Polityka bezpieczeństwa

Listopad 2016
Wraz z rozwojem Internetu, coraz więcej firm decyduje się udostępnić swój system informacji swoim partnerom i dostawcom. Dlatego też tak ważne jest, aby wiedzieć, które z zasobów systemu informacji firmy muszą być chronione i do których z nich dostęp powinni mieć tylko uprawnieni użytkownicy. Ta sama zasada obowiązuje w sytuacji, gdy chodzi o nadanie w firmie dostępu do Internetu.

Co więcej, biorąc pod uwagę fakt, iż w dzisiejszym społeczeństwie jest coraz bardziej popularny system pracy zdalnej i to z różnych zakątków świata, który pozwala pracownikom na łączenie się z systemem informacji z różnych miejsc, są oni tym bardziej zobowiązani do przestrzegania zasad bezpieczeństwa dotyczących konsultowania informacji poza infrastrukturą bezpieczeństwa w obrębie firmy.

Wprowadzenie do bezpieczeństwa


Ryzyko w kontekście bezpieczeństwa można przedstawić za pomocą poniższego schematu:

Ryzyko = (Zagrożenie * Czułe punkty) / Powzięte środki


Zagrożenie przedstawia rodzaj potencjalnie szkodliwego zachowania, podczas gdy Czułe punkty (czasem nazywane brakami lub lukami) reprezentują poziom narażenia na zagrożenia w konkretnym kontekście. Z kolei Powzięte środki to całość działań wcielonych w życie, by zapobiec zagrożeniu.

Pod pojęciem powziętych środków nie kryją się jedyne techniczne rozwiązania mające na celu uniknięcie zagrożenia, ale również szkolenia dla użytkowników podnoszące poziom ich świadomości na ten temat oraz jasno zdefiniowane zasady bezpieczeństwa.


W celu zapewnienia bezpieczeństwa systemowi, potencjalne zagrożenia, ale też możliwe ruchy ze strony przeciwnika powinny być przewidywane z wyprzedzeniem. Stąd też celem tego dokumentu jest dostarczenie pobieżnego przeglądu możliwych powodów działań hakerów, ich kategoryzacja oraz przybliżenie metod ich działań, w celu zmniejszenia ryzyka ataku na system.

Cele bezpieczeństwa IT


Systemy informacji zazwyczaj obejmują wszystkie dane posiadane przez firmę, sprzęt oraz oprogramowanie umożliwiające firmie przechowywanie i przetwarzanie tych danych. Systemy informacji są zatem nieodzownym elementem każdej firmy i muszą być chronione.

Utrzymanie bezpieczeństwa IT polega zatem na zarządzaniu sprzętem, oprogramowaniem i danymi tak, aby były one używane jedynie zgodnie ze swoim przeznaczeniem.

Bezpieczeństwo IT składa się z pięciu głównych filarów:

  • Integralność: gwarancja, że dane faktycznie zawierają te informacje, które powinny.
  • Poufność: pewność, że jedynie uprawnione osoby mają dostęp do wymienionych informacji.
  • Dostępność: gwarancja dostępu do danych w każdym momencie.
  • Brak odmowy dostępu: gwarancja braku odmowy dostępu przy przeprowadzaniu operacji.
  • Uwierzytelnianie: gwarancje, że jedynie uprawione osoby mogą korzystać z udostępnionych zasobów.

Poufność


Poufność polega na uczynieniu informacji nieczytelną dla wszystkich osób poza tymi, które uczestniczą w konkretnej operacji.

Integralność


Weryfikacja integralności danych polega na stwierdzeniu, czy były one zmieniane podczas transmisji (celowo lub przypadkowo).

Dostępność


Celem tego filaru jest gwarancja dostępu do zasobów i usług.

Brak odmowy dostępu


Brak odmowy dostępu do informacji gwarantuje, że osobom uprawnionym nie może zostać odmówiony dostęp do danych w jakimkolwiek momencie operacji.

Uwierzytelnianie


Uwierzytelnianie polega na potwierdzeniu tożsamości użytkownika, co znaczy, że gwarantuje, iż każda ze stron faktycznie jest tym, za kogo się podaje. Kontrola dostępu (na przykład za pomocą szyfrowanego hasła) służy więc temu, by dostęp do danych miały jedynie upoważnione osoby.

Potrzeba globalnego przybliżenia problemu


Bezpieczeństwo systemu informacji często jest pojmowane metaforycznie. Wielu porównuje go do łańcucha, którego moc zależy zarówno od najmnocniejszego, jak i od najsłabszego ogniwa. Można to również porównać do sytuacji, w której nawet najlepiej zabezpieczone drzwi nie służą niczemu, jeżeli zostawimy szeroko otwarte okna.

Wszystko to znaczy, że kwestia bezpieczeństwa musi być zaplanowana na lokalnej i globalnej płaszczyźnie oraz musi zawierać następujące elementy:

  • Uświadamianie i uczulanie użytkowników na kwestie bezpieczeństwa.
  • Logiczna ochrona, na przykład: na poziomie danych, szczególnie danych firmy, wszystkich aplikacji, a nawet systemu operacyjnego.
  • Bezpieczeństwo telekomunikacyjne: technologie sieciowe, serwery firmy, dostęp do sieci itd.
  • Fizyczne bezpieczeństwo lub bezpieczeństwo infrastruktury sprzętu: pokój kontrolny (dyspozytornia), miejsca dostępne dla wszystkich, przestrzeń wspólna w firmie, stanowiska pracy itd.

