System
bezpieczeństwa
danych
System
bezpieczeństwa
danych
Polityka bezpieczeństwa danych
2
GK (OiBD(2) - 2011)
Poprawnie skonstruowana polityka bezpieczeństwa
rozpatruje problemy bezpieczeństwa danych w powiązaniu z
innymi, wymagającymi tego, zasobami kontekście tzw.
systemu bezpieczeństwa informacyjnego
. System ten wiąże
aktywa - zasoby systemu informacyjnego (dane) wraz z ich
podatnościami, środowisko, w którym funkcjonuje ten system
wraz z zagrożeniami przez nie stwarzanymi oraz środki
bezpieczeństwa, które są (lub mogą być) zastosowane do
likwidacji podatności i minimalizacji ryzyka realizacji
zagrożeń. Pojęcia wiążące się z systemem:
aktywa-zasoby
(assets) - wszelkie zasoby: oprogramowanie,
dane, sprzęt, zasoby administracyjne, fizyczne,
komunikacyjne lub ludzkie występujące w systemie
informacyjnym lub działalności informacyjnej, które mają dla
instytucji wartość,
podatności
(vulnerabilities) - wady lub luki w strukturze
fizycznej, organizacji, procedurach, personelu, zarządzaniu,
administrowaniu, sprzęcie lub oprogramowaniu, które mogą
być wykorzystane do spowodowania szkód w systemie
informacyjnym lub działalności użytkownika,
zagrożenia
(threats) - przyczyny niepożądanych zdarzeń,
których efektami są szkody (straty) w systemie
informacyjnym instytucji,
Bezpieczeństwo danych
3
GK (OiBD(2) - 2011)
zabezpieczenia
(safeguards) - mechanizmy, procedury i
praktyki, których zastosowanie powoduje zredukowanie
ryzyka do pewnego akceptowalnego poziomu zwanego
ryzykiem szczątkowym,
ryzyko
(risk) - miara prawdopodobieństwa tego, iż dane
zagrożenie wykorzysta określoną podatność zasobów,
powodując ich utratę lub uszkodzenie i w rezultacie
szkodę,
ryzyko szczątkowe
(residual risk) – ryzyko, które występuje
pomimo zastosowania zabezpieczeń – w praktyce ryzyko,
które akceptuje właściciel systemu.
Formalną podstawą systemu bezpieczeństwa w organizacji
jest dokument zwany „Polityką bezpieczeństwa". W nim
określa się, które dane organizacji mają być chronione i
jakie metody powinny być do tego zastosowane. Musi być
on zgodny z aktualnymi przepisami prawnymi oraz
regulacjami wewnętrznymi organizacji (statut, regulaminy
itp.). Poza wymienieniem potrzebnego do zapewnienia
założonego poziomu bezpieczeństwa sprzętu,
oprogramowania i zasobów ludzkich, musi określać
odpowiednie procedury na wypadek awarii, włamania czy
materializacji innych zagrożeń.
Politykę bezpieczeństwa należy stosować w organizacji w
sposób spójny. Powinna ona stanowić dla pracowników
źródło informacji przydatnych podczas wykonywania
codziennych obowiązków.
Bezpieczeństwo danych
4
GK (OiBD(2) - 2011)
Polityka bezpieczeństwa danych
Do dokumentów polityki bezpieczeństwa zalicza się
również standardy, zalecenia, wzorce i procedury.
Zakres polityki bezpieczeństwa danych:
obejmuje
całość zagadnień związanych z bezpieczeństwem
danych, będących w dyspozycji firmy,
definiuje
poprawne i niepoprawne
- w sensie
bezpieczeństwa - sposoby wykorzystywania danych,
przechowywanych oraz przetwarzanych w organizacji w
systemie informatycznym i poza nim,
definiuje
strategie
zapobiegania i zwalczania działań
zmierzających do osłabienia bezpieczeństwa danych w
organizacji.
