Bezpieczeństwo informacji i ochrona systemów informatycznych w przedsiębiorstwie

Pełen tekst

(1)Zeszyty Naukowe nr. 770. Uniwersytetu Ekonomicznego w Krakowie. 2009. Michał Kozioł Katedra Informatyki. Bezpieczeństwo informacji i ochrona systemów informatycznych w przedsiębiorstwie Streszczenie. W artykule przedstawiono typologie klasyfikacji zagrożeń informacji i systemów informacyjnych. Scharakteryzowano wybrane, ważniejsze z nich. Zdefiniowano także politykę bezpieczeństwa informacji i systemu informatycznego oraz podano zmodyfikowaną przez autora artykułu metodykę jej tworzenia i doskonalenia. Zwrócono uwagę na znaczenie czynnika ludzkiego w tym obszarze, a szczególnie na kulturę organizacyjną jako determinantę tej polityki. Ostatni fragment pracy poświęcono na omówienie metod i technik ochrony informacji ze szczególnym uwzględnieniem środków teleinformatycznych. Słowa kluczowe: informacja, wiedza, zarządzanie wiedzą, polityka bezpieczeństwa informacji, bezpieczeństwo informacji, bezpieczeństwo systemu informatycznego.. 1. Wstęp We współczesnym przedsiębiorstwie coraz większą rolę odgrywa wiedza i informacja, a zwłaszcza sprawne i skuteczne posługiwanie się nimi. To właśnie one decydują o trafności podejmowanych decyzji dotyczących racjonalnego wykorzystania zasobów po to, by sprawnie realizować cele organizacji. Bez umiejętności tej nie mogłyby funkcjonować instytucje i przedsiębiorstwa. W dużej mierze przyczynia się do tego nieustanny rozwój technologii teleinformatycznej, dlatego dostęp do informacji stał się łatwiejszy i szybszy, można ją tworzyć, gromadzić, systematyzować, udostępniać i wykorzystywać. Równocześnie pojawił się problem wyodrębnienia właściwej jakości i ilości informacji dla danej organizacji, jak również jej ochrony i zabezpieczenia. W tym celu firmy i instytucje muszą opracować i wdrożyć odpowiednią politykę bezpieczeństwa, która ma.

(2) Michał Kozioł. 6. za zadanie zminimalizowanie zagrożeń wewnętrznych i zewnętrznych. Przy jej opracowywaniu – podkreślają to liczni autorzy – należy uwzględnić wielkość przedsiębiorstwa, rodzaj prowadzonej działalności, strukturę i kulturę organizacyjną, zakres zastosowania sprzętu teleinformatycznego, a także określić, jakie znaczenie dana informacja ma dla firmy i koszty z tym związane. Należy również wziąć pod uwagę bezpieczeństwo klientów, ich oczekiwania, gdyż np. w opinii klientów banków bezpieczeństwo danych znajduje się na pierwszym miejscu. Stanowi ono bowiem gwarancję bezpieczeństwa ich środków finansowych1. Ów system bezpieczeństwa odgrywa szczególną rolę w przedsiębiorstwach nowoczesnych, więc w organizacjach wirtualnych, inteligentnych, uczących się, organizacji hipertekstowej itp., gdzie zarządzanie opiera się na rozbudowanych bazach danych i komputerowym przetwarzaniu zawartych w nich informacji. System ten chroni bowiem najważniejszy, kluczowy zasób wspomnianych organizacji. Celem artykułu jest zaprezentowanie koncepcji polityki bezpieczeństwa i ochrony informacji oraz metodyki jej implementacji w organizacji. W artykule przedstawiono najczęściej spotykane zagrożenia występujące w obszarze ochrony informacji, jak również mechanizmy ich zabezpieczenia. Zwrócono uwagę na czynnik ludzki odgrywający najważniejszą rolę w tym procesie. Omówiono etapy budowy polityki bezpieczeństwa i ochrony informacji, uzupełniając je o podanie etapu analizy i oceny bieżącej sytuacji firmy. W zakończeniu artykułu zawarto ocenę skuteczności i efektywności scharakteryzowanych pokrótce narzędzi (metod, środków, oprogramowania) wykorzystywanych w praktyce ochrony informacji. 2. Źródła i rodzaje zagrożeń bezpieczeństwa informacji Treść i zakres pojęcia bezpieczeństwa informacji bywają różnie określane przez autorów zajmujących się tym zagadnieniem. Na przykład według J. Kosińskiego [2000, s. 482] bezpieczeństwo informacji rozumiane jest zazwyczaj jako pewność ochrony dostępu do informacji zgromadzonej i pewność ochrony informacji przesłanej. Należy przy tym przede wszystkim określić i uwzględnić ryzyko związane z jego wystąpieniem. Ponadto powinno się wyraźnie odróżnić bezpieczeństwo informacji od bezpieczeństwa systemu informacyjnego, czyli sprzętu. Wyniki badań wskazują m.in. że sprawnie funkcjonująca platforma informatyczna to nie wszystko. Jej integralną częścią powinno być zapewnienie bezpieczeństwa usługi przez realizację odpowiedniej polityki bezpieczeństwa danych. Bezpieczeństwo to klienci banków cenią wyżej niż łatwość obsługi, rzetelność, pewność, sprawność obsługi i inne [Doroszewicz, Niedźwiecka 2004, s. 84]. 1.

