I. INFORMACJA I SYSTEMY JEJ UŻYTKOWANIA
1.4. U WARUNKOWANIA ORGANIZACYJNE DOTYCZĄCE UŻYTKOWANIA INFORMACJI
1.4.2. Uwarunkowania techniczne w zakresie bezpieczeństwa systemów
Management) obejmuje zespół procesów zmierzających do osiągnięcia i utrzymywania ustalonego poziomu bezpieczeństwa, tzn. poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Jego realizacja obejmuje działania, takie jak:
60 Ustawa z dnia 6 czerwca 1997 r. Kodeks karny, Dz.U.1997.88.553.art.115. §14.
61 Ustawa z dnia 6 czerwca 1997 r. Kodeks karny, Dz.U.1997.88.553.art.266. § 1.
62 Ustawa z dnia 6 czerwca 1997 r. Kodeks karny, Dz.U.1997.88.553.art.267. § 1.
63 Ustawa z dnia 6 czerwca 1997 r. Kodeks karny, Dz.U.1997.88.553.art.268. § 1.
64 Ustawa z dnia 6 czerwca 1997 r. Kodeks karny, Dz.U.1997.88.553.art.269. §1.
- 35 -
• określenie celów (co należy chronić), strategii (w jaki sposób) i polityk bezpieczeństwa systemów informatycznych w instytucji (jakie konkretne przedsięwzięcia należy podjąć),
• identyfikowanie i analizowanie zagrożeń dla zasobów,
• identyfikowanie i analizowanie ryzyka,
• określenie adekwatnych zabezpieczeń,
• monitorowanie wdrożenia, eksploatacji (skuteczności) zabezpieczeń,
• opracowanie i wdrożenie programu szkoleniowo-uświadamiającego,
• wykrywanie incydentów i reakcja na nie.
Zarządzanie bezpieczeństwem systemów informatycznych, jak już wspomniano, obejmuje zbiór procesów zawierających inne procesy bezpośrednio lub pośrednio związane z bezpieczeństwem. Kluczowym jest tu proces zarządzania ryzykiem z podprocesem analizy ryzyka. Istotnymi z punktu widzenia bezpieczeństwa są również procesy zarządzania konfiguracją oraz zarządzania zmianami. Zarządzanie konfiguracją jest procesem śledzenia zmian w konfiguracji systemu, aby nie obniżały one już osiągniętego poziomu bezpieczeństwa. Wiadomo, że trudno obyć się bez takich zmian, ale czyż muszą one oznaczać obniżenie bezpieczeństwa? Należy być świadomym wpływu zmian na bezpieczeństwo. Może się nawet zdarzyć, że konieczne są zmiany, które obniżą poziom bezpieczeństwa - tego typu przypadki wymagają świadomej decyzji kierownictwa popartej szczegółową analizą. Ważne jest, aby wszelkie zmiany były odzwierciedlane w różnych dokumentach związanych z bezpieczeństwem, takich jak plany awaryjne czy plany odtwarzania po katastrofach.
Zarządzanie zmianami jest procesem wykorzystywanym do identyfikacji nowych wymagań bezpieczeństwa wówczas, gdy w systemie informatycznym występują zmiany, co jest dość częstym zjawiskiem. Nowe wyzwania dla instytucji wymuszają rozwój technologii informatycznych, a temu towarzyszy występowanie nowych typów zagrożeń i podatności. Za przykłady zmian w systemach informatycznych mogą posłużyć65 :
• zmiany sprzętowe,
• aktualizacje oprogramowania,
• nowe procedury,
• nowe funkcje,
• nowi użytkownicy, w tym grupy użytkowników zewnętrznych i anonimowych,
• dodatkowe połączenia sieciowe i międzysieciowe.
65 A. Białas, [2001]: Zarządzanie bezpieczeństwem informacji, [w:] NetWorld Nr 3/2001.
- 36 -
Istnieje szereg zagrożeń wynikających z przesyłania danych drogą Internetową. Niektóre z niebezpiecznych technik przechwytywania i modyfikowania danych w sieciach cyfrowych to:
• Monitorowanie sieci (monitoring albo sniffing): łatwo zapisać hasła, dane finansowe, prywatne wiadomości albo firmowe sekrety monitorując ruch w sieci.