Polityka bezpieczeństwa danych
powinna
zawierać:
wyjaśnienia, definicje podstawowych pojęć,
podział odpowiedzialności i kompetencji,
jasne sformułowania, prosty język,
opis mechanizmów realizacji polityki bezpieczeństwa.
Polityka bezpieczeństwa danych
nie powinna
zawierać:
szczegółów technicznych,
bezkrytycznych zapożyczeń z innych rozwiązań.
5
GK (OiBD(2) - 2011)
Główne źródła generujące wymagania bezpieczeństwa
danych w organizacji:
1. Wynik szacowania ryzyka dotyczącego organizacji, przy
uwzględnieniu całościowej strategii biznesowej i celów
organizacji.
Dzięki szacowaniu ryzyka można
zidentyfikować zagrożenia dla danych (aktywów), ocenić
ich podatności na zagrożenia i prawdopodobieństwo
materializacji (realizacji) tych zagrożeń oraz estymować
potencjalne tego skutki.
2. Przepisy prawne, statutowe, regulacje wewnętrzne,
zobowiązania kontraktowe, które organizacja, jej
partnerzy handlowi, wykonawcy oraz dostawcy usług mają
wypełnić, oraz środowisko społeczno-kulturowe, w którym
funkcjonują.
3. Zbiór zasad, celów i wymagań dotyczących przetwarzania
danych, obowiązujących w organizacji.
4. Wynik analizy: zasobów danych – które należy chronić -
znajdujących się w organizacji oraz określenia ich
wartości, struktury organizacyjnej, obiegu dokumentów w
organizacji, metod ich niszczenia i poziomów dostępu do
nich ze szczegółowym określeniem zakresu danych
niejawnych, zwłaszcza dotyczących systemów
informatycznych organizacji.
Polityka bezpieczeństwa danych
6
GK (OiBD(2) - 2011)
Etapy realizacji polityki bezpieczeństwa:
audyt istniejących zasobów danych i ich zagrożeń,
opracowanie projektu polityki bezpieczeństwa i odpowiedniej
dokumentacji,
wdrożenie projektu polityki bezpieczeństwa,
ciągły nadzór, kontrola i modyfikacja istniejącej polityki
bezpieczeństwa, stosownie do zmian zachodzących w organizacji
i jej otoczeniu.
Jednym z podstawowych elementów polityki
bezpieczeństwa są
strategie bezpieczeństwa
, spisane w formie
dokumentu, który powinien zawierać opis oraz sposobów
realizacji, przyjętych dla danej organizacji, metod i technik:
kontroli oraz limitowania dostępu do systemu informatycznego
i zawartych w nim danych,
okresowego lub stałego monitorowania systemu,
reagowania na realizowanie się (materializowanie) zagrożeń,
likwidacji skutków realizacji zagrożeń.
Polityka bezpieczeństwa danych
7
GK (OiBD(2) - 2011)
W procesie tworzenia strategii bezpieczeństwa należy kierować się
następującymi zasadami:
zasada poziomu bezpieczeństwa
– celem strategii powinno być
zapewnienie maksymalnie dostatecznej ochrony i odpowiednio duże
zmniejszenie ryzyka wystąpienia zagrożeń, a nie zbudowanie
zabezpieczeń idealnych,
zasada opłacalnych zabezpieczeń
– mechanizmy zapewniające ochronę
danych są opłacalne jedynie w przypadku, gdy koszt ich wdrożenia jest
niższy niż koszty związane ze skutkami materializacji danego
zagrożenia,
zasada najmniejszych przywilejów
– polega na ograniczaniu dostępu
do pewnych danych jedynie do tych, którzy powinni ów dostęp
posiadać (reguły „Need to Know” oraz „In The Know”),
zasada separacji obowiązków
– określa konieczność pozbawienia
pojedynczych osób w całości ich zdolności do wykonywania
krytycznych działań,
zasada niskiej złożoności systemów
– tworzone systemy ochrony
powinny być możliwie najprostsze i najskuteczniejsze,
zasada najsłabszego ogniwa
– niezbędna jest ochrona nie tylko danych
strategicznych, lecz także tych mniej znaczących, w myśl zasady, iż
system jest tak bezpieczny jak jego najsłabsze ogniwo,
Polityka bezpieczeństwa danych
8
GK (OiBD(2) - 2011)
zasada ograniczonego zaufania
– odnosi się do konieczności
separowania od siebie systemów informatycznych i ograniczenia relacji
zaufania między nimi oraz okresowej weryfikacji skuteczności
zastosowanych zabezpieczeń,
zasada wąskiego przejścia
– polega na ograniczeniu liczby możliwych
wejść do systemu informatycznego,
zasada dogłębnej ochrony
– dotyczy tworzenia wielu warstw
zabezpieczeń danych w systemie informatycznym i poza nim,
zasada zróżnicowanej ochrony
– polega na stosowaniu nie tylko
dostatecznie dużej liczby mechanizmów ochrony, ale również ich
zróżnicowaniu,
zasada odpowiedzialności
– odpowiedzialność właścicieli za
bezpieczeństwo danych wybiega poza granice ich organizacji,
zasada jednoznaczności
– odpowiedzialność za bezpieczeństwo danych
oraz zasady rozliczania użytkowników powinny być jednoznaczne.
