68
BEZPIECZNA FIRMA
HAKIN9 1/2010
W
raz z rozwojem społeczeństwa
informacyjnego pojawiła się
potrzeba standaryzacji zagadnień
związanych z bezpieczeństwem informacji. W
normie terminologicznej PN-ISO/IEC 2382-8:
2001 Technika informatyczna -Terminologia
– Bezpieczeństwo nie znajdziemy definicji
bezpieczeństwa informacji. Operuje ona
pojęciem bezpieczeństwa danych rozumianym
jako bezpieczeństwo systemu informatycznego
odniesione do danych. Zaś samo bezpieczeństwo
systemu informatycznego definiuje jako ochronę
danych i zasobów przed przypadkowymi lub
złośliwymi działaniami, zwykle poprzez podjęcie
odpowiednich przedsięwzięć. Złośliwymi
działaniami mogą być: modyfikacja, zniszczenie,
dostęp, ujawnienie lub pozyskanie, jeśli działania
te są nieuprawnione. Natomiast ochronę danych
określa jako wdrożenie środków administracyjnych,
technicznych lub fizycznych w celu ochrony przed
nieuprawnionym dostępem do danych.
W drugiej normie terminologicznej PN-
I-02000: 2002 Technika informatyczna
– Zabezpieczenia w systemach
informatycznych – Terminologia znajdziemy
termin bezpieczeństwa informacji rozumiany
jako system informatyczny wraz z systemem
bezpieczeństwa komunikacji, składający się
z wytycznych i procedur administracyjnych,
przeznaczony do identyfikowania, nadzoru
i ochrony informacji przed nieuprawnionym
ujawnieniem. Natomiast ochronę danych
ANDRZEJ GUZIK
Z ARTYKUŁU
DOWIESZ SIĘ
jak zapewnić bezpieczeństwo
informacji w organizacji.
CO POWINIENEŚ
WIEDZIEĆ
znać podstawowe wymagania
dotyczące bezpieczeństwa
informacji.
norma definiuje tak jak norma PN-ISO/IEC
2382-8: 2001.
Warto w tym miejscu zwrócić uwagę na
rozgraniczenie angielskiego słowa security
i safety, tłumaczonych jako bezpieczeństwo.
Autorzy tłumaczenia normy przyjęli, że termin
security oznacza wszelkie zabezpieczenia
chroniące system informatyczny i jego zasoby
przed szkodliwym oddziaływaniem otoczenia. Zaś
termin safety oznacza wszelkie zabezpieczenia
chroniące otoczenie przed szkodliwymi lub
wręcz katastroficznymi oddziaływaniami systemu
informatycznego na otoczenie systemu.
Standardy
bezpieczeństwa informacji
Przejdźmy do standardów o fundamentalnym
znaczeniu dla bezpieczeństwa informacji.
Wśród nich należy wymienić: raporty ISO/IEC
TR 13335 oraz normę ISO/IEC 17799.
W Polsce ukazały się 3 spośród 5 części
raportów technicznych ISO/IEC TR 13335.
Część 1 ukazała się jako polska norma
PN-I-13335-1: 1999 Technika informatyczna
- Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych - Pojęcia i modele
bezpieczeństwa systemów informatycznych,
część 2 i 3 jako raporty techniczne: ISO/IEC TR
13335-2 Technika informatyczna - Wytyczne
do zarządzania bezpieczeństwem systemów
informatycznych Część 2: Zarządzanie i
planowanie bezpieczeństwa systemów
Stopień trudności
Bezpieczeństwo
informacji
Zapewnienie bezpieczeństwa informacji w organizacji wymaga
wdrożenia systemu zarządzania bezpieczeństwem informacji
(SZBI). Polskie normy dotyczące bezpieczeństwa informacji
obok przepisów prawa i standardów branżowych stanowią
tzw. najlepsze praktyki, wytyczne lub wymagania dla SZBI.
Informacja odgrywa w naszych czasach coraz większą rolę i w funkcjonowaniu
przedsiębiorstw staje się ważniejsza niż dostęp do kapitału.
Alvin Tofler
69
BEZPIECZEŃSTWO INFORMACJI
HAKIN9
1/2010
informatycznych oraz ISO/IEC TR 13335-
3 Technika informatyczna - Wytyczne do
zarządzania bezpieczeństwem systemów
informatycznych Część 3: Techniki
zarządzania bezpieczeństwem systemów
informatycznych.
W Polsce nie przetłumaczono 4
części raportu: ISO/IEC 13335-4: Wybór
zabezpieczeń oraz części 5 raportu: ISO/
IEC 13335-5: Zabezpieczenie połączeń
zewnętrznych.
Polska norma PN-I-13335-1 zawiera
wytyczne dotyczące zarządzania
bezpieczeństwem systemów
informatycznych. Materiał ten może
być przydatny dla kierownictwa
odpowiedzialnego za bezpieczeństwo
systemów informatycznych oraz dla
osób, które odpowiadają za całościowy
program bezpieczeństwa w instytucji.
W rozumieniu normy bezpieczeństwo
systemu informatycznego to wszystkie
aspekty związane z definiowaniem,
osiąganiem i utrzymywaniem poufności,
integralności, dostępności, rozliczalności,
autentyczności i niezawodności. W
normie przedstawiono podstawowe
pojęcia dotyczące bezpieczeństwa
teleinformatycznego, takie jak: zasób,
podatność, zagrożenia, następstwo, ryzyko,
zabezpieczenie lub ryzyko szczątkowe.
W formie prostych modeli pojęciowych
pokazano związki zachodzące między nimi.
W normie przedstawiono również
podstawowe procesy związane z
procesem zarządzania bezpieczeństwem
systemów informatycznych.
Wyodrębniono trzy podstawowe procesy:
proces zarządzania konfiguracją,
proces zarządzania zmianami i proces
zarządzania ryzykiem.
Autorzy normy zwracają uwagę na
ograniczenia organizacyjne, finansowe,
środowiskowe, osobowe, czasowe,
prawne, techniczne, kulturowe i społeczne,
które należy wziąć pod uwagę wybierając
i implementując zabezpieczenia w
ramach budowy sytemu bezpieczeństwa
instytucji.
Raport techniczny ISO/IEC 13335-
2, wydanie polskie – Polski Komitet
Normalizacyjny 2003, zawiera wytyczne do
zarządzania i planowania bezpieczeństwa
systemów teleinformatycznych.
Raport ten może być przydatny dla
kierownictwa odpowiedzialnego za
systemy informatyczne w instytucji.
Zarządzanie bezpieczeństwem systemów
informatycznych instytucji jest procesem,
który ma służyć osiąganiu i utrzymaniu
odpowiedniego poziomu poufności,
integralności, dostępności, rozliczalności,
autentyczności i niezawodności. Punktem
startu jest ustalenie celów instytucji
dotyczących bezpieczeństwa systemów
informatycznych. Cele te powinny
wynikać z celów biznesowych instytucji.
