Dokumentacja i procedury

Podstawy polityki bezpieczeństwa informacji w firmie

Ze względu na charakter ryzyka i jego bezustanne zmiany plan działania - ochrony informacji firmowych - ma charakter procesu. Procesu, a więc zakłada się, że trwa on w czasie, nie jest jednorazowym wyskokiem nadambitnego menedżera, który nie dba o spójność kultury firmowej. W literaturze fachowej taki plan ochrony nosi nazwę "polityki bezpieczeństwa informacji" bądź "polityki bezpieczeństwa instytucji".

W procesie wypracowywania polityki bezpieczeństwa informacji bardzo pomocny może się okazać trzypoziomowy model odniesienia obejmujący:

• cel - jednoznacznie identyfikuje, co ma zostać osiągnięte,
• strategia - powinna określać, w jaki sposób wytyczony cel zostanie osiągnięty,
• polityka - najbardziej konkretny element w modelu, wskazujący, co konkretnie powinno zostać zrealizowane i jakie zasady powinny być przestrzegane, aby cel został osiągnięty.

   

Każda organizacja próbuje realizować określony cel, który może się różnić w zależności od charakteru instytucji (cele społeczne, biznesowe). W każdym jednak przypadku realizacja zadań statutowych wymaga zagwarantowanego odpowiedniego poziomu bezpieczeństwa, które wspomaga i warunkuje realizację wytyczonych zadań statutowych. Tak więc oprócz oczywistej ochrony zasobów teleinformatycznych ważna jest także ochrona organizacji na takim poziomie, aby mogła ona nieprzerwanie działać. Można mówić tutaj o różnych aspektach działania organizacji, takich jak: ciągłość procesów biznesowych, zdolność produkowania wyrobów czy też świadczenia usług na rynku, lub nie mniej ważnym aspekcie, jakim jest pozytywny wizerunek. Nikt chyba nie chciałby trzymać pieniędzy w banku, o którym wiadomo, że jego zabezpieczenia zostały złamane. Dlatego też niezbyt często słyszy się o takich incydentach - chociażby ze względu na pozytywny wizerunek instytucji.

Ochrona instytucji budowana jest na trzech poziomach, które w zasadzie są niezmienne i nie zależą od charakteru organizacji:

• bezpieczeństwo instytucji (poziom I),
• bezpieczeństwo teleinformatyczne w instytucji (poziom II),
• bezpieczeństwo systemów instytucji (poziom III).

Dla każdego z wymienionych elementów, zgodnie z trójpoziomowym modelem odniesienia, można określić znajome już trzy elementy: cel, strategię i politykę.

W przypadku pierwszego poziomu, poziomu bezpieczeństwa instytucji, określa się cele, strategie i politykę dla całej instytucji. W skład polityki wchodzą takie elementy jak polityka działania instytucji wynikająca z jej celów i strategii istnienia, polityka finansowa, polityka marketingowa i polityka zastosowania zasobów teleinformatycznych w instytucji, jak również inne wynikające ze specyfiki instytucji takie jak normy prawne, zwłaszcza przepisy bądź umowy. Strategie polityki pierwszego poziomu powinny wyznaczać w dużej mierze cele polityki drugiego poziomu.

Na drugim poziomie powinny się znaleźć ogólne zalecenia dotyczące polityki bezpieczeństwa dla zasobów teleinformatycznych w instytucji. Na tym poziomie polityka rozumiana jest jako prawa, zasady postępowania, ochrony, które dotyczą systemów i zasobów teleinformatycznych w całej instytucji, w tym informacji niejawnych i wrażliwych, wszelkich usług ze szczególnym uwzględnieniem usług krytycznych dla istnienia i działania firmy.

Trzeci poziom polityki bezpieczeństwa określa cele, strategię i politykę bezpieczeństwa dla konkretnego systemu w instytucji. Nie oznacza to, że można na tym poziomie opisać tylko jeden system działający w organizacji. W ramach trzeciego poziomu może współistnieć wiele polityk bezpieczeństwa dla wszystkich istniejących systemów w instytucji. Ważne jest, aby poszczególne dokumenty polityk bezpieczeństwa dla konkretnych systemów były tak nazwane, aby wszystkie zainteresowane osoby czy jednostki były w stanie je rozróżnić. Aby zapewnić zgodność między sobą, polityki dla poszczególnych systemów powinny wynikać z polityk poziomu II i polityk poziomu I.

