobów. Jedno zagrożenie może wykorzystać wiele podatności
i odwrotnie.
Należy opracować scenariusze ryzyka. Są to opisy, w jaki sposób
dane zagrożenie lub grupa zagrożeń może wykorzystać
konkretną podatność lub grupę podatności narażając zasoby
na szkody. Ryzyko jest opisywane poprzez kombinację
(zazwyczaj iloczyn) dwu czynników- prawdopodobieństwa
wystąpienia zagrożenia oraz związanych z nim następstw.
Dowolna zmiana w zasobach i zabezpieczeniach może mieć
znaczący wpływ na ryzyko. Wczesne wykrywanie zmian w
środowisku pracy instytucji I samym systemie informatycznym
zwiększa możliwość redukcji ryzyka.
Etap projektu
Formalny dokument
polityki bezpieczeństwa
Nie istnieją formalne zalecenia dla jedynie właściwego
formatu i zawartości dokumentu opisującego
politykę bezpieczeństwa organizacji. Zawartość
dokumentu jak i układ takiego dokumentu jest rożny
i zależy od specyficznej działalności organizacji.
Zwraca się uwagę, że sekcje dokumentu powinny
być opracowane równolegle, ponieważ są
wzajemnie zależne (np. procedury kontroli dostępu
są zależne od zastosowanych technik kontroli, które
z kolei wynikają z opracowanych procedur).
Sugeruje się, żeby dokument zawierał następujące
sekcje tematyczne:
Cel i strategia
Zwięzły opis celu wprowadzania polityki bezpieczeństwa
informacji i strategii dochodzenia do tych celów.
Zasoby podlegające ochronie
Rozdział ten powstaje na podstawie wyników prac etapu
Analizy ryzyka. W postaci tabelarycznej należy zestawić
zasoby zaklasyfikowane jako podlegające ochronie. Zalecamy
zastosowanie tabeli zamieszczonej w dodatku „Tabela analiza
ryzyka”. W celu zobrazowania przepływu danych oraz
procedur sterujących przepływem zalecamy stosowanie
schematów blokowych. Zestawienie tabelaryczne ułatwi
późniejszą modyfikację i rozszerzanie zawartości dokumentu
(np. wpinanie kolejnych tabel).
Zabezpieczenia techniczne
Ściśle zdefiniowane procedury postępowania użytkowników.
Precyzyjne i staranne opracowania tej części dokumentu stanowić
będzie o jakości i skuteczności egzekwowania przyjętej polityki
bezpieczeństwa danych. Należy pamiętać, że to właśnie postawy
użytkowników (dobrowolne – wynikające ze zrozumienia potrzeb,
czy też wymuszone procedurami i nakazami) spowodują skuteczne
zadziałanie zabezpieczeń technicznych.
Procedury dostępu do zasobów i danych powinny być inne dla
każdego z poziomów kompetencji i potrzeb użytkowników, inne
dla personelu, pracowników szeregowych, kierownictwa, itd.
Jeżeli planowanie jest przyłączenie systemu informatycznego
organizacji do systemów zewnętrznych to należy również
opracować procedury dostępu z zewnątrz (np. dostęp z sieci do
Internetu). Procedura dostępu powinna uwzględnić sposób
stosowania przyjętych technik uwierzytelniania przy dostępie
użytkowników do danych.
Procedury identyfikacji incydentów i procedury
awaryjne
Opracowanie procedury postępowania w sytuacjach wykrycia
każdego z incydentów. Odpowiednie procedury powinny być
opracowane dla użytkowników jak i osób odpowiedzialnych za
bezpieczeństwo danych. W szczególności, procedury awaryjne
dla systemów elektronicznego przetwarzania informacji
powinny uwzględnić możliwość tradycyjnego (manualnego) ich
przetwarzania
w
sytuacji
niedostępności.
