Ochrona zasobów informatycznych

Podejście kompleksowe - prawidłowość zabezpieczeń wymaga, aby chronić wszystkie zasoby

Zabezpieczenie SI - element zarządzania systemami informatycznymi w przedsiębiorstwie, dotyczący ochrony samej infrastruktury, jak i informacji przed rozmyślnym, celowym lub przypadkowym zniszczeniem.

• jako problem organizacyjno - techniczny rozwiązywany na poziomie systemu.

Zapewnienie zabezpieczeń - może być zdefiniowane jako zbiór postanowień dotyczących integralności informacji i aplikacji oraz dostępności infrastruktury informacyjnej i systemów SI działających na niej.

Integralność informacji - stan informacji, czy informacja pochodzi z wiarygodnego źródła, nie może być w takcie swego przechowywania edytowana i modyfikowana przez osoby nieupoważnione.

Integralność aplikacji - nieudostępnianie osobom nieupoważnionym, brak modyfikacji.

Program zabezpieczeń spełnia cele:

• ustalenie procesu planowania zabezpieczeń,

• ustalenie funkcji zarządzania zabezpieczeniami,

• rozwój, doskonalenie polityki (wytycznych) odnośnie zabezpieczeń SI,

• ustalenie procesu analizy, opracowywania budżetu,

• ustalenie procesu zarządzania ryzykiem,

• ustalenie formalnej procedury przeglądu zapewnienia zabezpieczeń,

• planowanie i egzekwowanie działań naprawczych.

Zabezpieczenie jest problemem, który obejmuje cały system i nie może być sprowadzone do zabezpieczenia bazy danych i sieci.

Najistotniejsze miary zabezpieczeń w jednym podsystemie mogą okazać się banalne, chybione, zbagatelizowane, jeśli pominięto je w innym podsystemie.

Kompromitują

Aktywa

Zasoby fizyczne:

• komputery, czyli duże komputery (mainframe), minikomputery PC,

• narzędzia peryferyjne: terminale, drukarki, plotery,

• urządzenia pamięci: taśmy magnetyczne, dyski, szafy na dyski optyczne, dyskietki,

• wyposażenie sieci - fizyczne komponenty sieci, komponenty połączeń międzysieciowych takie jak repeatery, mosty, routery, bramki,

• wyposażenie dodatkowe: puste dyskietki, papier, pióra do plotera, gaśnice p.pożarowe.

Zasoby intelektualne:

• oprogramowanie: oprogramowanie systemowe, tj. systemy operacyjne, nakładki np. NC, oprogramowanie usługowe, bazy danych, oprogramowanie zabezpieczające,

• informacje - tekst, wiedza, obrazy, dźwięk (informacje ogólnodostępne, tajne, poufne),

Zasoby kadrowe:

• - użytkownicy końcowi, twórcy aplikacji (analitycy, projektanci, programiści), operatorzy i programiści systemów, administratorzy baz danych,

• zarząd, rewidenci wewnętrzni (ochrona przed korupcją).

Zasoby - transakcje i usługi:

• eksploatacja aplikacji czyli przetwarzanie transakcji, przetwarzanie wsadowe i zapytanie ad hoc,

• usługi operacyjne, co obejmuje instalacje sprzętu, doskonalenie instalacji sprzętu, rozszerzanie istniejących zasobów i usług sprzętowych,

• usługi systemowe - doskonalenie wykorzystania systemu operacyjnego,

• usługi administracji baz danych takie jak pielęgnacja słowników danych, monitoring działania baz danych, kontrola zabezpieczeń,

• kontrole rewizyjne.

Aktywa trudne do wyrażenia w jednostkach pieniężnych (intangibles), tj. reputacja firmy, zdolność przyciągania i zachowania najlepszych pracowników.