Istnieje także możliwość - zwłaszcza jeśli firma jest duża i podzielona na oddziały - że w polityce bezpieczeństwa na poziomie drugim zostaje wyodrębniony dodatkowy (opcjonalny) podpoziom dotyczący oddziału lub jakiegoś departamentu. Utworzenie takiego podpoziomu uwarunkowane jest potrzebą zastosowania innych bądź bardziej szczegółowych zasad ochrony informacji w danej komórce organizacyjnej.

Należy również pamiętać, że istnieje możliwość tworzenia dodatkowych dokumentów, jeśli tylko pojawi się taka potrzeba. Przykładowymi rodzajami tworzonych dokumentów są m.in. procedury:

• korzystania z komputerów,
• korzystania z internetu,
• korzystania z poczty,
• reakcji na incydenty,
• odzyskiwania systemów po awarii

Należy zwrócić uwagę na najbardziej istotny element w procesie budowy polityki bezpieczeństwa dla instytucji - zaangażowanie zarządu. Bez akceptacji zarządu i jego pomocy nie da się ustanowić skutecznej polityki bezpieczeństwa. Ważnym argumentem dla aktywizacji zarządu w tym kierunku jest fakt, że to właśnie on ponosi odpowiedzialność za bezpieczeństwo teleinformatyczne w instytucji.

Czego powinno się oczekiwać od zarządu w przypadku tworzenia polityki bezpieczeństwa?

• dużego zaangażowania w ten proces,
• uświadomienia sobie, że funkcjonowanie instytucji zależy od bezpieczeństwa teleinformatycznego,
• określenia w planach budżetowych środków inwestycyjnych przeznaczonych na budowę lub modernizację systemu bezpieczeństwa teleinformatycznego,
• powołania zespołu ds. bezpieczeństwa teleinformatycznego,
• czynnego udziału w procesie analizy i zarządzania ryzykiem (w odpowiednim zakresie określonym dla swej roli),
• zaangażowania w działania nadzorujące, kontrolujące i koordynujące budowę, modernizację i testowanie systemów bezpieczeństwa (może się to odbywać przez wydelegowanie określonej osoby z zarządu do współpracy z osobami bezpośrednio związanymi z bezpieczeństwem teleinformatycznym instytucji).

Poparcie zarządu ma jeszcze jedno kolosalne znaczenie dla instytucji, a w szczególności dla personelu. Oznacza ono, że wszystko, co jest związane z bezpieczeństwem i implementowane przez odpowiedni personel, ma bezpośrednie poparcie zarządu (lub władz instytucji). Element ten jest często pomijany, jednak osoby związane z tworzeniem czy też uaktualnianiem systemu bezpieczeństwa instytucji bardzo szybko docenią zalety odpowiedniego wsparcia. Często zdarza się, że działania podwyższające bezpieczeństwo powodują obniżenie wygody użytkowników. Na przykład wprowadzenie obowiązku używania haseł o długości 12 znaków znacznie poprawia poziom bezpieczeństwa - dla użytkownika, który loguje się do kilku różnych systemów taka decyzja wyraźnie obniża użyteczność i potraktuje ją jako "kolejny element utrudniający mu pracę". W efekcie zacznie łamać inne zalecenia, na przykład zapisując hasła na kartkach. Ważne jest, aby pracownik miał świadomość, że wszystkie działania bezpośrednio popiera zarząd, a co za tym idzie, sprzeciwienie się zaleceniom personelu odpowiedzialnego za bezpieczeństwo jest równoznaczne z sprzeciwieniem się decyzjom zarządu.

Dochodzimy w tym momencie do kolejnej ważnej kwestii, jaką są szkolenia użytkowników i uświadamianie ich odnośnie do bezpieczeństwa teleinformatycznego. Świadomy użytkownik jest w stanie zaakceptować dodatkowe utrudnienia, jeśli zrozumie, w jakim celu zostały wprowadzone. Przeszkolony użytkownik będzie również mniej podatny na wszelkie działania inżynierii społecznej, a także będzie szybciej identyfikował i reagował na incydenty. Poziom szkoleń z zakresu bezpieczeństwa powinien być zróżnicowany dla różnych grup personelu. Inny poziom i zakres szkoleń będzie potrzebny pracownikom zajmującym się wdrażaniem zasad bezpieczeństwa, inny szeregowym pracownikom czy też kadrze kierowniczej.

Ogólnie ujmując, możemy wyróżnić następujące fazy tworzenia i realizacji polityki bezpieczeństwa informacji:

1. Podjęcie przez zarząd decyzji o budowie systemu bezpieczeństwa dla instytucji. W ramach tego etapu zostanie wybrany także zespół, który będzie bezpośrednio odpowiedzialny za całe przedsięwzięcie.

2. Projektowanie i planowanie obejmujące opracowanie polityki bezpieczeństwa instytucji i polityki bezpieczeństwa teleinformatycznego instytucji, wybór odpowiedniej strategii zarządzania ryzykiem, określenie wymagań co do zabezpieczeń, określenie i zaakceptowanie zredukowanego poziomu ryzyka, opracowanie poszczególnych polityk bezpieczeństwa dla istniejących w instytucji systemów.

3. Wdrożenie polityki bezpieczeństwa oraz sprawdzenie skuteczności zabezpieczeń.

4. Ciągłe monitorowanie trafności przyjętych założeń polityki bezpieczeństwa i zaakceptowanego poziomu bezpieczeństwa.

Osiągnięcie założonego poziomu bezpieczeństwa nie kończy realizacji przyjętej polityki bezpieczeństwa. Proces taki ma charakter ciągły i wymaga systematycznej kontroli, analizy i weryfikacji. W przypadku zabezpieczeń, które w dużej mierze opierają się na nowoczesnej technologii, rodzi się pytanie jak długo zastosowane rozwiązania będą jeszcze skuteczne. Dlatego co jakiś czas powinna zostać przeprowadzana weryfikacja polityki bezpieczeństwa, jak również wszystkich mechanizmów zabezpieczeń.

Kolejnym aspektem, który należy wziąć pod uwagę, jest to, że posiadane zasoby teleinformatyczne wciąż podlegają zmianom. Pojawiają się nowe komputery, świadczone są nowe usługi itp. Wszystkie te elementy mają znaczący wpływ na utrzymywanie odpowiedniego poziomu bezpieczeństwa. W celu weryfikowania istniejących zabezpieczeń, a także określenia, czy osiągnięty poziom bezpieczeństwa jest zadowalający, należy przeprowadzić audyt. Istnieje wiele definicji określających to pojęcie. Polska norma PN-I-02000:2002 rozróżnia dwa typy audytu: audyt bezpieczeństwa i audyt systemu informatycznego.

Zgodnie z definicją zawartą w przytoczonej normie przez audyt bezpieczeństwa rozumiemy - "niezależny przegląd i sprawdzenie zapisów oraz funkcji systemów przetwarzania danych w celu sprawdzenia prawidłowości kontroli systemowej, zapewnienie zgodności z przyjętą polityką bezpieczeństwa i procedurami działania w celu wykrycia przełamań bezpieczeństwa oraz w celu zalecenia określonych zmian kontroli, w polityce bezpieczeństwa i procedurach". Natomiast audyt systemu informatycznego rozumiany jest jako - "sprawdzanie procedur stosowanych w systemie przetwarzania danych w celu oceny ich skuteczności i poprawności oraz w celu zalecenia ulepszeń".

Audyt ma na celu zweryfikowanie zastosowanej już polityki bezpieczeństwa oraz procedur z nią związanych, jak również wskazanie możliwych ulepszeń. Audyt powinien być przeprowadzany w regularnych odstępach czasu, a nie tylko w przypadku naruszenia zabezpieczeń czy też istotnych zmian w konfiguracji i zasobach teleinformatycznych. Częstość audytu jest w dużej mierze kwestią umowną i zależy od specyfiki instytucji.

Domyślnie można przyjąć, że w większości przypadków audyt powinien być przeprowadzany co 6 lub 12 miesięcy, o ile nie wystąpią okoliczności wskazujące na jego wcześniejsze przeprowadzenie. Audyt może być wykonywany przez wyspecjalizowaną firmę zewnętrzną i wtedy mówimy o audycie zewnętrznym lub też może być przeprowadzony przez samą instytucję bez angażowania firm zewnętrznych i wtedy mówimy o audycie wewnętrznym.


Artykuł powstał na podstawie książki "Społeczeństwo informacyjne" pod redakcją Joanny Papińskiej-Kacperek. Jest to podręcznik (dla studentów) i poradnik (dla menedżerów) opisujący tematy związane z zastosowaniem nowych technologii informacyjnych i ich bezpieczeństwem. Książkę znajdziesz w księgarni internetowej PWN www.ksiegarnia.pwn.pl, wpisując w pole wyszukiwarki zwrot "społeczeństwo informacyjne".