Wprowadzanie w życie Polityki Bezpieczeństwa


System bezpieczeństwa IT zasadniczo ogranicza się do zagwarantowania poprawnego dostępu do danych systemowych i zasobów za pomocą systemu uwierzytelniania i kontroli, co zapewnia z kolei, że osoby korzystające z danych są do tego upoważnione.

Niemniej jednak mechanizmy bezpieczeństwa mogą byc sprawiać niektórym użytkownikom kłopot, szczególnie że instrukcje oraz reguły bardzo często stają się bardzo skomplikowane w miarę rozrastania się sieci. Dlatego też kwestie związane z bezpieczeństwem IT muszą być opracowywane i rozwijane w taki sposób, by umożliwić użytkownikom dostęp do informacji i narzędzi niezbędnych do wykonywania ich pracy.

Z wszystkich wymienionych powyżej powodów, zdefiniowanie Polityki bezpieczeństwa powinno być jednym z pierwszym kroków podjętych przez każdą firmę, a całość działań powinna się opierać na następujących filarach:

  • Rozpoznanie potrzeb bezpieczeństwa IT, potencjalnych zagrożeń i ich konsekwencji.
  • Spisanie reguł i procedur niezbędnych do rozpoznania ryzyka we wszystkich działach firmy.
  • Monitorowanie i wykrywanie informacji na temat słabych punktów systemu oraz braków i luk powstałych w używanych aplikacjach i sprzęcie.
  • Zdefiniowanie działań, jakie mają być podjęte oraz osób, które mają być poinformowane w przypadku wykrycia zagrożenia.


Polityka bezpieczeństwa to całość reguł i procedur jakie organizacja (w ogólnym tego słowa znaczeniu) aplikuje. Z tego powodu powinna być ona stworzona przez kadrę zarządzającą, ponieważ dotyczyć będzie wszystkich użytkowników systemu.

Zgodnie z tą zasadą, to rolą kadry zarządzającej, a nie administratorów IT, jest zdefiniowane, którym użytkownikom zostaną nadane prawa dostępu. Z kolei rolą administratora IT jest zagwarantowanie, że zarówno zasoby IT, jak i dostęp do nich zgodne są z zasadami polityki bezpieczeństwa zdefiniowanej przez organizację.

Co więcej, mając na uwadze, że administrator jest jedyną osobą zarządzającą systemem, jest on / ona zobowiązany zapewnić dyrekcji bezpieczeństwo informacji, doradzać w podejmowaniu decyzji dotyczących strategii do wprowadzenia w życie oraz być punktem odniesienia dla użytkowników mających problemy z zasadami bezpieczeństwa lub pytania z nimi związane.

Bezpieczeństwo IT każdej firmy zależy od przyswojenia przez pracowników (użytkowników) reguł dotyczących bezpieczeństwa oraz ich uczestnictwa w szkoleniach pogłębiających ich świadomość w tym temacie. Niemniej jednak kwestia bezpieczeństwa musi zdecydowanie wykraczać poza te ramy i obejmować następujące dziedziny:

  • Fizyczny i logiczny mechanizm zabezpieczeń zaadaptowany do potrzeb firmy oraz jej pracowników.
  • Procedura zarządzania aktualizacjami.
  • Dobrze zaplanowana strategia backup'u.
  • Plan naprawczy po incydencie.
  • System regularnie uzupełniany o nowe dokumenty.

Przyczyny braku bezpieczeństwa


Możemy je podzielić na dwie główne kategorie:

  • Aktywny stan braku bezpieczeństwa,na przykład: niewiedza użytkownika na temat funkcjonalności systemu oraz elementów, które mogą być szkodliwe dla systemu (na przykład: nie wyłączanie niepotrzebnych użytkownikowi usług sieciowych).
  • Pasywny stan braku bezpieczeństwa, na przykład: brak znajomości zastosowanych w miejscu pracy środków bezpieczeństwa (jeżeli na przykład administrator lub użytkownik systemu nie wiedzą, jakimi urządzeniami zabezpieczającymi dysponują).

Zobacz również :

Measuring Website Traffic
Measuring Website Traffic
Medición del tráfico de un sitio web
Medición del tráfico de un sitio web
Web Analytics - Mesure d'audience d'un site internet
Web Analytics - Mesure d'audience d'un site internet
Misura del pubblico di un sito web
Misura del pubblico di un sito web
Medir a audiência de um website
Medir a audiência de um website
Ten dokument zatytułowany «  Polityka bezpieczeństwa  » opublikowany przez CCM (pl.ccm.net) jest udostępniany na licencji Creative Commons. Możesz kopiowaći modyfikować kopie tej strony, na warunkach określonych przez licencjęi wymienionych w niniejszym tekście.