(3) Bezpieczeństwo informacji i ochrona systemów…. 7. i oprogramowania służącego do gromadzenia, przechowywania i przetwarzania informacji, który również silnie oddziaływa na bezpieczeństwo informacji. Często podkreśla się, że głównym źródłem zagrożeń jest konflikt interesów podmiotów gospodarczych, a w tym również konflikt interesów twórców technologii informatycznych. Źródłami konfliktu mogą być również wymagania i cele organizacji, ograniczenia jej rozwoju, zagrożenia, obowiązujące przepisy prawne [Kosiński 2000, s. 492]. Wspomniane zagrożenia mogą być spowodowane przez czynniki obiektywnej natury, takie jak działania sił przyrody (np. huragany, powodzie, trzęsienia ziemi), zaburzenia funkcjonowania systemu oraz czynniki subiektywne, do których można zaliczyć: czynniki ekonomiczne i (lub) polityczne, działania człowieka (podmiotu odpowiedzialnego za szkodę). Z dotychczasowych informacji wynika, że to właśnie człowiek przez niewłaściwe działanie może wyrządzić najwięcej szkód. Można je podzielić na działania umyślne, czyli ataki (sztuczne obciążenia serwera, aby uniemożliwić realizację właściwych dla niego zadań), jak i działania nieumyślne. Dalej wyróżnia się ataki pasywne (nie wymagające zaangażowania ze strony użytkownika) i aktywne. Przykładem ataku pasywnego jest podsłuchiwanie informacji (snooping) znajdujących się w sieci, zaś aktywne to próby uzyskania nieautoryzowanego dostępu do systemu bądź informacji o potencjalnych lukach bezpieczeństwa w systemie [Szmit 2003, s. 100]. Ataki te mogą nastąpić zarówno z zewnątrz, jak i wewnątrz przedsiębiorstwa. Z kolei do działań nieumyślnych zaliczamy dążenie do odmiennych celów, zaniedbanie, brak wiedzy. Mogą się one przyczynić do ujawnienia, uszkodzenia, modyfikacji, zablokowania, a nawet do utraty informacji. Następstwem tego są straty finansowe ponoszone przez firmę, niekiedy tak duże, że mogą doprowadzić do jej upadku. Specyficznym zagrożeniem bezpieczeństwa informacji są świadome działania człowieka związane ze sprzętem teleinformatycznym określane mianem przestępczości komputerowej. Niektóre z nich to [Kosiński 2000, s. 487], [Szmit 2003, s. 101]: 1) przywłaszczanie sobie autorstwa programu, jego fałszowanie, a także oznaczenie cudzego programu własnym znakiem firmowym; 2) cracking, czyli nieuprawnione wejście do sieci internetowej; 3) hacking, czyli nieuprawniony dostęp do systemu komputerowego; 4) przechwytywanie danych m.in. przez nieuprawnione wykonywanie dodatkowych kopii programu lub jego preinstalacje na dysku twardym; 5) kradzież czasu polegający na korzystaniu przez pracownika z systemu komputerowego poza wyznaczonymi godzinami pracy; 6) utrudnienie lub uniemożliwienie przeprowadzenia kontroli legalności korzystania z określonego oprogramowania;.

(4) 8. Michał Kozioł. 7) paserstwo komputerowe, czyli nielegalne nabywanie i sprzedaż sprzętu i oprogramowania pochodzącego z kradzieży; 8) oszustwa dokonywane z użyciem komputera, a w szczególności: – oszustwa bankomatowe, polegające głównie na przywłaszczeniu cudzej karty uprawniającej do podjęcia pieniędzy z automatu bankowego, – fałszowanie urządzeń wejścia lub wyjścia (np. kart magnetycznych lub mikroprocesorowych), – oszustwa dokonywane na maszynach do gier, – podanie do wiadomości fałszywych danych identyfikacyjnych, – oszustwa dokonywane w systemach sprzedaży, np. w kasach fiskalnych, – niszczenie lub uszkodzenie urządzeń nawigacyjnych służących do przetwarzania danych w komunikacji; 9) phearing, czyli oszustwa w systemach telekomunikacyjnych: – powielanie programów komputerowych, – bezprawne kopiowanie topografii półprzewodników, – włączenie się do urządzenia telekomunikacyjnego w celu uruchomienia na cudzy rachunek impulsów telefonicznych; 10) social engineering (inżynieria społeczna), czyli zwodzenie, oszukiwanie ludzi (pracowników) w celu uzyskania dostępu do określonych informacji bądź sieci korporacyjnej [Pełech 2003, s. 245]. W tym celu wykorzystywany jest głównie Internet (zwłaszcza poczta elektroniczna). Social engineering polega na nawiązaniu kontaktu intruza z ofiarą w celu wyłudzenia interesujących go danych, które stają się później celem ataku. Często podaje się on za ważną dla ofiary osobę (np. serwisanta, administratora sieci, pracownika ochrony itp.), licząc na jego naiwność i łatwowierność. W celu szybszego zdobycia informacji stosowana jest metoda pozyskiwania pośredniego. Polega na ataku kilku użytkowników sieci równocześnie. Podają oni pewne jednostkowe dane, które po złożeniu tworzą jednolitą całość. Social engineering może być łączony z innymi metodami stwarzającymi zagrożenie utraty bezpieczeństwa informatycznego organizacji, bazujących na sprzęcie i oprogramowaniu (konie trojańskie, urządzenia podsłuchowe), a także bezpośrednio na fizycznym dostępie (np. kradzież wewnętrznej książki telefonicznej) [Pełech 2004, s. 467]; 11) modyfikacja i niszczenie zasobów danych przy wykorzystaniu wszelkiego rodzaju wirusów, robaków, koni trojańskich oraz bomby logicznej. Często występują w powiązaniu z piractwem komputerowym. Wirusy to programy wykonywalne lub makrodefinicje ukrywające się przed użytkownikiem i powielające się w systemie komputerowym przy wykorzystaniu mechanizmów systemu operacyjnego bądź oprogramowania użytkowego. Robaki komputerowe (I-worms), to szczególny rodzaj wirusów komputerowych, rozmnażających się w systemie internetowym (np. w nieprawidłowo zabezpieczonej poczcie elektronicznej)..

(5) Bezpieczeństwo informacji i ochrona systemów…. 9. Z kolei konie trojańskie to programy, które udają ukryte aplikacje, podczas gdy ich głównym celem jest wykonywanie szkodliwych dla użytkownika działań [Łamek 2004, s. 56], np. arkusz kalkulacyjny, roznoszą najczęściej wirusy komputerowe. Składają się one z dwóch modułów: serwera i klienta. Serwer instaluje się nie wykryty na komputerze ofiary, a następnie otwiera port, oczekując na połączenie z klientem. Kiedy do niego dojdzie atakujący serwer niszczy zasoby komputera ofiary (wydając odpowiednie polecenia trojanowi). Jednakże musi on znać numer IP ofiary. Często wykorzystywane są luki w programie lub systemie komputerowym, tzw. „tylne drzwi” (backdoor). 12) przestępstwa dokonywane za pośrednictwem Internetu. Szczególnie niebezpiecznymi są ataki z wykorzystaniem poczty elektronicznej. Zazwyczaj przeprowadza się je poprzez wysłanie wirusów w załącznikach lub umieszczenie ich w kodzie znajdującym się w treści wiadomości. Niektóre z nich uruchamiane są automatycznie po otrzymaniu bądź otwarciu skrzynki poczty przychodzącej, podczas gdy inne wymagają dodatkowego otwarcia przez użytkownika. Najbardziej narażonymi na te zagrożenia są internauci wykorzystujący programy pocztowe Outlook i Outlook Express, gdyż wykorzystują pewne funkcje przeglądarek Internet Explorer, np. format HTML. Ponadto wbudowane funkcje automatyzujące i upraszczające wykonywanie niektórych zadań ograniczają kontrolę użytkownika nad zarządzaniem wiadomościami, a tym samym zmniejszają bezpieczeństwo poczty. W sieci internetowej (jak również w innych systemach opartych na protokole TCP) przeprowadzane są ataki typu DoS (denial of service) Polegają na zablokowaniu usługi oferowanej w danym porcie. Odbywa się to poprzez wysłanie do systemu informatycznego dużej liczby żądań realizacji pewnej czynności. Ich spełnienie jest konieczne, co powoduje, że system nie jest w stanie wykonywać właściwych dla niego czynności. Szczególną odmianą jest rozproszony atak typu DoS (DDoS – distributed DoS). Polega on na potajemnym umieszczeniu takiego programu przez napastnika na kilku komputerach równocześnie (zwany agentami lub zombie), który przeprowadza ataki z owych komputerów jednocześnie. Ich przeprowadzenie może się nie powieść, gdy atakujący korzysta z wolniejszej sieci niż ofiara. Wówczas może on przeprowadzić atak typu wymuszanie powielania. Polega to na wysłaniu rozgłoszeniowego pakietu ping zawierającego fałszywy adres nadawcy i prawdziwy adres ofiary. Każdy komputer, który otrzyma ten pakiet wysyła odpowiedź do atakowanego, blokując jego system informatyczny. Na ataki typu DoS szczególnie podatni są użytkownicy portów, które zostały otwarte przez konie trojańskie. Warto tu wspomnieć o atakach, które mają na celu zakłócenie poprawności transmisji Jest to atak przez fragmentaryzację pakietów. Intruz dokonuje podziału danych na jak największą liczbę pakietów, a następnie je wysyła. Dokonuje tego w nieprawidłowej kolejności (część z nich z dużym opóźnieniem). Ofiarami przestępstw internetowych są głównie internauci indywidualni;.

(6) 10. Michał Kozioł. 13) sabotaż sprzętu i oprogramowania; 14) rozpowszechnianie chronionego programu komputerowego za pomocą sieciowej tablicy ogłoszeniowej (BBS – bulletin board service); 15) przechowywanie zabronionych przez prawo zbiorów danych o treściach: obrażających czyjeś uczucia religijne, propagujących faszyzm, rasizm, antysemityzm; pochwalających przemoc, pornograficznych (szczególnie z wykorzystaniem osób niepełnoletnich i zwierząt). Oprócz wymienionych najczęstszymi działaniami podejmowanymi w celu zniszczenia danych jest fizyczne niszczenie sprzętu komputerowego. Wśród wielu wymienionych źródeł zagrożeń bezpieczeństwa informacji zwłaszcza tych, które związane są z działalnością człowieka, na szczególną uwagę zasługują zagrożenia wynikające z niewiedzy, braku fachowości, zaniedbań i innych cech osobowych oraz kultury w dziedzinie ochrony informacji. Stanowią one istotną determinantę polityki bezpieczeństwa informacji, sprowadzającą się nie tyle do wprowadzania dodatkowych urządzeń, czy programów, co raczej do odpowiedniego przeszkolenia pracowników i uświadomienia im wagi tego problemu. Można zatem mówić o kulturowych determinantach ochrony informacji, mniej eksponowanych w licznych już pracach informatyków oraz specjalistów w zakresie zarządzania informacją. Szczególną ochroną należałoby objąć informacje mające strategiczne znaczenie dla konkurencji. Dokonując klasyfikacji zagrożeń, warto pamiętać, że nie jest to sztywny, podział, gdyż niektóre jego elementy nakładają się na siebie. Ponadto dokonując podziału, należy uwzględnić wielkość, charakter, formę prawną oraz rodzaj prowadzonej działalności przedsiębiorstwa, sposób jego zorganizowania. Inny podział zagrożeń bezpieczeństwa informacji, to zagrożenia dla zbioru danych oraz zagrożenia dla systemu teleinformatycznego. Klasyfikacja ta wyraźnie określa przedmiot zagrożeń, chociaż są i takie, które zagrażają zarówno danym, jak i systemowi teleinformatycznemu. 3. Polityka bezpieczeństwa systemu informatycznego Skuteczne przeciwdziałanie rozlicznym zagrożeniom bezpieczeństwa informacji, czy systemu informatycznego wymaga opracowania i zastosowania odpowiedniej polityki bezpieczeństwa informacji (security policy). Jest to plan lub sposób działania przyjęty w celu zapewnienia bezpieczeństwa systemów i ochrony danych [Szmit 2003, s. 104] za: [PN-I-02000]. Składa się z jasnych instrukcji (dokumentu lub zbioru dokumentów), które opisują wytyczne dotyczące zachowania pracowników w celu ochrony informacji [Mitnick, Simon 2003, s. 288]. Przed przystąpieniem do jej opracowania należy określić: – miejsce i sposób gromadzenia i przechowywania informacji,.

(7) Bezpieczeństwo informacji i ochrona systemów…. 11. – potencjalne źródła zagrożeń, – potencjalne działania mające na celu wyeliminowanie zagrożeń, a przynajmniej ograniczenie ich do akceptowanego minimum. Nad opracowaniem i wdrożeniem polityki bezpieczeństwa w przedsiębiorstwie czuwa przede wszystkim kierownictwo firmy, niemniej jednak swój wkład powinni wnosić wszyscy pracownicy, a w szczególności informatycy i administratorzy sprzętu. Prawidłowo opracowana polityka bezpieczeństwa powinna określać [Kiełtyka 2003, s. 27]: cele i strategię bezpieczeństwa, wymagany poziom bezpieczeństwa, klasyfikację informacji, role i odpowiedzialności w procesie przetwarzania informacji, strategię analizy ryzyka, akceptowane ryzyko szczątkowe. Najważniejszym jej elementem jest ochrona danych oraz sprzętu służącego do ich pozyskiwania, przetwarzania i przechowywania. Musi być opracowana w formie całościowego dokumentu obejmującego ochronę zarówno informacji gromadzonych, przechowywanych i przetwarzanych za pomocą sprzętu teleinformatycznego, jak i metodami tradycyjnymi. Ponadto należy też uwzględnić ochronę samego systemu, jako nośnika informacji. Cechy bezpiecznego systemu komputerowego przedstawia tabela 1. Tabela 1. Cechy bezpiecznego systemu komputerowego Cechy bezpiecznego systemu komputerowego Dostępność Poufność Prywatność Integralność Uwierzytelnienie osób Uwierzytelnienie informacji Niezaprzeczalność. Opis System i informacje mogą być osiągalne przez uprawnionego użytkownika w każdym czasie i w określony przez niego sposób. Informacje ujawniane są tylko uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób.. Użytkownik systemu komputerowego ma prawo decydowania o tym, jakie informacje na jego temat są gromadzone.. Dokładność i kompletność systemu informatycznego oraz utrzymanie go w tym stanie możliwie jak najdłużej. Zagwarantowanie, że dana osoba korzystająca z systemu informatycznego jest tą, za którą się podaje. Zagwarantowanie, że otrzymana informacja pochodzi ze źródła, które jest w niej wymienione.. Niemożność zaprzeczenia faktowi wysłania, bądź odebrania informacji.. Źródło: opracowanie własne.. Proces tworzenia polityki bezpieczeństwa jest wieloetapowy. Wyróżnić można etapy, takie jak: analiza i ocena bieżącej sytuacji firmy, skompletowanie baz.

(8) 12. Michał Kozioł. danych organizacji, ewidencja składników systemu informatycznego, tworzenie projektu systemu bezpieczeństwa, wdrożenie systemu bezpieczeństwa, sprawdzanie (testowanie) systemu bezpieczeństwa, eksploatacja systemu bezpieczeństwa. Analiza i ocena bieżącej działalności firmy stanowi wstępny etap tworzenia systemu bezpieczeństwa organizacji. Kierownicy, jak i osoby odpowiedzialne za bezpieczeństwo powinni odpowiedzieć na pytanie, czy tworzenie polityki bezpieczeństwa jest konieczne. Należy uwzględnić takie elementy, jak: wielkość firmy, rodzaj prowadzonej działalności, zasoby informacyjne i sprzętowe podlegające ochronie. Najważniejszą sprawą jest dokonanie kalkulacji kosztów przedsięwzięcia. Jeśli odpowiedź będzie pozytywna, to można przystąpić do realizacji pozostałych (właściwych) etapów. Skompletowanie baz danych. Polega na ewidencji danych zgromadzonych i przechowywanych w firmie. Następnie należy określić, które z nich mają najważniejsze znaczenie dla przedsiębiorstwa i w jakim stopniu należy je chronić. Trzeba zważać na firmy konkurujące, gdyż informacja mniej ważna dla przedsiębiorstwa może być ważna dla konkurencji. Ewidencja składników systemu informatycznego to sporządzenie szczegółowego wykazu zarówno elementów sprzętowych (sprzęt komputerowy, urządzenia telekomunikacyjne, urządzenia zewnętrzne), jak i oprogramowania (programy komputerowe, dane systemowe, dane użytkowe). Przeprowadzenie analizy ryzyka dokonuje się na podstawie ewidencji składników systemu komputerowego. Sprowadza się ona do określenia potencjalnego ryzyka, jakie występuje podczas jego eksploatacji. Przede wszystkim należy określić, które składniki są najbardziej wartościowe i dokonać prawidłowego ich zabezpieczenia. Najpierw trzeba dokonać przeglądu i oceny istniejących już zabezpieczeń. Jeżeli okażą się nieodpowiednie, wówczas należy je zmodyfikować. Ponadto należy określić źródło, stopień ich zagrożenia, ryzyko występowania tych zagrożeń, a także koszty ich eliminacji. Tworzenie projektu systemu bezpieczeństwa realizowane jest głównie na podstawie przeprowadzonej uprzednio analizy ryzyka. Projekt ten powinien uwzględniać wszystkie aspekty ochrony informacji i systemu informatycznego. Warto przy tym zwrócić uwagę na źródło i rodzaj zagrożeń, stopień informatyzacji przedsiębiorstwa, a także rodzaj prowadzonej działalności gospodarczej, jego formę prawną i organizacyjną. W etapie wdrożenia systemu bezpieczeństwa wprowadza się wszystkie planowane zabezpieczenia, poczynając od instalacji mechanizmów programowych i sprzętowych, a na rozwiązaniach administracyjnych i prawnych kończąc. Ważnym elementem wdrażania systemu bezpieczeństwa jest jego testowanie. Polega ono na wywoływaniu zagrożenia, a następnie jego likwidacji. Do testowania powinno się wybrać pracowników, którzy nie brali udziału w pracach projekto-.