Procedura
wykrywania reagowania powinna zawierać następujące
czynności:
- zapis przebiegu zdarzenia,
- sposób
informowania
osób
odpowiedzialnych
za
bezpieczeństwo,
- sprawdzanie i jeżeli to możliwe, zapewnianie możliwości
dalszego działania
zaatakowanego systemu,
- zapewnianie ciągłości przetwarzania
danych (np. manualnie, w przypadku uszkodzenia
systemu) do czasu odbudowy systemu,
- zabezpieczenie dowodów incydentu,
- opracowanie listy podejrzanych,
- znalezienie świadków incydentu,
- przygotowanie oskarżenia o przestępstwo.
Plany awaryjne zawierają informacje o tym, jak prowadzić
działalność organizacji, gdy procesy ją wspomagające (w
tym procesy) są osłabione lub niedostępne. Plany te powinny
opisywać wszystkie możliwe składniki różnych scenariuszy
sytuacji awaryjnych, w tym:
- rożne okresy trwania awarii,
- utratę różnych usług,
- całkowitą utratę fizycznego dostępu do zasobów
.
Procedury odtwarzania po katastrofie opisują, jak
przywrócić działanie systemów informatycznych po
wystąpieniu incydentu, który wpłynął na ich
działanie.
Plany
odtwarzania
po
incydencie
zawierają:
kryteria definiujące incydent,
-
odpowiedzialność
personalną
za
wprowadzenie w życie planu odtwarzania,
-
odpowiedzialność
za
różne
działania
odtwarzające,
-
opis działań odtwarzających.
Procedury dokonywania zmian
Opracowanie procedur wprowadzania jakichkolwiek zmian
wyposażenia technicznego (np. zmiany w konfiguracji
oprogramowania,
zmiany
w
konfiguracji
urządzeń
komputerowych, zmiana konfiguracji systemu kontroli
dostępu, itd. ).
Metody egzekwowania polityki
Należy opracować scenariusze kontroli stosowania się
użytkowników do polityki bezpieczeństwa danych. Skuteczne
zabezpieczenia wymagają rozliczalności i bezpośredniego
przypisania i przyjęcia do wiadomości obowiązków z zakresu
bezpieczeństwa. Obowiązki i rozliczalność powinny być
przypisane do właścicieli zasobów. W konsekwencji istotna dla
bezpieczeństwa jest własność i związane z tym obowiązki z
zakresu bezpieczeństwa.
Opracowanie zabezpieczeń
Zabezpieczenia to praktyki, procedury lub mechanizmy, które
mogą:
-
chronić przed zagrożeniem,
-
redukować podatność,
-
ograniczać następstwa,
-
wykrywać niepożądane incydenty
-
ułatwiać odtwarzanie zasobów.
Efektywna ochrona wymaga zwykle kombinacji różnych
zabezpieczeń w celu utworzenia warstw ochronnych zasobów
(np. mechanizmy kontroli dostępu do komputerów powinny
być wspomagane przez narzędzia audytu, procedury
postępowania dla użytkowników, szkolenia i zabezpieczenia
fizyczne). Pewne zabezpieczenia mogą już istnieć jako zastane
i istniejące elementy środowiska danej organizacji. Dla
każdego zagrożenia i podatności należy opracować metody
zabezpieczeń służących podniesieniu poziomu bezpieczeństwa
w każdej z wymaganych kategorii. Przy opracowaniu
zabezpieczeń należy określić funkcję jaką będą one spełniały:
-
wykrywanie sprawcy incydentu
-
odstraszanie potencjalnych sprawców incydentów
-
zapobieganie wystąpieniu zagrożenia
-
ograniczanie następstw wystąpienia zagrożenia
-
poprawianie zabezpieczeń już istniejących
-
odtwarzanie zasobów
-
monitorowanie
-
uświadamianie.
Następnie należy oszacować roczny koszt każdego z zabezpieczeń.
Roczny koszt powinien być uśredniony po uwzględnieniu liczby lat
przewidywanego użytkowania danego rodzaju zabezpieczenia.
Należy odpowiedzieć na pytanie za jaką ceną należy chronić
.
