Bezpieczeństwo zgodnie z planem

System Enterprise Security Manager firmy Symantec wspiera realizację nowej polityki bezpieczeństwa w Kredyt Banku.

System Enterprise Security Manager firmy Symantec wspiera realizację nowej polityki bezpieczeństwa w Kredyt Banku.

Podniesienie poziomu bezpieczeństwa było jednym z priorytetów w Kredyt Banku. Z myślą o tym przedsięwzięciu opracowano plan inwestycyjny działu IT na rok 2003. Od ubiegłego roku prowadzone są dwa równoważne projekty - stworzenie nowej polityki bezpieczeństwa i opracowanie planu "zachowania ciągłości działania banku". Zakończenie obu jest planowane na koniec tego roku. Kluczową rolę w ich realizacji odgrywa specjalna jednostka wydzielona w wyniku reorganizacji departamentu informatyki - Biuro Bezpieczeństwa i Logistyki Systemów Informatycznych.

Praca u podstaw

Andrzej Pakulski, szef Biura Bezpieczeństwa i Logistyki

Andrzej Pakulski, szef Biura Bezpieczeństwa i Logistyki

"Wprawdzie w banku istnieje polityka bezpieczeństwa, niemniej nie pokrywa ona wszystkich niezbędnych obszarów. Nie każdy obszar został właściwie opisany" - mówi Andrzej Pakulski, szef Biura Bezpieczeństwa i Logistyki. - "Zdecydowaliśmy się stworzyć nową politykę od zera. Uznaliśmy, że łatwiej będzie zbudować zupełnie nowy system niż aktualizować stary".

Podobną strategię bank obrał w przypadku opracowywania planów zachowania ciągłości działania. Zespół odpowiedzialny za projekt uznał, że irracjonalna skłonność do zachowania pewnych elementów starych planów może zaważyć na sukcesie przedsięwzięcia. Decyzję o tworzeniu nowych planów przypieczętował brak spisanych explicite założeń, w myśl których były tworzone stare procedury. Jednocześnie przyjęto założenie, że obecne plany są w wielu punktach nieaktualne, a poszukiwanie elementów wymagających poprawek zajęłoby zbyt dużo czasu w porównaniu z korzyściami płynącymi z tworzeniem ich od nowa zgodnie z wszelkimi zasadami sztuki.

Plany zachowania ciągłości działania są konstruowane głównie z myślą o ochronie ludzi - pracowników, klientów oraz osób znajdujących się na terenie banku i jego placówek. "Podtrzymanie świadczenia misji banku, ochrona informacji, tajemnic bankowych to cele niezwykle ważne, ale drugorzędne. Ochrona sprzętu komputerowego jest na jeszcze dalszym planie. Zabezpieczanie urządzeń, nawet wartych miliony dolarów, nie może powodować zagrożenia dla ludzi" - stwierdza Andrzej Pakulski. "Brzmi to może patetycznie, ale ten system wartości nie będzie kwestionowany" - dodaje.

Konsensus polityczny

Fundamenty tworzonej polityki bezpieczeństwa mają być niezależne od zachodzących na rynku zmian technologicznych. Niemniej, zgodnie z założeniami, przewiduje się nawet kilka razy do roku modernizacje procedur. Mogą być one skutkiem nie tylko nowych zagrożeń technologicznych, ale także wiązać się z udostępnieniem klientom nowych produktów czy tzw. kanałów dostępu.

Polityka bezpieczeństwa rozumiana jako strategia ma być wspierana przez narzędzia informatyczne. Głównym elementem wspierającym system będzie oprogramowanie Enterprise Security Manager firmy Symantec. "Polityka spisana w postaci procedur musi być stosowana w praktyce. W zakresie ochrony osób i mienia niewiele możemy wymyślić nowego. Trzeba korzystać ze spisanych na papierze reguł i egzekwować je. W przypadku informatyki, choć oczywiście posługujemy się również szczegółowymi procedurami, szukaliśmy drogi bezpośredniej komunikacji z systemami, która pozwoliłaby na uzyskanie obiektywnej wiedzy o stanie bezpieczeństwa systemów" - podkreśla Andrzej Pakulski. "Rozwiązanie Symanteca ma dostarczyć informacji o miejscach w systemach informatycznych, w których reguły polityki muszą być poprawione bądź bardziej rygorystycznie przestrzegane" - dodaje.

O wyborze konkretnego rozwiązania zadecydowała filozofia bezpieczeństwa, którą promuje Symantec. Jest ona zgodna z założeniami przyjętymi w całej grupie KBC, do której należy Kredyt Bank. "Zaletą systemu jest to, że nie musimy dokonywać żadnych zmian w posiadanej infrastrukturze. Enterprise Security Manager wpisuje się w sieć rozwiązań, którymi już dysponuje, zarówno z zakresu bezpieczeństwa, jak i monitorowania systemów" - mówi Andrzej Pakulski. Kredyt Bank korzysta np. z oprogramowania BMC Patrol do zarządzania infrastrukturą.

W służbie bezpieczeństwa

Enterprise Security Manager (ESM) to narzędzie służące do weryfikowania zgodności systemów IT z odpowiednimi regułami zapisanymi w polityce bezpieczeństwa danej organizacji. Oprogramowanie może kontrolować nie tylko poziom bezpieczeństwa systemów operacyjnych, ale także , baz danych, a także routerów i przełączników.

Dzięki centralnej konsoli administrator z jednego miejsca ma dostęp do wszystkich kontrolowanych systemów. Pracownicy Biura Bezpieczeństwa i Logistyki Systemów Informatycznych mogą - mając obraz całej infrastruktury - samodzielnie decydować np. o instalowaniu uaktualnień czy powiadamianiu administratorów odpowiedzialnych za poszczególne aplikacje. ESM sprawdza również m.in. "moc" wykorzystywanych przez pracowników haseł lub częstotliwość ich zmian.

ESM jest oferowany wraz z listą tzw. najlepszych praktyk związanych z zapewnianiem bezpieczeństwa oprogramowania i urządzeń. Symantec ponadto oferuje moduły zawierające prekonfigurowane zestawy reguł przeznaczone dla specyficznych kombinacji aplikacji i systemów operacyjnych, np. bazy danych Oracle 8i działającej pod kontrolą systemu operacyjnego HP-UX 10 lub 11. Reguły są tworzone z wykorzystaniem uznanych standardów, np. normy ISO 17799.

Każdy monitorowany element infrastruktury jest sprawdzany pod kątem zgodności jego konfiguracji z dostarczonymi regułami, które podlegają regularnej aktualizacji. W najnowszą wersję ESM wbudowano mechanizm LiveUpdate, znany z innych produktów Symanteca, który może automatycznie aktualizować dane. Użytkownik może również samodzielnie modyfikować lub dodawać nowe reguły. W przypadku wykrycia jakichkolwiek niezgodności program sugeruje działania, których podjęcie jest niezbędne do podniesienia poziomu bezpieczeństwa.

ESM może być uruchomiony na serwerach Windows NT/2000/XP, Linux, Novell NetWare, OpenVMS, Unix, Solaris, AIX, HP-UX i Tru64, a także stacjach roboczych z Windows NT/XP.