Polityka bezpieczeństwa danych
9
GK (OiBD(2) - 2011)
Podstawą, warunkującą opracowanie właściwej polityki
bezpieczeństwa jest
analiza ryzyka
. Powinna ona doprowadzić do
klasyfikacji ryzyk w stosunku, do których w polityce
bezpieczeństwa mogą zostać określone działania zmierzające do:
ograniczenie ryzyka
– działania realizowane poprzez stosowanie
odpowiednich zabezpieczeń,
przeniesienie ryzyka
– przeniesienie odpowiedzialności za
ewentualne wykorzystanie podatności systemu i danych przez
zagrożenie na inną jednostkę organizacyjną,
unikanie ryzyka
– realizowane poprzez usunięcie jednego z
rodzajów danych, które podatne są na rozpatrywane zagrożenie,
co skutkuje tym, że nie są wtedy wymagane żadne mechanizmy
bezpieczeństwa,
akceptowanie ryzyka
– w pełni świadome zaakceptowanie ryzyka
w przypadku zagrożeń, przed którymi ochrona jest wysoce
nieopłacalna lub/oraz prawdopodobieństwo ich realizacji jest
znikome.
Zarządzanie ryzykiem – proces oceny ryzyka, którego zadaniem
jest redukcja ryzyka do akceptowalnych poziomów i utrzymanie
tego poziomu ryzyka.
Polityka bezpieczeństwa danych
10
GK (OiBD(2) - 2011)
Zarządzanie ryzykiem
Polityka bezpieczeństwa danych
Źródło: Internet
11
GK (OiBD(2) - 2011)
W ramach strategii bezpieczeństwa danych, polityka
bezpieczeństwa określa przedsięwzięcia wewnątrz
organizacyjne, których podjęcie i wykonanie zapewni
osiągnięcie w organizacji wymaganego poziomu
bezpieczeństwa danych, określonego w tej polityce. Są to
przedsięwzięcia obejmujące rozwiązania z zakresu
działalności:
organizacyjnej,
administracyjnej,
logistycznej,
komunikacyjnej,
ograniczania emisji elektromagnetycznej,
programistycznej,
szkoleniowej.
Polityka bezpieczeństwa danych
12
GK (OiBD(2) - 2011)
Przedsięwzięcia o charakterze
organizacyjnym
:
określenie specjalnych - z punktu widzenia przetwarzania danych -
obszarów chronionych (kancelarie tajne itp.) i określenie zasad ich
ochrony,
ograniczenie wymiany dokumentów tradycyjnych, wydruków z
drukarek komputerów i komputerowych plików danych,
opracowanie regulaminów i procedur pracy, ze szczególnym
uwzględnieniem dostępu do systemu informatycznego,
utworzenie procedur awaryjnych, ze szczególnym uwzględnieniem
procedur zapewniających ciągłość działania systemu
informatycznego,
opracowanie procedur kontrolnych i innych, ukierunkowanych na
ograniczenie ryzyka błędów ludzkich, możliwych do popełnienia w
kontakcie z danymi,
opracowanie procedur wymiany danych z otoczeniem organizacji
(identyfikacja źródeł i odbiorców, kontrola poprawności,
certyfikacja),
opracowanie procedur odbioru sprzętu komputerowego (kontrola
jakości, gwarancja, serwisowanie, certyfikacja),
opracowanie procedur odbioru i certyfikacji oprogramowania,
szkolenia pracowników.
