Polityka wkroczyła do sieci

Wobec nawału rzeczywistych i wydumanych zagrożeń pojawiła się potrzeba wprowadzenia jednolitych norm, które pomogłyby ogarnąć wszystkie obszary bezpieczeństwa - od fizycznych zabezpieczeń magazynów po antywirusa na komputerze w sekretariacie. Na scenę wkroczyła polityka bezpieczeństwa. Termin od niedawna niezwykle modny, ale czy tak naprawdę wiemy, czym jest polityka bezpieczeństwa?

Wobec nawału rzeczywistych i wydumanych zagrożeń pojawiła się potrzeba wprowadzenia jednolitych norm, które pomogłyby ogarnąć wszystkie obszary bezpieczeństwa - od fizycznych zabezpieczeń magazynów po antywirusa na komputerze w sekretariacie. Na scenę wkroczyła polityka bezpieczeństwa. Termin od niedawna niezwykle modny, ale czy tak naprawdę wiemy, czym jest polityka bezpieczeństwa?

W ostatnich latach coraz większy nacisk kładzie się na ogólnie pojęte bezpieczeństwo, a już po 9 września 2001 r. mamy niemalże do czynienia z paranoją. Za każdym rogiem czai się terrorysta łasy na wszystko - od lokalnej mleczarni po zakłady zbrojeniowe. Nic więc dziwnego, że ta histeria ogarnęła również szeroko rozumiane przedsiębiorstwa oraz ich całą infrastrukturę, w tym informatyczną. Pordzewiałe kłódki wymieniane są na zamki elektroniczne, a pieczę nad bezpieczeństwem sprawuje teraz CSO (Chief Security Officer).

Odpowiedź na pytanie czym jest polityka bezpieczeństwa jest dosyć prosta, choć jej rozwinięcie nie takie banalne. W kilku słowach polityka bezpieczeństwa to zbiór uregulowań i wytycznych, które pozostając w zgodzie z obowiązującym prawem, określają zasady dostępu do całości infrastruktury przedsiębiorstwa oraz jej poszczególnych składowych. A zatem: polityka bezpieczeństwa - w idealnym scenariuszu - to zbiór wytycznych, na podstawie których budowane jest bezpieczeństwo organizacji.

Na politykę bezpieczeństwa oraz jej ostateczny kształt wpływa kilka elementów. Są nimi chociażby czynniki ryzyka - inne bowiem zagrożenia będą miały wpływ na sieć hoteli, inne na szpital, a jeszcze inne na zakłady zbrojeniowe. Z tym z kolei ściśle wiąże się poczucie zagrożenia. Inaczej konstruowana będzie polityka, jeżeli zarząd firmy uważa, że w każdej chwili wisi nad nią groźba sabotażu, a inaczej jeżeli bezpieczeństwo traktowane jest dość swobodnie. Tutaj od razu należy oddzielić poczucie zagrożenia od rzeczywistego zagrożenia.

Świadome firmy (przeważnie duże korporacje) zlecają badania, które mają na celu określenie poziomu ryzyka i oszacowanie faktycznego zagrożenia bezpieczeństwa organizacji, a także wskazanie ewentualnych czułych punktów. Nie można zapominać o istocie bytu większości organizacji - prawach wolnego rynku. Trudno sobie wyobrazić, aby organizacja działała dzisiaj w oderwaniu od realiów biznesowych. Dlatego też rynek i jego zachowanie stają się kolejnym czynnikiem dyktującym potrzebę. Gros kontaktów biznesowych nie mogłoby funkcjonować bez nowoczesnych rozwiązań telekomunikacyjnych (np. kanały VPN). Trzeba to jakoś zabezpieczyć i to na przyzwoitym poziomie. Te elementy, o których mowa wyżej, można określić terminem tzw. ogólnej koncepcji bezpieczeństwa.

Wspomnieliśmy, że polityka musi pozostawać w zgodzie z obowiązującym prawem. Uwarunkowania prawne są więc kolejnym istotnym czynnikiem wpływającym na ostateczny kształt naszej koncepcji. Nie jest możliwe stworzenie dobrej polityki bezpieczeństwa bez znajomości funkcjonujących rozwiązań prawnych. A skoro mowa o regulacjach, to żadna dobrze skonstruowana polityka nie może obyć się bez międzynarodowych i krajowych wytycznych, tzw. norm bezpieczeństwa. Do tego jeszcze dochodzi czynnik zupełnie prozaiczny - zasobność portfela. Dlaczego? Ponieważ właściwe oszacowanie potrzeb w zakresie bezpieczeństwa, stworzenie spójnego dokumentu, a potem wprowadzenie go w życie pociąga niemałe koszty. Co innego bowiem napisać instrukcję, a co innego skrupulatnie jej przestrzegać. To wymaga przydzielenia odpowiednich zasobów, na które nie każdy może sobie pozwolić.