Zarządzanie bezpieczeństwem systemów
informatycznych obejmuje między innymi
takie działania jak: określenie celów, strategii
i polityki bezpieczeństwa, określenie
wymagań w zakresie bezpieczeństwa,
wybór strategii analizy ryzyka, wybór
zabezpieczeń, opracowanie planu
zabezpieczeń systemu/-ów informatycznych
instytucji, monitorowanie procesu ich
wdrażania, przygotowanie personelu
(szkolenia, działania uświadamiające) oraz
czynności po wdrożeniu zabezpieczeń, takie
jak: utrzymanie zabezpieczeń, zgodność z
planem zabezpieczeń, monitorowanie oraz
obsługa incydentów.
Warto w tym miejscu zwrócić uwagę
na organizację służb odpowiedzialnych za
bezpieczeństwo w instytucji, a mianowicie:
komitetu bezpieczeństwa systemów
informatycznych, głównego inspektora
bezpieczeństwa systemów informatycznych,
inspektorów bezpieczeństwa projektu/
systemu informatycznego. Zasadniczą
sprawą dla efektywności działań w zakresie
zapewnienia bezpieczeństwa systemów
informatycznych instytucji jest poparcie ze
strony najwyższego kierownictwa instytucji.
Poparcie to musi być faktyczne, a nie tylko
deklaratywne.
Raport techniczny ISO/IEC 13335-
3, wydanie polskie – Polski Komitet
Normalizacyjny 2003, zawiera wytyczne
do zarządzania bezpieczeństwem
systemów informatycznych. Zarządzanie
bezpieczeństwem systemów
informatycznych obejmuje analizę
wymagań bezpieczeństwa, stworzenie
planu, który zapewni spełnienie tych
wymagań, wdrożenie tego planu oraz
utrzymanie i administrowanie wdrożonymi
zabezpieczeniami. Proces ten rozpoczyna
się od określenia celów i strategii
instytucji w dziedzinie bezpieczeństwa
systemów informatycznych oraz od
opracowania polityki bezpieczeństwa
instytucji w zakresie systemów
informatycznych. Ważną częścią procesu
zarządzania bezpieczeństwem systemów
informatycznych jest oszacowanie i analiza
ryzyka, ponieważ w oparciu o wyniki
analizy ryzyka dobiera się zabezpieczenia.
Zastosowane zabezpieczenia powinny
być efektywne kosztowo i uwzględniać
wymagania wynikające z przepisów
prawa, wymagania biznesowe i
wymagania z analizy ryzyka zasobów
posiadających wartość dla działania
instytucji. Ryzyko, jakie powstaje po
wprowadzeniu zabezpieczeń, nazywamy
ryzykiem szczątkowym. Również dokument
polityki bezpieczeństwa powinien zawierać
m. in. podejście do zarządzania ryzykiem,
strategię dla analizy ryzyka i części
składowe tej analizy (metody i techniki).
Przyjęta strategia analizy ryzyka powinna
uwzględniać warunki charakterystyczne
Rysunek 1.
Zależności pomiędzy elementami bezpieczeństwa
����������
��
��
��
��
��
��
��
��
��
�
�
�
�
�
�
�
��
��
��
������
��������
����������
����������������������
�������������������
���������������
�������������
BEZPIECZNA FIRMA
70
HAKIN9 1/2010
71
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
dla jednostki organizacyjnej i
koncentrować się na działaniach
związanych z bezpieczeństwem, tam gdzie
są one naprawdę potrzebne.
W raporcie przedstawiono cztery
warianty podejścia do analizy ryzyka:
podejście podstawowego poziomu
bezpieczeństwa, podejście nieformalne,
szczegółową analizę ryzyka i podejście
mieszane. Podstawowa różnica pomiędzy
nimi dotyczy stopnia szczegółowości
analizy ryzyka.
Podejście podstawowego poziomu
bezpieczeństwa polega na wprowadzeniu
standardowych zabezpieczeń niezależnie
od ryzyka wynikającego z analizy
zasobów, zagrożeń i podatności.
Podejście nieformalne polega na
wykorzystaniu wiedzy i doświadczenia
ekspertów, koncentruje się na zasobach
narażonych na wysokie ryzyko.
Z kolei szczegółowa analiza ryzyka
wymaga identyfikacji i wyceny aktywów,
oszacowania zagrożeń oraz oszacowania
podatności.
Podejście czwarte, podejście
mieszane obejmuje dwa etapy. W
pierwszym etapie przeprowadza się
ogólną analizę ryzyka dla wszystkich
zasobów z uwzględnieniem ich
wartości biznesowej i ryzyka, na które
są one narażone. Dla wszystkich
zidentyfikowanych zasobów, które są
ważne dla instytucji i narażone na
wysokie ryzyko należy przeprowadzić
później szczegółową analizę ryzyka.
W drugim etapie dla pozostałych
zasobów należy zastosować
podejście podstawowego poziomu
bezpieczeństwa.
Przyjęcie podejścia mieszanego
zalecane jest dla większości instytucji.
Jest ono najbardziej efektywne
– szczegółowa analiza ryzyka dla zasobów
posiadających wartość lub narażonych
na wysokie ryzyko, a dla pozostałych
zasobów zastosowanie podstawowego
poziomu bezpieczeństwa – wdrożenie
standardowych zabezpieczeń. Wdrożeniu
zabezpieczeń powinien towarzyszyć również
program uświadamiania i szkoleń, ważny
dla uzyskania efektywności zabezpieczeń.
Nie należy zapominać o dalszych
działaniach po wdrożeniu zabezpieczeń.
Działania te powinny obejmować m. in.
konserwację, sprawdzenie zgodności z
zasadami bezpieczeństwa, zarządzanie
zmianami, monitorowanie oraz
postępowanie w przypadku incydentów.
Warto również zwrócić uwagę na
załączniki do raportu. Mają one charakter
praktyczny. Załącznik A zawiera przykład
spisu treści polityki bezpieczeństwa instytucji
w zakresie systemów informatycznych,
załącznik B omawia wycenę aktywów,
załącznik C przedstawia listę kontrolną
możliwych typów zagrożeń, załącznik D
zawiera przykłady typowych podatności, zaś
załącznik E przykłady wykorzystania różnych
metod analizy ryzyka.
Zarządzanie
bezpieczeństwem informacji
Norma PN-ISO/IEC 17799: 2007
Technika informatyczna – Techniki
bezpieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem
informacji jest pierwszym standardem
obejmującym kompleksowo zarządzanie
bezpieczeństwem informacji. Celem tej
normy jest wdrożenie mechanizmów
zarządzania, które zapewnią, że
bezpieczeństwo informacji będzie istotnym
elementem funkcjonowania organizacji.
Rysunek 2.
Związki w zarządzaniu ryzykiem
������
��������������
����������
���������
����������
�������
��������
�����������������
��������������
����������
�����������
������������
����������
��������
������
���������
�����������
�����
��������
�����
����������
�����������
����������
�������
��������
����������
Tabela 1.
