Polityka bezpieczeństwa. Budowa Dokumentu Zasad Bezpieczeństwa

Praca zaliczeniowa z seminarium u dr Małgorzaty Pańkowskiej

Katowice 2001

Spis treści

Wstęp

1. Polityka bezpieczeństwa

1. Definicja polityki bezpieczeństwa

2. Czego polityka bezpieczeństwa zawierać nie powinna

3. Dokument Zasad Bezpieczeństwa (IT Security Policy)

4. Przykładowa struktura Dokumenty Polityki Bezpieczeństwa Informacji

2. Projekt Dokumentu Zasad Bezpieczeństwa

1. Struktura organizacji

2. Struktura systemu informatycznego

3. Standardy mające wpływ na bezpieczeństwo i zarządzanie

4. Procedury związane z bezpieczeństwem

5. Analiza zagrożeń oraz metody zarządzania elementami ochrony przed tymi zagrożeniami

6. Pewność i dostępność systemu

7. Wprowadzanie i usuwanie użytkowników systemu

8. Szkolenia pracowników

9. Reakcja na zagrożenia

10. Plan reakcji na katastrofy

11. Monitorowanie zgodności z Dokumentem Zasad Bezpieczeństwa

3. Oprogramowanie pomocnicze

Bibliografia

Wstęp

Ta praca zaliczeniowa ma na celu ułatwienie czytelnikowi zrozumienie potrzeby tworzenia polityki bezpieczeństwa w organizacjach. Praca przybliża terminy związane z bezpieczeństwem przepływu informacji, niebezpieczeństwami czyhającymi na organizacje we współczesnym świecie oraz z samą polityką bezpieczeństwa. Zamieszczony przykładowy projekt Dokumentu Zasad Bezpieczeństwa (tak nieodzowny przy wdrażaniu i kontrolowaniu przyjętej polityki) pozwoli skonstruowanie własnej Księgi Zasad Bezpieczeństwa dzięki wytycznym w nim zawartych. Ostatni rozdział jest dodatkiem do pracy i ma na celu pokazanie, iż osoba chcąca zaprojektować politykę bezpieczeństwa systemu informatycznego oraz wdrożenie nie jest zostawiona sama sobie ale ma do dyspozycji najnowsze oprogramowanie i najnowocześniejsze technologie, które mogą pomóc jej w realizacji celów.

1. Polityka bezpieczeństwa

1. Definicja polityki bezpieczeństwa

Przed zdefiniowaniem terminu polityki bezpieczeństwa należałoby najpierw zdefiniować sam termin bezpieczeństwa. Komitet X/Open definiuje bezpieczeństwo jako: „...stan systemu IT, w którym poziom ryzyka jego aplikacji jest zredukowany do akceptowalnego poziomu poprzez zastosowanie odpowiednich środków...” [7]. Mówiąc o bezpieczeństwie systemów informatycznych mamy na myśli wszystkie procesy związane z informacją to jest: wytwarzanie, przetwarzanie, przechowywanie, archiwizowanie, przesyłanie, zbieranie, prezentowanie oraz niszczenie. Zapewnienie bezpieczeństwa systemów teleinformatycznych oznacza, gwarantowanie utrzymania atrybutów informacji takich jak:

• Poufność, która oznacza ograniczony i ściśle zdefiniowany krąg osób mających do niej dostęp.

• Integralność, to jest zapewnienie niezmienności jej postaci (postać oryginalna), za wyjątkiem momentów kiedy informacja ta jest w sposób legalny modyfikowana.

• Autentyczność (informacji, nadawcy, adresata) - oznacza to zgodność tożsamości informacji (nadawcy, adresata) z deklaracją do niej przypisaną.

• Dostępność (informacji) dla wszystkich uprawnionych do tego osób.

• Rozliczalność - oznaczająca precyzyjne i jednoznaczne powiązanie każdego dostępu do informacji z właściwą uprawnioną osobą która tego dokonała

• Niezawodność pracy całości systemu a w szczególności aplikacji i urządzeń zawierających, przetwarzających, przesyłających,.... informacje podlegające ochronie.[6]

Wyróżniamy trzy podstawowe obszary realizacji zabezpieczeń systemów informatycznych obejmujące:

• Bezpieczeństwo fizyczne (strefy bezpieczeństwa, zamykane pomieszczenia, szafy pancerne, przepustki, identyfikatory)

• Bezpieczeństwo techniczne,

• Bezpieczeństwo organizacyjno-proceduralne [10]

Dobrze funkcjonujący system ochrony informacji zapewniający bezpieczeństwo na wymaganym poziomie wykorzystuje zawsze metody i środki ze wszystkich trzech wymienionych obszarów. Oznacza to kompleksowy charakter zabezpieczeń. Nie jest możliwe zapewnienie bezpieczeństwa systemów teleinformatycznych przy wykorzystaniu rozwiązań tylko z jednej lub dwóch przedstawionych grup. Co więcej należy stwierdzić, że wszystkie trzy wymienione obszary są jednakowo ważnymi elementami realizacji polityki bezpieczeństwa informacji.[10]

Polityka bezpieczeństwa zawiera opisy zalecanych metod ochrony i zasad postępowania, oraz wyjaśnienia dlaczego zasady są takie a nie inne. Polityka bezpieczeństwa powinna być jasno sformułowana. Musi dawać klarowny obraz podziału odpowiedzialności i kompetencji. Dokument określający politykę bezpieczeństwa powinien jasno określić mechanizmy jej realizacji. Aby polityka była dobrze realizowana muszą istnieć mechanizmy wymuszające realizację. Mechanizmem takim może być upoważnienie odpowiednich osób odpowiedzialnymi za realizacje polityki bezpieczeństwa.

