mgr inż. Paweł SKURATOWICZ

pskuratowicz@poczta.wwsi.edu.pl

ZARZĄDZANIE USŁUGAMI

W SYSTEMACH

OPERACYJNYCH

Wykład 6

Agenda

Zarządzanie bezpieczeństwem i zarządzanie
ryzykiem w systemach komputerowych:

1.

Polityka bezpieczeństwa.

2.

Typy polityki bezpieczeństwa.

3.

Opracowanie polityk bezpieczeństwa.

4.

Dokumentowanie polityk bezpieczeństwa

5. Osoby odpowiedzialne za

bezpieczeństwo systemów
komputerowych.

Literatura

1. Mark S. Merkow, Jim Breithaupt,

Information Security: Principles and
Practices, Second Edition,
June 04, 2014

2. David Kim, Michael G. Solomon,

Fundamentals of Information Systems
Security,
November 17, 2010

BEZPIECZEŃSTWO

SYSTEMÓW

KOMPUTEROWYCH

POLITYKA

BEZPIECZEŃSTWA

Polityka bezpieczeństwa

1. Zgodnie z Certified Information Systems Security

Professional (CISSP), zarządzanie

bezpieczeństwem i zarządzanie ryzykiem stanowi

podstawową domenę bezpieczeństwa, na której

buduje się cały system.

2. Jest to zbiór czynności zarządczych i

wykonawczych, które definiują

program

bezpieczeństwa systemów komputerowych.

Dlaczego użyto słowa „program”?
Czym się różni program od projektu?

Zarządzenia bezpieczeństwem

3. Etapy zarządzania bezpieczeństwem:

a) deklaracja kierownictwa dot. celu
b) polityki bezpieczeństwa
c) określenie sposobu wykonania,

odpowiedzialności, szkoleń, świadomości.

4. Klasyfikacja danych.
5. Zarządzanie ryzykiem.
6. Wyznaczenia ról, władzy i odpowiedzialności.

Po co jest to wszystko określane?
Jaki jest główny cel?

Aby zapewnić świadomość o wadze

bezpieczeństwa systemów w danej organizacji!

Polityka bezpieczeństwa

1. Polityka bezpieczeństwa jest kluczowym

elementem bezpieczeństwa organizacji i musi być

brana pod uwagę na długo przed tym jak

systemy komputerowe będą wdrażane.

Jeżeli nie masz polityki bezpieczeństwa, to masz

coś, ale nie wiesz po co, ponieważ nikt tobie nie

powiedział co powinno to robić.” /M. Ranum/

2. Implementacja zabezpieczeń systemów

komputerowych bez zdefiniowanych reguł

spowoduje tylko przypadkową ochronę.

„Nawet zepsute zegarek wskaże dobrą godzinę …

i to dwa razy na dobę!”

Polityka bezpieczeństwa

BEZPIECZEŃSTWO

SYSTEMÓW

KOMPUTEROWYCH

TYPY

POLITYK

BEZPIECZEŃSTWA

Typy polityk bezpieczeństwa

1. Polityka dla Programu Bezpieczeństwa

(

Programme-level Policy

) – jest używany w celu

ustanowienia programu bezpieczeństwa SK, jest to

najwyższy dokument, opisuje potrzebę stosowania

bezpieczeństwa SK, może powierzać funkcję

zarządzenia bezpieczeństwem działowi IT

2. Polityka dla Struktury Programu Bezpieczeństwa

(

Programme-framework policy

) - ustanawia ogólne

podejście do bezpieczeństwa komputerowego (jako

struktury bezpieczeństwa komputerowego), dodaje

szczegółowy opis do programu, opisując elementy i

organizację oraz dział, który będzie odpowiedzialny

za Program.

Typy polityk bezpieczeństwa

3. Polityka obszaru (

Issue-specyfic Policy

) –

rozwiązuje konkretne kwestie mające znaczenie dla

organizacji. Kwestie te mogą mieć na przykład

charakter regulacyjny (np. standard

bezpieczeństwa danych dla kart bankomatowych)

lub ustawowy (np. ustawa o ochronnie danych

osobowych).

