ZARZ
DZANIE USA
UGAMI
W SYSTEMACH
OPERACYJNYCH
Wykład 6
mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl
Agenda
Zarządzanie bezpieczeństwem i zarządzanie
ryzykiem w systemach komputerowych:
1. Polityka bezpieczeństwa.
2. Typy polityki bezpieczeństwa.
3. Opracowanie polityk bezpieczeństwa.
4. Dokumentowanie polityk bezpieczeństwa
5. Osoby odpowiedzialne za
bezpieczeństwo systemów
komputerowych.
Literatura
1. Mark S. Merkow, Jim Breithaupt,
Information Security: Principles and
Practices, Second Edition,
June 04, 2014
2. David Kim, Michael G. Solomon,
Fundamentals of Information Systems
Security,
November 17, 2010
BEZPIECZEC
STWO
SYSTEMÓW
KOMPUTEROWYCH
POLITYKA
BEZPIECZEC
STWA
Polityka bezpieczeństwa
1. Zgodnie z Certified Information Systems Security
Professional (CISSP), zarzÄ…dzanie
bezpieczeństwem i zarządzanie ryzykiem stanowi
podstawową domenę bezpieczeństwa, na której
buduje się cały system.
2. Jest to zbiór czynności zarządczych i
wykonawczych, które definiują program
bezpieczeństwa systemów komputerowych.
Dlaczego użyto słowa  program ?
Czym się różni program od projektu?
Zarządzenia bezpieczeństwem
3. Etapy zarządzania bezpieczeństwem:
a) deklaracja kierownictwa dot. celu
b) polityki bezpieczeństwa
c) określenie sposobu wykonania,
odpowiedzialności, szkoleń, świadomości.
4. Klasyfikacja danych.
5. ZarzÄ…dzanie ryzykiem.
6. Wyznaczenia ról, władzy i odpowiedzialności.
Po co jest to wszystko określane?
Jaki jest główny cel?
Aby zapewnić świadomość o wadze
bezpieczeństwa systemów w danej organizacji!
Polityka bezpieczeństwa
1. Polityka bezpieczeństwa jest kluczowym
elementem bezpieczeństwa organizacji i musi być
brana pod uwagę na długo przed tym jak
systemy komputerowe będą wdrażane.
Jeżeli nie masz polityki bezpieczeństwa, to masz
coś, ale nie wiesz po co, ponieważ nikt tobie nie
powiedział co powinno to robić. /M. Ranum/
2. Implementacja zabezpieczeń systemów
komputerowych bez zdefiniowanych reguł
spowoduje tylko przypadkowÄ… ochronÄ™.
 Nawet zepsute zegarek wskaże dobrą godzinę &
i to dwa razy na dobÄ™!
Polityka bezpieczeństwa
BEZPIECZEC
STWO
SYSTEMÓW
KOMPUTEROWYCH
TYPY
POLITYK
BEZPIECZEC
STWA
Typy polityk bezpieczeństwa
1. Polityka dla Programu Bezpieczeństwa
(Programme-level Policy)  jest używany w celu
ustanowienia programu bezpieczeństwa SK, jest to
najwyższy dokument, opisuje potrzebę stosowania
bezpieczeństwa SK, może powierzać funkcję
zarządzenia bezpieczeństwem działowi IT
2. Polityka dla Struktury Programu Bezpieczeństwa
(Programme-framework policy) - ustanawia ogólne
podejście do bezpieczeństwa komputerowego (jako
struktury bezpieczeństwa komputerowego), dodaje
szczegółowy opis do programu, opisując elementy i
organizację oraz dział, który będzie odpowiedzialny
za Program.
Typy polityk bezpieczeństwa
3. Polityka obszaru (Issue-specyfic Policy) 
rozwiÄ…zuje konkretne kwestie majÄ…ce znaczenie dla
organizacji. Kwestie te mogą mieć na przykład
charakter regulacyjny (np. standard
bezpieczeństwa danych dla kart bankomatowych)
lub ustawowy (np. ustawa o ochronnie danych
osobowych).
