o „ boczne wejście" do systemu, stworzone w celu „.ułatwienia" jego pielęgnacji; o publicznie dostępne informacje o używanym oprogramowaniu; o podstęp, udawanie pracownika serwisu, dostawcy; o wymuszenie, szantaż;
o przeszukanie śmieci, wyrzucanej makulatury lub nośników danych
- Przykłady chronionych zasobów
o Sprzęt komputerowy o Infrastruktura sieciowa o Wydruki o Strategiczne dane o Kopie zapasowe
o Wersje instalacyjne oprogramowania o Dane osobowe o Dane audytu o Zdrowie pracowników o Prywatność pracowników o Zdolności produkcyjne o Wizerunek publiczny i reputacja
- Przykłady zagrożeń
o Włamywacze komputerowi o Infekcje wirusami
o Nieuczciwi pracownicy lub personel zewnętrzny o Błędy w programach
o Kradzież nośników danych, komputerów (również w podróży służbowej) o Utrata możliwości korzystania z łączy telekomunikacyjnych o Bankructwo firmy serwisowej lub producenta sprzętu
o Choroba administratora lub kierownika projektu (jednoczesna choroba wielu osób) o Powódź
Polityka bezpieczeństwa
- Powinna być elementem polityki biznesowej firmy.
- Etapy realizacji:
o zaprojektowanie, o zaimplementowanie,
o zarządzanie (w tym monitorowanie i okresowe audyty bezpieczeństwa).
- Zakres tematyczny:
o definicja celu i misji polityki bezpieczeństwa, o standardy i wytyczne których przestrzegania wymagamy, o kluczowe zadania do wykonania, o zakresy odpowiedzialności
- Specyfikacja środków:
o ochrona fizyczna,
o polityka proceduralno-kadrowa (odpowiedzialność personalna, kto kogo zastępuje), o rozwiązania techniczne, informatyczne.
Normy i zalecenia zarządzania bezpieczeństwem
- Stworzono wiele dokumentów poświęconych realizacji polityki bezpieczeństwa.
o Norma ISO/IECTechnical Report 13335 (ratyfikowana w naszym kraju jako PN-l-13335) obejmuje: o TR13335-1 — terminologia i modele;
o TR 13335-2 — metodyka planowania i prowadzenia analizy ryzyka, specyfikacja wymagań stanowisk pracy związanych z bezpieczeństwem systemów informatycznych; o TR 13335-3 — techniki zarządzania bezpieczeństwem:
■ zarządzanie ochroną informacji,
■ zarządzanie konfiguracją systemów IT,
■ zarządzanie zmianami;
o TR 13335-4 — metodyka doboru zabezpieczeń; o WD13335-5 — zabezpieczanie połączeń z sieciami zewnętrznymi.
- Należałoby wymienić tu jeszcze kilkadziesiąt norm.
- Nikt nie jest w stanie tego wszystkiego przeczytać w rozsądnym czasie.