audyt-bezpieczenstwa-informacji-w-praktyce pełna wersja.pdf

Klasyfikacja i kontrola aktywów ......................................................................................35

Rozliczanie aktywów .............................................................................................................. 35

Klasyfikacja informacji ............................................................................................................ 37

Bezpieczeństwo osobowe ...............................................................................................39

Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi 39

Szkolenie użytkowników ......................................................................................................... 43

Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu ........... 44

Bezpieczeństwo fizyczne i środowiskowe ......................................................................47

Fizyczny obwód zabezpieczający .......................................................................................... 48

Zabezpieczenie sprzętu .......................................................................................................... 54

Ogólne zabezpieczenia ..........................................................................................................59

Zarządzanie systemami informatycznymi i sieciami komputerowymi ............................63

Procedury eksploatacyjne oraz okres odpowiedzialności ...................................................... 63

Planowanie i odbiór systemu .................................................................................................. 67

Ochrona przed szkodliwym oprogramowaniem ..................................................................... 69

Procedury wewnętrzne ........................................................................................................... 71

Zarządzanie sieciami .............................................................................................................. 73

Postępowanie z nośnikami i ich bezpieczeństwo ................................................................... 74

Wymiana danych i oprogramowania ...................................................................................... 77

Kontrola dostępu do systemu .........................................................................................85

Potrzeby biznesowe związane z dostępem do informacji ..................................................... 85

Zarządzanie dostępem użytkowników ................................................................................... 86

Zakres odpowiedzialności użytkowników ............................................................................... 89

Kontrola dostępu do sieci ....................................................................................................... 91

Kontrola dostępu do systemów operacyjnych ....................................................................... 94

Kontrola dostępu do aplikacji ................................................................................................. 97

Monitorowanie dostępu do systemu i jego wykorzystywania ................................................. 98

Komputery przenośne i praca zdalna ................................................................................... 100

Zabezpieczenia kryptograficzne ........................................................................................... 103

Zarządzanie ciągłością działania organizacji w sytuacji krytycznej ..................................... 105

Zgodność ............................................................................................................................. 111

Przegląd polityki bezpieczeństwa informacji i zgodności technicznej .................................. 114

Skorowidz ..................................................................................................................... 115

SPIS TREŚCI

Sieci komputerowe, a właściwie wszelakie systemy informatyczne, stały się

już niezbędne zarówno przy wykonywaniu czynności służbowych, jak rów-

nież w życiu prywatnym. W rzeczywistości bez tego dobrodziejstwa techniki

trudno się obyć. Przykładowo, coraz częściej sieci komputerowe służą do do-

konywania zakupów. Siecią przesyła się wszelakie informacje i dane — te

ważne i te mniej istotne. Systemy informatyczne z kolei dane te przetwarzają

i przechowują. Oczywistym jest, że aby służyły one w należyty — i przede

wszystkim — w bezpieczny sposób, trzeba zapewnić ich odpowiednią obsługę

i poprawnie zarządzać nimi.

Bardzo istotnym elementem systemu bezpieczeństwa informacji jest staranne

zabezpieczenie sieci komputerowych i systemów informatycznych przed oso-

bami niepowołanymi. W tym celu — podobnie jak w przypadku innych sys-

temów — trzeba wprowadzić odpowiednie procedury eksploatacyjne.

Procedury eksploatacyjne

oraz okres odpowiedzialności

Informacja jest wykorzystywana za pomocą różnego typu urządzeń. Skoro

tak się dzieje, oznacza to również konieczność zabezpieczenia tych urządzeń.

W tym przypadku oczywistą sprawą jest sprecyzowanie odpowiednich pro-

cedur zarządzania tymi urządzeniami oraz zakresów odpowiedzialności za te

urządzenia oraz informacje w nich przechowywane lub przetwarzane. Należy

również wdrożyć procedury reagowania na incydenty związane z uszkodze-

niem takich urządzeń bądź niewłaściwym ich użytkowaniem, co może się

przyczynić do uszkodzenia sprzętu lub utraty przechowywanych danych.

Dokumentowanie procedur eksploatacyjnych

Procedury zawarte w polityce bezpieczeństwa informacji powinny być ogól-

nodostępne dla wszystkich osób w organizacji — jest to warunek sprawnego

funkcjonowania całego systemu. Jak wspomniałem we wcześniejszych rozdzia-

łach tej książki, poszczególne procedury powinny być opracowane w sposób

ściśle odpowiadający specyfice pracy na danych stanowiskach, jednak istnieją

jeszcze procedury ogólnodostępne, skierowane do wszystkich pracowników

organizacji. Istnieje przecież wiele urządzeń, wykorzystywanych przez prak-

tycznie wszystkie osoby w firmie do przeglądania, przesyłania, przechowy-

wania czy przetwarzania informacji. Sposób posługiwania się tym sprzętem

i zasady ochrony informacji z nim związanej powinny zatem zostać precy-

zyjnie określone w odpowiednich procedurach. Do takich procedur należą

właśnie m.in. procedury eksploatacyjne. Oczywiście, należy je odpowiednio

dokumentować i przechowywać. Każda z tych procedur powinna zawierać

dokładną instrukcję postępowania z określonymi urządzeniami oraz z infor-

macją w nich zawartą lub przetwarzaną.