Co powinna uwzględniać polityka bezpieczeństwa

Zgodnie z opinią wyrażoną przez amerykański Narodowy Instytut Standardów i Technologii (NIST) poprawnie skonstruowana polityka bezpieczeństwa powinna uwzględniać następujące obszary związane z bezpieczeństwem systemów teleinformatycznych: 

• identyfikacja i uwierzytelnianie 
• kontrola dostępu 
• śledzenie odpowiedzialności
• badanie (audyt) stanu bezpieczeństwa
• ochrona współdzielonych zasobów 
• dokładność ochrony 
• niezawodność ochrony 
• ochrona komunikacji 

Identyfikacja i uwierzytelnianie określają mechanizmy autoryzacji użytkowników w systemie. Mechanizmy te zaimplementowane są we wszystkich współczesnych sieciowych systemach operacyjnych, a ich działanie uwidacznia się żądaniem podania nazwy i hasła użytkownika. Dla wzmocnienia niezawodności i siły uwierzytelniania osób podających się za prawowitych użytkowników skonstruowano wiele ciekawych rozwiązań technicznych opierających się na personalnych generatorach tymczasowych haseł bądź nawet bezpośrednim pomiarze danych antropometrycznych.

Kontrola dostępu sprowadza się do określenia praw poszczególnych osób do korzystania z zasobów systemu. Prawa te mogą zabraniać dostępu do określonych zasobów (plików, programów, urządzeń itp.) bądź ograniczać go tylko do podzbioru dozwolonych operacji, jakie użytkownik może na tych zasobach wykonać. 
Mechanizmy zapewniające taką kontrolę mogą mieć różnoraką naturę, zależną od rodzaju chronionych zasobów. W grę wchodzą tu zarówno rozwiązania ograniczające fizyczny dostęp do nośników i urządzeń, jak również zabezpieczenia systemowe zaimplementowane w oprogramowaniu.

Śledzenie odpowiedzialności polega na możliwości odtworzenia historii operacji wykonanych w systemie w powiązaniu z jednoznaczną identyfikacją użytkowników, którzy zainicjowali ich wykonanie oraz czasem wykonania. Również te operacje, które wykonano nielegalnie, omijając zabezpieczenia systemu, co uniemożliwia bezpośrednią identyfikację sprawcy muszą być śledzone w celu zbadania stopnia ich szkodliwości oraz przywrócenia pierwotnego stanu systemu.

Badanie stanu bezpieczeństwa systemu jest ważnym zadaniem, które winno być realizowane periodycznie w celu utrzymywania zabezpieczeń systemu w stanie wysokiej gotowości. Ze względu na dynamicznie zmieniające się środowisko działania systemów, wciąż wykrywane „dziury” w zabezpieczeniach oraz niesłabnącą pomysłowość włamywaczy – skuteczność wykorzystywanych zabezpieczeń powinna być ciągle monitorowana i poprawiana. Stąd rosnąca popularność systemów wykrywania włamań i testowania zabezpieczeń, które na zasadzie sprzężenia zwrotnego potrafią modyfikować ich konfigurację w celu uzyskania pewniejszej ochrony.

Ochrona współdzielonych zasobów stanowi rozwinięcie zagadnienia kontroli dostępu. Dotyczy zaś tej grupy zasobów, która z racji ich współdzielenia przez wielu użytkowników jest szczególnie wrażliwa na zachowania naruszające zasady dobrej współpracy i działania w dobrej wierze.  

Dokładność i niezawodność ochrony. 
Elementy te mają zapewnić systemowi odporność na wszelkie próby zmonopolizowania jego zasobów przez działającego nieudolnie bądź nierozważnie uprzywilejowanego użytkownika jak również oddalić groźbę przejęcia kontroli nad systemem przez osoby nieuprawnione w sytuacji kryzysowej. Sytuacja taka może mieć miejsce w warunkach nietypowych, takich jak poważna awaria systemu zasilania bądź wystąpienie krytycznego błędu aplikacji użytkowej.

Ochrona komunikacji jest tematem, który często mylnie utożsamiany jest z całokształtem ochrony systemów teleinformatycznych. Rzeczywiście, jest to niezwykle ważny element każdej polityki bezpieczeństwa. Odnosi się bowiem do obszaru, w którym dane opuszczają system po to, aby w sposób bezpieczny i niezawodny dotrzeć do odbiorcy. 
Zapewnienie ochrony poufności oraz integralności tych danych jak również uszczelnienie interfejsów we/wy to zagadnienie z jakim spotkają się autorzy polityki bezpieczeństwa w tym momencie.