(9) Bezpieczeństwo informacji i ochrona systemów…. 13. wych. Ponadto należy wykorzystać specjalistyczne narzędzia komputerowe stosowane w takich wypadkach. Jeżeli system ochrony okaże się niesprawny, to należy go zmodyfikować lub poprawić. Ważnym elementem wdrażania systemu bezpieczeństwa jest dobór odpowiedniego personelu. Warto podkreślić, że wszyscy pracownicy powinni być zaznajomieni z obowiązującą polityką bezpieczeństwa firmy, m.in. przez specjalne szkolenia. Przede wszystkim muszą zachować dyskrecję w tej sprawie. Ważne jest także właściwe podejście pracowników do wdrażanego systemu, to istotny element polityki bezpieczeństwa wielu firm i instytucji krajów zachodnich. Wśród wielu pracowników polskich firm istnieje pogląd, że wprowadzenie systemu zabezpieczenia informacji nie jest konieczne. Ich nastawienie zmienia się dopiero po wystąpieniu realnego zagrożenia, np. kradzieży danych, zniszczenia sprzętu komputerowego itp. Eksploatacja systemu ochrony, polega na ciągłym administrowaniu systemu przez wydzielone komórki. W razie wystąpienia jakichkolwiek niesprawności, usterek, bądź pojawienia się nowych zagrożeń należy dokonać jego usprawnienia lub modyfikacji. Warto również przeprowadzać okresowe audyty dotyczące funkcjonowania systemu przez wiarygodnego specjalistę zatrudnionego z zewnątrz. Należy pamiętać o tym, że polityka bezpieczeństwa nie powinna zawierać zbyt szczegółowych opisów zabezpieczeń technicznych, gdyż są one uregulowane odrębnymi przepisami i zasadami. Wśród wymienionych etapów procesu tworzenia polityki bezpieczeństwa informacji szczególną wagę przywiązuje się do projektowania tego systemu. Mniej uwagi poświęca się etapowi wdrożenia, a zwłaszcza zagrożeniom implementacji systemu wynikającym z działalności człowieka, struktury oraz kultury organizacyjnej przedsiębiorstwa. 4. Metody ochrony informacji W literaturze przedmiotu znaleźć można wiele różnych klasyfikacji zabezpieczeń informacji i systemu informatycznego. Jedną z częściej podawanych jest klasyfikacja „rodzajowa” wskazująca na następujące zabezpieczenia [Lula, Wołoszyn 2001, s. 295–296]: 1) zabezpieczenia fizyczne, np. fizyczne zabezpieczenia sprzętu, pomieszczeń, w których się znajdują; 2) zabezpieczenia informatyczne, w tym wypadku wykorzystywane są metody i środki informatyczne, np. alarmy, czytniki telewizji przemysłowej itp. Zabezpieczają one zarówno sprzęt (hardware), jak i oprogramowanie (software); 3) zabezpieczenia organizacyjne, polegają na przeprowadzeniu zmian organizacyjnych mających na celu zwiększenie poziomu bezpieczeństwa systemu;.

(10) 14. Michał Kozioł. 4) zabezpieczenia administracyjne, to wszelkiego rodzaju certyfikaty gwarantujące, że system informacyjny jest bezpieczny. Certyfikacji podlega zarówno oprogramowanie, sprzęt teleinformatyczny, wykorzystywane technologie, a także personel firmy. Najważniejszym elementem tego rodzaju zabezpieczeń jest prawidłowa administracja. Odpowiada za nią administrator. Do zadań administratora należy: tworzenie kont użytkowników, określanie ich uprawnień, przeprowadzenie archiwizacji systemu i danych użytkowników, przeprowadzenie kontroli stanu systemu, instalacje mechanizmów zabezpieczających system komputerowy przed atakiem za pośrednictwem sieci globalnej; 5) zabezpieczenia prawne, to wiele uregulowań prawnych, których zadaniem jest ochrona i bezpieczeństwo systemów komputerowych. Należą do nich ustawy, uchwały, dyrektywy, normy prawne (np. ISO/IE C TR 13335 PN-I-13335), rozporządzenia, regulaminy, przepisy BHP itp. W polskim prawodawstwie podstawowymi aktami prawnymi regulującymi te kwestie są: – Ustawa z 22 stycznia 1999 r. o ochronie informacji niejawnych – określa, które informacje są objęte klauzurą tajności lub niejawności, – Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych – określa zasady dostępu i wykorzystania danych osobowych. Jako pierwsza wprowadziła do polskiego prawodawstwa pojęcia polityki bezpieczeństwa, ochrony systemów informatycznych i administratora bezpieczeństwa informacji [Kosiński 2000, s. 490], – Ustawa z 30 października 1992 r. o ochronie topografii układów scalonych, – Ustawa z 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych, – Ustawa z 6 czerwca 1997 r. Kodeks karny – reguluje takie zagadnienia, jak: bezprawny dostęp do systemów komputerowych, jego manipulacja, oszustwo komputerowe, sabotaż informacyjny, ataki na system komputerowy instytucji publicznych, które odgrywają szczególną rolę dla bezpieczeństwa Polski i nie tylko (instytucje rządowe, szpitale, obiekty wojskowe itp.), Ustawa z 29 września 1994 r. o rachunkowości (rozdz. 8 art. 71–76) – reguluje zagadnienia związane z ochroną danych finansowych znajdujących się w księgach rachunkowych. Środki teleinformatyczne są jedną z metod ochrony i bezpieczeństwa zarówno informacji, jak również systemu informacyjnego. Najczęstszymi są środki techniczne stanowiące uzupełnienie technicznych metod i środków fizycznej ochrony danych i systemów teleinformacyjnych. Wyróżnia się następujące rozwiązania sprzętowe: wprowadzenie dodatkowych elementów do systemów komputerowych, kryptograficzna ochrona informacji, identyfikacja i uwierzytelnienie osób, zapewnienie bezpieczeństwa transmisji, monitorowanie dostępu do systemu i realizacji zadań, przystosowanie systemu operacyjnego, ochrona elektromagnetyczna, ochrona programowa, archiwizacja danych, ochrona antywirusowa,.

