Bezpieczeństwo w systemie informatycznym
Autro: Q-TER©
Spis Treści :
Polityka Bezpieczeństwa…………………………………………………………... 2
Zasoby osobowe niezbędne do realizacji polityki bezpieczeństwa w przedsiębiorstwie…………………………………………………………………... 3
Skrócony model środowiska……………………………………………………... 4-5
Założenia rozwiązania do wdrażania i zarządzania polityką bezpieczeństwa....6-7
Etapy wdrożenia polityki bezpieczeństwa systemu informatycznego przedsiębiorstwa …………………………………………………………………. 8-9
Wdrożenie pilotażowe………………………………………………………….…..10
Efekty końcowe………………………………………………………………….….11
Bibliografia:
Adam Nowicki - „Systemy Informatyczne w zarządzaniu” A. Byrlicki - „Informatyka” Zbigniew Suski - cykl wykładów
1. Polityka bezpieczeństwa przedsiębiorstwa
Polityka bezpieczeństwa przedsiębiorstwa jest podstawowym dokumentem obejmującym całość zasobów materialnych i niematerialnych firmy ( w szczególności informacje ) określającym:
- Jakie zasoby powinny być chronione
-Zagrożenia dla chronionych zasobów i powód ich ochrony
-Środki ochrony i ich koszt
-Odpowiedzialność za ochronę zasobów na każdym poziomie organizacyjnym przedsiębiorstwa
Polityka bezpieczeństwa tworzona jest przez zespół złożony z:
- Menadżera bezpieczeństwa - Oficera bezpieczeństwa - Administratorów bezpieczeństwa
2. Zasoby osobowe niezbędne do realizacji polityki bezpieczeństwa w przedsiębiorstwie.
Menedżer bezpieczeństwa
Przedstawiciel Zarządu firmy, jego zadaniem analiza wagi informacji przepływających przez przedsiębiorstwo pod kątem zagrożeń dla bezpieczeństwa działalności gospodarczej. Menadżer określa, które informacje są krytyczne z punktu widzenia bezpieczeństwa firmy, określa ryzyko związane z utratą tych informacji.
Oficer bezpieczeństwa
Osoba posiadająca możliwość stałego kontaktu z Zarządem przedsiębiorstwa, określająca na podstawie informacji uzyskanych od Menadżera bezpieczeństwa zakres, metody i koszty ochrony informacji w przedsiębiorstwie. Oficer bezpieczeństwa sprawuje stałą kontrolę na tworzeniem, wdrożeniem i funkcjonowaniem polityki bezpieczeństwa przedsiębiorstwa.
Administratorzy bezpieczeństwa
Osoby podległe Oficerowi bezpieczeństwa zajmujące się wdrożeniem i administracją produktami realizującymi politykę bezpieczeństwa. W systemie informatycznym osoby pełniące tę funkcję mogą jednocześnie administrować zasobami tego systemu.
Osoby zajmujące z tworzeniem i realizacją polityki bezpieczeństwa muszą posiadać odpowiednie kwalifikacje by skutecznie realizować postawione im zadania. Wymaga to uwzględnienia w budżecie przedsiębiorstwa odpowiednich środków w celu uzupełnienia wiedzy osób pełniących wyżej opisane funkcje.