A oto jak zdefiniowano hierarchię polityki bezpieczeństwa w dokumencie TISM (Total Information Security Management): Przyjmuje się trzy podstawowe poziomy w hierarchii polityki bezpieczeństwa:

• Polityka Bezpieczeństwa Informacji - dokument główny

• Grupa Informacji

• System Przetwarzania

Poziom głównego dokumentu Polityki Bezpieczeństwa Informacji jest poziomem, na którym ustala się podstawowe zasady ochrony informacji w organizacji. Na poziomie grupy informacji ustala się specyficzne wymagania ochrony dla danej grupy informacji. Poziom systemu przetwarzania jest natomiast poziomem, na którym określa się spełnienie wymagań wyższych poziomów przez system przetwarzania, w którym informacje z danej grupy się znajdą.[11] Można doszukać się wielu definicji polityki bezpieczeństwa. Wg jednej z nich „polityka bezpieczeństwa Informacji jest to zestaw praw, reguł i zasad tworzenia, dystrybucji, użytkowania i przechowywania niejawnych informacji” (Definicja z dokumentów normatywnych Departamentu Obrony USA przekazana na spotkaniu AFCEA Rome Symposium and Exposition 1994). Druga z definicji mówi, że „polityka bezpieczeństwa informacji to przeciwdziałanie zagrożeniom przypadkowej lub celowej utraty poufności, integralności lub dostępu do informacji” (definicja z "Przepisów bezpieczeństwa UZE - RS 100, dokument wydany w 1996r). Niezbędność poczynań obronnych dowolnej organizacji postrzega się poprzez cele jakie wyznacza polityka bezpieczeństwa informacji;

Rys.1. Modułowa i hierarchiczna struktura polityki bezpieczeństwa - Proces tworzenia dokumentów na poszczególnych poziomach polityki bezpieczeństwa

Poziomy określenia

wymagań

Poziom spełnienia

wymagań

(rys.1. „TISM” [11])

1. Czego polityka bezpieczeństwa zawierać nie powinna

Polityka zabezpieczeń definiuje metody zapewniania odpowiednio wysokiego poziomu bezpieczeństwa organizacji, a nie szczegóły techniczne, które powinny się znaleźć w opisie strategii i taktyki zapewniania bezpieczeństwa organizacji. Polityka bezpieczeństwa przedsiębiorstwa może wzorować się na polityce bezpieczeństwa innej organizacji ale należy unikać bezkrytycznego przyjmowania rozwiązań. Każda organizacja ma pewną specyfikę, którą powinna uwzględniać polityka bezpieczeństwa. Ogólny charakter polityki ochrony polega na założeniu, że posiada on długi okres życia. Zmiany wprowadzane w trakcie korzystania z wybranej polityki bezpieczeństwa wynikać mogą ze zmian zagrożeń bądź zmian zasobów chronionych. Polityka bezpieczeństwa nie powinna ulegać dezaktualizacji wraz ze starzeniem się technologii informatycznych.

2. Dokument Zasad Bezpieczeństwa (IT Security Policy)

IT Security Policy jest Dokumentem Zasad Bezpieczeństwa. Ma on na celu zdefiniowanie reguł ochrony informacji. Zawiera procedury ich wprowadzenia w życie. ITSP powinien zawierać opis zagrożeń oraz techniczne i proceduralne zasady ich unikania. Dokument zasad bezpieczeństwa powinien być skonstruowany według planu. Przykładowy dokument zasad bezpieczeństwa mógłby składać się z takich jedenastu podstawowych punktów jak : struktura organizacji, struktura systemu informatycznego, standardy mające wpływ na bezpieczeństwo i zarządzanie, procedury związane z bezpieczeństwem, analiza zagrożeń oraz metody zarządzania elementami ochrony przed tymi zagrożeniami, pewność i dostępność systemu, wprowadzanie i usuwanie użytkowników systemu, szkolenia pracowników, reakcja na zagrożenia, plan reakcji na katastrofy, monitorowanie zgodności z Dokumentem Zasad Bezpieczeństwa.

Dokument Zasad Bezpieczeństwa można zdefiniować jeszcze inaczej: „Polityka ochrony informatycznej jest dokumentem zaakceptowanym przez kierownictwo, określającym podstawowe cele ochrony, jej zakres, ogólne formy realizacji i służby za nią odpowiedzialne. Dokument ten stanowi później podstawę do opracowania i wprowadzenia: systemu ochrony, planu działania awaryjnego oraz planu kontroli i aktualizacji systemu ochrony” [8].

3. Przykładowa struktura Dokumenty Polityki Bezpieczeństwa Informacji

(rys.2. „TISM” [11])

2. Projekt Dokumentu Zasad Bezpieczeństwa

1. Struktura organizacji

Przy określaniu struktury organizacji przydatne może okazać się określenie strategii informatyzacji firmy. Wdrażanie polityki bezpieczeństwa należy do procesu informatyzacji przedsiębiorstwa. Proces formułowania strategii informatyzacji firmy przebiega w sześciu etapach a pierwszy z nich składa się z czterech kroków:

1. Określenie celów technologii informacji w strategii organizacji

2. Określenie znaczenia technologii informacji w strategii jednostki biznesu

3. Określenie znaczenia technologii informacji dla każdej funkcji organizacji

4. Zidentyfikowanie strategiczne jednostki technologii informacji [1]

W skład struktury organizacji wchodzą stanowiska (role) oraz zakres odpowiedzialności. Określenie ich w tym punkcie jest bardzo ważnym elementem pozwalającym na szybkie reagowanie w razie niebezpieczeństwa oraz na późniejsze wyciągnięcie konsekwencji w wypadku jakiegoś niepowodzenia. Na poziomie dokumentu głównego Polityki Bezpieczeństwa Informacji określone są role:

• Głównego Administratora Informacji (GAI)

• Głównego Administratora Bezpieczeństwa Informacji (GABI)

Na poziomie Grupy Informacji określone są role:

• Administratora Grupy Informacji (AI)

• Administratora Bezpieczeństwa Grupy Informacji (ABI)

Na poziomie Systemu Przetwarzania określone są role:

• Administratora Systemu (AS)

• Administratora Bezpieczeństwa Systemu (ABS) [11]

Rys.3. Zarządzanie informacją i jej bezpieczeństwem na trzech poziomach.

(Rys.3 „TISM” [11])

1. Struktura systemu informatycznego

W tym punkcie należałoby się skupić na omówieniu struktury systemu z uwzględnieniem trzech podstawowych elementów: danych, oprogramowania oraz sprzętu. Na początku musimy uzmysłowić sobie jakie informacje musimy chronić. Analiza istniejącego stanu obejmuje stworzenie schematu organizacyjnego systemu informatycznego przedsiębiorstwa. Schemat powinien uwidaczniać podział systemu informatycznego na regiony objęte wdrożeniem z uwzględnieniem zasobów sprzętowych, programowych i osobowych w poszczególnych regionach oraz sprzęt i oprogramowanie używane przez regiony do komunikacji w granicach systemu informatycznego i ze światem zewnętrznym.