• Przechwytywanie połączeń (connection hacking): przejęcie połączenia w taki sposób, że żadna z jego stron tego nie zauważy, a także wstawianie nowych poleceń do linii poleceń i usuwanie ich wyników z odpowiedzi, które zobaczy użytkownik.
• Oszukiwanie routingu (routing spoofing): standardowe protokoły routingu i powszechnie używane konfiguracje routerów pozwalają każdemu na świecie zrekonfigurować tabele routowania. Można to wykorzystać do tworzenia połączeń w sieci, które normalnie by nie przechodziły.
• Odmowa usługi (denial of service): przeszkodzenie innym w użyciu jakiejś szczególnej usługi, destabilizacja serwera bądź urządzeń zabezpieczających sieć.
Stosowanie tych technik nie wymaga specjalnej wiedzy, a odpowiednie programy można znaleźć w Internecie. Oznacza to, że każda osoba, której komputer jest podłączony do sieci lokalnej (czyli np. każdy pracownik firmy), ma dostęp do praktycznie wszystkich informacji przesyłanych tą siecią – haseł dostępu, poufnych informacji finansowych czy prywatnej korespondencji. Jeżeli lokalna sieć firmy jest podłączona do Internetu, to istnieje niebezpieczeństwo uzyskania dostępu do tych danych przez kogoś z wielomilionowej rzeszy użytkowników Internetu na świecie.
Jedną z najczęściej stosowanych metod zabezpieczania się przed atakiem z zewnątrz jest odizolowanie sieci wewnętrznej od Internetu przez zastosowanie ściany ogniowej (ang.
firewall). Nadal pozostaje jednak problem poufnych danych wysyłanych poza sieć lokalną, na przykład w poczcie elektronicznej oraz najpoważniejsza z wszystkich kwestia zagrożeń wewnętrznych. Najbardziej uniwersalnym rozwiązaniem tych problemów jest szyfrowanie.
Jedną z najbardziej powszechnych technik stosowanych do ochrony danych jest szyfrowanie konwencjonalne. Oryginalny komunikat w czytelnej postaci (tekst jawny), ulega przekształceniu na postać pozornie nonsensowną. zwaną tekstem zaszyfrowanym. Proces szyfrowania obejmuje algorytm oraz klucz. Klucz stanowi wartość niezależną od tekstu jawnego, który kontroluje algorytm. Algorytm wyprodukuje różne dane wyjściowe, w zależności od zastosowanego klucza. Zmiana klucza spowoduje zmianę danych wyjściowych algorytmu.
- 37 - Rysunek 5. Uproszczony model szyfrowania konwencjonalnego
Źródło: opracowania własne
Po wyprodukowaniu tekst zaszyfrowany jest przekazywany. W momencie odbioru tekst zaszyfrowany może zostać przekształcony z powrotem na tekst jawny za pomocą algorytmu oraz takiego samego klucza, jaki został zastosowany do zaszyfrowania go.
Bezpieczeństwo szyfrowania konwencjonalnego zależy od kilku czynników. Po pierwsze algorytm szyfrujący musi być wystarczająco dobry, by rozszyfrowanie komunikatu w przypadku posiadania jedynie tekstu zaszyfrowanego było praktycznie nierealne. Po drugie bezpieczeństwo szyfrowania konwencjonalnego zależy od tajności klucza, a nie algorytmu.
Zakłada się wobec tego, że niepraktyczne byłoby rozszyfrowanie komunikatu na podstawie tekstu zaszyfrowanego oraz znajomości algorytmu szyfrująco-deszyfrującego. Inaczej mówiąc, nie musimy utajniać algorytmu, musimy jedynie trzymać w tajemnicy klucz.
Ta cecha szyfrowania konwencjonalnego powoduje, iż jest ono dogodne do powszechnego stosowania. Fakt, że algorytm nie musi być tajny, oznacza, iż producenci mogą stworzyć – i stworzyli – tajne realizacje sprzętowe algorytmów szyfrowania danych. Są one powszechnie dostępne i dołączane do wielu produktów. Przy stosowaniu szyfrowania konwencjonalnego główny problem bezpieczeństwa polega na strzeżeniu tajemnicy klucza.66 Wśród klasycznych technik szyfrowania wyróżniamy między innymi takie techniki jak:
• Steganografia – polega na ukrywaniu faktu istnienia komunikatu w postaci jawnej (np.
układ słów lub liter w pozornie „niewinnym” tekście stanowi ukryty komunikat).