Atrybuty informacji podlegające ochronie
Atrybuty
Informacji
ISO
17799
Informacje niejawne
Dane
osobowe
Tajemnica
przedsiębiorstwa
Inne
tajemnice
Poufność
Tak
Tak
Tak
Tak
Tak
Integralność
Tak
Tak
Tak
-
-
Dostępność
Tak
Tak
-
-
-
Rozliczalność
Tak
-
Tak
-
-
Autentyczność
Tak
-
-
-
-
Niezaprzeczalność
Tak
-
-
-
-
Niezawodność
Tak
-
-
-
BEZPIECZNA FIRMA
70
HAKIN9 1/2010
71
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
Norma zawiera wytyczne zarządzania
bezpieczeństwem informacji. Dotyczy
wszystkich obszarów bezpieczeństwa:
fizycznego i środowiskowego, osobowego,
IT, zarządzenia ciągłością działania i
zapewnienia zgodności z przepisami prawa.
Zgodnie z normą informacja jest
aktywem, który podobnie jak inne ważne
aktywa biznesowe, ma dla instytucji
wartość i dlatego należy ją odpowiednio
chronić. Dotyczy to zarówno ochrony
informacji własnych instytucji, jak i
zapewnienia bezpieczeństwa informacji
udostępnionych przez klienta.
Bezpieczeństwo informacji według
normy oznacza ochronę informacji
przed różnymi zagrożeniami w taki
sposób, aby zapewnić ciągłość
działania – realizację celów statutowych
instytucji, zminimalizowanie strat i
zmaksymalizowanie zwrotu nakładów
na inwestycje i działania o charakterze
biznesowym. Norma odnosi się do 3
aspektów informacji podlegających
ochronie: poufności – zapewnienie dostępu
do informacji tylko osobom upoważnionym,
integralności – zapewnienie dokładności
i kompletności informacji i metod jej
przetwarzania, dostępności – zapewnienia,
że osoby upoważnione mają dostęp do
informacji i związanych z nią aktywów
wtedy, gdy jest im to potrzebne.
W przypadku informacji biznesowych
stanowiących tajemnicę przedsiębiorstwa
największe znaczenie dla bezpieczeństwa
informacji ma ochrona poufności, tzn.,
informacja nie powinna być udostępniana
lub ujawniana nieautoryzowanym
osobom, podmiotom lub procesom.
Norma PN-ISO/IEC 27001: 2007
Technika informatyczna – Techniki
bezpieczeństwa – Systemy zarządzania
bezpieczeństwem informacji – Wymagania
definiuje system zarządzania
bezpieczeństwem informacji (SZBI).
Powinien on stanowić część składową
systemu zarządzania instytucją i być
oparty na podejściu wynikającym z
ryzyka biznesowego. Norma zaleca
podejście systemowe oparte na ciągłym
doskonaleniu zgodnie z cyklem PDCA (Plan-
Do-Check-Act) Deminga obejmującym:
ustanowienie, wdrożenie, eksploatację,
monitorowanie, przegląd, a także utrzymanie
i doskonalenie SZBI.
Norma oparta jest podobnie jak
norma ISO 9001: 2000 i norma ISO
14001: 2004 na zasadach podejścia
procesowego. Umożliwia instytucji budowę
zintegrowanego systemu zarządzania:
zarządzania jakością w oparciu o normę
ISO 9001 i zarządzania bezpieczeństwem
informacji w oparciu o normę ISO 27001.
Wdrożenie w instytucji zintegrowanego
systemu zarządzania może przynieść
organizacji szereg korzyści: pozwoli objąć
systemem wszystkie obszary działania
firmy, zwrócić uwagę na ochronę informacji
i jej wartość, zwiększyć zainteresowanie
technologiami ICT, spowodować
prowadzenie analizy i zarządzania ryzykiem,
zapewnić opracowanie planów ciągłości
działania, przyczynić się do uzyskania
przewagi nad konkurencją i poprawić
wizerunek firmy.
Rysunek 3.
Model PDCA stosowany w procesach SZBI
������
������
�������
����
�������
�����
�����������������
��������������
������
��������������
������
����������
�������������
���������
��������������
����������
�����������
����������������
����������
������������
����
���������
�������������������
����������
�������������������
�������������
���������������
Tabela 2.
Stopnie dojrzałości organizacji do zarządzania bezpieczeństwem informacji
Stopień
Nazwa
Charakterystyka
0
Brak
świadomości
• brak zdefiniowania wymagań bezpieczeństwa
• bezpieczeństwo traktowane jest jako problem
poszczególnych użytkowników
I
Początkowy
• świadomość potrzeby
• kierownictwo uważa to za problem IT (typu: prawa
dostępu, ochrona antywirusowa)
II
Intuicyjny
• próby tworzenia zabezpieczeń
• brak jednolitego podejścia
• efekty zależne od zaangażowania osób
zainteresowanych
III
Zdefiniowany
• zdefiniowane zasady (w tym Polityka
bezpieczeństwa) w całej organizacji
• procedury bezpieczeństwa są utrzymywane i
komunikowane
• brak kontroli stosowania
IV
Zarządzany
• jednolite podejście dla wszystkich komórek i
wszystkich rozwiązań
• obowiązuje perspektywa biznesu
• funkcjonuje mechanizm kontroli stosowania
V
Optymalizowany
• świadome zarządzanie ryzykiem
• zgodność strategii bezpieczeństwa ze strategią
biznesową
• zapewnienie bezpieczeństwa traktowane jako
proces (wiedza, doskonalenie)
BEZPIECZNA FIRMA
72
HAKIN9 1/2010
73
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
W załączniku A do normy
przedstawiono cele stosowania
zabezpieczeń i zabezpieczenia, które
należy wybrać w przypadku podjęcia
decyzji o wdrożeniu w instytucji SZBI.
Norma może być przydatna dla każdej
organizacji, niezależnie od wielkości, czy
branży, niezależnie od tego, czy instytucja
będzie ubiegać się o certyfikację
systemu zarządzania bezpieczeństwem
informacji, czy nie. Do certyfikacji systemu
zarządzania bezpieczeństwem informacji
przeznaczona jest norma BS 7799-2 (PN-
ISO/IEC 27001: 2007).
Oprócz normy ISO 17779
istnieją inne standardy dotyczące
bezpieczeństwa. Przykładem
może być standard Wytyczne w
sprawie bezpieczeństwa systemów
informacyjnych wydany przez
Organizację Rozwoju i Współpracy
Gospodarczej (OECD), która zrzesza
najbardziej uprzemysłowione kraje
świata, w tym Polskę. Wytyczne te mogą
stanowić uzupełnienie norm dotyczących
bezpieczeństwa informacji.