Ukryć chcemy lub musimy różne informacje. Począwszy od danych osobowych własnych czy cudzych, poprzez stan konta bankowego, ilość, rodzaj i miejsce prowadzonych interesów. Czasem będzie to stan zdrowia, innym razem będą to współpracujące firmy czy dłużnicy. Pilnujemy informacji własnych, cudzych, społecznych, państwowych itd. Ochronie powinna podlegać każda informacja uznana przez jej autora (źródło) czy gestora za wrażliwą. Bez względu na to, do jakiej grupy tajemnic możemy tę informację zaliczyć.[6] A oto następujący wykaz systematyczny wiadomości  zawierających tajemnicę:

• A - tajemnica państwowa : informacje ściśle tajne i tajne; 

• B - tajemnica służbowa : informacje poufne i zastrzeżone; 

• C - tajemnica bankowa; 

• D - tajemnica handlowa; 

• E - tajemnica skarbowa; 

• F - tajemnica statystyczna; 

• G - dane osobowe; 

• H - tajemnica przedsiębiorstwa; 

• I - tajemnica prywatna i osobista, tajemnica lekarska i inne; [6]

Wymaga się, aby wszystkie systemy, w których może się znaleźć informacja zastrzeżona spełniały odpowiednie warunki bezpieczeństwa:

1. Kontrola dostępu

1. System musi zapewniać, że do informacji będą miały dostęp wyłącznie upoważnione osoby,

2. System musi zapewniać, że upoważnione osoby będą mogły wykonywać wyłącznie dopuszczone dla nich operacje,

3. System musi posiadać możliwość czasowego nadawania praw dostępu
   z automatycznym wygasaniem tych praw.

2. Integralność systemu

1. System musi się składać wyłącznie z dopuszczonych do systemu elementów i jego stan musi być przez cały czas eksploatacji pod kontrolą.

3. Jednoznaczność operacji

1. System musi w jednoznaczny sposób umożliwiać identyfikację osób, które dokonały zmiany w informacji zastrzeżonej.

2. System musi w jednoznaczny sposób umożliwiać identyfikację osób, które wykonały krytyczne operacje (wymienione w Polityce Bezpieczeństwa Grupy Informacji).

4. Zarządzanie bezpieczeństwem

1. System musi posiadać mechanizmy pozwalające wykryć próby nieautoryzowanego dostępu do informacji lub przekroczenia przyznanych uprawnień w systemie.

5. Zarządzanie informacją

1. System musi zapewniać integralność danych przez cały czas przechowywania informacji,

2. System musi posiadać mechanizmy bezpowrotnego niszczenia informacji.[11]

Mimo, że architektura zabezpieczeń większości systemów informatycznych ma wiele wspólnych cech, dostępny jest szeroki zakres opcjonalnych rozwiązań różnych w sensie specyficznych technik zabezpieczenia nośników elektronicznych, algorytmów kryptograficznych, długości kluczy i monitoringu transakcji. Opcje różnią się zależnie od kosztów, funkcjonalności i wiarygodności.[13]

1. Standardy mające wpływ na bezpieczeństwo i zarządzanie

„Ogólnym celem normowania systemów informatycznych, zwłaszcza instytucji państwa jest ich harmonizacja. Nazwa ta pochodzi od angielskiego harmonized standard, oznaczającego spójność norm.”[2] Interesującymi nas standardami mogą być normy wprowadzone przez Polski Komitet Normalizacji Miar i Jakości od 1 października 1993 roku np.: ISO 8402, ISO 9000, ISO 9001, ISO 9002, ISO 9003 oraz ISO 9004. Innymi normami mogą być wprowadzone międzynarodowe standardy dotyczące oprogramowania np. IEEE 830, IEEE 1062 oraz IEEE 1074.

Kryteria oceny systemów są bardzo złożonym zagadnieniem i wymagającym stosowania specyficznej metodyki. Bez powracania do słynnej w kręgach teleinformatyków "Pomarańczowej księgi" (Dep. Obrony USA - 1985r.) można wymienić jeszcze europejską "normę" jaką jest ITSEC (Information Technology Security Evaluation Manual -1993r.). Jej polska wersja stosowana jest przez Urząd Ochrony Państwa. Logiczne tłumaczenie ITSEC zostało wprowadzone do stosowania przez Jednostkę Certyfikującą Biura Bezpieczeństwa Łączności i Informatyki UOP w 1997r. Jednocześnie w jednostce tej funkcjonują laboratoria badające niektóre produkty teleinformatyczne. „Obecnie stosowane są także przepisy normy ISO/IEC pod nazwą (ang.) Common Criteria for Information Technology Security Evaluation. Że bezpieczeństwo teleinformacyjne jest trudną materią. niech świadczy fakt, że z pośród Połączony komitet ISO/IEC JTC 1 przygotowuje trzy typy raportów technicznych. W 1999 roku Polski Komitet Normalizacyjny wydał normę pod nazwą "PN - I - 13335 - 1, Technika informatyczna - Wytyczne do zarządzania zabezpieczeniami systemów informatycznych - Pojęcia i modele zabezpieczeń systemów informatycznych". Jest ona tłumaczeniem oficjalnej wersji ISO/ICE TR 13335-1 i stanowi w stosunku do niego polski równoważny dokument techniczny. Interesującą nas normę opracowała Normalizacyjna Komisja Problemowa nr 182 ds. Zabezpieczenia Systemów i Ochrony Danych.”[6]

Zanim będzie można mówić o prawidłowościach lub mankamentach polityki bezpieczeństwa stosowanej w konkretnych organizacjach, należy najpierw doprowadzić do utworzenia odpowiednich podwalin zabezpieczeń polskiego systemu zabezpieczeń w skali państwa.

2. Procedury związane z bezpieczeństwem

Niezależnie od specyfikacji systemu, zaleca się, aby polityka ochrony wprowadzała pięć fundamentalnych zasad:

• Zasadę jednostkowej odpowiedzialności - każdy klasyfikowany zbiór danych powinien mieć swojego właściciela tzn. osobę odpowiedzialną za jego bezpieczeństwo.

• Zasadę wiedzy koniecznej - każdy użytkownik systemu ma prawa dostępu wyłącznie do tych informacji, które są niezbędne do realizacji jego zadań.

• Zasadę obecności koniecznej - pracownicy oraz osoby z zewnątrz nie mają prawa przebywania w pomieszczeniach, z których korzystanie nie jest objęte zakresem ich obowiązków i nie ma związku z pełnionymi przez nich funkcjami.

• Zasadę wieloosobowej realizacji - funkcje, które łącznie mogą zostać wykorzystane do kompromitacji systemu nie powinny być pełnione przez jedną osobę.

• Zasadę rotacji obowiązków - szczególnie ważne funkcje powinny być przydzielane okresowo, z tym większą częstotliwością zmian, im bardziej poufnych informacji dotyczą.[8]

1. Analiza zagrożeń oraz metody zarządzania elementami ochrony przed tymi zagrożeniami

Na wstępie należałoby wspomnieć o zagrożeniach na jakie narażone są informacje. Najprostszą i chyba najbardziej oczywistą klasyfikacją jest podział zagrożeń na losowe - których występowanie nie jest związane z niczyją złą wolą oraz intencjonalne - powodowane w sposób świadomy i zamierzony.

