5673056337

ŁTechniczny biuletyn zabezpieczeń IT r 1

f    e-Nowości    CLICO ^

Strategie i techniki ochrony systemów informatycznych

Systemy informatyczne są niezbędne do prawidłowego funkcjonowania większości firm i instytucji. Często zależy od nich realizacja zadań biznesowych. Dla banków, biur maklerskich, linii lotniczych i kolejowych oraz wielu innych firm zakłócenia w pracy systemów komputerowych bezpośrednio oznaczają utratę dochodów. Utrzymanie bezpieczeństwa systemu informatycznego stało się koniecznością. Bezpieczeństwa nie można kupić jako produktu. Bezpieczeństwo to stan, który uzyskuje się z użyciem środków fizycznych (np. sejfy, kamery), technicznych (np. Firewall, IDS), organizacyjnych (np. procedury i kontrola) oraz prawnych (np. ubezpieczenie).

Najbardziej obszerny i zarazem skomplikowany temat stanowią zabezpieczenia technicznie, czyli środki ochrony zawarte w oprogramowaniu, sprzęcie komputerowym i urządzeniach telekomunikacyjnych. Wynika to z faktu, że zabezpieczenia te ulegają ciągłemu rozwojowi wraz z rozwojem technologii informatycznych, za ochronę których odpowiadają (m.in. systemów operacyjnych, aplikacji, baz danych, protokołów sieciowych). Rozwój zabezpieczeń technicznych dodatkowo wymuszają pojawiające się nowe zagrożenia jak rozproszone ataki destrukcyjne DDoS, czy inteligentne robaki.

Normy i standardy bezpieczeństwa

Ustalanie wytycznych i zasad prawidłowego zarządzania bezpieczeństwem jest od wielu lat tematem prac wielu instytucji rządowych i firm komercyjnych. W 1995 roku został wydany przez Brytyjski Instytut Normalizacyjny (BSI) zbiór najbardziej znanych obecnie wytycznych do zarządzania bezpieczeństwem informacji Brytyjska Norma nr 7799 (BS 7799). W roku 2000 dokument BS 7799 został poddany normalizacji przez ISO (Międzynarodowa Organizacja Normalizacyjna) oraz IEC (Międzynarodowa Komisja Elektrotechniczna). Wynikiem tych prac jest norma o nazwie „Praktyczne zasady zarządzania bezpieczeństwem informacji" (ISO/IEC 17799:2000). Także w Polsce trwają prace nad stworzeniem odpowiedników norm BSI i ISO/IEC. Opracowaniem normy PN-ISO/IEC-17799 zajmuje się Polski Komitet Normalizacyjny.

Wytyczne, normy i wymagania w odniesieniu do bezpieczeństwa systemów informatycznych są także tworzone przez wiele innych instytucji rządowych m.in. w Stanach Zjednoczonych przez NSA (Narodowa Agencja Bezpieczeństwa) i NIST (Narodowy Instytut Standardów i Technologii) oraz stowarzyszenia i instytucje nie-rządowe, m.in. SANS Institute i ISACA. Odpowiednie dyrektywy wydała w tym zakresie Unia Europejska (95/46/EC, 97/33/EC, 97/66/EC, 98/10/EC, 99/93/EC, 2002/58/EC) oraz indywidualne państwa, w tym także Polska (Dz.U.29.08.97, Dz.U.03.06.98, Dz.U.08.02.99, Dz.U.05.03.99).