Identyfikacja potrzeb w Zasadach bezpieczeństwa IT

Faza definicji

Faza definicji w procesie określania kwestii bezpieczeństwa jest pierwszym krokiem, jaki należy podjąć przy wprowadzaniu polityki bezpieczeństwa.

Celem jest zdefiniowanie potrzeb organizacji, co odbywa się poprzez sklasyfikowanie i skontrolowanie systemu informacji, a następnie dogłębną analizę możliwych zagrożeń i niebezpieczeństw, które mogą za sobą pociągać, tak aby wprowadzić w życie odpowiednio przystosowaną politykę bezpieczeństwa.

Faza definicji składa się z trzech etapów:

  • Identyfikacja potrzeb.
  • Analiza ryzyka.
  • Zdefiniowanie polityki bezpieczeństwa.

Identyfikacja potrzeb

Faza identyfikacji potrzeb polega na zebraniu całości danych o systemie informacji, a szczególnie:

  • Osoby i ich zajęcia.
  • Sprzęt, serwery i usługi, których te osoby dostarczają.
  • Mapowanie Sieci (mechanizmy adresowania, fizyczne i logiczne topologie sieci itd.).
  • Lista nazw domen należących do firmy.
  • Infrastruktura komunikacji (routery, przełączniki, itd.).
  • Dane wrażliwe.

Analiza ryzyka

Kolejne etapy analizy ryzyka polegają na skatalogowaniu niebepieczeństw, jakie mogą się pojawić oraz ocenie prawdopodobieństwa ich wystąpienia oraz ich możliwych konsekwencji.

Najlepszym sposobem na analizę wpływu zagrożeń jest wycena kosztów naprawy szkód, które zagrożenia te mogłyby za sobą pociągnąć (na przykład: atak na serwer lub dostęp osób niepowołanych do wrażliwych danych firmy).

Na tym etapie interesującym rozwiązaniem będzie stworzenie tabeli, w której znajdą się zagrożenia oraz stopień prawdopodobieństwa ich wystąpienia, dzięki czemu można je będzie podzielić według odpowiednich poziomów. Na przykład:

  • Bezpodstawne (lub nieprawdopodobne): możliwość wystąpienia zagrożenia jest równa zeru.
  • Mało prawdopodobne: możliwość wystąpienia zagrożenia jest znikoma.
  • Prawdopodobne: realna możliwość wystąpienia zagrożenia.
  • Wysoce prawdopodobne: wysokie prawdopodobieństwo wystąpienia zagrożenia.

Definiowanie Polityki Bezpieczeństwa

Polityka bezpieczeństwa jest dokumentem, który jako punkt odniesienia, definiuje główne cele bezpieczeństwa i jest podstawą oceny kroków podjętych w celu zapewnienia tego bezpieczeństwa.

Polityka bezpieczeństwa definiuje ilość reguł, procedur i dobrych praktyk, które zapewniają należyty poziom bezpieczeństwa danej organizacji.

Taki dokument musi być znany i zaakceptowany przez wszystkich uczestników projektu, zarówno zwykłych użytkowników, pracowników, jak i wysoko postawionych w hierarchii członków. Tuż po spisaniu Polityki bezpieczeństwa, części dotyczące pracowników muszą być im zakomunikowane, tak aby dokument ten miał jak największy zasięg wśród osób, których dotyczy.

Metody

Istnieje wiele sposobów, które mogą być wykorzystane do przygotowania polityki bezpieczeństwa. Poniżej znajdziesz listę (która oczywiście może być uzupełniona o nowe pozycje) głównych metod:

  • MARION (Metodologia Ryzyka IT oraz Analiza Ryzyka poprzez Poziomy), opracowana przez CLUSIF.
  • MEHARI (Zharmonizowana Metoda Analizy Ryzyka).
    • EBIOS.
  • EBIOS (Wyrażenie Potrzeb oraz Identyfikacja Celu Bezpieczeństwa), opracowane przez DCSSI (Centralna Dyrekcja ds. Bezpieczeństwa Systemów Informacji).
  • Standard ISO 27002 .

Zdjęcie: © Martial Red - Shutterstock.com

Treści, które ukazują się w serwisie CCM powstają we współpracy z ekspertami IT i pod kierownictwem Jeana-François Pillou, założyciela CCM.net. CCM to serwis o nowych technologiach - jeden z największych na świecie, dostępny w 11 językach.
Ten dokument zatytułowany "Identyfikacja potrzeb w Zasadach bezpieczeństwa IT" opublikowany przez CCM (pl.ccm.net) jest udostępniany na licencji Creative Commons. Możesz kopiować i modyfikować kopie tej strony, na warunkach określonych przez licencję i wymienionych w niniejszym tekście.