Polityka bezpieczeństwa danych
13
GK (OiBD(2) - 2011)
Przedsięwzięcia o charakterze
administracyjnym
:
odpowiednie kierowanie wszystkim procesami zbierania,
przechowywania, przetwarzania, przesyłania i udostępniania
danych,
certyfikacja sprzętu, oprogramowania, pomieszczeń, osób,
zarządzanie dostępem do pomieszczeń i obiektów, związanych z
przetwarzaniem chronionych danych,
zarządzanie hasłami dostępu i kluczami kryptograficznymi,
administrowanie systemem informatycznym.
Przedsięwzięcia o charakterze
logistycznym
:
fizyczne zabezpieczenie obszarów chronionych i pomieszczeń,
wycofywanie i utylizacja wyeksploatowanych podzespołów
komputerowych,
zapewnienie odpowiednich źródeł zasilania sprzętu
komputerowego,
zapewnienie odpowiedniego sprzętu i urządzeń do bezpiecznego
przechowywania dokumentów tradycyjnych i komputerowych
nośników danych,
kontrola ruchu osobowego, szczególnie w obszarach chronionych.
Polityka bezpieczeństwa danych
14
GK (OiBD(2) - 2011)
Przedsięwzięcia o charakterze
komunikacyjnym
polegają na
określeniu
:
zasad wymiany danych wewnątrz organizacji oraz między
organizacją a otoczeniem,
zasad, metod i środków zabezpieczanie dokumentów
tradycyjnych, elektronicznych i komputerowych nośników
danych,
głównych i awaryjnych dróg transmisji,
zasad, metod i środków zabezpieczania sieci telekomunikacyjnej
i telefonicznej oraz innych urządzeń przesyłania danych.
Przedsięwzięcia zapewniające
ograniczanie emisji
elektromagnetycznej
:
określenie wskazań dotyczących jakości sprzętu komputerowego,
instalowanego w organizacji w zależności od jego przeznaczenia i
miejsca eksploatacji,
określenie stref ochronnych ze względu na emisję
elektromagnetyczną i zasad zachowania w nich,
określenie wymagań dotyczących ekranowania sprzętu
komputerowego i urządzeń transmisji danych.
Polityka bezpieczeństwa danych
15
GK (OiBD(2) - 2011)
Przedsięwzięcia działalności
programistycznej
polegają na
określeniu zasad
:
kontroli dostępu do systemu oraz ochrony plików i bazy danych,
stosowania wskazanych narzędzi kryptograficznych,
użycia mechanizmów separacji (firewall),
użycia mechanizmów wykrywania włamań do systemu
informatycznego,
użycia programów antywirusowych,
użycie programów do monitorowania działań użytkowników
systemu informatycznego.
Przedsięwzięcia
szkoleniowe
powinny zapewnić dotarcie do
pracowników następujących podstawowych prawd:
utrzymanie wymaganego poziomu bezpieczeństwa danych
spoczywa na każdym pracowniku organizacji, stosownie do
zajmowanego stanowiska,
zapewnienie bezpieczeństwa danych wiąże się ze znajomością i
przestrzeganiem regulaminu dla danego stanowiska,
szkolenie w zakresie bezpieczeństwa jest szkoleniem ciągłym,
wymagającym samokształcenia pracownika.