Analiza kosztów i korzyści
Ryzyko wystąpienia zagrożeń jest redukowane jedynie
częściowo przez wprowadzenie zabezpieczeń. Częściowa
redukcja jest zazwyczaj wszystkim co można osiągnąć, a im
więcej chce się osiągnąć w dziedzinie minimalizacji ryzyka,
tym większe są koszty. Oznacza to, że pozostanie zawsze
akceptowalne ryzyko szczątkowe, określające adekwatność
zabezpieczeń do celów instytucji. Należy porównać koszty
potencjalnych następstw wystąpienia zagrożenia z kosztami
zabezpieczenia chroniącego przed stratą. Zmierzenie
wielkości następstw wystąpienia zagrożenia pozwala na
utrzymanie równowagi pomiędzy wartością zasobu a
kosztami zabezpieczeń użytych do ochrony przed tymi
zagrożeniami.
Identyfikacja ról i odpowiedzialności
Należy wyznaczyć osoby odpowiedzialne za politykę
bezpieczeństwa i za organizację systemu zabezpieczeń.
Osoby te powinny posiadać uprawnienia do podejmowania
działań w przypadku wykrycia naruszeń w systemie
zabezpieczeń. Osoby odpowiedzialne za bezpieczeństwo i
egzekwowanie polityki musza dysponować adekwatnym do
poziomu odpowiedzialności poziomem władzy decyzyjnej
oraz mieć możliwość egzekwowania sankcji wynikających z
nieprzestrzegania zasad polityki przez użytkowników.
Etap wdrożenia
Implementacja zabezpieczeń
Wybrane techniki zabezpieczeń częściowo będą mogły być
realizowane za pomocą gotowych narzędzi (np. systemy
kontroli dostępu, systemy ścian ogniowych, kryptografia), w
dużej jednak mierze, szczególnie w zakresie zabezpieczeń
aplikacji systemu przetwarzania danych, będą musiały być
implementowane w oprogramowaniu. W szczególności nie
da się w żaden inny sposób wymusić właściwego poziomu
bezpieczeństwa I przełamanie barier wprowadzonych przez
autorów oprogramowania nie może być systemowo
zniwelowane
przez
praktycznie
żaden
,
dowolnie
skomplikowany środek ochrony.
Instalacja zabezpieczeń wraz z integracją
Instalacja systemów zabezpieczeń następuje wieloetapowo.
Pierwsze zainstalowane są zabezpieczenia fizyczne i
techniczne związane z infrastrukturą (np. system
podtrzymywania napięcia –UPS, czy struktura fizyczna sieci
LAN-segmentacja).
Zabezpieczenia techniczne i programowe związane
bezpośrednio z systemem informatycznym i aplikacjami
będą instalowane równolegle z systemami w których skład
wchodzą.
Testowanie
Testowanie poprawności działania systemów ochrony
danych w połączeniu z aplikacjami I zgodnie z założeniami
projektowymi. Metodologia testów powinna uwzględniać
specyfikę zastosowanych technik zabezpieczeń.
Uświadamianie w zakresie bezpieczeństwa
Uświadamianie w zakresie bezpieczeństwa jest kluczowym
elementem
skutecznych
działań
w
zakresie
bezpieczeństwa.
Praktyka
pokazuje,
że
rzetelna,
merytoryczna wiedza jest najlepszym środkiem ochronnym
I często bardzo skutecznie zastępuje wyrafinowane i drogie
urządzenia techniczne. Brak uświadomienia I słaba
praktyka użytkowników mogą znacząco zredukować
skuteczność zabezpieczeń. Pracownicy organizacji są
generalnie uważani za jedne z najsłabszych ogniw w
zabezpieczeniach. W celu zapewnienia odpowiedniego
poziomu uświadomienia w zakresie bezpieczeństwa ważne
jest rozpoczęcie I realizacja programu uświadamiania.
Jednym z elementów programu uświadamiania jest
objaśnienie
użytkownikom
potrzeby
implementacji
zabezpieczeń I związanych z tym ról I obowiązków.
Program uświadamiania powinien być zaprojektowany tak,
aby motywować użytkowników I zapewnić ich akceptację w
zakresie
ich
odpowiedzialności
w
dziedzinie
bezpieczeństwa.