Współczesnym odpowiednikiem tej techniki może być ukrycie komunikatu za pomocą najmniej znaczących bitów ramek na DC. Na przykład maksymalna rozdzielczość formatu CD firmy Kodak Photo wynosi 2048 X 3072 punktów, gdzie każdy punkt zawiera 24 bity informacji. Najmniej znaczący bit każdego 24 – bitowego punktu może zostać zmieniony bez większego wpływu na jakość obrazu. W rezultacie można ukryć 2,3 megabajtowy komunikat w jednym cyfrowym zdjęciu.
• Technika podstawiania polega na zastępowaniu liter tekstu jawnego innymi literami lub symbolami. Przykładem może być szyfr Cezara który polegał na zastąpieniu każdej litery alfabetu literą znajdującą się w alfabecie o trzy pozycje dalej.
66 Por.: W. Stallings, [1997]: Ochrona danych w sieci i intersieci, WNT, Warszawa,
Algorytm szyfrujący
Algorytm deszyfrujący Wspólny
klucz
Tekst zaszyfrowany
Tekst jawny Tekst jawny
- 38 -
• Transpozycja czyli przekształcenie polegające na permutacji liter tekstu jawnego.
Najprostszym szyfrem jest tzw. technika płotu, która polega na tym, że tekst jawny zapisuje się jako ciąg kolumn , a następnie odczytuje się jako ciąg wierszy.
• Maszyny rotorowe – wprowadzają wiele etapów szyfrowania. Maszyna składa się z zestawu niezależnie obracających się cylindrów, przez które mogą przepływać impulsy elektryczne. Każdy cylinder ma po 26 styków wejściowych i wyjściowych z wewnętrznymi połączeniami przesuniętymi względem siebie o X pozycji. Jeżeli przypiszemy każdemu stykowi wejściowemu i wyjściowemu literę alfabetu, to pojedynczy cylinder definiuje podstawienie jednoalfabetowe. Siła szyfrowania polega na zastosowaniu kilku cylindrów z których każdy wykonuje swoje podstawienie. Dla przykładu system z trzema cylindrami o 26 stykach każdy wykorzysta 26x26x26=17576 różnych alfabetów do podstawienia, zanim się powtórzy. Dzisiaj znaczenie rotora polega na tym, że wyznaczył kierunek drogi która doprowadziła do stworzenia najpowszechniej używanych obecnie algorytmów szyfrowania np. DES.
• DES – (Data Encryption Standard) jest standardem który w ostatnich latach cieszy się wielkim powodzeniem i jest powszechnie używany, zwłaszcza w zastosowaniach finansowych. W 1994 roku Narodowy Instytut Standardów i Technologii (NIST) potwierdził federalne zastosowanie DES przez kolejne 5 lat. NIST rekomenduje używanie DES w celach innych niż ochrona informacji ściśle tajnej. W tym systemie szyfrowania, funkcja szyfrowania dwa rodzaje danych wejściowych: tekst jawny do zaszyfrowania oraz klucz. Tekst jawny musi mieć długość 64 bitów, a klucz jest 56 bitowy. Przetwarzanie tekstu jawnego obejmuje trzy fazy: wstępnej permutacji przesuwającej bity, fazy 16 iteracji (w której skład wchodzą funkcje permutujące i podstawiające), fazy permutacji IP 1 w wyniku której otrzymuje się 64-bitowy tekst zaszyfrowany.
Można powiedzieć, iż do najważniejszych systemów zapewniających bezpieczeństwo i ochronę informacji przesyłanych w intersieciach należy: szyfrowanie konwencjonalne, zapewnienie poufności z zastosowaniem szyfrowania konwencjonalnego, szyfrowanie z jawnym kluczem i uwierzytelnianie cyfrowe (podpis cyfrowy).
Najczęściej stosowane algorytmy kryptograficzne to:
- MD5 (message digest algorithm). Jest to prawdopodobnie najpopularniejszy algorytm stosowany przy uwierzytelnianiu i tworzeniu podpisów cyfrowych, stosowany w najróżniejszych programach.