Polityka bezpieczeństwa danych
16
GK (OiBD(2) - 2011)
Wdrożenie polityki bezpieczeństwa danych napotyka
nieraz na trudności wynikające głównie z:
niedoceniania zagadnienia przez kierownictwo organizacji,
niechęci ponoszenia nakładów na ochronę jako na sferę
nieprodukcyjną działalności organizacji,
niezrozumienia i niechęci pracowników do dyscyplinowania
niektórych ich zachowań, związanych z dotychczasowymi
sposobami postępowania z danymi.
Wymienione trudności prowadzą często do następujących
rozstrzygnięć:
organizacja nie wdraża polityki bezpieczeństwa oraz nie
wprowadza żadnych zabezpieczeń i preferuje bierne oczekiwanie
na ewentualne przestępstwa w stosunku do danych,
organizacja wdraża tylko wybrane elementy polityki
bezpieczeństwa, co skutkuje niedostateczną, a często nawet
całkowitym brakiem ochrony danych.
System bezpieczeństwa
Prawidłowe i kompletne wdrożenie polityki
bezpieczeństwa warunkuje zaprojektowanie i
wdrożenie
systemu bezpieczeństwa danych w
organizacji
.
17
GK (OiBD(2) - 2011)
Prawidłowe i kompletne wdrożenie polityki bezpieczeństwa
wymaga, aby:
polityka wewnętrzna organizacji zapewniała aktualizację procedur
bezpieczeństwa, analizę zagrożeń oraz ocenę skuteczności
stosowanych metod, technik i urządzeń ochrony danych,
w organizacji powstała osobna komórka organizacyjna zajmująca
się bezpieczeństwem i zatrudniająca odpowiednich specjalistów,
zarząd organizacji formalnie zatwierdza politykę bezpieczeństwa i
inne najważniejsze dokumenty związane z bezpieczeństwem,
została powołana w organizacji specjalna komisja kontroli
wewnętrznej systemu bezpieczeństwa, która powinna
systematycznie kontrolować przestrzeganie ustaleń zawartych w
polityce bezpieczeństwa i dokumentach pochodnych,
ważne decyzje dotyczące bezpieczeństwa były podejmowane przez
zarząd organizacji w porozumieniu z komórką specjalistyczną,
były przestrzegane zasady odpowiedniego doboru kadr na ważne
stanowiska związane z bezpieczeństwem,
przestrzegana była zasada dbałości o pracownika, ponieważ
pracownik jest najważniejszym i często najsłabszym ogniwem
systemu bezpieczeństwa.
System bezpieczeństwa
18
GK (OiBD(2) - 2011)
Proces projektowania i wdrażania systemu bezpieczeństwa obejmuje
etapy:
przygotowanie,
projektowanie,
dokumentowanie,
wdrażanie.
Etap
przygotowania
obejmuje:
przekonanie zarządu organizacji i pracowników do konieczności
opracowania polityki bezpieczeństwa,
opis procesów biznesowych w organizacji i wytypowanie procesów
do ochrony danych,
opis strumieni danych zasilających i wytwarzanych przez
wytypowane procesy biznesowe organizacji,
opis komórek organizacyjnych biorących udział w realizacji
wytypowanych procesów biznesowych i przetwarzaniu związanych z
nimi danych,
opis rozmieszczenia infrastruktury technicznej i przestrzennej
obiektów i urządzeń, w których oraz za pomocą których są
realizowane przetwarzanie danych w ramach wytypowanych procesów
biznesowych,
wstępne oszacowanie kosztów i czasu realizacji systemu
bezpieczeństwa.
System bezpieczeństwa
19
GK (OiBD(2) - 2011)
Etap
projektowania
obejmuje przede wszystkim:
wybór różnorodnych metod zabezpieczeń (fizycznych,
programowych, transmisji, administracyjnych, organizacyjnych)
na podstawie aktualnej wiedzy, statystyk, istniejących
zabezpieczeń, opinii fachowców, wymogów prawnych,
analiza wprowadzanych zabezpieczeń i ich wpływu na procesy
przetwarzania danych i propozycje ewentualnej ich zmiana,
wynikającej z przyjętych rozwiązań ochronnych,
określenie struktury funkcjonalnej, technicznej i przestrzennej
środków i urządzeń ochrony danych, tj. wymienienie komórek
organizacyjnych i stanowisk, na których mają być stosowane
wskazanie środki i urządzenia ochrony oraz zasady ich
stosowania,
aktualizacja terminu i kosztu wdrożenia systemu bezpieczeństwa.