Co tam panie w polityce?

Co w takim razie powinna zawierać polityka bezpieczeństwa? Powinna swoim zasięgiem obejmować wiele zagadnień. Należy pamiętać, że polityka bezpieczeństwa nie odnosi się tylko i wyłącznie do infrastruktury informatycznej. To również zabezpieczenia całości obszaru przedsiębiorstwa (bramy, recepcja, pomieszczenia, magazyny itp.). Chodzi przede wszystkim o określenie:

  • co będzie podlegało ochronie?
  • w jaki sposób ochrona ta będzie zapewniona?
  • komu przysługują uprawnienia?
  • jakie są konsekwencje naruszenia bezpieczeństwa?
  • oraz jaki będzie scenariusz działania w przypadku naruszenia bezpieczeństwa?

Dalsze elementy mają na celu utrzymanie odpowiedniego poziomu bezpieczeństwa, ale o tym trochę dalej. Warto jeszcze wspomnieć, że mogą pojawić się także dodatkowe elementy związane ze specyfiką funkcjonowania przedsiębiorstwa. Wyłania się zatem obraz dość złożony, wymagający sporych nakładów pracy. Na szczęście jesteśmy odpowiedzialni "tylko" za bezpieczeństwo informatyczne i dlatego ograniczymy się do polityki bezpieczeństwa informatycznego.

Zanim będziemy mogli zakasać rękawy i wziąć się do pracy, musimy posiąść konieczną wiedzę teoretyczną.

Narzędzia fachu

Skoro stworzenie dobrej polityki nie jest rzeczą banalną, to skąd możemy dowiedzieć się, jak od początku zrobić to właściwie? Nie jesteśmy na tym polu pozostawieni samym sobie. Z pomocą przychodzi zestaw norm i wytycznych, z których możemy korzystać. Normy te powstały na podstawie wieloletnich doświadczeń ekspertów z dziedziny bezpieczeństwa.

Jedną z pierwszych, która znajduje zastosowanie przy tworzeniu polityki bezpieczeństwa, jest British Standard 7799 - ustanowiona w 1995 r. W powszechnym użytku znalazła się dopiero w 2000 r., kiedy to po kilku poprawkach weszła w skład standardu ISO 17799. Ten z kolei po raz ostatni nowelizowany był w 2005 r. W Polsce stosowana jest norma PN-ISO IEC 17799:2003 (Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji) oparta na wspomnianej już BS 7799. Drugim, niemniej ważnym dokumentem, jest znowu norma British Standard, tym razem 7799-2:2002 i jej polskie tłumaczenie PN-I-07799-2:2005 (Systemy zarządzania bezpieczeństwem informacji. Część 2: Specyfikacja i wytyczne stosowania). Jest to bodajże najciekawszy dokument z technicznego punktu widzenia. Określa on konkretne obszary bezpieczeństwa i sposoby ich ochrony - od zabezpieczeń fizycznych, poprzez incydenty i reakcje na nie, po audyty. Dodatkowym źródłem wiedzy mogą być również takie normy, jak: ISO 9001:2000 - Systemy Zarządzania Jakością - wymagania; ISO Guide 73: 2002 - Zarządzanie ryzykiem. Słownictwo - wskazówki stosowania. ISO TR 13335-1...5 (GMITS) - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych.

Dołączmy do tego garść przepisów prawnych obowiązujących w Polsce, które trzeba znać:

  • Ustawa o ochronie danych osobowych z 29.08.1997 z poprawkami.
  • Rozporządzenie MSWiA z 29.04.2004 w sprawie "...warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych".
  • Ustawa o ochronie informacji niejawnych z 22.01.1999 z poprawkami.

Nie będziemy tutaj skupiali się na omawianiu poszczególnych regulacji - ich przestudiowanie to praca domowa dla uważnego czytelnika. Pamiętajmy, że są to jedynie wytyczne, a nie gotowe przepisy kulinarne typu "kopiuj - wklej". W każdym przypadku stworzenie polityki bezpieczeństwa informacji będzie wymagało indywidualnego podejścia do tematu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem IDGLice[email protected]

TOP 200