1. Losowe zewnętrzne Temperatura Wilgotność wyładowania atmosferyczne zanieczyszczenia zakłócenia zasilania systemu itd. kataklizmy (jak trzęsienie ziemi, powódź,...) zamieszki, wojna, itp...	2. Losowe wewnętrzne błędy operatora błędy administratora wadliwa konfiguracja systemu zaniedbania defekty struktury, sprzętu, oprogramowania, itd...
1. Intencjonalne pasywne podsłuch (snifing), podgląd (obserwacja, monitorowanie pola elektromagnetycznego, fal radiowych itp.), analiza ruchu (liczba, rozmiar, częstość, źródło i miejsce przeznaczenia)	2. Intencjonalne aktywne modyfikacja, usunięcie informacji, wprowadzenie własnego komunikatu, przekierowanie informacji, powtarzanie, maskarada, pośrednictwo.

(Tabela 1. P. Luksic [6])

Zarówno zagrożenia losowe jak i zagrożenia intencjonalne mogą mieć charakter wewnętrzny jak i zewnętrzny. Zagrożenia wewnętrzne uznawane są za groźniejsze niż zewnętrzne a konsekwencje ich wystąpienia prowadzą do znacznie większych strat i komplikacji. Również częstotliwość występowania zagrożeń wewnętrznych jest dużo większa niż tych zewnętrznych. Faktem jest, że najpoważniejsze niebezpieczeństwo zagraża systemom informatycznym firm czy instytucji ze strony własnych pracowników. To oni w sposób świadomy (intencjonalny), lub nie świadomy (losowy) niszczą, modyfikują lub przekazują osobom niepowołanym najcenniejsze dane. Dzieje się tak tym łatwiej, że stosowane zabezpieczenia (o ile w ogóle są stosowane) ukierunkowane są zazwyczaj na odpieranie ataków „wroga zewnętrznego”. Dlatego niezmiernie ważne jest świadome i kompleksowe stosowanie metod ochrony informacji [6].

W tym miejscu trzeba określić metody ochrony przed zagrożeniami Mogą to być np. nadmiarowość sprzętu, systemy Fault Tolerant, ochrona fizyczna (zamki, strażnicy), kontrola dostępu do systemu (hasła, uwierzytelnianie, prawa dostępu), zasady przechowywania danych i zasady niszczenia nośników informacji. Zamiast używać konkretnych nazw programów odpowiedzialnych za zabezpieczenia można użyć nazwy typów, których chcemy użyć do polepszenia bezpieczeństwa. Do wyboru mamy kilka:

• ISS - Internet Security Scanner - program dokonujący zdalnego skanowania systemów i wykrywający luki w ich konfiguracji, które mogą zostać wykorzystane do zdalnego włamania się.

• System Scanner - skaner przeznaczony do wykrywania błędów "wewnętrznych" w konfiguracji systemów operacyjnych

• RealSecure - narzędzie do monitorowania ruchu sieciowego i wykrywania na jego podstawie prób włamania

• ESM - Enterprise Security Manager - aplikacja przeznaczona do nadzoru nad rozległymi systemami komputerowymi złożonymi z wielu serwerów i wykrywania błędów i nieprawidłowości w ich konfiguracji

• ITA - Intruder Alert - system korelacji i wnioskowania na podstawie informacji (logów) pochodzących z rozmaitych systemów, aplikacji i tym podobnych. Posiada również rozbudowany system reagowania na podejrzewane próby włamania.[9]

Dla zwiększenia bezpieczeństwa można wprowadzić inne systemy uwierzytelniania użytkowników. Tradycyjne statyczne identyfikatory i hasła nie stanowią skutecznego rozwiązania kwestii unikalnej autoryzacji użytkowników. Zbyt łatwo dowiadują się o nich inne osoby, są one wyjawiane, zgadywane, a nawet łamane. Użytkownicy zmuszani do regularnego zmieniania swoich haseł wybierają hasła oczywiste lub łatwe do odgadnięcia. Współcześni użytkownicy muszą zapamiętywać tak wiele haseł, że notują je i zostawiają na widoku. Dwuelementowe systemy autoryzacji pozwalają w unikalny sposób zidentyfikować tożsamość użytkowników nie zmuszając ich do zapamiętywania kolejnego nowego hasła. Idea uwierzytelniania dwuelementowego wywodzi się ze sprawdzonej zasady, w myśl której użytkownik jest w posiadaniu dwóch unikalnych elementów: urządzenia zwanego tokenem oraz numeru PIN aktywującego token. W ten sposób powstaje unikalne, jednorazowe hasło, którego nie można odgadnąć, udostępnić, ani złamać. Uwierzytelnianie dwuelementowe tym skuteczniej zwiększa poziom bezpieczeństwa, że wymaga od użytkownika posiadania unikalnego przedmiotu (tokenu wydanego przez administratora zabezpieczeń) i unikalnej wiedzy (numeru PIN uruchamiającego urządzenie). Po wywołaniu przez serwer zabezpieczeń (ang. Defender Security Server), łatwe w użyciu tokeny obliczają jednorazowe hasło. Nie posiadając unikalnego tokenu, należącego do uprawnionego użytkownika i uruchamiającego go numeru PIN, potencjalni napastnicy nie są w stanie wyliczyć jednorazowego hasła. Nawet gdyby hasło zostało przechwycone, nie wynika z tego żadne zagrożenie, ponieważ raz użyte hasło nigdy już nie będzie obowiązywało.

Bezpieczeństwo fizyczne stanowi jeden z głównych filarów procedur warunkujących uzyskanie wymaganego poziomu bezpieczeństwa teleinformacyjnego. „Bezpieczeństwo fizyczne to ochrona obiektów, osób, dokumentów, materiałów związana z fizycznym oraz elektronicznym przechowywaniem, przetwarzaniem i przesyłaniem informacji wymagających ochrony przed dostępem (zagrożeniem) fizycznym i bezpośrednią obserwacją”.[6]

Ochrona obejmuje procedury sprawdzające i dopuszczeniowe. Wszystkie warunki, zasady i zastrzeżenia niezbędne do zapewnienia bezpieczeństwa fizycznego właśnie tak szeroko pojętego, powinny znaleźć właściwe sobie miejsce w zestawie dokumentów stanowiących trzon polityki bezpieczeństwa teleinformacyjnego. Należy jasno określić zasady dostępu do systemu, oraz role poszczególnych pracowników związanych z systemami informatycznymi np.: użytkownicy, administratorzy, operatorzy, analitycy systemowi, konsultanci techniczni, eksperci, programiści i inni.