System bezpieczeństwa
20
GK (OiBD(2) - 2011)
Etap
dokumentowania
jest realizowany równolegle z etapem
projektowania.
W jego wyniku powstaje dokumentacja projektowa obejmująca
przede wszystkim:
opis zaprojektowanego systemu bezpieczeństwa,
opis procesów biznesowych i danych podlegających ochronie
oraz określenie zakresu ich ochrony,
opis zastosowanym metod, środków i urządzeń ochrony danych
oraz zasad i miejsca ich stosowania w organizacji,
opis wpływu systemu ochrony na funkcjonowanie organizacji,
opis etapów wdrażania systemu,
zaktualizowany kosztorys wdrożenia systemu,
opis korzyści wynikających z wdrożenia systemu
bezpieczeństwa w organizacji.
System bezpieczeństwa
21
GK (OiBD(2) - 2011)
Etap
wdrażania
systemu bezpieczeństwa obejmuje:
działania informacyjne w organizacji w celu przekonania
pracowników i zarządu o potrzebie wdrożenia systemu
bezpieczeństwa,
przygotowanie organizacji do zmiany zasad funkcjonowania po
wdrożeniu systemu bezpieczeństwa,
przeszkolenie kierownictwa w odnośnie celów i zadań systemu
bezpieczeństwa, ograniczeń w funkcjonowaniu organizacji po jego
wdrożeniu oraz zakresu prowadzenia wdrożenia,
przygotowanie dokumentacji (najlepiej dla każdego pracownika),
wdrożenie systemu bezpieczeństwa w wybranym zakresie w
wybranej jednostce organizacyjnej,
ciągłe monitorowanie procesu wdrażania oraz usuwanie
występujących niedociągnięć i błędów,
przeprowadzenie cyklu szkoleń dla wszystkich pracowników. zakres
szkoleń powinien obejmować: ogólny opis systemu bezpieczeństwa,
szczegółowe funkcjonowanie systemu w poszczególnych
jednostkach, omówienie kompetencji i zakresu obowiązków
dotyczących każdego stanowiska pracy, przedstawienie wpływu
systemu na dotychczas obowiązujące procesy pracy,
wdrożenie systemu w pozostałych jednostkach organizacyjnych,
zakończenie wdrożenia i odebranie systemu przez kierownictwo.
System bezpieczeństwa
22
GK (OiBD(2) - 2011)
Poprawnie zaprojektowany i wdrożony system
bezpieczeństwa powinien rozwiązywać problemy dotyczące:
ochrony przed złośliwym oprogramowaniem i kodem mobilnym,
kopii zapasowych danych,
zabezpieczeń sieci i usług sieciowych,
postępowania z tradycyjnymi i elektronicznymi nośnikami
danych,
wymiany danych i usług poprzez Internet,
monitorowanie funkcjonowania systemu,
kontroli dostępu do danych według zakresu odpowiedzialności
użytkowników,
kontroli dostępu do sieci,
kontroli dostępu do systemów operacyjnych,
kontroli dostępu do aplikacji i informacji,
kontroli dostępu przy pracy na odległość,
doboru i utrzymania sprzętu i oprogramowania.
[Źródło: www.made.pl/doskonalenie_zarzadzania,159.html
]
System bezpieczeństwa
23
GK (OiBD(2) - 2011)
Rady według AVET Information and Network Security Sp. z o.o.:
warto zatrudnić eksperta z zewnątrz - zwrot z inwestycji jest szybszy,
a wdrożony system może oferować oczekiwany poziom
bezpieczeństwa i spełniać wymagania prawne i technologiczne,
nie należy zatrudniać ludzi, którzy chwalą się włamaniami.