W przypadku outsourcingu usług
związanych z IT, pamiętajmy o sprawdzeniu
referencji firmy oraz kwalifikacji i
doświadczenia pracowników świadczących
usługę. Warto zadbać również o podpisanie
stosownej umowy o zachowaniu poufności
zarówno z firmą, jak i z każdym z jej
pracowników świadczących usługę. Na
koniec należy sprawdzić, czy wykonawca
posiada ważną polisę w zakresie
odpowiedzialności cywilnej obejmującą
zakres świadczonych usług. Posiadanie
przez pracowników firmy poświadczeń
bezpieczeństwa lub przez firmę świadectwa
bezpieczeństwa przemysłowego, to ważny
atut przy zawieraniu umowy.
Bezpieczeństwo osobowe
Człowiek jest najsłabszym elementem
systemu ochrony informacji. Jak wynika
ze statystyk, około 80 % incydentów
związanych z przetwarzaniem informacji
spowodowanych jest przez czynnik ludzki.
Powiedzenie kadry decydują o wszystkim
jest jak najbardziej prawdziwe. Należy o
nim pamiętać już na etapie rekrutacji i
zatrudniania personelu (należy zatrudniać
właściwych ludzi, sprawdzać ich referencje
z poprzednich miejsc pracy, szkolić
personel z procedur bezpieczeństwa,
ciągle podnosić jego świadomość,
rozdzielać kluczowe obowiązki pomiędzy
dwóch pracowników zgodnie z zasadą
dwóch par oczu).
Przetwarzanie informacji biznesowych,
stanowiących tajemnicę przedsiębiorstwa
wymaga, aby personel spełniał
dodatkowe wymagania. Uzyskanie
dostępu do tajemnicy przedsiębiorstwa
wymaga od pracownika podpisania
zobowiązania do jej zachowania.
W przypadku przetwarzania informacji
niejawnych pracownik powinien posiadać
poświadczenie bezpieczeństwa
uprawniające do dostępu do dokumentów
i materiałów o określonej klauzuli tajności
(ściśle tajne, tajne, poufne lub zastrzeżone).
Poświadczenie bezpieczeństwa daje
rękojmię zachowania tajemnicy przez
zainteresowanego. W przypadku
przetwarzania danych osobowych
administrator danych (przedsiębiorca)
wydaje osobie przetwarzającej dane
Tabela 3.
Podstawowe zasady ochrony informacji
Lp. Zasada
Treść zasady
1
Zasada przywilejów koniecznych Każdy użytkownik systemu informatycznego
posiada prawa ograniczone wyłącznie do
tych, które są konieczne do wykonywania
powierzonych mu zadań
2
Zasada wiedzy koniecznej
Pracownicy posiadają wiedzę o systemie
informatycznym, ograniczoną wyłącznie do
zagadnień, które są konieczne do realizacji
powierzonych zadań
3
Zasada usług koniecznych
Zakres dostępnych usług systemu jest
ograniczony tylko do tych, które są konieczne
do prawidłowego funkcjonowania organizacji
4
Zasada asekuracji
zabezpieczeń
Ochrona systemu informatycznego nie może
opierać się wyłącznie o jeden mechanizm
zabezpieczenia, nawet gdy zastosowana
technologia jest uznawana za wysoce
zaawansowaną i niezawodną
5
Zasada pracy zbiorowej
Wszyscy użytkownicy systemu
informatycznego są świadomi konieczności
ochrony wykorzystywanych zasobów
6
Zasada indywidualnej
odpowiedzialności
Za utrzymanie właściwego poziomu
bezpieczeństwa poszczególnych elementów
systemu informatycznego odpowiadają
konkretne osoby, które mają świadomość tego
za co są odpowiedzialne i jakie konsekwencje
poniosą jeżeli zaniedbają swoje obowiązki
7
Zasada obecności koniecznej
Prawo przebywania w określonych
pomieszczeniach mają wyłącznie osoby,
które są do tego upoważnione lub
posiadają tymczasową zgodę wydaną przez
odpowiedni organ nadzorczy
8
Zasada stałej gotowości
System ochrony jest przygotowany do odparcia
wszystkich realnych zagrożeń. Pod żadnym
pozorem nie może zdarzyć się sytuacja
tymczasowego wyłączenia zabezpieczeń,
która pozostawi określone elementy systemu
informatycznego bez ochrony
9
Zasada najsłabszego „ogniwa
łańcucha”
Poziom bezpieczeństwa systemu
informatycznego wyznacza najsłabszy
(najmniej zabezpieczony) element tego
systemu. Z reguły, włamanie do systemu
odbywa się poprzez wyszukiwanie luk w
systemie ochrony
BEZPIECZNA FIRMA
72
HAKIN9 1/2010
73
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
osobowe upoważnienie do przetwarzania
danych osobowych.
Warto w tym miejscu przytoczyć
zapisy §3 Rozporządzenia Ministra Pracy
i Polityki Socjalnej z dnia 28 maja 1996
r. w sprawie zakresu prowadzenia przez
pracodawców dokumentacji w sprawach
związanych ze stosunkiem pracy oraz
sposobu prowadzenia akt osobowych. Ww.
paragraf stanowi, że Pracodawca przed
dopuszczeniem pracownika do pracy
uzyskuje jego pisemne potwierdzenie
zapoznania się z treścią regulaminu pracy
oraz z przepisami i zasadami dotyczącymi
bezpieczeństwa i higieny pracy, a także z
zakresem informacji objętych tajemnicą
określoną w obowiązujących ustawach dla
umówionego z pracownikiem rodzaju pracy.
Warto na co dzień korzystać z tego zapisu.
Również w obrocie gospodarczym,
przed rozpoczęciem negocjacji
handlowych, coraz częściej obserwujemy
wśród przedsiębiorców praktykę
podpisywania umów o poufności.
Ryzyko wycieku informacji
gospodarczych z organizacji zmusza
przedsiębiorców do zajęcia się
problemem bezpieczeństwa personelu.
Najczęściej z firmy wyciekają informacje
biznesowe, dane personalne klientów
oraz własność intelektualna: pomysły
nowych rozwiązań, czy kody źródłowe
oprogramowania.
Jak wynika z praktyki, najczęściej
wyciekają informacje w postaci
dokumentów elektronicznych (z uwagi na
łatwość): najczęściej za pośrednictwem
poczty elektronicznej, komunikatorów
internetowych i sieci bezprzewodowych.
Cenne informacje pracownicy wynoszą
na nośnikach informatycznych: na
płytach CD/DVD, nagrane na pamięciach
USB, rzadziej w postaci dokumentów
papierowych (kserokopie). Zdarzają się
przypadki podkupywania pracowników,
kradzieży sprzętu, prowadzenia
podsłuchów, czy szpiegostwa
gospodarczego i przemysłowego.
Wdrożenie podstawowych zasad
bezpieczeństwa, a w szczególności
szyfrowanie informacji ogranicza
możliwość takich działań.
O bezpieczeństwie kadrowym musimy
myśleć już na etapie rekrutacji personelu,
następnie monitorować je czasie
trwania stosunku pracy, aż do momentu
rozwiązania z pracownikiem umowy o
pracę. Dotyczy to zwłaszcza kluczowego
personelu. Z menedżerami najwyższego
szczebla należy podpisać umowy o
zakazie konkurencji.