1. Pewność i dostępność systemu

Przy udostępnianiu informacji użytkownikom należy zdecydować jaką rolę będą oni pełnić. Takie podejście pozwala na łatwe i elastyczne zarządzanie prawami dostępu do informacji zastrzeżonych. Dobrze zdefiniowane role ułatwiają również tworzenie wielu procedur związanych np. z przyznawaniem i odbieraniem praw dostępu. Role można powiązać (ale nie trzeba) np. ze stanowiskami pracy i „zautomatyzować” proces nadawania ról. W przypadku osób, które nie są pracownikami ich role są określane na podstawie odrębnych umów. Do każdej roli przypisany jest dostęp do określonych informacji zastrzeżonych oraz uprawnienia do ich przetwarzania.[11] Należy uważać aby przy ograniczaniu dostępu nie popełniać kilku błędów: „... zwykle modele troski o bezpieczeństwo w firmie mają jeden z dwóch przedstawianych przykładów. Po pierwsze, to brak jest całkowicie troski o bezpieczeństwo danych (lub troska pozorna) aż do chwili, gdy nastąpiła niespodziewana "katastrofa". Bolesne uświadomienie powoduje skok w przeciwną stronę. Następuje skokowy rozwój zabezpieczeń, aż do wprowadzenia nadmiernych restrykcji w korzystaniu z systemu komputerowego. Zwłaszcza tam, gdzie zmiany dokonywane są intuicyjnie, gdzie nie stosuje się metodologicznego zarządzania bezpieczeństwem i zarządzania ryzykiem. Zwłaszcza dobrze przeprowadzona analiza ryzyka może zracjonalizować zachowania przełożonych i podwładnych. Należy szczególnie zaznaczyć, iż przeciwdziałanie ryzykom, blokada możliwości realizacji różnego typu zagrożeń, przynosi najlepsze rezultaty.”[6]

Czas dostępu do poszczególnych informacji zastrzeżonych określony jest czasem wykonania zadania wynikającego z pełnionej roli. O nadaniu roli danej osobie decyduje Administrator grupy informacji, a zatwierdza to Administrator bezpieczeństwa grupy informacji. Konkretne prawa dostępu do informacji są realizowane poprzez systemy, w których informacja jest przetwarzana. Operacje przyznawania praw dostępu są wykonywane przez Administratorów bezpieczeństwa systemów przetwarzania informacji zastrzeżonych.

Zagrożeniem dla wysokiego poziomu ciągłości dostępności usług i zasobów danych są z pewnością utraty zasilania. Aby zapewnić użytkownikom nieprzerwaną dostępność i gotowość wszystkich zasobów niezbędnych do funkcjonowania organizacji trzeba zaplanować odpowiednią politykę Planowania Ciągłości Działania (Business Continuity Planing). Na przykład aby ograniczyć straty związane ze spadkami napięcia warto pomyśleć o zainstalowaniu systemów awaryjnego zasilania (UPS) do komputerów będących najważniejszymi elementami infrastruktury informatycznej. W przypadku większych systemów (serwery bankowe, komputery typu mainframe) można pomyśleć o zakupie generatorów prądu. PCD jest przede wszystkim wymogiem ekonomicznym wynikającym z faktu, że organizacja funkcjonuje w konkretnych warunkach gospodarczych i podlega wszystkim czynnikom jakie panują i decydują o rynku, na którym działa.[15]

2. Wprowadzanie i usuwanie użytkowników systemu

Wprowadzanie nowych użytkowników do systemu powinno być również sformalizowane w DZB. Cały czas miejmy na uwadze, że większość przestępstw komputerowych dokonywana jest przez pracowników lub z ich winy. Jeżeli chodzi o dodanie nowego użytkownika to wiążą się z tym takie aspekty jak: ustalenie miejsca pracy, ustanowienie grupy w której pracuje, nadanie odpowiednich praw dostępu do informacji i zasobów sprzętowych oraz poinstruowanie o jego prawach i obowiązkach (konieczne jest wręczenie nowemu użytkownikowi DZB). Również w wypadku samego awansu pracownika należy poinformować go o zmianie jego statusu w systemie informatycznym (jeżeli takowy nastąpił). Czasami użytkownik, który awansował może dostać dostęp do bardziej poufnych informacji, przez co uzyskanie dostępu do jego konta przez osoby do tego niepowołane jest o wiele bardziej niebezpieczne niż wcześniej gdy owych uprawnień nie posiadał. Nowe uprawnienia mogą więc wiązać się z nowymi obowiązkami związanymi z zachowaniem zasad bezpieczeństwa (powtórne wręczanie DZB może być również konieczne ale zazwyczaj wystarczy proste przeszkolenie albo tylko udzielenie odpowiednich wskazówek przez administratora).

Usuwanie użytkowników bądź odbieranie uprawnień jest również bardzo ważnym procesem. Usunięcie użytkownika z systemu powinno odbyć się jednocześnie z chwilą, z którą uzyskał on informacje o zwolnieniu a w szczególnych przypadkach można to zrobić już wcześniej. Takie działania zapobiegają takim sytuacją jak zemsta pracownika na organizacji za zwolnienie z pracy czy utrzymywanie nieużywanych kont, którymi nikt się nie opiekuje co umożliwia atak nieupoważnionym osobom. W przypadku odebrania dostępu do pewnych zasobów użytkownikowi, nie jest konieczne przeprowadzanie szkolenia. Użytkownik, który przeszedł szkolenie na wyższym poziome zabezpieczeń posiada już wiedzę jak należy się zachować na niższym poziomie. Jeżeli odebranie dostępu do zasobów (np. dostęp do Internetu przez przeglądarki WWW na czas określony ale zachowanie dostępu do poczty) nastąpiło z powodu nadużyć i jest tymczasowe, użytkownik powinien zostać o tym poinformowany. Jeżeli sytuacja będzie się powtarzać można wyciągnąć inne konsekwencje.

3. Szkolenia pracowników

Jak ważnym elementem polityki bezpieczeństwa organizacji jest szkolenie, niech świadczą fakty, że większość przestępstw komputerowych popełniana jest przez pracowników firmy (byłych lub obecnych). Wiele przestępstw popełnianych zostaje ponieważ pracownicy się sami do tego przyczyniają. W wojnie o informację wiedza techniczna częstokroć ma o wiele mniejsze znaczenie niż tzw. inżynieria społeczna - manipulowanie ludźmi w ten sposób, by wydostać z nich to, co się chce. Po co zgadywać (łamać) hasło otwierające system komputerowy korporacji, skoro można zadzwonić do jednego z administratorów systemu, podać się za szefa jego szefa i zmusić go, by sam je podał ?[14] Właśnie przed takimi zagrożeniami możemy się bronić odpowiednio szkoląc pracowników. Wymagane jest szkolenie użytkowników kształtujące w nich poprawne nawyki związane z bezpieczeństwem.