Prawdziwi audytorzy przede wszystkim podnoszą poziom
bezpieczeństwa, a nie atakują systemu,
członkowie zarządu powinni uczestniczyć w tworzeniu polityki
bezpieczeństwa i wypełnianiu jej postulatów. Poparcie zarządu
pozwala nie tylko uchwalić odpowiedni budżet na bezpieczeństwo, ale
też np. wprowadzić wewnętrzne normy i regulaminy oraz wyciągać
konsekwencje wobec pracowników, którzy ich nie przestrzegają,
projekty dotyczące ochrony informacji elektronicznej powinny być
oparte na zarządzaniu ryzykiem. Najważniejsze jest poprawne
określenie zagrożeń i prawdopodobieństwa ich wystąpienia oraz
oszacowanie związanego z tym ryzyka. Wynik tych obliczeń należy
weryfikować okresowo,
tylko stałe monitorowanie działania systemów i realizacji założeń
polityki bezpieczeństwa, adaptowanie się do zmian oraz
wykorzystanie nowych technologii umożliwia pogodzenie celów
biznesowych z bezpieczeństwem IT,
System bezpieczeństwa
24
GK (OiBD(2) - 2011)
Rady według AVET Information and Network Security Sp. z o.o. (cd):
nieodłącznym elementem bezpieczeństwa są: audyt i treningi -
wymagają ich międzynarodowe i krajowe normy oraz zalecenia
dotyczące bezpieczeństwa informacji elektronicznej. Audyt pozwala
na weryfikację obecnego stanu i planowanie dalszych działań
biznesowych i technologicznych,
zastosowanie systemu o prostej architekturze zwiększa wydajność
pracy oraz dostępność, integralność i poufność informacji. System
taki można efektywnie kontrolować i łatwiej go rozbudowywać. Jego
wdrożenie i eksploatacja jest tańsza niż rozbudowanych rozwiązań,
system zabezpieczeń powinien składać się z różnych mechanizmów.
Od strony organizacyjnej wprowadza się segregację i podział ról oraz
uprawnień dla użytkowników i systemów. Osoba odpowiedzialna za
bezpieczeństwo systemu powinna jednak zadbać o zachowanie
równowagi między prostotą architektury a liczbą mechanizmów
bezpieczeństwa,
w stosunku do gotowych produktów należy stosować zasadę
ograniczonego zaufania. Każde, nawet najlepsze narzędzie może
mieć problemy z zagwarantowaniem bezpieczeństwa
nawet najprostsze mechanizmy logujące zdarzenia mogą okazać się
bardzo pomocne w razie incydentu naruszenia bezpieczeństwa.
System bezpieczeństwa
25
GK (OiBD(2) - 2011)
Wdrażanie systemu bezpieczeństwa danych oparte na
międzynarodowej normie
ISO 27001
pozwoli na osiągnięcie
następujących korzyści:
spełnienie wymagań ustawowych,
uniknięcie kar za naruszenie bezpieczeństwa danych,
ochrona majątku i interesów właścicieli organizacji,
ochrona danych znajdujących się w obiegu w organizacji, oraz ich
zabezpieczenie na wypadek katastrof i awarii,
przewidywanie zagrożeń, ryzyka związanego z ich realizacją i
możliwość oceny ewentualnych strat w przypadku realizacji tych
zagrożeń,
zwiększenie świadomości pracowników w zakresie bezpieczeństwa
danych i wyrobienie u nich odpowiednich nawyków,
upewnienie klientów, że ich dane są właściwie chronione,
wzrost wiarygodności organizacji, wymagania przetargowe,
zarządzanie ciągłością działania,
ułatwia zdobycie uznanych zagranicznych kontrahentów i zwiększa
wiarygodność organizacji przy współpracy z nimi,
poprawa marketingowego wizerunku organizacji.