Wyżej wymienione stanowiska powinny zostać rozmieszczone zgodnie z hierarchiczną strukturą systemu zarządzania
- Manager bezpieczeństwa ( zależny od prezesesa lub rady nadzorczej )
- Oficer bezpieczeństwa ( zależny od Managera bezpieczeństwa )
- Administratorzy bezpieczeństwa ( zależni od Oficera Bezpieczeństwa )
3. Skrócony model środowiska
Do skróconego modelu środowiska można zaliczyć następujące etapy:
- Elementy systemu informatycznego zagrożone niepowołanym dostępem
- Bieżąca kontrola elementów systemu informatycznego pod kątem niepowołanego dostępu
- Tworzenie i wdrożenie polityki bezpieczeństwa oraz kontrola potencjalnych zagrożeń dla systemu informatycznego przedsiębiorstwa
- Zapewnienie bezpiecznej komunikacji między poszczególnymi częściami systemu informatycznego przedsiębiorstwa
Elementy systemu informatycznego zagrożone niepowołanym dostępem
W systemie informatycznym można wyodrębnić następujące funkcjonalne elementy zagrożone niepowołanym dostępem:
Warstwa aplikacji i danych ( obejmuje zagrożenia spowodowane niepowołanym dostępem do poszczególnych danych i aplikacji )
Warstwa systemów operacyjnych (obejmuje zagrożenia spowodowane niepowołanym dostępem do serwerów sieciowych )
Warstwa komunikacyjna (obejmuje zagrożenia spowodowane niepowołanym dostępem do sieci transmisji danych zarówno od strony sieci wewnętrznej jak i zewnętrznej )
Bieżąca kontrola elementów systemu informatycznego pod kątem niepowołanego dostępu
Bieżąca kontrola powinna obejmować wszystkie warstwy zagrożone niepowołanym dostępem i powinna zapewnić następujące funkcje:
Nieprzerwany monitoring kontrolowanych elementów
Szybkie wykrywanie pojawiających się zagrożeń
Natychmiastową, automatyczną reakcję na wykryte zagrożenia
Możliwość śledzenia podejrzanej aktywności w systemie
Zapamiętywanie schematów ataków
Współpraca z systemem kontroli działania polityki bezpieczeństwa
Tworzenie dokładnych i przejrzystych raportów
Możliwość powiadamiania personelu odpowiedzialnego za bezpieczeństwo
Możliwość centralnego i jednolitego dla całej sieci zarządzania
Współpraca z pozostałymi elementami systemu realizującymi ochronę systemu informatycznego
Stałą aktualizację scenariuszy ataków
Korelacja zdarzeń w systemie informatycznym
Tworzenie i wdrożenie polityki bezpieczeństwa oraz kontrola potencjalnych zagrożeń dla systemu informatycznego przedsiębiorstwa
Rozwiązanie realizujące w/w zadania powinno spełniać następujące funkcje:
Centralne i jednolite zarządzanie polityką bezpieczeństwa systemu informatycznego przedsiębiorstwa
Możliwość definiowania wielu polityk bezpieczeństwa dla całości lub poszczególnych części składowych systemu informatycznego przedsiębiorstwa
Wsparcie dla wszystkich platform softwareowych używanych w systemie informatycznym
Przyjazny interfejs użytkownika
Możliwość wykonywania audytów całości lub dowolnej części systemu informatycznego
Tworzenie dokładnych i przejrzystych raportów
Możliwość stworzenia hierarchicznej struktury zarządzania politykami bezpieczeństwa
Współpraca z pozostałymi elementami systemu realizującymi ochronę systemu informatycznego
Wykrywanie potencjalnych zagrożeń dla bezpieczeństwa systemu informatycznego
Natychmiastową, automatyczną reakcję na wykryte zagrożenia
Możliwość automatycznego wykrywania zasobów sieciowych i ich konfiguracji
Możliwość powiadamiania personelu odpowiedzialnego za bezpieczeństwo
Korelacja zdarzeń w systemie informatycznym
Graficzna prezentacja zbiorczych wyników audytów systemu dla kadry menedżerskiej przedsiębiorstwa
Zapewnienie bezpiecznej komunikacji między poszczególnymi częściami systemu informatycznego przedsiębiorstwa
Zapewnienie bezpiecznej komunikacji w systemie informatycznym powinno obejmować następujące funkcje:
Możliwość separacji transmisji w sieci pomiędzy częściami składowymi systemu informatycznego
Kontrolę transmisji w sieci pomiędzy częściami składowymi systemu informatycznego
Wykrywanie potencjalnych zagrożeń dla bezpieczeństwa systemu informatycznego
Natychmiastową, automatyczną reakcję na wykryte zagrożenia
Możliwość powiadamiania personelu odpowiedzialnego za bezpieczeństwo
Nieprzerwany monitoring kontrolowanych elementów
Współpraca z systemem kontroli działania polityki bezpieczeństwa
Tworzenie dokładnych i przejrzystych raportów
Możliwość tworzenia szyfrowanych kanałów transmisyjnych pomiędzy częściami systemu informatycznego
4. Założenia rozwiązania do wdrażania i zarządzania polityką bezpieczeństwa
Podstawowym zadaniem systemu informatycznego przedsiębiorstwa jest zapewnienie dostępności do danych, ich poufności oraz integralności.