Ważne jest, aby na co dzień
przestrzegać zasady wiedzy koniecznej
(ang. need to know), a nie zasady
przyjemnie byłoby wiedzieć (ang. nice
to know). W oparciu o role w organizacji
pracownicy powinni posiadać określone
prawa i mieć zdefiniowany zakres dostępu
do zasobów informacyjnych, zwłaszcza w
systemach informatycznych. Uprawnienia
te powinny być okresowo przeglądane i
weryfikowane.
Indywidualnym dokumentem
określającym uprawnienia pracownika
w systemach teleinformatycznych
powinno być Upoważnienie do
przetwarzania danych. Pełni ono w
organizacji kilka funkcji. Uzupełnia
zapisy poczynione w umowie o pracę i
określa zadania pracownika związane
z realizacją polityki bezpieczeństwa
firmy. Specyfikuje dokumenty i programy
wraz z wymaganymi uprawnieniami
konieczne dla wykonywanej pracy. Jest
podstawą do instalacji oprogramowania
na stacji roboczej użytkownika i założenia
użytkownikowi konta w systemie/programie
Tabela 4.
Dobre praktyki w przetwarzaniu
dokumentów
Lp.
Praktyki
1
obieg dokumentów
kontrolowany (przekazywanie za
pokwitowaniem odbioru)
2
dostęp do dokumentów
elektronicznych zgodny z
przyznanymi uprawnieniami
3
udostępnianie dokumentów tylko
osobom uprawnionym
4
określona osobista
odpowiedzialność za
przetwarzanie dokumentów
5
dokumenty źródłowe
odpowiednio chronione
6
dostęp do pomieszczeń
kontrolowany
7
zapewnione warunki środowiskowe
w pomieszczeniach
8
kopie awaryjne wykonywane i
odpowiednio przechowywane
Normy, standardy, zalecenia
• PN-ISO/IEC 2382-8: 2001 Technika informatyczna – Terminologia – Bezpieczeństwo – norma
terminologiczna
• PN-I-02000: 2002 Technika informatyczna – Zabezpieczenia w systemach informatycznych
– Terminologia – norma terminologiczna
• PN-I-13335-1: 1999 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych – Pojęcia i modele bezpieczeństwa systemów informatycznych
• ISO/IEC TR 13335-2 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych Część 2: Zarządzanie i planowanie bezpieczeństwa systemów
informatycznych
• ISO/IEC TR 13335-3 Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem
systemów informatycznych Część 3: Techniki zarządzania bezpieczeństwem systemów
informatycznych
• ISO/IEC 13335-4: Wybór zabezpieczeń
• ISO/IEC 13335-5: Zabezpieczenie połączeń zewnętrznych
• BS 7799-1 – standard opracowany przez BSI, definiuje wytyczne w zakresie ustanowienia,
wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia Systemu
Zarządzania Bezpieczeństwem Informacji (zastąpiony przez ISO/IEC 17799: 2005 i
przenumerowany później na ISO/IEC 27002:2005)
• BS 7799-2 – standard opracowany przez BSI, definiuje wymagania w zakresie
ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i doskonalenia
Systemu Zarządzania Bezpieczeństwem Informacji (zastąpiony przez ISO/IEC 27001: 2005)
• BS 7799-3 – standard opracowany przez BSI, dotyczy zarządzania ryzykiem w
bezpieczeństwie informacji (zastąpiony przez ISO/IEC 27005)
• BS 25999: 2006 – standard opracowany przez BSI, dotyczy zarządzania ciągłością
działania (zastąpił specyfikacje PAS-56)
• ISO/IEC TR 18044 – standard przedstawia dobre praktyki w zakresie zarządzania
incydentami bezpieczeństwa informacji.
BEZPIECZNA FIRMA
74
HAKIN9 1/2010
75
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
z wymaganym dostępem i wymaganymi
uprawnieniami. Wreszcie dokumentuje
wymagania polityki bezpieczeństwa
związane z przetwarzaniem zbiorów/
dokumentów, a w szczególności
przydzielanie wymaganego dostępu i
związanych z nim uprawnień. Dokumentuje
także potwierdzenie zapoznania się z
działaniem programów i z przepisami o
ochronie danych oraz zobowiązanie do
zachowania w tajemnicy przetwarzanych
danych i sposobu ich ochrony. Dobrą
praktyką jest, aby wszyscy pracownicy
podpisali stosowne zobowiązania o
poufności, a z kluczowymi pracownikami
zawarto umowy o zakazie konkurencji.
Zgodnie z normą ISO 17799
bezpieczeństwo osobowe ma na celu
ograniczenie ryzyka błędu ludzkiego,
kradzieży, oszustwa lub niewłaściwego
użytkowania zasobów.
W aktach osobowych pracownika
powinny znaleźć się stosowne zapisy
dotyczące zachowania poufności lub
nieujawniania informacji pozyskanych
w czasie stosunku pracy, jak i po jego
zakończeniu (np. umowa o zakazie
konkurencji) i zapisy dotyczące
odpowiedzialności pracownika za
ochronę (bezpieczeństwo) informacji.
Kevin Mitnick w swojej książce Sztuka
podstępu pisze łamałem ludzi nie hasła.
Dlatego też należy cyklicznie szkolić
własny personel, uświadamiać zagrożenia
i wskazywać na potrzebę ochrony
informacji biznesowych. Tematem szkoleń
powinny być procedury bezpieczeństwa,
wynikające z przyjętej w organizacji polityki
bezpieczeństwa informacji, zwłaszcza
zasady dostępu do informacji i obiegu
dokumentów, procedury udostępniania
i powierzania przetwarzania informacji
posiadających wartość gospodarczą.
Kluczowe znaczenie dla bezpieczeństwa
ekonomicznego organizacji ma odporność
własnego personelu na działania i metody
socjotechniczne stosowane przez osoby
zatrudnione w wywiadzie konkurencyjnym i
gospodarczym.
Ataki socjotechniczne są najtrudniejsze
do wykrycia i obrony. Ofiara ataku często
nie wie, że została zaatakowana, stąd
trudność w skutecznej obronie. Jedyne co
można zrobić, to kształtować świadomość
zagrożeń oraz opracować odpowiednie
procedury bezpieczeństwa.
Zapobieganie atakom socjotechnicznym
w organizacji wymaga szeregu
skoordynowanych działań. W pierwszej
kolejności należy opracować i wdrożyć
stosowne procedury bezpieczeństwa, a
następnie przyjąć politykę klasyfikacji danych
oraz określić, które informacje należy chronić,
najlepiej w postaci wykazu informacji
podlegających ochronie.
Po drugie, w celu kształtowania
świadomości bezpieczeństwa wśród
pracowników, należy prowadzić
systematycznie teoretyczne i praktyczne
szkolenia (minimum raz, a najlepiej dwa
razy w ciągu roku) z zakresu metod
przeciwdziałania atakom socjotechnicznym.