Wystarczy zauważyć, że warunkiem koniecznym skuteczności PAD (Planu Awaryjnego Działania) jest odpowiednie przeszkolenie pracowników. Tylko plan wcześniej sprawdzony i przetestowany jest przydatny w realnych warunkach. W tym celu należałoby przygotować efektywny plan testowania Jeżeli nie będzie się przywiązywać wagi do przeprowadzania kompleksowych testów, można narazić się na niebezpieczeństwo zaistnienia błędów w procedurach i braków w wyszkoleniu personelu.[15]

W tym miejscu jeszcze raz należy podkreślić, że częste zmiany księgi zasad bezpieczeństwa utrudniają procesy szkolenia pracowników. DZB powinien być skonstruowany z jak największą ostrożnością zgodnie z wszystkimi zasadami jego tworzenia.

Do szkolenia pracowników w dziedzinie bezpieczeństwa można wykorzystać swoich własnych pracowników jak również firmy z zewnątrz organizacji. Osoba, która stworzyła DZB może nie posiadać odpowiedniej wiedzy dydaktycznej oraz umiejętności oratorskich czy perswazji aby przekonać pracowników do przestrzegania zasad bezpieczeństwa. W zależności od tego z jakimi pracownikami mamy do czynienia, może się okazać, że dobrą metodą nauki będzie pozostawienie im DZB i poczekanie na rezultaty. Takie jednak praktyki należy stosować z jak największą ostrożnością !

4. Reakcja na zagrożenia

Sytuacje kryzysowe są rozpoznawane i zarządzane na poziomie systemu przetwarzania. Jeżeli system przetwarza informacje z wielu grup, to wystąpienie sytuacji kryzysowej dotyczy wszystkich przetwarzanych w systemie grup (niezależnie od zasięgu zdarzenia i tego, która grupa informacji została naszym zdaniem zagrożona). Należy w miarę szczegółowo opisać postępowanie w wypadkach, gdzie czas reakcji jest bardzo krytyczny i bardzo łatwo popełnić jakiś błąd.

Za rozwiązanie sytuacji kryzysowej odpowiada Sztab Kryzysowy powoływany na wniosek Administratora bezpieczeństwa danego systemu lub któregoś z Administratorów bezpieczeństwa grupy informacji zastrzeżonych przetwarzanych w danym systemie. Skład Sztabu Kryzysowego musi zostać określony na piśmie dla każdego systemu przetwarzania i dla każdego rodzaju sytuacji kryzysowej. Należy określić na piśmie priorytety postępowania w sytuacjach kryzysowych, zgodnie
z którymi Sztab Kryzysowy powinien podjąć odpowiednie kroki.

Przykładowe priorytety to:

• Zachowanie ciągłości działania,

• Zabezpieczenie informacji przed utratą,

• Zabezpieczenie informacji przed nieautoryzowanym dostępem,

• Odkrycie sprawców zdarzenia.[11]

Na wypadek wystąpienia sytuacji kryzysowych musi być stworzona polityka informowania mediów o incydentach bezpieczeństwa.

1. Plan reakcji na katastrofy

Plan reakcji na katastrofy jest częścią procesu ciągłości działania. Fragmentem polityki bezpieczeństwa odpowiedzialnym za podejmowane działania w wypadku wystąpienia katastrofy jest Plan Awaryjnego Działania. PAD jest procesem ciągłym w przeciwieństwie do wydarzeń jednorazowych, polegającym na podtrzymywaniu stałej gotowości do realizacji z góry przewidzianych i opracowanych procedur wykonawczych. Istotą PAD jest przywrócenie systemu informatycznego do stanu z przed awarii lub przywrócenie jego działalności gospodarczej.[15]

Z punktu widzenia ciągłości działania (a taki punkt widzenia przyjmujemy przy planowaniu reakcji na katastrofy) nieistotna jest przyczyna awarii czy katastrofy, ale jej bezpośrednie skutki dla przedsiębiorstwa. Celem tworzenia PAD jest przede wszystkim ograniczenie rozmiarów awarii oraz skrócenie czasu usuwania jej skutków. Prawidłowo stworzony PAD powinien uwzględniać nie tylko obecne ale i przyszłe otoczenie organizacji. Musi obejmować swoim zakresem działalność przedsiębiorstwa oraz identyfikować istotne funkcje gospodarcze. Ważnym elementem planu działania jest równoważenie ryzyka wystąpienia różnych typów awarii z kosztami ochrony i zabezpieczeniami. Pozwala to na ograniczanie kosztów przywracania systemu do niezbędnego minimum. Plan powinien obejmować politykę utrzymania ciągłości pracy po zaistnieniu awarii (np. poprzez powołanie zespołów odtworzeniowych i opisanie dokładnych procedur ich działania).

Dobrze skonstruowany plan nie powinien obyć się bez uwzględnienia czynników typowych dla ludzi takich jak: stres w obliczu niebezpieczeństwa, szok pourazowy oraz działanie w warunkach krytycznych czy zagrożenia życia. Plan musi być tym bardziej dokładny pod tym względem im większe jest niebezpieczeństwo, że nie usunięta awaria może być tragiczna w skutkach (np. awaria systemu chłodzenia reaktora w elektrowni atomowej).

Bardzo ważnym elementem PAD jest stworzenie Polityki Kontynuowania Działalności instytucji na wypadek awarii oraz zdefiniowanie Strategii Odtwarzania systemów i procesów. W trakcie projektowania PAD można przyjąć model planowania modularnego. „Istotą planowania modularnego jest przyjęcie założenia, że katastrofy mogą spowodować wielorakie skutki w różnych miejscach organizacji... Kompleksowy plan PAD powinien przewidywać wszystkie możliwe scenariusze nie będąc jednocześnie skomplikowanym.”[15]

Warunkiem poprawnego działania PAD w wypadku awarii jest jego wcześniejsze przetestowanie i przeszkolenie personelu. Tylko taki plan daje gwarancję powodzenia w wypadku prawdziwej katastrofy. W razie przyjęcia planu modularnego można testować jego fragmenty w konkretnych działach (modułach) bez szkody dla pozostałej części organizacji. Prawidłowe stworzenie i realizacja projektu PAD jest działaniem złożonym i wymagającym dużego doświadczenia, nie jest również planem jednorazowym. Raz stworzony PAD może nie być dobry przez cały okres istnienia organizacji. W miarę pojawiania się nowych niebezpieczeństw trzeba wprowadzać w nim ciągłe zmiany.