- SHA (secure hash algorithm). Podobny do MD5, wydany w U.S. National Institute of Standards and Technology w USA jako standard federalny.
- 39 -
- IDEA zaproponowano go jako międzynarodowy algorytm szyfrowania. Znalazł szerokie zastosowanie jako następca algorytmu DES.
- SKIPJACK algorytm ten stworzyła NSA jako narzędzie do zapewniania bezpiecznej komunikacji za pomocą głosu, oraz do wymiany danych z jednoczesnym umożliwieniem kontroli i podsłuchu uprawnionym agencjom rządowym.
- LUC jest to algorytm z jawnym kluczem, o efektywności porównywalnej z RSA.
Świadomość roli każdego pracownika w systemie jest kluczowym elementem utrzymania bezpieczeństwa. Częstsze są zagrożenia związane z brakiem odpowiednich procedur, metod oraz niedostatecznym poziomem wiedzy użytkowników systemu67. W przypadku ochrony fizycznej, występuje indywidualny układ budynków, pomieszczeń, wykonywane zadania są różne. Pomimo wielu metod i sposobów projektowania systemów bezpieczeństwa, pierwszym krokiem w większości przypadków jest zebranie dokładnych danych o firmie. Projektując system bezpieczeństwa informacji należy sporządzić listę nieruchomości należących do firmy, wraz z całą infrastrukturą (budynki, drogi dojazdowe, drogi ewakuacyjne, przyłącza takie jak woda, gaz, sieć energetyczna, sieć komputerowa). Ewidencja powinna obejmować również samochody, narzędzia pracy (np. komputery), pracowników. Następnym krokiem jest narysowanie schematu organizacyjnego przedsiębiorstwa, oraz określenie poszczególnych stref ryzyka zagrożonych utratą danych. Jak na poniższym rysunku Kifner T.
wyróżnia następujące obszary bezpieczeństwa, które wymagają różnego poziomu zabezpieczeń:
Obszar A – ogrodzenie fizyczne przedsiębiorstwa (płot), ogrodzenie telekomunikacyjne (centrala telefoniczna, serwer Internetowy);
Obszar B – wydzielone piętro w budynku, odgrodzone np. drzwiami z zamkiem elektromagnetycznym;
Obszar C – zabezpieczenie fizyczne konkretnego wydziału przedsiębiorstwa
np. działu informatycznego (drzwi antywłamaniowe z zamkiem szyfrowym, ściany eliminujące emisję, zabezpieczenia programowe takie jak: firewall, hasła, identyfikatory , kontrola dostępu do systemów);
Obszar D – może to być granica hali produkcyjnej, strażnicy sprawdzający co jest
wnoszone a co wynoszone z zakładu (śluzy oczyszczające ubranie, czujniki elementów metalowych, itp.).
67 J. Bryl, [2004]: Bezpieczeństwo systemów e-Commerce, [w:] Gazeta IT, Nr 25, dokument elektroniczny, http://archiwum.gazeta-it.pl/2,8,636,index.html, dostęp 15 stycznia 2009.
- 40 - Rysunek 6. Schemat organizacyjny przedsiębiorstwa
Źródło: Kifner T. [1999]: Polityka bezpieczeństwa i ochrony informacji, Helion, Gliwice.
Po określeniu dróg obiegu informacji w firmie dobieramy odpowiednie techniki zabezpieczeń, które dzielą się na:
• administracyjne; polegające głównie na kierowaniu procesami zachodzącymi w przedsiębiorstwie, obejmuje wszystkie obiekty i zdarzenia występujące w firmie, włącznie z administrowaniem systemem informatycznym, certyfikacją użytkowanych urządzeń, zarządzanie dostępem do pomieszczeń i obiektów, itp.
• fizyczne; określanie przeznaczenia danego pomieszczenia, zapoznanie się z planami budynków, instalacji wodnych, wodnych, elektrycznych, gazowych, określenie stosowanego sprzętu gaśniczego, przeciwpożarowego, instalacja czujników ciepła, dymu, instalacje alarmowe, telewizja przemysłowa, systemy sprawdzania tożsamości, wyposażenie biur w stałe elementy, kraty, drzwi antywłamaniowe, itp.