Zagrożenia - klasy zagrożeń:

• klęski naturalne, tj. powodzie, trzęsienia ziemi, huragany, atak terrorystyczny,

• wypadki, tj. pożar, zanik mocy, pęknięcie rury, wyciek wody, zawalenie budynku,

• zagrożenia ze strony ludzi, tj. pracowników, szpiegów, włamywaczy, wrogów

Wypracowywane są na podstawie przeprowadzonej analizy na temat możliwych zagrożeń.

Kategorie zagrożeń ze strony ludzi:

1. Kradzież zasobów:

1. kradzież zasobów fizycznych,

2. wyszukiwanie informacji w koszach na śmieci,

3. kopiowanie zawartości urządzeń pamięci,

4. kradzież informacji ze względu na dostęp do SI,

2. Niewłaściwe wykorzystanie zasobów, czyli:

1. użycie złych woluminów danych (pakietów dyskowych, kaset taśmowych),

2. przechwycenie uprawnień autoryzowanego użytkownika celem penetracji systemu,

3. przekazywanie informacji ukrytymi kanałami (kodowanymi),

3. Wykorzystanie zasobów do innych niż wskazano w przedsiębiorstwie celów:

1. wykorzystanie komputerów przedsiębiorstwa i zasobów sieciowych do celów osobistych lub prywatnych przedsięwzięć ekonomicznych,

2. wykorzystanie informacji z baz danych dla celów prywatnych,

3. bezprawne kopiowanie oprogramowania i jego sprzedaż,

4. dokonywanie transakcji w czyimś imieniu

4. Bezprawne ujawnianie informacji, czyli:

1. przeglądanie istotnych, ważnych informacji,

2. przekazywanie tych ważnych informacji na zewnątrz przedsiębiorstwa osobom nieupoważnionym,

3. kopiowanie, rozpowszechnianie ważnych informacji

5. Podsłuchiwanie informacji:

1. podsłuchiwanie ludzi,

2. podsłuchiwanie rozmów telefonicznych,

3. przechwytywanie transmisji satelitarnych, przekazów mikrofalowych

6. Nieumyślne lub bezprawne modyfikacje i zniekształcenia zasobów fizycznych i intelektualnych:

1. awarie sprzętu,

2. zniekształcenie programów systemowych,

3. bezprawna zmiana informacji na urządzeniach pamięci,

4. przypadkowe lub celowe zniszczenie informacji,

5. wprowadzenie nieautoryzowanych komunikatów do sieci,

6. naruszenie integralności informacji,

7. problemy relacji czas-kontroli-czas-użycia (time to check to time to use) - informacja wprowadzana jako aktualna zostanie wykorzystana przez system,

8. przeglądanie informacji pozostawionych przez poprzedniego użytkownika,

9. niezamierzone zniekształcenie aplikacji,

10. występowanie w aplikacjach pułapek, koni trojańskich, wirusów

7. Projektowanie, przygotowanie złej infrastruktury informacji, co prowadzi do:

1. przeładowanie, przeciążenia pamięci i mechanizmów dostępu,

2. częstego przeciążenia sieci,

3. zerwania usług sieciowych w okresach szczytu,

4. nieumyślne zaprzestanie lub opóźnienie usług,

5. naruszenie ciągłości usług

Hierarchia zagrożeń:

1. Najbardziej powszechna klasa zagrożeń - ludzkie błędy, pomyłki, lekceważenie obowiązków, możliwych zdarzeń, nadużycie haseł: przekazywanie hasła do punktu (jednostki funkcjonalnej) w sieci, pozostawianie hasła wypisanego na terminalu lub gdzieś w pobliżu, używanie powszechnie spotykanego, łatwego do złamania hasła, inne zagrożenia tej klasy: błędne dane wprowadzone z klawiatury, błędy w programach

2. Nieuczciwi pracownicy:

1. czerpanie korzyści z usterek, pomyłek w przetwarzaniu manualnym i w skomputeryzowanych procedurach,

2. czerpanie korzyści z dostępu do zastrzeżonej informacji,

3. wprowadzanie wirusów do infrastruktury informacyjnej.

