Polityka bezpieczeństwa sieci

Najcięższe współczesne wojny będą prowadzone metodami elektronicznymi w wyniku polityki prowadzonej przez konkurujące podmioty zarówno polityczne, jak i gospodarcze. W świecie IT określenie polityki jest równie ważne. Obok Polityki Funkcjonowania (Celów) Przedsiębiorstwa pojawia się najważniejszy - z naszego punktu widzenia - dokument: Polityka Bezpieczeństwa Teleinformatyki (PBTI). PBTI jest podstawowym dokumentem, od którego zależą pozostałe prace prowadzone przy budowie efektywnych zabezpieczeń.

Najcięższe współczesne wojny będą prowadzone metodami elektronicznymi w wyniku polityki prowadzonej przez konkurujące podmioty zarówno polityczne, jak i gospodarcze. W świecie IT określenie polityki jest równie ważne. Obok Polityki Funkcjonowania (Celów) Przedsiębiorstwa pojawia się najważniejszy - z naszego punktu widzenia - dokument: Polityka Bezpieczeństwa Teleinformatyki (PBTI). PBTI jest podstawowym dokumentem, od którego zależą pozostałe prace prowadzone przy budowie efektywnych zabezpieczeń.

Problem ochrony zagrożonych miejsc systemu teleinformatycznego pojawia się często już na poziomie opracowania tego właśnie dokumentu. Dokument "Polityka Zabezpieczeń Teleinformatyki" (jak nakazuje określać przygotowywana Polska Norma) wciąż nie jest uważany za ważny. Często jego opracowywanie jest odkładane na rzecz prowadzenia doraźnych czynności parazabezpieczających.

Dzięki PBTI możemy zadecydować, jakie mechanizmy zabezpieczeń powinny być wdrożone, jakie usługi zabezpieczeń i jakimi środkami zamierzamy to osiągnąć. Podstawą podejmowanych decyzji jest:

  • szacowanie ryzyka towarzyszącego zagrożeniom i podatności na atak, według PBTI, w zależności od wartości chronionej informacji

  • pryncypialne zasady bezpieczeństwa przyjęte dla konkretnego typu organizacji

  • fakt sprawdzenia lub certyfikowania produktów przez odpowiednie instytucje

  • prawne nakazy lub wymuszenia

  • organizacyjne, kontraktowe i środowiskowe wymuszenia.

    Zbiór norm i standardów, którymi powinniśmy się posiłkować, jest obszerny. Na uwagę zasługują ISO/IEC 13335, które wkrótce zostaną opublikowane jako polska norma.

    Polityka Bezpieczeństwa w skali makro

    Często, lecz bez większego efektu, sygnalizowany jest inny, podobny problem. Oprócz BPTI koniecznej dla pojedynczej instytucji, musimy dysponować wspólną jednolitą polityką postępowania. Taka uniwersalna polityka może mieć dwojakie znaczenie - dla sytuacji kryzysowych i normalnej eksploatacji.

    Konieczność podobnych regulacji widać na przykładzie błędów popełnianych w różnych sektorach publicznych. Przykładów mamy aż nadto. Dobrze stałoby się, gdybyśmy opiekując się strategicznymi systemami teleinformatycznymi (STI), potrafili wyciągnąć wnioski i uniknęli podobnych kompromitacji.

    Narzędzia IT wykorzystujemy w Polsce od kilkudziesięciu lat. Jednak środowiska decyzyjne przedsiębiorstw, firm i instytucji zdają się nie mieć wystarczającej świadomości własnej odpowiedzialności za opracowanie i wdrożenie wspólnej polityki ochrony danych. Brakuje również forum dla wymiany zdobytych doświadczeń (jest to poniekąd zrozumiałe - nie lubimy i nie możemy publicznie ujawniać własnych problemów). Krokiem w dobrym kierunku jest krajowy odpowiednik CERT-u (Computer Responce Emergency Team) CERT-NASK i coroczne Konferencje Zastosowań Kryptografii - Enigma. Te i podobne konferencje mają zasadniczą wadę - w przeciwieństwie do kosztownych szkoleń o mizernym poziomie - są organizowane zbyt rzadko.

    Sieć komputerowa, jak też techniki łączności, ułatwiają niewątpliwie wymianę informacji, komplikując jednocześnie podział informacji między użytkowników. Dzielenie informacji zgromadzonej w pamięci komputerów, a należącej do różnych użytkowników, wymaga od nas działań, aby użytkowników nie upoważnionych odizolować od informacji poufnej. Podobnie jak zabezpieczenie jednego komputera nie gwarantuje jego bezpieczeństwa po podłączeniu do sieci, tak samo odpowiednio zabezpieczone dwa różne systemy nie dają gwarancji bezpiecznej wymiany informacji między nimi. Dlatego istotną kwestią jest ustalanie założeń wspólnej polityki ochrony danych.

    Ekonomika zakupów

    Jako twórcy STI musimy stale zadawać pytanie: "Czy jest i czy będzie bezpiecznie?". Pytanie to stawiamy przy każdej decyzji wyboru rozwiązania, produktu, dostawcy, rzetelnie obejmując całość zagadnień wokół tworzonego systemu. Gdy odpowiadamy za bezpieczeństwo, musimy brać pod uwagę zarówno aspekty techniczne, jak i ludzkie, sprawy organizacyjne i prawne.

    Szybki postęp technologiczny zmienia obraz zabezpieczeń i zagrożeń. Dynamiczny postęp jest elementem, z którego czerpiemy przyjemność pracy, ale jest też wyzwaniem. Musimy jednocześnie zdawać sobie sprawę, że na rynku istnieje wiele produktów wątpliwej jakości. Sprzedawcy, którzy żyją z prowizji, starają się sprzedawać rozwiązania nie zapewniające wymaganej użyteczności. Nie należą do rzadkości sytuacje, gdy oferowane są produkty, o których sprzedawca potrafi powiedzieć jedynie, że są na pewno najlepsze i bezkonkurencyjne, chociaż z doświadczenia wiemy coś wręcz przeciwnego.

  • W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

    TOP 200