W trakcie szkoleń należy uświadamiać
pracownikom potencjalną możliwość
ataków socjotechnicznych. Pracownicy
na ogół nie czują zagrożenia, wydaje
im się, że są odporni na typowe ataki
socjotechniczne, stąd poczucie tzw.
fałszywego bezpieczeństwa. Rodzi się tu
pytanie, czy jesteśmy zagrożeni atakiem
socjotechnicznym.
Jak wynika ze statystyk, właściwym
pytaniem jest, kiedy nastąpi atak. Chodzi
o to, aby nie dać się zaskoczyć i być
przygotowanym na jego odparcie.
Program szkolenia pracowników
powinien obejmować analizę typowych
źródeł ataków socjotechnicznych, takich
jak: rozmowa telefoniczna, fax, e-mail,
strona WWW, kontakt osobisty oraz metody
obrony. Należy również przedstawić
szkolonym potencjalne skutki ataku, w
postaci strat finansowych, utraty prestiżu,
utraty konkurencyjności instytucji, utraty
prywatności pracowników – wycieku
danych osobowych, itp. W celu sprawdzenia
stanu bezpieczeństwa organizacji oraz
podatności jej pracowników na ataki
socjotechniczne wskazane jest okresowe
przeprowadzanie audytów bezpieczeństwa.
Skuteczność powyższych działań
zależy w głównej mierze od ustanowienia
jasnych, prostych i zwięzłych procedur
bezpieczeństwa oraz ciągłego
motywowania pracowników do ich
przestrzegania.
Polityka bezpieczeństwa organizacji
powinna zniechęcać do odstępowania od
procedur bezpieczeństwa poprzez system
kar i nagród. Należy wpoić pracownikom
zakaz udostępniania informacji, za
Atrybuty bezpieczeństwa informacji wg PN-I-13335-1
• Poufność (confidentiality) – właściwość zapewniająca, że informacja nie jest udostępniana
lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom.
• Autentyczność (authenticity) – właściwość zapewniająca, że tożsamość podmiotu
lub zasobu jest taka, jak deklarowana; autentyczność dotyczy takich podmiotów jak:
użytkownicy, procesy, systemy i informacja.
• Dostępność (availability) – właściwość bycia dostępnym i możliwym do wykorzystania
na żądanie, w założonym czasie przez autoryzowany podmiot.
• Integralność danych (data integrity) – właściwość zapewniająca, że dane nie zostały
zmienione lub zniszczone w sposób nieautoryzowany.
• Integralność systemu (system integrity) – właściwość polegająca na tym, że system
realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej
manipulacji, celowej lub przypadkowej.
• Integralność (integrity) – integralność danych i integralność systemu.
• Rozliczalność (accountability) – właściwość zapewniająca, że działania podmiotu mogą
być przypisane w sposób jednoznaczny tylko temu podmiotowi.
• Niezawodność (reliability) – właściwość oznaczająca spójne, zamierzone zachowanie i skutki.
Zagrożenia
dla zasobów
informatycznych
• Ogień.
• Woda.
• Zakłócenia w dostawach energii
elektrycznej.
• Zniszczenie mechaniczne sprzętu.
• Nieautoryzowany dostęp.
• Oprogramowanie szkodliwe.
• Nieautoryzowane wykorzystanie
sprzętu i oprogramowania.
• Nieprzestrzeganie prawa, w tym
prawa autorskiego.
• Kradzież sprzętu, oprogramowania,
danych.
BEZPIECZNA FIRMA
74
HAKIN9 1/2010
75
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
wyjątkiem informacji publicznych, do
momentu pozytywnej weryfikacji tożsamości
rozmówcy. Weryfikacja, weryfikacja i jeszcze
raz weryfikacja tożsamości pytającego,
to podstawa skutecznego zapobiegania
atakom socjotechnicznym.
Należy również zwrócić szczególną
uwagę na firmy wykonujące usługi
sprzątania i usługi ochrony fizycznej.
Organizacje bardzo często dość liberalnie
postępują w tych kwestiach. Powinniśmy
pamiętać o przeszkoleniu pracowników tych
firm w zakresie procedur bezpieczeństwa
instytucji, a zwłaszcza uczulić na kwestie
związane z kontrolą dostępu, dostępem
osób nieuprawnionych na teren organizacji.
Jedyną tak naprawdę skuteczną
metodą ochrony przed atakiem
socjotechnicznym jest zastosowanie
zabezpieczeń technologicznych
w kombinacji z procedurami
bezpieczeństwa. Procedury te powinny
określać podstawowe zasady
zachowania się pracowników.
Z jednej strony czynnik ludzki
stanowi najsłabszy element systemu
bezpieczeństwa, z drugiej strony jest jego
najsilniejszym ogniwem.
Jedynie te instytucje, które zainwestowały
w kapitał ludzki mogą czuć się bezpiecznie,
gdyż bezpieczeństwo informacji to przede
wszystkim stan świadomości.
Kształtowanie świadomości
pracowników to najlepsza, najbardziej
skuteczna, najtańsza i wciąż niedoceniana
metoda ochrony informacji, na którą stać
wszystkich przedsiębiorców bez względu
na wielkość instytucji. Poddaję to pod
rozwagę kierujących organizacjami.
Bezpieczeństwo
fizyczne i środowiskowe
Ochrona fizyczna jest najstarszą
metodą ochrony zasobów materialnych
i informacyjnych. Stanowi pierwszą
linię obrony. Jeżeli w przedsiębiorstwie
nie wdrożono podstawowych środków
ochrony fizycznej, to nie możemy
mówić o jakimkolwiek bezpieczeństwie.
Zastosowane środki ochrony fizycznej
kształtują wizerunek firmy wśród klientów i
zapewniają poczucie bezpieczeństwa jej
pracownikom.
Norma ISO 17799 dotycząca
zarządzania bezpieczeństwem informacji
stanowi, że celem bezpieczeństwa
fizycznego i środowiskowego jest
zapobieganie nieuprawnionemu dostępowi,
uszkodzeniom i ingerencji w pomieszczenia
instytucji i jej informacje. Natomiast
urządzenia do przetwarzania krytycznych
lub wrażliwych informacji powinny być
ulokowane w obszarach bezpiecznych,
chronionych wyznaczonym obwodem
zabezpieczającym z odpowiednimi
barierami i kontrolą wstępu.
Organizacje, często nie doceniają
mechanizmów ochrony fizycznej. Brak
odpowiednich zabezpieczeń fizycznych
może nieść za sobą katastrofalne
skutki, począwszy od kradzieży sprzętu,
komputerowych nośników informacji, czy
też awarii zasilania lub systemu klimatyzacji.
Brak zasobów, ich uszkodzenie, czy też ich
niedostępność może zakłócić ciągłość
funkcjonowania instytucji i realizacji przez
nią zadań statutowych.