2. Monitorowanie zgodności z Dokumentem Zasad Bezpieczeństwa

Nie wystarczy stworzyć polityki bezpieczeństwa, zapisać jej do księgi i odłożyć na półkę. Gdy już wszystko gotowe trzeba zabrać się za wdrażanie. Każdy pracownik mający kontakt z systemem informatycznym, bądź z poufnymi informacjami powinien posiadać Dokument Zasad Bezpieczeństwa i traktować go jako dodatkowy regulamin. W trakcie implementacji DZB w organizacji należy cały czas kontrolować wszystkie etapy. Może się zdarzyć, że któryś z punktów DZB jest w obecnej sytuacji niemożliwy do spełnienia. Świadczy to albo o błędnym skonstruowaniu DZB albo o drastycznej zmianie sytuacji (otoczenia bliższego lub dalszego organizacji). Jeżeli poświęciło się odpowiednio dużo uwagi na testy i szkolenia pracowników to monitorowanie zgodności SI z DZB nie powinno nastręczać większych trudności.

Cały czas musimy pamiętać, że organizacja nie jest tworem statycznym ale dynamicznym i działa w niedeterministycznym otoczeniu. Może się okazać, że po pół roku istnienia, pojawią się nowe technologie informatyczne, które zdezaktualizują naszą politykę bezpieczeństwa. Takie zagrożenie jest bardzo realne. Osoba odpowiedzialna za monitorowanie zgodności SI z DZB powinna zwracać na to szczególną uwagę. Należy jednak wziąć pod uwagę fakt, że nie można zmieniać polityki bezpieczeństwa „co miesiąc”. Tak częste zmiany polityki bezpieczeństwa byłyby trudne w implementacji. Pierwszym problemem są ludzie, którzy jak wiadomo boją się zmian. Czasami nawet mała zmiana polityki bezpieczeństwa na papierze może zmusić użytkowników do zupełnie innego postępowania w rzeczywistości.

Drugim ważnym problemem jest koszt nowego sprzętu i oprogramowania. Zmiana uwierzytelniania haseł na uwierzytelnianie dwuelementowe pociąga za sobą wysokie koszta, podczas gdy na papierze, może wyglądać na czynność bardzo prostą.

Właściwe monitorowanie SI może być albo okazjonalne albo stałe w zależności od poziomu bezpieczeństwa jaki chcemy osiągnąć. Stałe monitorowanie systemu pociąga za sobą wyższe koszta ale daje również większe bezpieczeństwo. Aby uzyskać wysoki poziom bezpieczeństwa należy wyodrębnić jednostkę, która byłaby odpowiedzialna za monitorowanie. Jej zadaniem byłoby sprawdzanie czy SI działa zgodnie z założeniami polityki bezpieczeństwa. Najlepiej gdyby była to osoba, która nie ma praw na modyfikowanie DZB ale ma możliwość natychmiastowego kontaktu z zarządem organizacji bądź głównym informatykiem. Wybór osób lub osoby na to stanowisko jest bardzo poważną decyzją. Taka osoba bądź grupa osób ma bardzo duże przywileje (między innymi dostęp do wielu poufnych informacji).

Jednostki odpowiedzialne za monitorowanie zgodności systemu informatycznego z dokumentem zasad bezpieczeństwa powinny składać raporty o swojej działalności (w określonych w DZB jednostkach czasu) swoim przełożonym. W przypadku znalezienia rażących uchybień powinna istnieć możliwość natychmiastowej reakcji.

Administrator bezpieczeństwa systemu ma obowiązek zapewniać, że do informacji zastrzeżonych mają dostęp wyłącznie osoby upoważnione i że mogą one wykonywać wyłącznie uprawnione operacje (przyznaje dostęp użytkowników do informacji w systemie na określonych prawach). Prowadzi rejestr osób dopuszczonych do systemu, opracowuje polityki bezpieczeństwa i procedury bezpieczeństwa dla systemów przetwarzania. Administrator systemu dba o poprawne i efektywne działanie administrowanego systemu przetwarzania grupy informacji zastrzeżonych.

Każdy system przetwarzania informacji zastrzeżonych musi przechodzić okresowe audyty bezpieczeństwa zlecane przez Zarząd organizacji. Audyty okresowe zleca Zarząd. Jest to niezwykle istotne ponieważ jest to jedyna formalna kontrola bezpieczeństwa przetwarzania informacji zastrzeżonych. Okresowy audyt bezpieczeństwa pozwala sprawdzić zgodność systemu z założeniami jego polityki bezpieczeństwa, jak również polityk bezpieczeństwa grup informacji, które są w nim przetwarzane. Jednocześnie umożliwia doskonalenie metod zabezpieczania technicznych i organizacyjnych. Monitorowanie obejmuje audyt zgodności z założeniami polityki bezpieczeństwa systemu dla wszystkich systemów. Dla systemów podłączonych do Internetu dodatkowo wykonuje się zewnętrzne testy penetracyjne.

Audyty bezpieczeństwa przeprowadza się również po każdorazowej zmianie konfiguracji systemu oraz po wystąpieniu incydentów bezpieczeństwa. Każdy system przetwarzania informacji zastrzeżonych musi przejść audyt bezpieczeństwa na początku eksploatacji (warunek dopuszczenia do przetwarzania w nim danej grupy informacji zastrzeżonych).[11]




3. Oprogramowanie pomocnicze

Pierwszym ważnym krokiem w kierunku obniżenia ryzyka jest zmierzenie czy środowisko informatyczne jest zgodne z przyjętą polityką bezpieczeństwa w firmie oraz znalezienie wszystkich słabych punktów, które mogą stać się celem ataku z zewnątrz lub od wewnątrz. Bardzo ważne jest stworzenie takiej polityki bezpieczeństwa, która będzie efektywna i zdolna podążać za potrzebami rozwojowymi przedsiębiorstwa lub firmy. Takim właśnie rozwiązaniem obejmującym wszystkie poruszane aspekty bezpieczeństwa jest oprogramowanie amerykańskiej firmy Symantec Corporation., która jest liderem na rynku światowym w dziedzinie rozwiązań systemów bezpieczeństwa dla środowisk informatycznych. Dzięki zastosowaniu niżej opisanych narzędzi tej firmy możliwe jest efektywne zarządzanie bezpieczeństwem firmy poczynając od warstwy sieciowej, a kończąc na zarządzaniu i opracowywaniu polityki bezpieczeństwa firmy.

