Kluczowe elementy bezpieczeństwa informacji

a. Środowisko bezpieczeństwa informacji

Aby wsparcie pomyślnego wdrożenia bezpieczeństwa informacji było skuteczne, należy zagwarantować pewne kluczowe elementy. Są to:

• Poufność, czyli zachowywanie autoryzowanych ograniczeń dostępu do informacji i ujawniania ich, w tym środki ochrony prywatności i informacji zastrzeżonych. Aspekt poufności jest bardzo ważny, ponieważ wymaga zagwarantowania kwestii dotyczących prywatności. Aby ją stale utrzymywać, system musi zagwarantować, że każda osoba zachowa prawo do kontrolowania, jakie informacje na jej temat są gromadzone i jak są wykorzystywane, jak również, kto z nich korzysta, kto je przechowuje i na jakie potrzeby są wykorzystywane.

• Integralność, czyli zabezpieczenie przed niewłaściwym modyfikowaniem lub niszczeniem informacji, co obejmuje zapewnienie niezaprzeczalności i autentyczności informacji⁴⁵. Do poświadczenia integralności informacji niezbędny jest mechanizm uwierzytelnienia gwarantujący, że użytkownikami są osoby, które twierdzą, że nimi są. Podczas procesu zapewniania stworzona lub przesłana informacja musi spełniać wymogi niezaprzeczalności⁴⁶.

• Dostępność to zapewnienie, że wszystkie systemy informacyjne, w tym sprzęt komputerowy, sieci komunikacyjne, aplikacje komputerowe i dane, które zawierają, będą dostępne dla użytkowników w momencie, w którym będą musieli wykonywać działalność gospodarczą. Powinna ona zagwarantować też terminowy i niezawodny dostęp do i korzystanie z informacji. Jednakże zachowanie zasady bezpieczeństwa użytkowania sprzętu komputerowego, sieci komunikacyjnych, aplikacji komputerowych i dostępu do danych będzie wymagało wprowadzenia polityki kontroli dostępu. Kontrola dostępu ma na celu zagwarantowanie, że użytkownicy mają dostęp jedynie do tych zasobów i usług, do których mają prawo dostępu, i że zakwalifikowanym użytkownikom nie odmówi się dostępu do usług, których mają prawo oczekiwać.

Bezpieczeństwo informacji polega na minimalizowaniu ekspozycji na zagrożenia w oparciu o zarządzanie ryzykiem we wszystkich obszarach modelu ładu informatycznego. Niewdrożenie i niemonitorowanie procesów łagodzenia ryzyka w jednym obszarze może spowodować szkody w całej organizacji. Nawet jeżeli powszechnie wiadomo, że skuteczne zarządzanie ryzykami bezpieczeństwa informacji jest newralgiczne

45 Autentyczność to cecha polegająca na prawdziwości obiektu i możliwości jego zweryfikowania i zaufania mu; zaufanie co do prawidłowości transmisji, komunikatu, lub twórcy komunikatu. Autentyczność może nie być potrzebna do oceny integralności i osiągnięcia u celu kontroli.

46 Niezaprzeczalność jest to zapewnienie, że nadawca informacji otrzymuje dowód dostawy, a odbiorca otrzymuje dowód tożsamości nadawcy, tak aby żaden z nich nie mógł później wyprzeć się przetwarzania informacji. Niezaprzeczalność może nie być niezbędna do ewaluacji integralności i realizacji celu kontroli.

Bezpieczeństwo informacji

dla bezpieczeństwa organizacji, to ryzyka te często się pomija lub nie aktualizuje się środków ostrożności w reakcji na zmieniające się warunki.

Omówienie bezpieczeństwa informacji w organizacji obejmuje 12 następujących dziedzin:

b. Ocena ryzyka

Ocena ryzyka to proces identyfikacji, analizy i ewaluacji ryzyk infrastruktury bezpieczeństwa informatycznego. Jest to proces oceny ryzyk związanych z bezpieczeństwem wynikających z wewnętrznych i zewnętrznych zagrożeń dla podmiotu, jego zasobów i personelu.

c. Polityka bezpieczeństwa

Polityka bezpieczeństwa organizacji jest zbiorem przepisów, reguł i praktyk, które regulują sposób zarządzania, ochrony i dystrybucji zasobów przez organizację dążącą do osiągnięcia określonych celów bezpieczeństwa. Te przepisy, reguły i praktyki muszą określać kryteria przyznawania uprawnień konkretnym osobom i mogą określać warunki, na których osoby te mogą wykonywać swoje uprawnienia.