Skuteczny system ochrony fizycznej
ma uniemożliwić dostęp osobom
nieuprawnionym do budynków i
pomieszczeń instytucji. Poprawnie
wyznaczone strefy dostępu (właściwie
zlokalizowane), odpowiednio zabezpieczone
pomieszczenia oraz skuteczna kontrola
dostępu (kontrola wejść i wyjść oraz
przebywania) gwarantują realizację
przyjętego w organizacji poziomu
bezpieczeństwa firmy.
Ważnym aspektem ochrony fizycznej
jest system przepustek (identyfikatorów)
lub inny system uprawniający do wejścia,
przebywania i wyjścia ze stref dostępu,
zasady przyznawania i odbierania
uprawnień do przebywania w strefach
dostępu oraz okresowa kontrola uprawnień.
W ten sposób możemy mieć pewność,
że uprawnienia dostępu mają tylko
upoważnione osoby. Bardzo przydatne są tu
systemy telewizji dozorowej wraz z chronioną
rejestracją obrazu. Cyfrowe rejestratory
obrazu zapewniają długi czas nagrań i
mogą zostać użyte do celów dowodowych
w przypadku incydentu. Należy również
Najczęściej popełniane błędy
• Brak zasad dotyczących ochrony informacji w firmie.
• Brak założeń bezpieczeństwa dla systemów teleinformatycznych.
• Brak zasad stałego monitorowania systemów teleinformatycznych i usuwania błędów.
• Brak zasad bezpieczeństwa korzystania z Internetu.
• Brak przeprowadzania analizy zagrożeń i ryzyka dla systemów teleinformatycznych.
• Brak zdefiniowania sytuacji kryzysowych.
• Brak procedur postępowania w sytuacjach kryzysowych.
• Brak szkoleń pracowników – niska kultura ochrony informacji.
Organizacja bez wdrożonego
systemu zarządzania bezpieczeństwem informacji
• Brak koordynacji polityki bezpieczeństwa pomiędzy różnymi jednostkami organizacyjnymi
(departament IT, ochrona fizyczna, pion ochrony informacji niejawnych).
• Koncentracja na zabezpieczeniach.
• Wydatki na bezpieczeństwo traktowane jako koszt działania.
Organizacja z wdrożonym systemem
zarządzania bezpieczeństwem informacji
• Standaryzacja bezpieczeństwa informacji w całej organizacji – stworzenie odpowiednich
struktur nadzorczych.
• Koncentracja na analizie ryzyka.
• Wydatki na bezpieczeństwo traktowane jako inwestycja (możliwość wyznaczenia
wskaźnika zwrotu z inwestycji).
• Przewaga marketingowa na rynku.
• Możliwość niezależnej certyfikacji.
BEZPIECZNA FIRMA
76
HAKIN9 1/2010
77
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
pamiętać o procedurach organizacyjnych
obejmujących: eskortowanie gości,
zamykanie drzwi i okien w pomieszczeniach,
zarządzanie kluczami do pomieszczeń
(szczelny system przechowywania
kluczy do pomieszczeń chronionych
użytku bieżącego i zapasowych), nadzór
nad pracą personelu pomocniczego,
zwłaszcza sprzątaniem pomieszczeń
i pracą personelu serwisowego,
przechowywanie kopii zapasowych w
zabezpieczonych pomieszczeniach (jak
najbardziej odległych w pionie i poziomie
od miejsc ich wytworzenia) w specjalnych
szafach ogonioodpornych, służących
do przechowywania komputerowych
nośników informacji oraz zapewnienie
dostępności aktualnej dokumentacji
technicznej (zasilania, okablowania, sprzętu,
oprogramowania, planów awaryjnych i
planów ciągłości działania). W przypadku
podjęcia decyzji o outsourcingu usług
ochrony fizycznej pamiętajmy o sprawdzeniu
koncesji firmy ochrony oraz licencji zarówno
pracowników ochrony, jak i pracowników,
którzy projektują, instalują, a później
konserwują nasze systemy zabezpieczenia
technicznego (systemy kontroli dostępu,
systemy sygnalizacji włamania i napadu,
systemy sygnalizacji pożarowej, czy systemy
telewizji dozorowej).
Polityka w zakresie ochrony fizycznej
instytucji powinna wynikać z jej strategii
biznesowej. Dobór zabezpieczeń należy
wykonywać w oparciu o przeprowadzaną
okresowo analizę ryzyka. Zastosowane
zabezpieczenia powinny być współmierne
do zidentyfikowanych zagrożeń. Z uwagi
na koszty należy rozważyć wdrożenie
następujących środków ochrony:
• działania organizacyjne (opracowanie
regulaminów, procedur),
• ochrona czynna (np. wynajęcie firmy
ochrony),
• ochrona bierna (wdrożenie systemu
zabezpieczeń architektoniczno-
budowlanych, mechanicznych i
elektronicznych: systemu włamania
i napadu, systemu kontroli dostępu,
systemu sygnalizacji pożarowej,
systemu telewizji dozorowej, systemu
nagłośnienia ewakuacyjnego
budynku, systemu zasilania
awaryjnego, zintegrowanego systemu
bezpieczeństwa) i w niezbędnym
zakresie,
• asekuracja (zawarcie umowy
ubezpieczeniowej).
Warto zauważyć, że nie wszystkie zasoby
informacyjne warto zabezpieczać lub
chronić, należy określić poziom ryzyka
akceptowalnego. Ważne jest, aby przyjęte
rozwiązania organizacyjne, środki
zabezpieczeń i ochrony oraz asekuracja
wzajemnie się uzupełniały. Kształtowanie
właściwej polityki bezpieczeństwa
fizycznego zasobów (ochrona
osób, mienia i informacji) wymaga
kompleksowego podejścia, a nie działania
na zasadzie intuicji. Możemy wówczas
mówić o prawdziwym bezpieczeństwie,
a nie o pozorach bezpieczeństwa, tym
bardziej, że bezpieczeństwo fizyczne
sporo kosztuje. Poddaję to pod rozwagę
zarządzającym organizacjami.
Bezpieczeństwo
dokumentów, nośników
oraz ich obieg
Podstawowym warunkiem ładu
dokumentacyjnego w organizacji jest
Zintegrowany system zarządzania – korzyści
• Objęcie systemem wszystkich obszarów działalności firmy.
• Zwrócenie szczególnej uwagi na wartość informacji i jej znaczenie.
• Prowadzenie analizy ryzyka i zarządzania ryzykiem.
• Zwiększenie zainteresowania technologiami informatycznymi.
• Opracowanie planów zapewnienia ciągłości działania.
• Zastosowanie podejścia procesowego i ciągłego doskonalenia.
• Jednolita dokumentacja i terminologia.
• Zbliżone zasady audytowania.
• Niższe koszty przygotowania i wdrożenia zintegrowanego systemu.
Źródła wycieku
informacji
• Poczta elektroniczna.
• Komunikatory internetowe.
• Płyty CD/DVD.
• Pamięci USB.
• Sieci bezprzewodowe.
• Podkupywanie pracowników.
• Kradzież sprzętu.
• Podsłuchy.
• Szpiegostwo gospodarcze.