• transmisji; wybór mediów transmisyjnych, sieć komputerowa, telekomunikacyjna, telefoniczna, dyski, dyskietki, inne nośniki magnetyczne, płyty CD, impulsy elektryczne, przenoszenie dokumentów w formie tradycyjnej, poczta, firmy kurierskie, fale akustyczne, elektromagnetyczne, określenie głównych i awaryjnych dróg transmisji;
• emisji; eliminacja emisji informacji zaczynając od kabli łączących komputery, poprzez monitor i wszystkie jego elementy, ekranowanie, maskowanie ulotu elektromagnetycznego poprzez umieszczanie urządzeń losowo emitujących zakłócenia,
Kontrahent A Kontrahent A
Wejście
Sekretariat
Produkcja
Portiernia
Księgowość Dz. informatyczny
Granica obszaru A
Granica obszaru B
Obszar D Obszar C
- 41 -
• programowe; kryptografia, kontrola dostępu – hasła, loginy, identyfikatory, karty magnetyczne i elektroniczne, ochrona systemów plików i baz danych, mechanizmy separacji - firewall, monitoring dostępu do baz danych, systemów informatycznych, historie zdarzeń, programy ochrony transmisji, definiowanie użytkowników, grup użytkowników, nadawanie praw dostępu, maskowanie napędów, folderów, plików, itp.
Można wybrać następujące przykładowe rodzaje zabezpieczeń 68 : fizyczne
• całe przedsiębiorstwo będzie otoczone wysokim płotem z drutem kolczastym;
• we wszystkich budynkach będą zamontowane drzwi antywłamaniowe oraz kraty;
• na portierni szyba antywłamaniowa oraz sygnalizacja włamania i napadu;
• w serwerowni zostanie zainstalowany alarm, sygnalizacja zagrożenia, np. pożarem, telewizja przemysłowa, czujniki ruchu, dymu, światła, a także podtrzymanie zasilania UPS i agregat prądotwórczy;
• na wszystkich drzwiach w przedsiębiorstwie zainstalowane będą zamki patentowe oraz zamki na kartę magnetyczną;
• wydzielony zostanie ośrodek obliczeniowy, wszystkie serwery firmy umieszczone będą w głównej serwerowni ,
programowe
• programy na wszystkich serwerach w przedsiębiorstwie zostaną skonfigurowane tak, aby uzyskać odpowiedni poziom kontroli dostępu do systemów informatycznych;
• wszystkie transmisje i dane zgromadzone na nośnikach będą szyfrowane, transmisji
• wiadomości i przesyłki będą przesyłane tylko przez wybraną firmę kurierską;
• każda transmisja będzie szyfrowana;
• dokumenty papierowe będą przesyłane w plastykowych, bezpiecznych kopertach;
• każda przesyłka będzie kontrolowana, administracyjne
• certyfikacja urządzeń przez odpowiednią komórkę przedsiębiorstwa;
• w przedsiębiorstwie wprowadzone zostaną karty identyfikacyjne;
• system bezpieczeństwa i sposób wykonywania pracy będą cyklicznie kontrolowane, organizacyjne
• utworzenie stanowiska inspektora ds. bezpieczeństwa;
• powołana zostanie komórka ds. certyfikacji;
68 T. Kifner, [1999]: (…), op.cit. s.48 - 96
- 42 -
• hermetyzacja działów w których zachodzą procesy informacyjne;
• zmiana formularzy i obiegu dokumentów, każdy dział otrzyma status: mocno chroniony, chroniony, niechroniony, obojętny.
Zastosowane rozwiązania powinny uwzględniać specyfikę przedsiębiorstwa i być uzależnione od jego indywidualnych warunków. Nie mogą zakłócać i nadmiernie spowalniać procesów pracy. Do najważniejszych procedur związanych z ochroną i bezpieczeństwem firmy zaliczyć: procedury związanie z kluczami, kartami dostępu i certyfikatami, procedury związane z obsługą systemu informatycznego, procedury związane z obsługą urządzeń, procedury związane z organizacją pracy, procedury i instrukcje związane z usługami, procedury niesklasyfikowane.