Aby te przepisy, reguły i praktyki miały znaczenie, muszą one wyposażać takie osoby w racjonalną zdolność stwierdzania, czy ich działania naruszają politykę, czy też są z nią zgodne.

Zalecana forma polityki bezpieczeństwa informatycznego jest następująca:

Elementy Polityki Bezpieczeństwa Informatycznego

Definicja bezpieczeństwa informacji – cele i zakres (w tym poufność danych) Szczegółowe zasady, standardy i wymogi zgodności dotyczące bezpieczeństwa Personel działu IT nie powinien mieć obowiązków operacyjnych ani rachunkowych

Definicja ogólnych i szczegółowych obowiązków we wszystkich aspektach bezpieczeństwa informacji Korzystanie z zasobów informacyjnych oraz dostęp do poczty elektronicznej, internetu

Tryb i sposób uzyskiwania dostępu Procedury wykonywania kopii zapasowych

Procedury postępowania ze złośliwym oprogramowaniem / złośliwymi programami Elementy kształcenia i szkolenia w zakresie bezpieczeństwa

Proces zgłaszania podejrzanych incydentów związanych z bezpieczeństwem Plany ciągłości działania

Sposoby informowania kadry o polityce i procedurach przyjętych na potrzeby bezpieczeństwa informatycznego

d. Organizacja bezpieczeństwa informatycznego

Organizacja bezpieczeństwa informatycznego wiąże się z wdrożeniem polityki bezpieczeństwa podmiotu.

Mogłaby to być praca przydzielona jednostce lub osobie współpracującej z organizacją informatyczną w celu uzyskania odpowiednich narzędzi i wdrożenia właściwych procesów, aby skutecznie wprowadzić politykę bezpieczeństwa. Odpowiadają one ponadto za zapewnienie kadrze szkolenia podstawowego i wznawiającego oraz zajmowanie się incydentami związanymi z bezpieczeństwem. Istnieje również potrzeba zagwarantowania, że dane organizacji, do których mają dostęp organizacje zewnętrzne lub które są im przekazywane, są odpowiednio chronione. Kontroler będzie musiał sprawdzić, czy dany podmiot jest w stanie wdrożyć wymogi SI zgodnie z dokumentacją organizacji.

e. Zarządzanie łącznością i operacjami

Organizacja musi śledzić procesy i procedury, które wykorzystuje na potrzeby swojej działalności operacyjnej, a które tworzą zbiór procedur i procesów organizacyjnych gwarantujących prawidłowe przetwarzanie danych w organizacji. Zawiera się w nim dokumentowanie procedur obsługi nośników i danych, procedur awaryjnych, procedur dotyczących bezpieczeństwa sieci, logowania i tworzenia kopii zapasowych.

f. Zarządzanie zasobami

Szeroko rozumiane zarządzanie zasobami odnosi się do dowolnego systemu, za pomocą którego monitoruje się i utrzymuje rzeczy wartościowe dla podmiotu lub grupy. Zarządzanie zasobami to systematyczny proces obsługi, utrzymania, modernizacji i dysponowania zasobami w sposób ekonomiczny.

W przypadku technologii informacyjnej zarządzanie zasobami obejmuje prowadzenie dokładnej inwentaryzacji sprzętu informatycznego, wiedzę na temat licencji dotyczących powiązanego sprzętu, konserwację i ochronę (blokada, pomieszczenie kontrolowane itp.) sprzętu. Zarządzanie zasobami informatycznymi obejmuje także zarządzanie cenną dla danego podmiotu dokumentacją dotyczącą oprogramowania i procesów.