4. Polityka systemu (System-specific policy) -
koncentruje się problemach, które dotyczą
określonego systemu..
Programme-level Policy
1. Zarząd potrzebuje polityki aby ustanowić program
ochrony, przypisać role zarządzania programem,
wskazywać cel bezpieczeństwa SK dla całej
organizacji oraz stworzenia podstaw do
przestrzegania zasad bezpieczeństwa.
2. Obejmuje:
1. Cel bezpieczeństwa SK w organizacji.
2. Zakres wymaganego bezpieczeństwa.
3. Obowiązki poszczególnych komórek i osób
funkcyjnych.
4. Zasady przestrzegania polityki.
Programme-level Policy
Cel bezpieczeństwa
1. Wyraz
nie zdefiniowany cel organizacji.
2. Struktury bezpieczeństwa organizacji.
3. Potrzeby związane z bezpieczeństwem (np.
poufność, dostępność).
4. Przykłady:
-ð organizacja utrzymujÄ…ca duże bazy danych o
znaczeniu krytycznym może podkreślić redukcję
błędów, utratę danych lub uszkodzenie danych.
-ð w organizacji odpowiedzialnej za utrzymanie
poufnych danych osobowych cele mogÄ…
podkreślić silniejszą ochronę przed
nieuprawnionym ujawnieniem danych.
Programme-level Policy
Zakres bezpieczeństwa
1. Zakres określa jakie zasoby (lokalizacje, sprzęt
i oprogramowanie), dane i personel program
obejmuje.
2. Może wymienić konkretne aktywa, takie jak główne
lokalizacje i duże systemy (lub wszystkie aktywa).
3. Powinien określić zastosowanie do kontraktorów,
podwykonawców, podłączonych innych firm do
organizacji.
4. Wziąć pod uwagę pracowników domowy
(telepracowników), pracowników mobilnych, dostęp
do zasobów firmy z odległych miejsc,
wprowadzanie prywatnych urządzeń.
Programme-level Policy
ObowiÄ…zki
1. Polityka opisuje obowiązki zarówno działów, osób
funkcyjnych i pracowników w całej organizacji.
2. Polityki rozróżniają odpowiedzialności dostawców
usług komputerowych (IT) i obowiązków właścicieli
aplikacji korzystających z usług komputerowych.
3. Na poziomie polityki programu przypisanie
obowiązków obejmuje działania i personelu, które
będą niezbędne do realizacji i ciągłości polityki
bezpieczeństwa komputera.
Programme-level Policy
Przestrzeganie polityk
1. Określenie kar i postępowań dyscyplinarnych dla
osób, które nie są przestrzegają polityki
bezpieczeństwa komputerowego.
2. Ponieważ polityka bezpieczeństwa jest
dokumentem wysokiego szczebla, kary za różne
przewinienia nie są zazwyczaj tam szczegółowo
określone.
3. Ostrzeżenia i związane z nimi kary są zazwyczaj
określone w polityce dla danego problemu lub
specyficzne dla danego systemu.
4. Złamanie polityk bezpieczeństwa może być
spowodowane niewiedzą lub brakiem szkoleń.
Programme-Framework Policy
1. Określa elementy programu bezpieczeństwa w
organizacji, które stanowią podstawę dla programu
bezpieczeństwa SK
2. Odzwierciedla decyzje kierownictwa IT dotyczÄ…ce
priorytetów w zakresie ochrony, przydziału zasobów
oraz przypisywania odpowiedzialności.
3. Przykłady:
-ð planowanie dostÄ™pnoÅ›ci procesów
biznesowych;
-ð wymagania na bezpieczeÅ„stwo fizyczne
centrów danych;
-ð bezpieczeÅ„stwo przy tworzeniu aplikacji.
Issue-Specific Policy
1. Identyfikują i definiują zidentyfikować konkretne
obszary zainteresowania i podać pozycję w
organizacji lub postawę w tej kwestii. W zależności
od problemu jak i potencjalnego wpływu, polityka
może pochodzić od szefem organizacji, dyrektora
ds. IT lub zarzÄ…dzajÄ…cego programem
bezpieczeństwa komputerowego.