Struktura normy PN-ISO/IEC 17799: 2007 Technika
informatyczna – Techniki bezpieczeństwa – Praktyczne
zasady zarządzania bezpieczeństwem informacji
• Przedmowa
• Wprowadzenie.
• Zakres normy.
• Terminy i definicja.
• Struktura normy.
• Szacowanie ryzyka i postępowanie z ryzykiem.
• Polityka bezpieczeństwa.
• Organizacja bezpieczeństwa informacji.
• Zarządzanie aktywami.
• Bezpieczeństwo zasobów ludzkich.
• Bezpieczeństwo fizyczne i środowiskowe.
• Zarządzanie systemami i sieciami.
• Kontrola dostępu.
• Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych.
• Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
• Zarządzanie ciągłością działania.
• Zgodność.
• Bibliografia.
• Indeks
BEZPIECZNA FIRMA
76
HAKIN9 1/2010
77
HAKIN9
1/2010
BEZPIECZEŃSTWO INFORMACJI
ustalenie systemu obiegu dokumentów i
nośników oraz systemu przechowywania
i archiwizowania dokumentów. Instrukcje
wewnętrzne ustalające ład dokumentacyjny
(instrukcja kancelaryjna, instrukcja
archiwalna) tworzy się na podstawie
obowiązujących przepisów prawa,
wymagań otoczenia instytucjonalnego oraz
potrzeb biznesowych. Instrukcje te powinny
uwzględniać również zasady postępowania
z dokumentami elektronicznymi.
Ład dokumentacyjny określają
przede wszystkim: ustawa o narodowym
zasobie archiwalnym i archiwach
oraz rozporządzenia wykonawcze
do ustawy, przepisy podatkowe,
przepisy o rachunkowości, przepisy
o ubezpieczeniach społecznych i
zdrowotnych, o rentach i emeryturach,
przepisy prawa pracy oraz inne przepisy.
Zapewnienie bezpieczeństwa
dokumentów, wymaga oprócz zgodności z
przepisami prawa, stosowania prawidłowej
rejestracji dokumentów wpływających
do firmy, również tych, które wpłynęły
drogą elektroniczną i nadzorowania ich
obiegu. Najlepiej, aby odbieg dokumentów
odbywał się za potwierdzeniem odbioru.
Dla dokumentów zawierających informacje
poufne, np. stanowiące tajemnicę
przedsiębiorstwa (posiadającą wartość
gospodarczą) należy opracować
procedury związane z kopiowaniem
dokumentów, procedury przechowywania
i archiwizacji oraz procedury wynoszenia
komputerowych nośników informacji
poza teren firmy, a wreszcie należy
zapewnić ochronę fizyczną pomieszczeń
z dokumentami i infrastrukturą
teleinformatyczną.
Podsumowanie
W polskich warunkach mamy zwykle
do czynienia z konglomeratem kilku
tajemnic prawnie chronionych i informacji
biznesowych chronionych we własnym
interesie. Tylko niektóre z nich: dane
osobowe, informacje niejawne, mają
przepisy wykonawcze, wymagania w
zakresie ochrony. Większość z nich nie
posiada wymagań jak je chronić, a chronić
je trzeba. W przypadku tych tajemnic, dla
których brak wymagań i wytycznych w
zakresie ochrony pomocne mogą być
standardy, zalecenia i polskie normy
dotyczące bezpieczeństwa informacji:
PN-ISO/IEC 17799: 2007 Technika
informatyczna – Techniki bezpieczeństwa
– Praktyczne zasady zarządzania
bezpieczeństwem informacji i PN-ISO/IEC
27001: 2007 Technika informatyczna
– Techniki bezpieczeństwa – Systemy
zarządzania bezpieczeństwem informacji
– Wymagania, które stanowią źródło tzw.
dobrych praktyk.
Wdrożenie systemu zarządzania
bezpieczeństwem informacji w organizacji
w oparciu o powyższe normy zapewni
właściwy, adekwatny do zagrożeń i
wymagań przepisów prawa poziom
ochrony wszystkim informacjom na
podstawie wyników analizy ryzyka.
Zachęcam do podjęcia trudu w celu
wdrożenia takiego systemu. Systemu
można nie certyfikować.
W Polsce wydanie choćby niewielkich
pieniędzy, aby chronić coś, co ma
niematerialny charakter nie zawsze
znajduje uzasadnienie. Co potrzeba, aby
zapewnić bezpieczeństwo informacji?
Trochę wiedzy, trochę procedur, trochę
dobrej woli i trochę pieniędzy. Jak wynika z
szacunkowych danych, koszty zapewnienia
bezpieczeństwa informacji stanowią około
5 % kosztów na technologie IT.
Reguły psychologiczne
wykorzystywane w socjotechnice
• Reguła wzajemności – wymaga od ludzi, aby za otrzymane od drugiej osoby dobro
odwdzięczyć się w podobny sposób.
• Reguła zaangażowania i konsekwencji – w myśl tej zasady, ludzie po dokonaniu wyboru
lub zajęciu stanowisko w jakiejś sprawie, później zachowują się konsekwentnie i zgodnie
z tym, w co wcześniej zaangażowali się.
• Reguła społecznego dowodu słuszności – głosi, że to, w co wierzą lub jak zachowują się
inni ludzie, często jest podstawą naszych własnych decyzji.
• Reguła lubienia i sympatii – zgodnie z tą zasadą, ludzie wolą mówić tak tym osobom,
które lubią i znają.
• Reguła autorytetu – oznacza, że ludzie ulegają autorytetom, ponieważ autorytety
cechuje wiedza, mądrość i władza.
• Reguła niedostępności – mówi, że ludzie przypisują większą wartość tym możliwościom,
które stają się niedostępne.
Struktura normy PN-ISO/IEC 27001: 2007
Technika informatyczna – Techniki bezpieczeństwa
– Systemy zarządzania bezpieczeństwem informacji
– Wymagania
• Przedmowa
• 0 Wprowadzenie.
• 1 Zakres normy.
• 2 Powołania normatywne.
• 3 Terminy i definicje.
• 4 System zarządzania bezpieczeństwem informacji (SZBI).
• 5 Odpowiedzialność kierownictwa.
• 6 Wewnętrzne audyty SZBI.
• 7 Przeglądy SZBI realizowane przez kierownictwo.
• 8 Doskonalenie SZBI.
• Załącznik A (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia.
• Załącznik B (informacyjny) Zasady OECD i niniejsza Norma Międzynarodowa.
• Załącznik C (informacyjny) Powiązania ISO 9001: 2000, ISO 14001: 2004 z niniejszą
Normą Międzynarodową.
• Bibliografia
Andrzej Guzik
Andrzej Guzik – audytor systemu zarządzania
bezpieczeństwem informacji, systemu zarządzania
jakością, audytor wewnętrzny, ekspert w zakresie
ochrony informacji prawnie chronionych, redaktor
portalu www.ochronainformacji.pl.
Kontakt z autorem: a.guzik@ochronainformacji.pl