Popełniający te przestępstwa działają w obrębie swoich uprawnień. Żadne reguły dostępu

nie zostają naruszone, żadne obce hasła nie są wykorzystywane i nawet technicznie

najlepiej zabezpieczony system pozostaje bezradny wobec tej klasy zagrożeń.

3. Pożar - może zniszczyć wszystkie rodzaje zasobów, łącznie z zasobami intelektualnymi i pośrednio także transakcjami i usługami.

4. Woda - efekt uboczny pożaru lub pęknięcie rury.

5. Pracownicy - malkontenci, reagujący w sposób następujący

1. umieszczają bomby logiczne, programy które „eksplodują” w predefiniowanym czasie w przyszłości, powodując zniszczenie zasobów intelektualnych,

2. dążą do zniekształcenia informacji po zakończeniu pracy z systemem,

3. przekazują hasła użytkownikom obcym, np. szpiegom

6. Włamywacze:

1. przeglądają ważne informacje dzięki zdalnemu dostępowi do informacji,

2. powielają i rozpowszechniają ważne informacje,

3. wyszukują ważne informacje (wścibstwo),

4. wprowadzają wirusy do infrastruktury informatycznej.

JAK CHRONIĆ?????????

Środki bezpieczeństwa:

Mogą być analizowane z dwóch komplementarnych punktów widzenia:

1. Jak wyeliminować lub przynajmniej zredukować prawdopodobieństwo szczególnych zagrożeń zasobów (aspektów zagrożeń)

2. Co należy zrobić, aby uchronić zasoby przed zagrożeniami (aspekt zasobów)

Środki bezpieczeństwa (zabezpieczenia) w aspekcie zagrożeń:

Zagrożenie 1: ludzkie błędy, pomyłki, potknięcia, klasa zagrożeń redukowana przez właściwe zarządzanie

Środki:

1. rozwijać konsekwentne, logiczne i możliwe do zrealizowania procedury ohasłowania SI,

2. rozwijać zwięzłe, treściwe, konsekwentne, logiczne, zgodne i praktycznie możliwe do zrealizowania wytyczne i procedury kontroli dostępu do SI,

3. prowadzić szkolenie uświadamiające konieczność zabezpieczenia,

4. określenie zakresu odpowiedzialności i obowiązków,

5. zagwarantowanie systemu kontroli wzajemnej.

Zagrożenie 2: nieuczciwi pracownicy - efektywna polityka zabezpieczeń w tym zakresie obejmuje:

1. rozwój oprogramowania przy wykorzystaniu pracy zespołowej,

2. przegląd programów źródłowych jednostki w sieci (peer code review),

3. procedury dyscyplinarne w stosunku do pracowników,

4. wykrywanie naruszeń, ingerencji w SI i karanie za takie przestepstwa.

Zagrożenie 3: pożar:

1. staranne planowanie rozmieszczania środków urządzeń uwzględniając określenie lokalizacji zasobów znanych jako łatwopalne,

2. kontrolowanie ilości środków łatwopalnych, takich jak papier,

3. instalacja i regularna kontrola sprzętu gaśniczego.

Zagrożenie 4: pracownicy - malkontenci:

1. zrozumienie i realizacja potrzeb osobistych ważniejszych pracowników,

2. stworzenie programów, planów pomocy pracownikom,

3. obserwowanie zatrudnionych, szczególnie programistów systemowych.

Jeśli środki te nie pomagają i ludzie Ci zostają zwolnieni, należy:

• usunąć ich z budynku,

• natychmiast zmienić hasła tychże pracowników, jak i hasła, które znali z racji swoich obowiązków i uprawnień, a które należą do innych lojalnych pracowników.

Zagrożenie 5: woda. Działania według planu akcji w nieprzewidzianych przypadkach.

Zagrożenie 6: obcy:

1. rozwijać konsekwentne, zgodne i praktycznie możliwe do zrealizowania procedury kontroli dostępu,

2. tworzyć i pielęgnować systemy identyfikacji użytkowników.