4. Polityka systemu (System-specific policy) -

koncentruje się problemach, które dotyczą

określonego systemu.

.

Programme-level Policy

1. Zarząd potrzebuje polityki aby ustanowić program

ochrony, przypisać role zarządzania programem,

wskazywać cel bezpieczeństwa SK dla całej

organizacji oraz stworzenia podstaw do

przestrzegania zasad bezpieczeństwa.

2. Obejmuje:

1. Cel bezpieczeństwa SK w organizacji.
2. Zakres wymaganego bezpieczeństwa.
3. Obowiązki poszczególnych komórek i osób

funkcyjnych.

4. Zasady przestrzegania polityki.

Programme-level Policy

Cel bezpieczeństwa

1. Wyraźnie zdefiniowany cel organizacji.
2. Struktury bezpieczeństwa organizacji.
3. Potrzeby związane z bezpieczeństwem (np.

poufność, dostępność).

4. Przykłady:



organizacja utrzymująca duże bazy danych o

znaczeniu krytycznym może podkreślić redukcję

błędów, utratę danych lub uszkodzenie danych.



w organizacji odpowiedzialnej za utrzymanie

poufnych danych osobowych cele mogą

podkreślić silniejszą ochronę przed

nieuprawnionym ujawnieniem danych.

Programme-level Policy

Zakres bezpieczeństwa

1. Zakres określa jakie zasoby (lokalizacje, sprzęt

i oprogramowanie), dane i personel program

obejmuje.

2. Może wymienić konkretne aktywa, takie jak główne

lokalizacje i duże systemy (lub wszystkie aktywa).

3. Powinien określić zastosowanie do kontraktorów,

podwykonawców, podłączonych innych firm do

organizacji.

4. Wziąć pod uwagę pracowników domowy

(telepracowników), pracowników mobilnych, dostęp

do zasobów firmy z odległych miejsc,

wprowadzanie prywatnych urządzeń.

Programme-level Policy

Obowiązki

1. Polityka opisuje obowiązki zarówno działów, osób

funkcyjnych i pracowników w całej organizacji.

2. Polityki rozróżniają odpowiedzialności dostawców

usług komputerowych (IT) i obowiązków właścicieli

aplikacji korzystających z usług komputerowych.

3. Na poziomie polityki programu przypisanie

obowiązków obejmuje działania i personelu, które

będą niezbędne do realizacji i ciągłości polityki

bezpieczeństwa komputera.

Programme-level Policy

Przestrzeganie polityk

1. Określenie kar i postępowań dyscyplinarnych dla

osób, które nie są przestrzegają polityki

bezpieczeństwa komputerowego.

2. Ponieważ polityka bezpieczeństwa jest

dokumentem wysokiego szczebla, kary za różne

przewinienia nie są zazwyczaj tam szczegółowo

określone.

3. Ostrzeżenia i związane z nimi kary są zazwyczaj

określone w polityce dla danego problemu lub

specyficzne dla danego systemu.

4. Złamanie polityk bezpieczeństwa może być

spowodowane niewiedzą lub brakiem szkoleń.

Programme-Framework Policy

1. Określa elementy programu bezpieczeństwa w

organizacji, które stanowią podstawę dla programu

bezpieczeństwa SK

2. Odzwierciedla decyzje kierownictwa IT dotyczące

priorytetów w zakresie ochrony, przydziału zasobów

oraz przypisywania odpowiedzialności.

3. Przykłady:



planowanie dostępności procesów

biznesowych;



wymagania na bezpieczeństwo fizyczne

centrów danych;



bezpieczeństwo przy tworzeniu aplikacji.

Issue-Specific Policy

1. Identyfikują i definiują zidentyfikować konkretne

obszary zainteresowania i podać pozycję w

organizacji lub postawę w tej kwestii. W zależności

od problemu jak i potencjalnego wpływu, polityka

może pochodzić od szefem organizacji, dyrektora

ds. IT lub zarządzającego programem

bezpieczeństwa komputerowego.

2. W praktyce: Powinien być to żywy dokument

aktualizowany zgodnie z rozwojem nowych

technologii.