Narzędzia te możemy podzielić na następujące kategorie:

 

Oszacowanie ryzyka

• Enterprise Security Manager™

Pozwala na zdefiniowanie oraz zarządzanie z jednego miejsca polityką bezpieczeństwa firmy w jednym lub w wielu oddziałach jednocześnie. Enterprise Security Manager sprawdza w sposób pro aktywny całe środowisko teleinformatyczne złożone niejednokrotnie z dziesiątek czy setek różnych platform i systemów w celu wychwycenia wszelkich słabych punktów i naruszeń przyjętej polityki bezpieczeństwa oraz szacuje ryzyko ewentualnego ataku, a wszystko to zarządzane jest z jednej centralnej konsoli.

 

Ochrona danych i informacji

• Intruder Alert™

Narzędzie to monitoruje w czasie rzeczywistym zarówno warstwę sieciową jak i systemy informatyczne aby wykryć wszelkie naruszenia oraz „podejrzaną” aktywność. W przypadku zaistnienia takowych reaguje natychmiast stosując metody zgodne z ustaloną polityką bezpieczeństwa. Intruder Alert™ działa nie tylko lokalnie w sieciach LAN, ale swoim zasięgiem obejmuje sieci WAN, a także intranet i Internet.

• Net Prowler™

Zapewnia dynamiczne wykrywanie wszelkich prób ataku. Działając na poziomie warstwy sieciowej monitoruje ruch w sieci w sposób ciągły identyfikując, zapisując do logów i jednocześnie odłączając użytkowników wewnętrznych (zaufanych), których działanie wykracza poza te przyjęte w polityce bezpieczeństwa firmy, jak również zewnętrznych popularnie zwanych hackerami. Net Prowler™ posiada wbudowany wirtualny procesor SDSI™, który pozwala na wykrycie i przerwanie nawet najwymyślniejszego ataku zanim ten zdąży wyrządzić jakąkolwiek szkodę w naszym systemie.

• Raptor® Firewall

Jest połączeniem skalowalności, z najwyższej jakości zabezpieczeniem przed niepowołanymi użytkownikami. Raptor® Firewall jest łatwy w obsłudze i pasuje do każdej firmy czy przedsiębiorstwa. Zapewnia scentralizowane zarządzanie bezpieczeństwem w intranecie i Internecie dając użytkownikom zarówno lokalnym jak i zdalnym podobny, bezpieczny dostęp do zasobów teleinformatycznych.

 

Umożliwienie dostępu do zasobów

• Defender™

Wprowadza system podwójnego uwierzytelnienia poprzez zapewnienie jednorazowych unikalnych haseł w ten sposób umożliwiając dostęp użytkownikom do zasobów teleinformatycznych poprzez lokalną sieć LAN, Internet, ISDN lub połączenia dial-up.

• VPN Solution

(PowerVPN™ i RaptorMobile™) pozwala na bezpieczne podłączenie do sieci korporacyjnej użytkowników zdalnym, oddziałów firmy lub osób trzecich dając im dostęp do zasobów informatycznych lub aplikacji. W przeciwieństwie do tradycyjnych rozwiązań VPN, które dają jedynie możliwość łącz szyfrowanych rozwiązanie firmy Symantec pozwala oficerowi bezpieczeństwa posiadać pełną kontrolę nad tym, co można udostępnić danemu użytkownikowi systemu.

• PassGo™ InSync

Zapewnia bezpieczną i szybką synchronizację haseł we wszystkich posiadanych przez firmę systemach teleinformatycznych. PassGo InSync może być łatwo wdrożone dając natychmiastowy zysk w postaci wzrostu produkcyjności poprzez stworzenie jednokrotnej synchronizacji hasła użytkownika, które potem zostanie automatycznie powielone na wszystkie systemy, serwery, aplikacje i zasoby przez niego używane. Od tej chwili użytkownik loguje się do systemu korzystając tylko z jednego hasła otrzymując jednocześnie dostęp do wszystkich wcześniej wspomnianych części systemu.

• PassGo™ SSO

Jest w pełni elastycznym i konfigurowalnym narzędziem administracyjnym służącym do weryfikacji użytkownika systemu za pomocą Serwisu Autentykacyjnego, który jest używany przez wszystkie platformy do kontrolowania dostępu do sieci i aplikacji. Od tej chwili dzięki temu serwisowi użytkownik loguje się do systemu tylko raz i posiada dostęp do wszystkich przypisanych zasobów sieci bez konieczności wielokrotnej potrzeby logowania się do wielu systemów i pamiętania wszystkich swoich haseł. [12]

Bibliografia

[1] „Strategia informatyzacji firmy” dr M. Pańkowska Informatyka nr 11 1996r.

[2] „Normowanie systemów informatycznych” I. Dziedziczak Informatyka nr 5 1995r.

[3] „Wykłady z zarządzania informatyką w organizacji” Dr. M. Pańkowska 2001r. AE Katowice

[4] „Systemy komputerowe w zastosowaniach związanych z bezpieczeństwem” Z. Żurakowski Informatyka nr 3 1995r.

[5] „Niektóre kierunki badawcze w zakresie bezpieczeństwa oprogramowania.” J. Górski Informatyka nr 4 1995r.

[6] „Informacja - towar chroniony” P. Luksic http://www.it-forum.pl/konferencja/konspekty/ITC/Kusina.htm

[7] „Bezpieczeństwo systemów informatycznych” A. Bylicki Informatyka nr 4 1995r.

[8] „Projektowanie skutecznych systemów ochrony informacji” J. Piotrowski, M. Szymczek

Informatyka nr 7/8 1997r.

[9] www.comarch.pl

[10] Informatyka 11 1999r.

[11] „Dokumentacja metodologii TISM ver. 1.2 RC 1” 2001r. M. Byczkowski P. Marciniak

[12] „Współczesne metody zarządzania bezpieczeństwem i ochrony informacji w środowiskach informatycznych” Symantec Corp.

[13] „Istota ryzyka ochrony zasobów informatycznych” dr M. Pańkowska

[14] „Kevin Mitnick - największy przestępca komputerowy” PCkurier 18 marca 1999r.

[15] „Planowanie ciągłości działania” W. Dabiński Informatyka nr 2 1997r.

2

Pion bezpieczeństwa

ZARZĄD

ABS

ABI

GABI

AS

AI

GAI

SYSTEMY PRZETWARZANIA

GRUPY INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Pion administracyjny

SYSTEMY PRZETWARZANIA

GRUPY INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Regulaminy

Polityka Grupy

Informacji

Polityka Grupy

Informacji

Polityka Grupy

Informacji

Polityka Bezpieczeństwa Informacji

Polityka Systemu

Przetwarzania

Polityka Systemu

Przetwarzania

Polityka Systemu

Przetwarzania

Polityka Systemu

Przetwarzania

Procedury

Procedury

Procedury

Procedury

---