Podczas codziennej pracy bardzo często dochodzi do incydentów, które po-

tencjalnie mają wpływ na jakość pracy lub na bezpieczeństwo przetwarzanych

danych. Oczywiście, te zdarzenia są spowodowane różnymi przyczynami,

np. błędnym działaniem aplikacji lub niepoprawną pracą systemu informa-

tycznego. W takich przypadkach, gdy praca zostanie zakłócona przez np. źle

działający system informatyczny, procedury powinny mówić m.in. o obsłudze

technicznej i sposobie uzyskania pomocy działu lub firmy zajmującej się

utrzymaniem bądź serwisem struktur informatycznych. Poza tym należy rów-

nież udokumentować procedury ponownego uruchomienia systemu bądź jego

odtworzenia w przypadku awarii.

Kontrola zmian w eksploatacji

W przypadku każdego systemu informatycznego na porządku dziennym jest

dokonywanie zmian, aktualizacji zabezpieczeń lub innych czynności związanych

z podniesieniem wydajności działania sprzętu i oprogramowania. Wszystkie

tego typu zmiany powinny być starannie dokumentowane, co ułatwia zapo-

bieganie awariom systemu lub przynajmniej pozwala na odpowiednio szybkie

zdiagnozowanie przyczyn jego uszkodzenia. Każda zmiana czy aktualizacja

ROZDZIAŁ 6. ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI

jest przeprowadzana ze względu na konieczność lub chęć usprawnienia całego

systemu czy aplikacji, ale nie zawsze zamierzony cel jest osiągany. Dlatego też

w dokumentacji odnoszącej się do dokonywanych zmian, powinny znaleźć

się informacje o ewentualnych następstwach danej modyfikacji lub zmiany.

Trzeba również uzyskać pisemnie potwierdzone pozwolenie od kierownika

działu lub od upoważnionego członka kierownictwa organizacji na dokona-

nie tego typu czynności. Ponadto należy zdefiniować procedury przywracania

systemu do pierwotnego stanu w przypadku problemów występujących w efek-

cie tego typu zmian.

Procedury zarządzania incydentami

związanymi z bezpieczeństwem

Jeśli w organizacji dojdzie do jakiegoś incydentu związanego z naruszeniem

prawidłowego funkcjonowania systemu lub zdarzenia mającego bezpośredni

wpływ na bezpieczeństwo informacji, należy zastosować wcześniej przygo-

towane, odpowiednie procedury, które zapewnią szybką reakcję. Przykładem

takiego incydentu w przypadku systemów informatycznych są ataki typu

DoS ( Denial of Service ), co można przetłumaczyć jako odmowa obsługi. Tego

typu ataki na systemy informatyczne powtarzają się coraz częściej. Często

również mówi się o błędach w oprogramowaniu, które umożliwiają prowa-

dzenie ataków typu DoS. Dobrze przeprowadzony atak na sieć informatyczną

może spowodować jej całkowity paraliż, trwający nawet kilka dni lub tygo-

dni w przypadku rzeczywiście rozległych sieci. Ataki te mają również bezpo-

średni wpływ na bezpieczeństwo przechowywanych danych. Oczywiście, ist-

nieją techniki zabezpieczania się przed atakami, ale nigdy nie są one w stu

procentach skuteczne.

Organizacja powinna przygotować i wdrożyć odpowiednie procedury, które

obejmują wszystkie takie potencjalne incydenty, mające wpływ na utratę do-

stępności, poufności i integralności przechowywanych informacji. Procedury

te powinny również uwzględnić plan działania, w tym sporządzenie nie-

zbędnych analiz związanych z rozpoznaniem natury incydentu oraz jego

przyczyn. Trzeba również umieć zaplanować i wdrożyć odpowiednie środki

zaradcze, aby ograniczyć do minimum możliwość pojawienia się podobnego

zdarzenia w przyszłości (warto podkreślić, że nie zawsze można zabezpieczyć

system w całkowicie skuteczny sposób).

Następną czynnością jest zebranie wszelkich informacji bądź śladów związa-

nych z zaistniałym incydentem. Ma to na celu zminimalizowanie prawdopo-

dobieństwa wystąpienia podobnego zdarzenia w przyszłości oraz ewentualne

wykrycie sprawcy lub przyczyny zaistnienia incydentu.

PROCEDURY EKSPLOATACYJNE ORAZ OKRES ODPOWIEDZIALNOŚCI 65

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: