Ochrona przed pojawieniem się nielegalnego oprogramowania

Fakt pojawienia się nielegalnego oprogramowania stanowi potencjalne zagrożenie żywotnych interesów przedsiębiorstwa. Jego efektem, w finansowym wymiarze, może być konieczność wniesienia wielkich nieraz odszkodowań na rzecz posiadacza praw autorskich. Dla pełnego zabezpieczenia się należy dokonywać regularnego przeglądu listy wykorzystywanego na każdej stacji roboczej i serwerach oprogramowania. Jeśli nie licencjonowane oprogramowanie jest wykorzystywane przez dowolnego użytkownika, polityką firmy powinno być zakupienie tego oprogramowania.

3.6 Stosowanie technik kryptograficznych. Wybór miejsca szyfrowania

Podstawowe znaczenie dla bezpieczeństwa informacji w sieci otwartej ma stosowanie kryptograficznych metod ochrony. Odpowiednio zaprojektowany i wdrożony system szyfrowy może zagwarantować poufność i integralność informacji - od źródła do ujścia - oraz wiarygodność stacji i ich użytkowników, łącznie z uprawnieniami. Niektóre praktycznie wykorzystywane aplikacje nie wymagają szyfrowania w więcej niż jednej warstwie, np. poufność rozmów telefonicznych czy transmisja telefaksowa. W przypadku gdy w sieci telekomunikacyjnej są stacje zawierające bazy danych niejawnych, między którymi odbywa się transmisja lub wymagany jest zdalny dostęp do nich użytkowników sieci, szyfrowanie w jednej warstwie nie zapewni pełnego bezpieczeństwa informacji. Wybór warstwy, w której są stosowane metody kryptograficzne, zależy od oceny zagrożeń i przyjętych rozwiązań. Przykładowo, jeśli jest wymagana pełna poufność ruchu, to szyfrowanie stosuje się w warstwie fizycznej. Jeśli zaś jest wymagane duże rozdrobnienie ochrony (np. oddzielny klucz szyfrowy do każdego zgrupowania aplikacji, ochrona obszarów danych, różne uprawnienia użytkowników w dostępie do danych), to szyfrowanie powinno być realizowane w warstwie prezentacji, która może także dostarczać usług integralności i nieodrzucania. Natomiast jeśli jest wymagana ochrona dużych bloków informacji w komunikacji od końca do końca lub jest pożądane zewnętrzne urządzenie szyfrujące (np. dla zapewnienia fizycznego bezpieczeństwa algorytmom i kluczom szyfrowania lub ochrony przed błędami oprogramowania), to szyfrowanie powinno być realizowane w warstwie sieciowej. Jeśli jest wymagana integralność danych i duże rozdrobnienie ochrony, to szyfrowanie powinno być realizowane w warstwie transportowej. Przez wybór odpowiedniego szyfru można zapewnić wtedy poufność i integralność danych z odtwarzaniem lub bez.

Wybór odpowiedniego szyfru

Wykorzystywanie kryptograficznych metod ochrony informacji w sieci telekomunikacyjnej wiąże się z wyborem odpowiedniego szyfru i rozwiązaniem problemu dystrybucji kluczy.

Do realizacji podpisu cyfrowego i notaryzacji (potwierdzenia rejestrowanego przez osobę trzecią, do której mają zaufanie komunikujące się stacje/użytkownicy) są wykorzystywane szyfry asymetryczne. Ze względu na powolność działania szyfry asymetryczne są wykorzystywane tylko do szyfrowania krótkich informacji. Poufność informacji - od źródła do ujścia - oraz jej integralność może zapewnić przede wszystkim odpowiedni symetryczny szyfr blokowy.

Do identyfikacji użytkowników przeważnie wykorzystywane są hasła, ustalane przez nich samych lub oparte na dialogu użytkownik-stacja. Najlepszym rozwiązaniem są tzw. inteligentne karty, zawierające procesor i pamięć. Umożliwiają one wykorzystywanie losowych haseł, które są automatycznie zmieniane w każdym seansie łączności. W systemie nie jest więc przechowywane hasło, ale jego obraz wytworzony przy wykorzystaniu szyfru jednokierunkowego. Szyfrowanie jest wtedy nieodwracalne i charakteryzuje się tym, że znajomość algorytmu szyfrowania i kryptogramu (obrazu hasła przechowywanego w systemie) nie pozwalają wyznaczyć informacji (hasła).

3.7 Ochrona fizyczna pomieszczeń

Zakres fizycznej ochrony pomieszczeń sprowadza się do ochrony przed dostępem osób niepowołanych oraz zdarzeniami losowymi (np. pożar). Co do pierwszego, to szczegółowo reguluje się zasady wstępu do pomieszczeń newralgicznych (np. sale serwerów) i określa krąg osób do tego upoważnionych.

W odniesieniu do zagrożeń wynikających ze zdarzeń losowych, przyjmuje się następujące zabezpieczenia:

Bezpieczeństwo i higiena pracy

Szkolenie pracowników w zakresie zasad postępowania w przypadku zagrożenia pożarowego lub innego losowego oraz zasad bhp (zwłaszcza dotyczące zapobiegania wypadkom podczas pracy).

Ochrona przeciwpożarowa

Budynek wyposaża się w odpowiedni sprzęt gaśniczy wraz z czytelnymi instrukcjami posługiwania się nim, zlokalizowany w łatwo dostępnych, widocznych i oznakowanych miejscach. Ponadto sale komputerowe powinny mieć czujniki dymu i instalację klimatyzacyjną, również z odpowiednią sygnalizacją na wypadek przegrzania się sali. Baterie instalacji UPS umieszcza się w specjalnie wydzielonych do tego celu pomieszczeniach.