Dla podmiotu rządowego zarządzanie zasobami informatycznymi jest bardzo ważne w bieżącej sytuacji finansowej, ponieważ ograniczenia finansowe mogą mu nie pozwolić na rozsądne zastąpienie utraconych lub ukradzionych zasobów. Ponadto, jeśli organizacja nie posiada pełnej inwentaryzacji swoich zasobów, może być narażona na ryzyko w przypadku, gdy musi zmodernizować oprogramowanie, aby zaspokoić swoje przyszłe potrzeby biznesowe.

g. Bezpieczeństwo zasobów ludzkich

Pracownicy zajmujący się danymi osobowymi w organizacji muszą przejść odpowiednie szkolenie w zakresie świadomości i regularnie aktualizować uzyskaną wiedzę na potrzeby ochrony powierzonych im danych. Odpowiednie role i obowiązki przydzielone do każdego opisu stanowiska muszą być zdefiniowane i udokumentowane w zgodzie z polityką bezpieczeństwa organizacji. Dane instytucji muszą być chronione przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub ingerencją.

Zarządzanie bezpieczeństwem zasobów ludzkich i ryzyk dla prywatności jest niezbędne we wszystkich fazach powiązania zatrudnienia z organizacją.

Trzema obszarami bezpieczeństwa zasobów ludzkich są:

• Okres przed zatrudnieniem: Temat ten obejmuje określenie ról i obowiązków związanych z danym stanowiskiem, określenie odpowiedniego dostępu do informacji wrażliwych dla tego stanowiska oraz określenie poziomów badania kandydata – wszystko w zgodzie z polityką bezpieczeństwa informatycznego przedsiębiorstwa. W tej fazie należy ustalić także warunki umowy.

• Okres zatrudnienia: Pracownicy posiadający dostęp do informacji wrażliwych w organizacji powinni otrzymywać okresowe przypomnienia ich obowiązków i przechodzić bieżące, aktualizowane szkolenia w zakresie świadomości zagrożeń i zasad bezpieczeństwa, aby zagwarantować, że rozumieją obecne zagrożenia i odpowiadające im praktyki dotyczące bezpieczeństwa, mogą więc złagodzić te zagrożenia.

• Wypowiedzenie lub zmiana zatrudnienia: Aby nie dopuścić do nieuprawnionego dostępu do informacji wrażliwych, należy unieważnić dostęp niezwłocznie po wypowiedzeniu / rozstaniu się z pracownikiem mającym dostęp do takich informacji. Obejmuje to również zwrot wszelkich zasobów organizacji przechowywanych przez pracownika.

Należy wprowadzić program dotyczący świadomości zagrożeń i zasad bezpieczeństwa, który przypominałby kadrze o ewentualnych ryzykach i ekspozycji na nie oraz o ich obowiązkach jako gestorów informacji firmowych.

h. Bezpieczeństwo fizyczne i środowiskowe

Bezpieczeństwo fizyczne opisuje środki zaprojektowane na potrzeby odmowy dostępu nieuprawnionemu personelowi (a także napastnikom, a nawet przypadkowym włamywaczom) do fizycznego dostania się do budynku, pomieszczenia, zasobu lub przechowywanych informacji, oraz wskazówki na temat sposobu projektowania struktur w celu powstrzymania potencjalnie wrogich działań. Zapewnienie bezpieczeństwa fizycznego może być proste, jak zamknięte na klucz drzwi, lub skomplikowane, jak liczne poziomy barier, uzbrojeni strażnicy czy budynek ochrony.

Bezpieczeństwo informacji

Bezpieczeństwo fizyczne dotyczy przede wszystkim ograniczenia fizycznego dostępu osób nieuprawnionych (powszechnie uznawanych za intruzów) do kontrolowanych pomieszczeń, choć istnieją też inne uwarunkowania i sytuacje, w których środki ochrony fizycznej są cenne (na przykład ograniczenie dostępu w pomieszczeniu i/lub dostępu do konkretnych zasobów oraz mechanizmy kontroli środowiska w celu zmniejszenia ryzyka incydentów fizycznych, takich jak pożary czy zalania).

Bezpieczeństwo nieuchronnie pociąga za sobą koszty, a w rzeczywistości nie jest nigdy doskonałe ani pełne – innymi słowy, bezpieczeństwo może zmniejszyć ryzyka, ale nie może ich całkowicie wyeliminować.