Środki bezpieczeństwa w aspekcie zasobów:

Środki ochrony zasobów fizycznych:

1. płotki, barierki, zamki, alarmy, strażnicy,

2. kontrola dostępu do obszarów wyróżnionych: pomieszczenia dla rowerów, pomieszczenia w których przechowywane są pamięci dyskowe, dyskietki, pamięci taśmowe,

3. identyfikacja i badanie tożsamości wchodzących,

4. ukrywanie kabli transmisyjnych,

5. badanie autentyczności komunikatów i tożsamości użytkowników,

6. kontrola dostępu.

Środki ochrony zasobów intelektualnych:

1. identyfikacja użytkowników i badanie ich uprawnień,

2. kontrola dostępu,

3. jasne wytyczne klasyfikacji danych,

4. zrozumiałe procedury tworzenia kopii dokumentów,

5. ślad rewizyjny,

6. inwigilacja pracowników.

Środki ochrony transakcji:

1. kontrola dostępu,

2. jasne wytyczne klasyfikacji transakcji,

3. chronione biblioteki transakcji,

4. identyfikacja użytkowników,

5. ślad rewizyjny.

Klasyfikacja środków bezpieczeństwa:

1. Fizyczne środki bezpieczeństwa - wskazane jest korzystanie z:

• strażników,

• elektronicznych urządzeń śledzenia,

• zamkniętej telewizji zakładowej,

• drzwi kontrolowanego dostępu,

• elektronicznych identyfikatorów.

2. Organizacyjne:

• zbiór decyzji zarządczych dotyczących kierunku rozwoju i kontroli zabezpieczeń infrastruktury informacji. Istota prowadzenia sprowadza się do integracji środków bezpieczeństwa z ogólnym działaniem przedsiębiorstwa, konieczna jest szczegółowa analiza działania systemu, czasu odpowiedzi, integralności aplikacji i informacji.

3. Administracyjne - stanowią zbiór procedur niezbędnych dla zapewnienia, że fizyczne, organizacyjne i techniczne środki zabezpieczeń nie zostały pominięte.

Administracyjne procedury muszą być ustrukturalizowane w taki sposób, aby wzrastało odczucie, że informacje są chronione.

Wszystkie administracyjne procedury muszą być udokumentowane i rozsyłane w obrębie przedsiębiorstwa.

Konieczne jest zapewnienie odpowiedniego programu szkoleń.

4. Techniczne - zaimplementowanie w oprogramowaniu komputerowym i sieciowym.

Uwagi odnośnie zagrożeń:

1. Nie wszystkie zasoby są zagrożone w takim samym stopniu, np. zasoby kadrowe nie są tak łatwe do zniszczenia jak zasoby intelektualne. Operator komputera jest bardziej narażony na pożar w swoim pokoju niż na atak włamywaczy,

2. Konieczność selektywnego podejścia do ochrony zasobów przed zagrożeniami. Im bardziej selektywna jest ochrona, tym bardziej efektywny jest pod względem kosztów system zapewnienia zabezpieczeń,

3. Środki bezpieczeństwa mogą mieć charakter prewencyjny. Środki profilaktyczne można podzielić na kategorie:

• unikanie - nieużywanie systemu (jego zasobów logicznych i fizycznych), jeśli nie ma wyraźnej potrzeby,

• usunięcie elementów stanowiących zagrożenie dla systemu poza obręb samego systemu,

• redukcja zagrożeń - stworzenie bariery między potencjalnym zagrożeniem, a zasobami może mieć postać bariery fizycznej (drzwi), logicznej (kontrola dostępu do danych), proceduralnej (szkolenie użytkowników),

• wykrywanie - dostatecznie wczesne spostrzeganie zagrożeń wiodące do ich usunięcia.