Z uwagi na występujące zagrożenia w ciągłej realizacji zadań systemu informatycznego niezbędne jest wdrożenie polityki bezpieczeństwa przedsiębiorstwa w odniesieniu do systemu informatycznego. Rozwiązanie ma umożliwić pomoc w stworzeniu, wdrożeniu i opiece nad polityką bezpieczeństwa przedsiębiorstwa w odniesieniu do systemu informatycznego.
Funkcje realizowane przez rozwiązanie.
System ma umożliwić tworzenie i zarządzanie polityką bezpieczeństwa w heterogenicznym i rozproszonym środowisku. Rozwiązanie powino realizować powyższe zadanie dla różnych platform, systemów baz danych i aplikacji oraz różnych systemów transmisji danych.
Aplikacje wchodzące w skład proponowanego rozwiązania powinny posiadać łatwy w użyciu interfejs graficzny. Dodatkowo system powinien generować dokładne i przejrzyste raporty. W celu szybkiego dostępu do informacji doradzam wybór rozwiązań posiadających możliwość przekazu raportu w formacie HTML. Rozwiązanie ma zapewnić zbieranie informacji o wszelkich zdarzeniach w systemie informatycznym mogących zagrozić jego bezpieczeństwu oraz szybką reakcję na te zdarzenia. Równocześnie należy zwrócic uwagę na zapewnienie jednolitego zarządzania polityką bezpieczeństwa, umożliwiającego wykonanie okresowych audytów zgodności konfiguracji systemu informatycznego z założoną polityką bezpieczeństwa. Zapewnienie poufności informacji przesyłanej między jego częściami składowymi to już wymaganie bezapelacyjne.
Modularność, elastyczność i łatwość rozbudowy rozwiązania
Rozwiązanie powinno składać się z jednej bądź szeregu aplikacji, które mogą pracować zarówno w trybie autonomicznym jak również mogą ze sobą współdziałać. Dobrym wyborem jest architektura klient-server-konsola ( np agent-manager-konsola ) umożliwiająca tworzenie hierarchicznego systemu zarządzania polityką bezpieczeństwa obejmującego wszystkie zasoby sieci przy niewielkich zasobach osobowych ( w szczególnym przypadku duży system informatyczny może być zarządzany z jednej konsoli ). Modularność rozwiązania pozwoli na płynną rozbudowę i zmianę konfiguracji systemu.
Przezroczystość rozwiązania
Rozwiązanie nie może ingerować w bieżące działanie systemu informatycznego przedsiębiorstwa i nie zakłócać pracy innych aplikacji. W przypadku awarii któregokolwiek modułu rozwiązania system informatyczny przedsiębiorstwa ma funkcjonować w normalny sposób. Zwiększenie wykorzystania zasobów systemu informatycznego ( mocy obliczeniowej maszyn i ruchu w sieci ) spowodowane wdrożeniem rozwiązania powinno być niewielkie i przede wszystkim nie zakłócać pracy systemu.
5. Etapy wdrożenia polityki bezpieczeństwa systemu informatycznego przedsiębiorstwa
Wdrożenie polityki bezpieczeństwa należy podzielić na następujące etapy:
- Analiza istniejącego stanu
- Stworzenie planu wdrożenia
- Inwentaryzacja zasobów regionu systemu informatycznego objętego wdrożeniem
- Instalacja oprogramowania w regionie objętym wdrożeniem
- Dostosowanie oprogramowania do specyficznych wymagań środowiska klienta
- Dokumentacja powdrożeniowa
Analiza Istniejącego stanu
Analiza istniejącego stanu obejmuje stworzenie schematu organizacyjnego systemu informatycznego przedsiębiorstwa. Schemat powinien uwidaczniać podział systemu informatycznego na regiony objęte wdrożeniem z uwzględnieniem zasobów sprzętowych, programowych i osobowych w poszczególnych regionach oraz sprzęt i oprogramowanie używane przez regiony do komunikacji w granicach systemu informatycznego i ze światem zewnętrznym.