Biorąc pod uwagę, że mechanizmy kontroli są niedoskonałe, silne bezpieczeństwo fizyczne stosuje zasadę głębokiej obrony, wykorzystującej odpowiednie połączenia nakładających się i uzupełniających się mechanizmów kontroli. Na przykład mechanizmy kontroli dostępu fizycznego do chronionych pomieszczeń mają ogólnie na celu:

• Odstraszanie potencjalnych intruzów (np. znaki ostrzegawcze i oznaczenia granic posesji).

• Rozróżnianie osób uprawnionych od nieuprawnionych (np. za pomocą przepustek/identyfikatorów i kluczy).

• Opóźnianie, udaremnianie, a najlepiej zapobieganie próbom wtargnięcia (np. mocne ściany i mury, zamki w drzwiach i sejfy).

• Wykrywanie wtargnięcia i monitorowanie/rejestrowanie intruzów (np. alarmy antywłamaniowe i systemy monitoringu).

• Wywoływanie odpowiednich reakcji na incydenty (np. ochrony i policji).

i. Kontrola dostępu

Kontrola dostępu odnosi się do sprawowania kontroli nad tym, które osoby mogą mieć kontakt z zasobem.

Często, choć nie zawsze, wymaga to zaangażowania osoby kompetentnej, która sprawuje kontrolę. Zasobem może być określony budynek, kompleks budynków lub komputerowy system informatyczny. Kontrola dostępu jest w rzeczywistości – czy to w sensie fizycznym, czy logicznym – zjawiskiem powszechnym. Zamek w drzwiach samochodu jest zasadniczo prostą formą kontroli dostępu. Kolejnym sposobem kontroli dostępu jest PIN do systemu bankomatu w banku, tak jak urządzenia biometryczne. Sprawowanie kontroli dostępu ma pierwszorzędne znaczenie, kiedy chce się zabezpieczyć ważne, poufne lub wrażliwe informacje i sprzęt.

W środowisku rządowym kontrola dostępu jest ważna, ponieważ wiele podmiotów rządowych przetwarza dane wrażliwe, a obawy o prywatność nakładają ograniczenia na to, kto powinien mieć wgląd w różne części informacji. Kontrola dostępu gwarantuje, że dostęp do danych wrażliwych mogą mieć wyłącznie użytkownicy posiadający poświadczenia procesowe.

j. Nabywanie, rozwijanie i konserwacja systemów informatycznych

Cykl Życia Systemu (SDLC) lub proces rozwoju oprogramowania w inżynierii systemów, systemach informatycznych i inżynierii oprogramowania, to proces tworzenia lub zmiany systemów informatycznych oraz modele i metodologie wykorzystywane przez ludzi do wykonywania tych systemów. W inżynierii oprogramowania koncepcja SDLC stanowi podstawę wielu rodzajów metodologii rozwijania oprogramowania. Metodologie te tworzą ramy planowania i kontroli tworzenia systemu informatycznego lub procesu rozwijania oprogramowania.

Konserwacja systemu informatycznego w jego cyklu życia obejmuje zmiany i aktualizacje systemu wynikające z nowych wymogów, naprawę błędów systemu i ulepszenia dokonywane w wyniku powstania nowych interfejsów.

k. Zarządzanie incydentami związanymi z bezpieczeństwem informatycznym

W dziedzinie zabezpieczenia komputera i technologii informacyjnej zarządzanie incydentami bezpieczeństwa informatycznego wymaga monitorowania i wykrywania zdarzeń związanych z bezpieczeństwem występujących w komputerze lub sieci komputerowej oraz odpowiednich reakcji na te zdarzenia. Zarządzanie incydentami bezpieczeństwa informatycznego to wyspecjalizowana forma zarządzania incydentami.

l. Zarządzanie ciągłością działania

Planowanie ciągłości działania to proces wykorzystywany przez organizację do planowania i testowania odzyskiwania jej procesów biznesowych po przerwie w funkcjonowaniu. Opisuje on również sposób, w jaki organizacja będzie kontynuowała swoją działalność w niekorzystnych warunkach, jakie mogą zaistnieć (na przykład katastrofy naturalne lub inne).

ł. Zgodność

Kontroler systemów informatycznych powinien dokonać przeglądu i oceny zgodności z wymogami wewnętrznymi i zewnętrznymi (prawnymi, środowiskowymi i jakości informacji oraz powierniczymi i dotyczącymi bezpieczeństwa).