(11) Bezpieczeństwo informacji i ochrona systemów…. 15. zabezpieczenie systemu poprzez tzw. ściany przeciwogniowe, zabezpieczenie usług internetowych. Wprowadzenie dodatkowych elementów do systemów komputerowych to najczęściej stosowana metoda zwiększająca bezpieczeństwo systemów teleinformatycznych. Dokonuje się tu przede wszystkim dublowania źródeł zasilania, instalowania zasilania awaryjnego, które jest automatycznie uruchamiane w wypadku awarii zasilania podstawowego. Ponadto dublowane są urządzenia pamięci masowej [Lula, Wołoszyn 2001, s. 299]. Najczęściej instaluje się w komputerach dwa lub więcej dysków magnetycznych bądź optycznych, na których zapisuje się równocześnie te same informacje. Niekiedy w sieci komputerowej funkcjonującej w przedsiębiorstwie instaluje się – obok serwera podstawowego – kilka serwerów dodatkowych, jak również dodatkowe dyski (tzw. matryce dyskowe), a nawet dodatkowe łącza transmisyjne. Zabezpieczenia te służą przede wszystkim zapewnieniu integralności danych [Lula, Wołoszyn 2001, s. 299]. Zmniejszają zniekształcenia informacji przerwaniem dopływu źródła zasilania, a tym samym ryzyko ich utraty. Kryptograficzna ochrona informacji to najstarsze metody ochrony informacji. Opiera się na szyfrowaniu, czyli na przekształceniu informacji jawnej w ciąg pozornie nic nie znaczących znaków, którego odczytanie wymaga znajomości tajnego, specjalnego klucza. Już w starożytności posługiwano się prostymi szyframi np. szyfr Cezara (opracowany przez Juliusza Cezara). Z biegiem lat były one modyfikowane i udoskonalane, np. szyfr Thitemiusa jest zmodyfikowanym szyfrem Cezara. Podstawowymi szyframi są: – szyfry podstawieniowe to takie, których bity, znaki lub bloki znaków są zastępowane ich utajnionymi odpowiednikami. Najczęściej stosowanymi szyframi podstawieniowymi są szyfry: monoalfabetyczne (każdej literze alfabetu tekstu jawnego odpowiada jedna litera alfabetu zaszyfrowanego), homofoniczne (każdej literze tekstu jawnego odpowiada kilka liter (tzw. homofon) alfabetu szyfrogramu, poligramowe (szyfrowane są tu grupy liter tekstu jawnego). Najprostszym tego typu szyfrem jest wspomniany już szyfr Cezara. – szyfry polialfabetyczne są połączeniem kilku prostych szyfrów podstawieniowych. Każda litera tekstu jawnego jest zaszyfrowana za pomocą litery z innego alfabetu. Określa się tu jego okresowość poprzez liczbę wykorzystywanych alfabetów. Podstawowym szyfrem polialfabetycznym jest szyfr Thitemiusa. Aby odczytać treść faktyczną zaszyfrowanej informacji, należy dokonać jej deszyfracji. Odbywa się ona za pomocą specjalnego parametru zwanego kluczem. Jest to zbiór algorytmów (funkcji matematycznych) opisujących konkretne przekształcenie. Wyróżnić można dwie metody szyfrowania danych symetryczne i asymetryczne (publiczno-prywatne)..