Stworzenie planu wdrożeń w poszczególnych regionach
Plan wdrożeń powinien określić kolejność wdrażania polityki bezpieczeństwa w poszczególnych regionach. Powinien również określić harmonogram zakupu sprzętu i oprogramowania oraz zasoby osobowe i zmiany organizacyjne niezbędne do wdrożenia w poszczególnych regionach.
Inwentaryzacja zasobów regionu systemu informatycznego objętego wdrożeniem
Szczegółowa inwentaryzacja zasobów regionu objętego wdrożeniem powinna określić sprzęt komputerowy, systemy operacyjne, aplikacje, urządzenia komunikacyjne, protokoły komunikacyjne, powiązania z resztą systemu informatycznego oraz osoby sprawujące nadzór na danym regionem.
Instalacja oprogramowania w regionie objętym wdrożeniem
Instalacja oprogramowania powinna odbyć się w sposób ograniczający do minimum przerwy w pracy poszczególnych komponentów systemu. Realizacja instalacji musi odbyć się przy współudziale administratorów odpowiedzialnych za funkcjonowanie regionu objętego wdrożeniem. Instalacja powinna być zakończona wstępnym audytem systemu w celu sprawdzenia rozbieżności między założoną polityką bezpieczeństwa i bieżącą konfiguracją systemu. Powyższy etap powinien być zakończony protokołem zawierającym listę wszystkich zainstalowanych komponentów i wnioskami z przeprowadzonego audytu.
Dostosowanie oprogramowania do specyficznych wymagań środowiska klienta
Na podstawie przeprowadzonego wstępnego audytu systemu należy przeprowadzić rekonfigurację systemu w celu spełnienia przez niego wymagań polityki bezpieczeństwa. Realizacja tego etapu wymaga zarówno rekonfiguracji oprogramowania wspomagającego wdrożenia polityki bezpieczeństwa jak i rekonfiguracji systemów operacyjnych, aplikacji i danych. Powyższe czynności należy przeprowadzić przy współudziale administratora odpowiedzialnego za dany region wdrożenia. Wszelkie zmiany w konfiguracji powinny być udokumentowane. Następnie należy przeprowadzić ponowny audyt systemu w celu kontroli prawidłowości przeprowadzonych zmian.
Dokumentacja powdrożeniowa
Wdrożenie zakończone jest dokumentacją zawierającą specyfikację zainstalowanych komponentów realizujących politykę bezpieczeństwa, raport z audytu wstępnego z wniskami, opis zamian konfiguracyjnych w systemie informatycznym wykonanych na podstawie audytu, opis konfiguracji poszczególnych komponentów realizujących politykę bezpieczeństwa oraz raport z audytu końcowego. W dokumentacji powdrożeniowej należy umieścić protokół odbioru technicznego wykonanych prac.
6. Wdrożenie pilotażowe
W celu przetestowania skuteczności funkcjonowania rozwiązania konieczne jest wykonanie instalacji pilotażowej.
Zakres wdrożenia pilotażowego
Wdrożenie pilotażowe powinno objąć jeden z regionów wdrożenia.
dla przykładu:
Środowisko laboratoryjne lub testowe
Centrum Kontroli Bezpieczeństwa
Wdrożenie pilotażowe powinno zakładać instalację wszystkich komponentów w celu dokładnego zapoznania się z funkcjami realizowanymi przez dane rozwiązanie. Z przyczyn czysto objektywych nie podajemy nazwy konkretnego rozwiązania, ponieważ powinno ono być dostosowane do naszych indywidualnych wymagań.
7. Efekty końcowe
Efektem końcowym wdrożenia powinno być istotne zwiększenie poziomu ufności systemu informatycznego z uwagi na zwiększenie poziomu bezpieczeństwa tego systemu. Po zakończeniu wdrożenia możliwe będzie samodzielne monitorowanie, detekcja niepożądanej aktywności, natychmiastowa reakcja na zaistniałe zagrożenia oraz przewidywanie możliwych zagrożeń dla systemu informatycznego przedsiębiorstwa.
1