2. W praktyce: Powinien być to żywy dokument
aktualizowany zgodnie z rozwojem nowych
technologii.
Issue-Specific Policy
3. Przykład: laptopy i tablety stały się wszechobecne w
gabinetach lekarskich i szpitalach ze względu na wygodę i
łatwość bezprzewodowych sieci lokalnych (WLAN).
Pozwalają one lekarzom i pielęgniarkom zdalnie uzyskać
dostęp do dokumentacji pacjenta, dodać uwagi i diagnoz i
sprawdzać leki, między innymi. Ten dostęp powoduje, że
powinny być zadane nowe i trudne pytania dot.
zabezpieczeń:
a) Jak można mieć pewność, że żadne nieautoryzowane
komputery nie będą mogły podsłuchiwać komunikacji
bezprzewodowej?
b) Jak pacjenci mogą być pewni, że prywatność danych o
pacjencie i jego chorobach nie jest cenÄ… za wygodÄ™
lekarzy?
Issue-Specific Policy
4. Polityka obejmuje:
A. Opis problemu obejmujÄ…cy definicjÄ™,
powiązanie z bezpieczeństwem oraz
specyficzne warunki, np. Organizacja
opracowuje Issu-Specific Policy dla
 Intranetu , która obejmuje jakie działania są
dozwolone, kto nie ma dostępu i zasady
dostępu do sieci z zewnątrz.
Issue-Specific Policy
B. Stanowisko organizacji zwiÄ…zane z problemem,
np. Polityka dostępu do Intranetu może mieć
zastosowanie wyłącznie do własnych zasobów
organizacji i pracowników na miejscu, a nie do
podwykonawców i biur organizacji w innych
miejscach. Dodatkowo, zastosowanie polityki
wobec pracowników wymagających dostępu z
zewnątrz może wymagać dalszych wyjaśnień.
C. Przypisanie ról i obowiązków, np. dostęp do
sieci z zewnÄ…trz wymaga odpowiedniej zgody,
przy czym powinna być wskazana osoba
funkcyjna, która taką zgodę wydaje i która
odpowiada za jej przestrzeganie.
Issue-Specific Policy
D. Przestrzeganie polityk, opisuje wykroczenia
i odpowiednie kary, które muszą być zgodne z
zasadami i praktykami stosowanymi w
organizacji oraz muszą być skoordynowane z
odpowiednimi działami i nawet związkami
zawodowymi.
E. Punkty kontaktowy, odpowiednie osoby
odpowiedzialne za informowanie o
obowiÄ…zujÄ…cych normach i wytycznych. Dla
niektórych kwestii punktem kontaktowy może
być przełożony, a w innych sprawach może to
być kierownik obiektu, wsparcie techniczne,
lub administrator systemu.
Issue-Specific Policy
5. Przykłady polityk:
a) Dopuszczalna zastosowanie poczty
elektronicznej.
b) Dopuszczalne wykorzystanie Internetu.
c) Polityki dla urządzeń mobilnych.
System-Specific Policy
1. Poprzednie polityki miały zastosowanie dla całej
organizacji. Jednakże system-specific policy ma
zastosowanie do wÄ…skiego zastosowania  dla
jednego systemu.
2. Jest opracowywany przez tzw. sponsora systemu
(lub władzę operacyjną systemu).
3. Jest w szczególności wykorzystywany, gdy jeden z
działów organizacji ze względu na swoją specyfikę
nie zgadza się z politykami bezpieczeństwa dla
całej organizacji.
System-Specific Policy
1. Obejmuje:
1. Cele bezpieczeństwa dla określonego systemu.
2. Wytyczne jak system powinien być
eksploatowany w celu osiągnięcia celów
bezpieczeństwa.
3. Stosowane zabezpieczenia, które będą
wypełniały cele bezpieczeństwa.
Wiele decyzji polityki bezpieczeństwa mają
zastosowanie tylko na poziomie systemu.
Przykłady obejmują następujące decyzje:
System-Specific Policy
4. Osoby majÄ…ce uprawnienia do czytania i
modyfikacji dane w systemie.