[Źródło: www.abi-security.com.pl]
System bezpieczeństwa
26
GK (OiBD(2) - 2011)
Najbardziej znanymi organizacjami zajmującymi się
zagadnieniami standaryzacji w dziedzinie bezpieczeństwa
systemów informatycznych należą:
ANSI
- American National Standards Institute,
ISO
- International Organization for Standarization,
NBS
- National Bureau of Standards, Department of
Commerce,
NCSC
- National Computer Security Center, Department of
Defence.
Problematykę bezpieczeństwa danych i szerzej – systemów
informatycznych regulują przede wszystkim następujące
dokumenty:
Trusted Computer System Evaluation Criteria (TCSEC) „The
Orange Book” –
1985r.
, USA,
Department of Trade and Industry Commercial Computer
Security Centre „The Green Books”, 1989r., Wielka Brytania,
Zerntralstelle fuer Sicherheit in der Informationstechnik
“The Green Book”, 1989r., Niemcy,
Information Technology Security Evaluation Criteria
(Harmonised Criteria of France, Germany, the Netherlands,
the UK), 1991r.,
Canadian Trusted Computer Product Evaluation Criteria
(CTCPEC) – 1993r., Kanada,
Federal Criteria for Information Technology Security (FC) –
1993r., USA,
Podsumowanie
27
GK (OiBD(2) - 2011)
Common Criteria (CC) – 1993r. wspólny wytwór organizacji,
które opracowały CTCPEC, FC, TCSEC oraz ITSEC,
Evaluation Criteria for Information Technology Security
(wersja robocza normy ISO/IEC 15408 na podstawie CC) –
1997r,
Dyrektywa Bezpieczeństwa ACE (Zjednoczonego Dowództwa
Europejskiego) dla państw NATO - 1 stycznia 1997,
umowa między państwami uczestniczącymi w projekcie CC
o wzajemnym uznawaniu certyfikatów bezpieczeństwa
wydawanych na podstawie CC – październik 1998r.
W Polsce problematykę ochrony danych regulują:
Ustawa z 14 grudnia 1982r. „O ochronie tajemnicy
państwowej i służbowej” (Dz. U. 1982 Nr 40 poz. 271),
Ustawa z 4 lutego 1994r. „O prawie autorskim i prawach
pokrewnych”, (Dz. U. 1994 Nr 24 poz. 83),
Ustawa z 29 sierpnia 1997r. „O ochronie danych
osobowych” (Dz. U. 1997 Nr 133 poz. 883),
Ustawa z 22 stycznia 1999r. „O ochronie informacji
niejawnych” (Dz. U. 1999 Nr 196 poz. 1631),
Podsumowanie
28
GK (OiBD(2) - 2011)
Ustawa z 27 lipca 2001r. „O ochronie baz danych” (Dz. U.
2001 Nr 128 poz. 1402),
Rozporządzenia Prezesa Rady Ministrów z 25 lutego 1999r.
w sprawie podstawowych wymagań bezpieczeństwa
systemów i sieci teleinformatycznych (Dz. U. 1999 Nr 18
poz. 162),
Rozporządzenie Ministra Spraw Wewnętrznych i
Administracji z 3 czerwca 1998r. w sprawie określania
podstawowych warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy
informatyczne, służące do przetwarzania danych osobowych
(Dz. U. 1998 Nr 80 poz. 521),
oraz w pewnym zakresie konstytucja RP, jako podstawa
prawna do ochrony życia prywatnego, zasad i trybu
gromadzenia oraz udostępniania informacji, dostępu do
zbiorów danych i dokumentów urzędowych, itd.
Zgodnie z przedstawionym wyżej Rozporządzeniem Prezesa
Rady Ministrów
z 3 czerwca 1998r.
bezpieczeństwo
teleinformatyczne, a więc i bezpieczeństwo danych
zapewnia się przez:
ochronę fizyczną,
ochronę elektromagnetyczną,
ochronę kryptograficzną, bezpieczeństwo transmisji,
kontrolę dostępu do urządzeń systemu lub sieci
teleinformatycznej.
Podsumowanie
29
GK (OiBD(2) - 2011)
30
GK (OiBD(2) - 2011)