Issue-Specific Policy

3. Przykład: laptopy i tablety stały się wszechobecne w

gabinetach lekarskich i szpitalach ze względu na wygodę i

łatwość bezprzewodowych sieci lokalnych (WLAN).

Pozwalają one lekarzom i pielęgniarkom zdalnie uzyskać

dostęp do dokumentacji pacjenta, dodać uwagi i diagnoz i

sprawdzać leki, między innymi. Ten dostęp powoduje, że

powinny być zadane nowe i trudne pytania dot.

zabezpieczeń:

a) Jak można mieć pewność, że żadne nieautoryzowane

komputery nie będą mogły podsłuchiwać komunikacji

bezprzewodowej?

b) Jak pacjenci mogą być pewni, że prywatność danych o

pacjencie i jego chorobach nie jest ceną za wygodę

lekarzy?

Issue-Specific Policy

4. Polityka obejmuje:

A.

Opis problemu

obejmujący definicję,

powiązanie z bezpieczeństwem oraz

specyficzne warunki, np.

Organizacja

opracowuje Issu-Specific Policy dla

„Intranetu”, która obejmuje jakie działania są

dozwolone, kto nie ma dostępu i zasady

dostępu do sieci z zewnątrz.

Issue-Specific Policy

B.

Stanowisko organizacji

związane z problemem,

np

. Polityka dostępu do Intranetu może mieć

zastosowanie wyłącznie do własnych zasobów

organizacji i pracowników na miejscu, a nie do

podwykonawców i biur organizacji w innych

miejscach. Dodatkowo, zastosowanie polityki

wobec pracowników wymagających dostępu z

zewnątrz może wymagać dalszych wyjaśnień.

C.

Przypisanie ról i obowiązków

, np.

dostęp do

sieci z zewnątrz wymaga odpowiedniej zgody,

przy czym powinna być wskazana osoba

funkcyjna, która taką zgodę wydaje i która

odpowiada za jej przestrzeganie.

Issue-Specific Policy

D.

Przestrzeganie polityk,

opisuje wykroczenia

i odpowiednie kary, które muszą być zgodne z

zasadami i praktykami stosowanymi w

organizacji oraz muszą być skoordynowane z

odpowiednimi działami i nawet związkami

zawodowymi.

E.

Punkty kontaktowy

, odpowiednie osoby

odpowiedzialne za informowanie o

obowiązujących normach i wytycznych. Dla

niektórych kwestii punktem kontaktowy może

być przełożony, a w innych sprawach może to

być kierownik obiektu, wsparcie techniczne,

lub administrator systemu.

Issue-Specific Policy

5. Przykłady polityk:

a) Dopuszczalna zastosowanie poczty

elektronicznej.

b) Dopuszczalne wykorzystanie Internetu.
c) Polityki dla urządzeń mobilnych.

System-Specific Policy

1. Poprzednie polityki miały zastosowanie dla całej

organizacji. Jednakże system-specific policy ma

zastosowanie do wąskiego zastosowania – dla

jednego systemu.

2. Jest opracowywany przez tzw. sponsora systemu

(lub władzę operacyjną systemu).

3. Jest w szczególności wykorzystywany, gdy jeden z

działów organizacji ze względu na swoją specyfikę

nie zgadza się z politykami bezpieczeństwa dla

całej organizacji.

System-Specific Policy

1. Obejmuje:

1. Cele bezpieczeństwa dla określonego systemu.
2. Wytyczne jak system powinien być

eksploatowany w celu osiągnięcia celów

bezpieczeństwa.

3. Stosowane zabezpieczenia, które będą

wypełniały cele bezpieczeństwa.

Wiele decyzji polityki bezpieczeństwa mają

zastosowanie tylko na poziomie systemu.

Przykłady obejmują następujące decyzje:

System-Specific Policy

4. Osoby mające uprawnienia do czytania i

modyfikacji dane w systemie.

5. W jakich przypadkach dane mogą być

odczytywane lub modyfikowane?

6. Czy użytkownicy będą mogli połączyć się z

system komputerowym z domu lub w

podróży?