1. Nie wszystkie zasoby muszą być jednakowo chronione (czysta dyskietka versus dyskietka z aplikacją). Określenie wartości zasobów fizycznych może być proste, ale oszacowanie wartości zasobów intelektualnych trudnym zadaniem,

2. Zarząd przedsiębiorstwa musi zdecydować, które zasoby chronić, a które pozostawić niechronione i uwzględnić ryzyko wynikłe z tej decyzji,

3. Ostatecznie zaaprobowane środki bezpieczeństwa całkowicie nigdy nie wyeliminują zagrożeń i nie stworzą 100% gwarancji eliminacji tych zagrożeń. Czasami nawet organizacje nie zakładają takich alternatyw ze względu na koszt ochrony. Czasami uważa się, że lepiwj zredukować zysk włamywacza do 10% za 1.000 $ niż 5% za 10.000 $ lub 1% za 50.000 $.

Informacja:

Informacja jest towarem i jej wartość jest ustalona na rynku, zmniejsza się zależnie od rynku i zmienia w czasie (zwykle spada).

Wartość informacji określamy na podstawie kosztów potrzebnych na jej wytworzenie.

Informacja aktualizowana - wartość informacji równoważona kosztem poniesionym na aktualizację i powtórne obliczenia. W obliczeniach należy uwzględnić czas pracy procesora i koszt wykorzystania pamięci.

Informacja odzyskiwana - wartość równoważona kosztem odzyskiwania informacji, w obliczeniach należy uwzględnić czas pracy zatrudnionych, czas pracy procesora i koszty opracowania kopii.

Utrata informacji:

• materiału pierwotnego nigdy nie uda się zgromadzić po raz wtóry w tej samej postaci, wartościowe idee i wnioski można stracić na zawsze,

• wartość informacji utraconej może się zmniejszać a czasie, mimo że jest ona odtwarzana. Odtwarzanie może prowadzić do działań chybionych, trywializowanie problemów.

Ujawnienie informacji ważnych i poufnych:

• kompletna utrata wartości informacji mimo zachowania informacji,

• koszt konsekwencji ujawnienia informacji jest związany z prewencją przed nieupoważnionym dostępem do informacji, a nie z jej odzyskiwaniem lub zastępowaniem inną informacją.

ZARZĄDZANIE RYZYKIEM

Analiza ryzyka:

• w tym celu konieczne jest określenie środowiska, na które składają się wszystkie zasoby wszystkich kategorii, potencjalne zagrożenia zarówno celowe, jak i niezamierzone, podatność na uszkodzenia zależnie od zidentyfikowanych zagrożeń,

• po określeniu środowiska zabezpieczeń należy oszacować efekt występowania ryzyka. Powstaje konieczność opracowania i implementacji szeregu scenariuszy naruszenia zabezpieczeń. Proces podobny do sesji burzy mózgów, w czasie której uczestnicy próbują:

• odtworzyć wydarzenia, które zagrażają istniejącemu środowisku zabezpieczeń,

• ocenić prawdopodobieństwo każdego ze zdarzeń,

• ocenić możliwe oddziaływanie każdego ze zdarzeń, takiego jaki zniszczenie lub utrata aktywów,

• oczekiwanym rezultatem są praktyczne rekomendacje (wskazówki) dotyczące ulepszeń w środowisku zabezpieczeń. Analiza ryzyka jest użyteczna zanim jeszcze zdefiniuje się infrastrukturę informatyczną.

Analiza redukcji ryzyka:

Proces ten obejmuje ocenę wszystkich dostępnych środków zabezpieczeń, czyli środków fizycznych, organizacyjnych, administracyjnych, technicznych. Każdy środek zabezpieczenia musi być oceniany, tzn. oceniamy jego koszt potrzebny na implementację i wskaźnik redukcji zagrożenia osiągany dzięki zastosowaniu tego środka.

Akceptacja ryzyka:

Zarząd musi podjąć decyzję tzn. wybrać zbiór środków zabezpieczeń celem ich dalszej implementacji.

Opracowanie planów redukcji ryzyka i programów działań:

Plan jest uszczegóławiany przez profesjonalistów ds. zabezpieczeń czasem przy współudziale użytkownika.

