Spojrzenie na bezpieczeństwo
-
- Janusz Zawiła-Niedźwiecki,
-
- Bogusław Fries,
-
- Jerzy Marek Bednarczyk,
- 15.06.1998
3.8 Stosowanie procedur bezpieczeństwa
Większość aspektów związanych z problematyką bezpieczeństwa powinna być ujęta w dokumentach zwanych procedurami. Opisują one zasady postępowania pracowników zarówno w sytuacjach typowych, jak i awaryjnych oraz zawierają reguły wykonywania poszczególnych czynności związanych z bezpieczną eksploatacją systemu komputerowego.
4 Profilaktyka i audyt
4.1 Szkolenie pracowników
Istotnym elementem utrzymania odpowiedniego poziomu bezpieczeństwa systemu informatycznego jest regularne podnoszenie kwalifikacji zawodowych pracowników. Wyższe kwalifikacje implikują wyższą świadomość i co za tym idzie, większą szansę eliminacji zagrożeń wynikających z braku kompetencji, lekceważenia ataku typu social engeenering oraz błędów nieprawidłowej obsługi.
4.2 Audyt wewnętrzny
Audyt prowadzony przez kontrolę wewnętrzną
W wielu krajach przepisy ogólne zmuszają instytucje publiczne do tworzenia komórek audytorskich i wykonywania przez nie wyznaczonych przepisami zadań. Wówczas pracownicy audytu wewnętrznego otrzymują dostęp do systemu na zasadzie profilu audytorskiego, który umożliwia im przeglądanie i drukowanie dzienników zdarzeń i zmian, wykonywanie analiz przekrojowych i problemowych na bazie plików wyselekcjonowanych z dziennika. Przeglądy takie mogą odbywać się regularnie lub ad hoc, w zależności od potrzeb.
Pracownicy audytu wewnętrznego współpracują też z audytorem zewnętrznym.
Audyt prowadzony przez informatyków firmy
Obejmuje on następujące dziedziny: kontrolę wykazu profili, analizę uprawnień wszystkich użytkowników, ocenę skuteczności ochrony, analizę bezpieczeństwa przekazu, analizę aplikacji klienckich, analizę sprawności technicznej komputerów i sieci transmisyjnej, analizę i optymalizację efektywności, analizę błędów wykrywanych przez system operacyjny lub użytkowników i przekazywanie problemów szczegółową analizę zdarzeń, które doprowadziły lub mogły doprowadzić do naruszenia przetwarzania, obserwację i korektę składowania i odtwarzania na komputerach zapasowych, analizę przyczyn utraty prawa do logowania wykrywaną automatycznie.
Informatycy współpracują także z audytorami wewnętrznymi i zewnętrznymi, pomagając zinterpretować zapisy w dzienniku zdarzeń i wskazując, które zdarzenia wynikają z rutynowej działalności.
4.3 Audyt zewnętrzny
Zbliża się czas, gdy na wzór krajów Unii Europejskiej firmy zobligowane prawem do audytu finansowego będą też zobowiązane do audytu informatycznego. Stosowni audytorzy muszą mieć powszechnie uznane certyfikaty kwalifikacji, przyznane przez niezależne stowarzyszenia zawodowe.
Audyt zewnętrzny jest weryfikacją praktyki prowadzenia przetwarzania systemu informatycznego w porównaniu z normami przepisów ogólnych oraz wewnętrznych procedur przetwarzania i ochrony danych.
<hr size=1 noshade>Jerzy Marek Bednarczyk jest szefem zespołu technik dystrybucji Giełdy Papierów Wartościowych, Bogusław Fries - głównym specjalistą do spraw bezpieczeństwa informatycznego w Krajowym Biurze Wyborczym, zaś Janusz Zawiła-Niedźwiecki jest dyrektorem działu informatyki Giełdy Papierów Wartościowych.
Przypisy
1 J. Zawiła-Niedźwiecki "Projektowanie ciągłości działania systemu teleinformatycznego" Computerworld, Warszawa, 19.05.1997 r.
2 J. M. Bednarczyk, J. Zawiła-Niedźwiecki "Zarządzanie bezpieczeństwem systemu teleinformatycznego", Przegląd Organizacji 11-12/97, TNOiK, Warszawa.
3 "Współdziałanie systemów otwartych (OSI) - Architektura zabezpieczeń" - Polska Norma: PN-92 T-20001/02 (tłumaczenie normy ISO 7498-2), 1989 r.
4 W modelu OSI zdefiniowano zasady łączności pomiędzy systemami otwartymi. Model ten został opracowany w latach 1977-1984 przez ISO i stał się de facto normą dla wszystkich systemów teletransmisyjnych.
5 Obecnie uważa się za dobry taki algorytm, który uniemożliwia odgadnięcie hasła metodą kolejnych prób w czasie krótszym niż 30 dni, stosując najszybsze dostępne komputery. W dostępnej literaturze sugeruje się stosowanie odpowiednio przystosowanego algorytmu DES z kluczem 56 bitów.
6 B. Fries "Ochrona zasobów sieciowych za pomocą techniki firewall", Telekomunikacja cyfrowa - Technologie i Usługi, AGH Kraków 1998 r.
1. J. Zawiła-Niedźwiecki "Projektowanie ciągłości działania systemu teleinformatycznego" Computerworld, Warszawa, 19.05.1997 r.
2. B. Fries "Ochrona zasobów sieciowych za pomocą techniki Firewall", Telekomunikacja cyfrowa - Technologie i Usługi, AGH Kraków 1998 r.
3. J. M. Bednarczyk, J. Zawiła-Niedźwiecki "Zarządzanie bezpieczeństwem systemu teleinformatycznego", Przegląd Organizacji 11-12/97, TNOiK, Warszawa.
4. B. Schneier "Kryptografia dla praktyków", WNT 1995 r.
5. "Współdziałanie systemów otwartych (OSI) - Architektura zabezpieczeń" - Polska Norma: PN-92 T-20001/02 (tłumaczenie normy ISO 7498-2), 1989 r.
6. T. Sheldon "Wielka Encyklopedia Sieci Komputerowych", Robomatic, Wrocław, 1995 r.
7. R. Stevens "Unix Network Programming", Pretince Hall, Englewood, 1990 r.
8. A. Menezes "Handbook of Applied Cryptography", CRC Press, New York, 1997 r.
9. S. Garfinkel "Bezpieczeństwo w systemie Unix i w Internecie", O'Reilly, Warszawa, 1997 r.
10. Ch. C. Wood, "A Policy for an Information Security Management Committee" Computer Security Alert, no 115, October 1992 r., Computer Security Institute, San Francisco.
11. CH. C. Wood, "Principles of Secure Information Systems Design", Computers & Security vol.9, no.1, Oxford, February 1990 r.