5. W jakich przypadkach dane mogą być
odczytywane lub modyfikowane?
6. Czy użytkownicy będą mogli połączyć się z
system komputerowym z domu lub w
podróży?
Dziękuję za uwagę!
mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl
ZARZ
DZANIE USA
UGAMI
W SYSTEMACH
OPERACYJNYCH
Ćwiczenia 6
mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl
Polityka bezpieczeństwa
Polityka bezpieczeństwa zawiera następujące
informacje:
-ð TytuÅ‚.
-ð Cel.
-ð ZatwierdzajÄ…cy.
-ð Wykonawca.
-ð Odniesienia do innych polityk.
-ð Zakres.
-ð Oczekiwane efekty.
-ð OdstÄ™pstwa.
-ð OdpowiedzialnoÅ›ci.
-ð ZarzÄ…dzanie zgodnoÅ›ciÄ….
-ð Opis sposobu sprawdzenia osiÄ…gniÄ™cia oczekiwanego efektu.
-ð Data wejÅ›cia w życie oraz czas ważnoÅ›ci.
-ð Użyte definicje.
Polityka poczty elektronicznej
1. Programme-level policy
2. Programme-framework policy
3. Issue-specyfic Policy: Stosowanie sieci WiFi i haseł
4. System-specyfic Policy: System  branżowy
Polityka poczty elektronicznej
1. Cel
Celem dokumentu (polityki) jest zapobieganie
kształtowaniu szkodliwego publicznego wizerunku
. Dla każdego e-mail wysyłanego z
, (autoryzowanego lub
nieautoryzowanego), opinia publiczna będzie
traktowała tą wiadomość jako oficjalny stanowisko
firmy .
Polityka poczty elektronicznej
2. Niedozwolone wykorzystanie
System pocztowy nie może być
wykorzystany do tworzenia lub rozpowszechniania
jakichkolwiek niechcianych lub obraz
liwych
wiadomości, w tym obraz
liwych komentarzy lub
uwagami dotyczącymi rasy, płci, niepełnosprawności,
wieku, orientacji seksualnej, przekonań religijnych i
politycznych, pochodzenie narodowe itp. Pracownicy,
którzy otrzymują e-maili z taką zawartością powinien
to natychmiast zgłosić do swojego przełożonego.
Zabrania się otwierania załączników wiadomości od
niezweryfikowanych nadawców.
Polityka poczty elektronicznej
3. Użytkowanie do celów osobistych
Rozsądne korzystanie z zasobów poczty do celów
prywatnych jest dopuszczalne, ale e-mail e nie
związane z pracą powinny być zapisane w osobnym
folderze. Wysyłanie tzw.  łańcuszków lub żartów
(kawałów) z konto e-mail jest zabronione. Ostrzeżenie
o wirusa lub innego zagrożeniach oraz masowe
wysyłanie wiadomości powinny być zatwierdzone
przez przed wysłaniem. Ograniczenia te
mają zastosowanie także do wiadomości
przekazywanych pocztą przez pracowników firmy>.
Polityka poczty elektronicznej
4. Monitorowanie
Poczta pracowników nie podlega
ochronie zgodnie z ustawÄ… o ochronie danych
osobowych w zakresie przechowywania, wysyłanie
lub odbierania wiadomości w systemie poczty
elektronicznej spółki. może
monitorować wiadomości bez wcześniejszego
uprzedzenia. Jednocześnie nie jest
zobowiązana do monitorowania wiadomości e-mail.
.
Polityka poczty elektronicznej
5. Odpowiedzialność
Każdy pracownik podejrzany o niestosowanie się do
polityki może zostać ukarany dyscyplinarnie włącznie
z natychmiastowym wypowiedzeniem stosunku pracy
Polityka poczty elektronicznej
6. Definicje
" E-mail
" Przekazywanie wiadomości
" Wiadomości  łańcuszki
" Nieuprawnione ujawnienie informacji
Dziękuję za uwagę!
mgr inż. Paweł SKURATOWICZ
pskuratowicz@poczta.wwsi.edu.pl