Polityka wkroczyła do sieci
-
- Patryk Królikowski,
- 07.09.2006
Małymi kroczkami do przodu
Wskazówki do tworzenia polityki bezpieczeństwa
Co więc będziemy chcieli zabezpieczyć? Odpowiedź jest prosta - coś co jest obecnie niezwykle cenne, czyli informację. Zabezpieczając informację, trzeba pamiętać o pewnych delikatnych kwestiach z nią związanych:
Po pierwsze, chcemy zachować poufność informacji - czyli dostęp do niej powinny mieć tylko i wyłącznie takie osoby, które otrzymały stosowne upoważnienia.
Po drugie, chcemy mieć pewność, że informacja odebrana była w takiej samej postaci, w której została zakodowana bez żadnych zakłóceń, a więc chcemy zachować jej integralność.
Po trzecie, w pogoni za bezpieczeństwem nie możemy zapominać o najważniejszym, tak więc informacja ma przede wszystkim pozostać dostępna - w odpowiednim czasie, miejscu i dla prawidłowo autoryzowanych użytkowników.
Pamiętając o powyższym, możemy przystąpić do:
- identyfikacji informacji, którą będziemy chcieli chronić;
- źródeł, w których będzie przechowywana;
- kanałów oraz obszarów, które będzie pokonywała na swojej drodze do celu.
Na początek musimy oszacować potrzeby organizacji w zakresie bezpieczeństwa. W tym celu konieczne jest przejrzenie wszystkich elementów, które będą wpływać na kształt polityki. Będziemy więc poddawać gruntownej analizie posiadaną infrastrukturę. Chodzi o te składniki, które bezpośrednio zostaną objęte ochroną bądź w procesie ochrony będą uczestniczyć. W zależności od poziomu skomplikowania polityki i jej granularności będziemy musieli uwzględnić takie elementy, jak: serwery, stacje robocze (również laptopy), drukarki, macierze dyskowe, systemy operacyjne, oprogramowanie produkcyjne, bramy pocztowe, firewalle, urządzenia IDP, telefony IP itd.
Ochrona informacji to nie tylko sprzęt i miejsca, w których jest ona przechowywana. To także ludzie. A zatem musimy również sięgnąć do procesów i procedur obowiązujących w organizacji. Należy dokładnie przyjrzeć się obiegowi informacji, wszelkim zależnościom decyzyjnym i tzw. przepływowi pracy (workflow). Polityka bezpieczeństwa ma dopełniać i precyzować zarządzanie informacją i jej dostępnością, a nie funkcjonować w oderwaniu od rzeczywistości.
Kolejnym krokiem, ściśle powiązanym z poprzednim, będzie zapoznanie się ze strukturą organizacyjną firmy. Wydać się może dziwne, że zabieramy się do tego elementu na końcu. Nie jest to jednak pozbawione sensu. Może się okazać, że przepływ informacji wcale nie odpowiada strukturze organizacyjnej i będziemy mogli zasugerować pewne modyfikacje. Gdybyśmy w pierwszym rzucie spojrzeli na strukturę organizacyjną moglibyśmy, jak to mówią psychologowie, zafiksować się i na siłę przyporządkowywać przepływ informacji odpowiednim działom.
Kiedy posiądziemy już odpowiednią wiedzę i oszacujemy wstępnie potrzeby w zakresie bezpieczeństwa, będziemy mogli przystąpić do przygotowania planu działania. Nie możemy tutaj działać indywidualnie - takie podejście z góry skazane jest na porażkę. Konieczne będzie współdziałanie z osobami odpowiedzialnymi za bezpieczeństwo, administratorami, działem kadr, szefami komórek. Nazwijmy ten zespół komitetem sterującym. W ramach komitetu należy wyznaczyć osoby odpowiedzialne za poszczególne elementy procesu budowania polityki bezpieczeństwa, tak aby nie było później nieporozumień i szeroko stosowanej spychologii.
Mając zespół możemy przejść do zidentyfikowania i oszacowania ryzyka - bądź to we własnym zakresie, bądź wspierając się doradztwem specjalistów. Później będziemy mogli przystąpić do identyfikacji i oceny wariantów postępowania z ryzykiem. Kolejnym etapem będzie opracowanie podstawowych założeń polityki i sprecyzowanie celów zabezpieczeń. Kiedy będziemy wiedzieli, co chcemy zabezpieczać, łatwiej dobierzemy same środki techniczne. Co może nas szczególnie interesować w zakresie bezpieczeństwa informatycznego na tym etapie?
Po pierwsze, będziemy chcieli skutecznego zarządzania infrastrukturą informatyczną. Bez tego nikt nie skontroluje poziomu bezpieczeństwa i nie znajdzie śladów naruszeń. Skutecznego, a zatem takiego, w którym określone zostaną procedury działań oraz rozdzielona odpowiedzialność za ich przestrzeganie. Elementem skutecznego zarządzania będzie kontrola wprowadzanych do infrastruktury elementów, a więc przeprowadzanie testów akceptacyjnych. Będziemy musieli również określić zasady postępowania z nośnikami zawierającymi informacje, np. przechowywanie, przekazywanie, niszczenie.
Po drugie, będziemy określać zasady dostępu do systemów. Na tym etapie musimy przemyśleć takie sprawy, jak określenie sposobu autoryzacji użytkowników, zasady delegacji uprawnień, monitorowanie procesu dostępu zarówno do systemów, jak i funkcjonujących w ich ramach aplikacji. O ból głowy przyprawią nas także użytkownicy mobilni.
I wreszcie po trzecie - znowu tak samo ważny element jak pozostałe - zapewnienie rozwoju systemów, a zatem określenie procedur aktualizacji, upgrade'ów, monitorowania kodu nowo tworzonego oprogramowania.
Kiedy dopniemy te szczegóły na ostatni guzik, przyjdzie nam zmierzyć się z wprowadzeniem planu w życie. To bodajże najbardziej bolesny etap tworzenia polityki bezpieczeństwa. Tutaj wyjdą wszystkie niedoskonałości fazy planowania. Jak zwykle okaże się, że nie wzięto pod uwagę kilku okoliczności, których nie udało się przewidzieć wcześniej.
Ale nic nie szkodzi. Dobrze, że jest kolejny etap, który zweryfikuje fazę planowania. Wdrożenie należy rozpocząć od przeszkolenia użytkowników, administratorów oraz osób związanych z przetwarzaniem informacji. Dla każdej grupy osób warto przewidzieć osobny pakiet szkoleń. Bez tego nawet najlepsza polityka okaże się bezużyteczna. Użytkownicy muszą znać swoje obowiązki, wiedzieć jak dbać o bezpieczeństwo na swoim stanowisku i jednocześnie mieć świadomość odpowiedzialności za zaniedbania. Podobnie rzecz ma się z administratorami - oczywiście z tą różnicą, że szkolenie będzie prowadzone na nieco innym poziomie. Bogatsi w świeżo przyswojone wiadomości, z większą świadomością zaangażują się w kolejny punkt programu - dostosowanie zabezpieczeń oraz wdrożenie nowych, tak aby spełnić wymogi naszej polityki bezpieczeństwa. Notabene ten punkt, to temat na osobny artykuł, ale trzeba o nim wspomnieć.