Wdrożenie i pielęgnacja wybranych środków zapewnienia bezpieczeństwa:

Na podstawie szczegółowego planu redukcji ryzyka opracowywany jest sformalizowany program działań. Programy działań wkomponowane w ogólny cykl życia infrastruktury informacji, należy określić osoby odpowiedzialne za wykonanie programów działań i rozpocząć szkolenia użytkowników SI.

Przegląd i kontrola rewizyjna:

Zarząd powinien dokonywać okresowego przeglądu wykonania planu redukcji ryzyka. Zachodzi konieczność uwzględnienia całej gamy technik auditingu. Konieczne działania w tym zakresie:

• szczegółowe testowanie systemu przeprowadzane na jednostce informacji,

• penetracja zespołowa, technika używana przez konsultantów ds. zabezpieczeń, które działają bez ograniczeń próbując podważyć wiarygodność konstrukcji systemu zabezpieczeń,

• aktualizacja analizy ryzyka,

• planowanie nowych środków zabezpieczenia i działań korygujących,

• szkolenie rewidentów wewnętrznych przedsiębiorstwa.

Polityka bezpieczeństwa:

• wyjaśnienia zaleconych metod ochrony - oprócz zasad postępowania powinna zawierać uzasadnienia dlaczego zasady są takie, a nie inne,

• podział odpowiedzialności i kompetencji,

• jasne sformułowania.

Powód określający politykę bezpieczeństwa nie ma być dowodem elokwencji, lecz ma efektywnie definiować zasady bezpieczeństwa.

Opis mechanizmów realizacji polityki bezpieczeństwa:

Aby była realizowana muszą istnieć mechanizmy wymuszające realizację. Mechanizmem takim może być np. uczynienie odpowiednich osób odpowiedzialnymi za realizację polityki bezpieczeństwa.

Czego polityka bezpieczeństwa zawierać nie powinna?:

• szczegóły techniczne - polityka zabezpieczeń definiuje metody zapewnienia odpowiednio wysokiego poziomu bezpieczeństwa organizacji, a nie szczegóły techniczne, które powinny się znaleźć w opisie strategii i taktyk zapewnienia bezpieczeństwa organizacji,

• bezkrytycznie wzięte zapożyczenia z innych rozwiązań. Każda organizacja ma pewną specyfikę, którą powinna uwzględnić polityka bezpieczeństwa.

Przykład:

IT Security Policy Document - Dokument Zasad Bezpieczeństwa ma na celu zdefiniowanie reguł ochrony informacji i zawierać procedury ich wprowadzania w życie. Powinien zawierać opis zagrożeń oraz techniczne i proceduralne zasady ich unikania. DZB powinien być skonstruowany według następującego planu:

1. Struktura organizacji stanowiska (role), zakres odpowiedzialności, struktury zarządcze w organizacji na wszystkich jej poziomach

2. Struktura systemu informatycznego - omówienie struktury systemu z uwzględnieniem trzech podstawowych elementów: danych, oprogramowania oraz sprzętu

3. Standardy mające wpływ na bezpieczeństwo i zarządzanie nim, np. ISO 9000, ISO 2000, ISO 17799

4. Procedury związane z bezpieczeństwem (np., określające zasady dostępu do systemu) określające role poszczególnych pracowników związanych z systemem informatycznym: użytkowników, administratorów, operatorów, analityków, programistów itp.

5. Analiza zagrożeń zarówno fizycznych, jak i zasobów intelektualnych oraz metody zarządzania elementami ochrony przed tymi zagrożeniami:

• backup danych i nadmiarowość sprzętu (czyli systemy Fault i Tolerant),

• ochrona fizyczna: zamki, rozmieszczenie najważniejszych zasobów systemowych, strażnicy,

• kontrola dostępu do systemu i do danych,

• zasady przechowywania danych: sejfy, szafy pancerne, zasady niszczenia nośników informacji.

Środki zabezpieczeń

Aktywa

Zagrożenia

Chronione przez

Eliminują

---