Dziękuję za uwagę!

mgr inż. Paweł SKURATOWICZ

pskuratowicz@poczta.wwsi.edu.pl

mgr inż. Paweł SKURATOWICZ

pskuratowicz@poczta.wwsi.edu.pl

ZARZĄDZANIE USŁUGAMI

W SYSTEMACH

OPERACYJNYCH

Ćwiczenia 6

Polityka bezpieczeństwa zawiera następujące

informacje:



Tytuł.



Cel.



Zatwierdzający.



Wykonawca.



Odniesienia do innych polityk.



Zakres.



Oczekiwane efekty.



Odstępstwa.



Odpowiedzialności.



Zarządzanie zgodnością.



Opis sposobu sprawdzenia osiągnięcia oczekiwanego efektu.



Data wejścia w życie oraz czas ważności.



Użyte definicje.

Polityka bezpieczeństwa

Polityka poczty elektronicznej

1. Programme-level policy

2. Programme-framework policy

3. Issue-specyfic Policy: Stosowanie sieci WiFi i haseł

4. System-specyfic Policy: System „branżowy”

Polityka poczty elektronicznej

1. Cel

Celem

dokumentu

(polityki)

jest

zapobieganie

kształtowaniu szkodliwego publicznego wizerunku
<nazwa firmy>. Dla

każdego e-mail wysyłanego z

<nazwa

firmy>,

(autoryzowanego

lub

nieautoryzowanego),

opinia

publiczna

będzie

traktowała tą wiadomość jako oficjalny stanowisko
firmy <nazwa firmy>.

Polityka poczty elektronicznej

2. Niedozwolone wykorzystanie

System pocztowy <Nazwa firmy> nie

może być

wykorzystany do tworzenia lub rozpowszechniania
jakichkolwiek

niechcianych

lub

obraźliwych

wiadomości, w tym obraźliwych komentarzy lub
uwagami

dotyczącymi rasy, płci, niepełnosprawności,

wieku, orientacji seksualnej,

przekonań religijnych i

politycznych, pochodzenie narodowe itp. Pracownicy,
którzy otrzymują e-maili z taką zawartością powinien
to natychmiast

zgłosić do swojego przełożonego.

Zabrania

się otwierania załączników wiadomości od

niezweryfikowanych

nadawców.

Polityka poczty elektronicznej

3.

Użytkowanie do celów osobistych

Rozsądne korzystanie z zasobów poczty do celów
prywatnych jest dopuszczalne, ale e-

mail’e nie

związane z pracą powinny być zapisane w osobnym
folderze. Wysyłanie tzw. „łańcuszków” lub żartów
(kawałów) z konto e-mail jest zabronione. Ostrzeżenie
o wirusa lub innego zagrożeniach oraz masowe
wysyłanie wiadomości powinny być zatwierdzone
przez <funkcja> przed wysłaniem. Ograniczenia te
mają zastosowanie także do wiadomości
przekazywanych pocztą przez pracowników <nazwa
firmy>.

Polityka poczty elektronicznej

4. Monitorowanie

Poczta

pracowników <nazwa firmy> nie podlega

ochronie zgodnie z

ustawą o ochronie danych

osobowych w zakresie przechowywania,

wysyłanie

lub odbierania

wiadomości w systemie poczty

elektronicznej

spółki.

<nazwa

firmy>

może

monitorować

wiadomości

bez

wcześniejszego

uprzedzenia.

Jednocześnie <nazwa firmy> nie jest

zobowiązana do monitorowania wiadomości e-mail.

.

Polityka poczty elektronicznej

5.

Odpowiedzialność

Każdy pracownik podejrzany o niestosowanie się do
polityki może zostać ukarany dyscyplinarnie włącznie
z natychmiastowym wypowiedzeniem stosunku pracy

Polityka poczty elektronicznej

6. Definicje

• E-mail
• Przekazywanie wiadomości
• Wiadomości „łańcuszki”
• Nieuprawnione ujawnienie informacji

Dziękuję za uwagę!

mgr inż. Paweł SKURATOWICZ

pskuratowicz@poczta.wwsi.edu.pl