(12) 16. Michał Kozioł. Metoda symetryczna to taka, w której zarówno do szyfrowania, jak i deszyfrowania informacji używa się tylko jednego, poufnego klucza. Najczęściej wymienia się klucze strumieniowe; informacja szyfrowana jest za pomocą strumienia danych, które nie powinny być krótsze niż zaszyfrowane informacje oraz klucze blokowe (określonym blokom tekstu jawnego odpowiadają bloki tekstu zaszyfrowanego). Udostępniany jest on m.in. przez Internet. Zaletą tej metody jest stosunkowo niski nakład obliczeń ponoszonych na szyfrowanie i rozkodowywanie nawet dużych plików [Kiełtyka 2002, s. 528]. Wadą zaś jest łatwość jego przechwycenia przez niepowołane osoby i odczytanie wiadomości. Najczęściej stosowanymi algorytmami klucza symetrycznego są: RC2 (Rivers Cipher 2) RC4 (Rivers Cipher 4) opracowane przez R. Rivesta; DES (Data Encryption Standard), który został wdrożony przez IBM w Narodowym Biurze Standardów w USA; IDEA (International Data Encryption Algorytm). Ich działanie zostało przedstawione w licznych pozycjach literatury. Z kolei w metodach asymetrycznych stosuje się dwa rodzaje kluczy: klucz publiczny nadawcy, który jest powszechnie udostępniany (m.in. na stronach www) oraz klucz prywatny odbiorcy służący do jej rozszyfrowania. Zaletą tego rodzaju metod szyfrowania jest zagwarantowanie prywatności zarówno osobie przesyłającej, jak i odbierającej wiadomość. Klucz publiczny staje się bezużyteczny, gdy nie jest znany klucz prywatny. Brak wyraźnego zagwarantowania autentyczności przesyłanej informacji stanowi podstawową wadę. Odbiorca przesyłki nie jest do końca pewien, czy obiekt jest tym za kogo się podaje. Sytuacja taka może prowadzić do różnego typu ataków znanych jako „Man in the Middle” („człowiek w środku”). Aby uniknąć tego typu sytuacji, klucz publiczny używany jest wraz z podpisem elektronicznym nadawcy. Popularnym algorytmem klucza asymetrycznego jest: RSA, którego nazwa pochodzi od pierwszych liter nazwisk jego twórców (pracowników MIT: R. Rivesta, A. Shamira, i L. Adelmana). Innymi znanymi są: ELGamal opierający się na skomplikowanych logarytmach dyskretnych oraz zwiększający swoją popularność podpis elektroniczny. Podpis elektroniczny jest metodą kryptograficzną asymetryczną. Charakteryzuje się następującymi cechami: – stanowi ciąg znaków (cyfr, liter i innych występujących na klawiaturze komputera) jednoznacznie wiążący dokument podpisany z osobą podpisującą go, – wymaga podstawowej wiedzy i umiejętności z zakresu informatyki, – istnieje tylko w środowisku elektronicznym, – jest zależny od sprzętu komputerowego, jego zasilania i oprogramowania, – może być złożony tylko na dokumencie zakończonym. Osoba podpisująca nie może dokonywać żadnych zmian w dokumencie podpisanym. Spowoduje to bowiem spadek podpisu cyfrowego, – jest tworzony na wyraźne polecenie podpisującego, – jednoznacznie wskazuje podpisującego (zawiera jego najważniejsze dane),.

(13) Bezpieczeństwo informacji i ochrona systemów…. 17. – posiada określoną ważność, która potwierdzona jest specjalnym certyfikatem wydawanym przez urząd certyfikacji. Wchodzi on w skład tzw. sieci urzędów ds. certyfikatów, – zakres jego stosowania określają odrębne przepisy prawne. Identyfikacja i uwierzytelnienie osób polega na sprawdzeniu, czy dana osoba jest rzeczywiście tą, za którą się podaje. W tym celu musi podać poprawne dane przydzielone jej przez administratora sprzętu. Są to identyfikator i hasło użytkownika, a także przydzielony jej sprzętowy element zabezpieczający w postaci karty magnetycznej lub procesorowej. W celu zwiększenia wiarygodności dotyczącej tożsamości danej osoby sprawdza się niekiedy jej cechy biometryczne, np. linie papilarne. Tego typu zabezpieczenia są stosowane w bankach. Zapewnienie bezpieczeństwa transmisji stanowią środki gwarantujące bezpieczne przesyłanie informacji w systemie informatycznym (zarówno wewnątrz, jak i zewnątrz przedsiębiorstwa). Wykorzystuje się środki bezpieczeństwa, takie jak: mechanizmy ochrony struktury sieci przed rozproszeniem, kontrola dostępu do sieci, stosowanie systemów zaporowych (tzw. ściany przeciwogniowe) itp. Monitorowanie dostępu do systemu i realizacji zadań to środki ochrony mające na celu wykrycie niewłaściwego zachowania użytkowników. Stosuje się stały nadzór nad dostępem do informacji szczególnie ważnych dla przedsiębiorstwa, jak również nad osobami mającymi prawo dostępu do nich. Przystosowanie systemu operacyjnego polega głównie na konfiguracji sprzętu, kontroli przepływu informacji, akredytacji, uodpornianiu sprzętu (hardening) itp. Ochrona elektromagnetyczna to: ochrona urządzeń o niskiej emisji, stosowanie wszelkiego rodzaju osłon instalacji zasilających sprzęt, filtrowanie zasilania itp. Ochrona programowa są to wszelkie rozwiązania zabezpieczające zarówno sprzęt, jak i oprogramowanie. Wykorzystuje się następujące środki: dzienniki systemowe, które pozwalają na późniejszą identyfikację działalności użytkowników, programy śledzące, mechanizmy rozliczania, mechanizmy wspomagające pracę administratorów, wirtualne sieci prywatne. Archiwizacja danych polega na tworzeniu dodatkowych kopii systemu, a także przechowywanych w nim danych. Ma to na celu zapobieżenie ich utraty na skutek awarii. Powinna być przeprowadzana regularnie. Do tego celu wykorzystuje się takie nośniki, jak: dyskietki, płyty magnetyczne, dyski magnetyczne, dyski optyczne itp. Aby zwiększyć bezpieczeństwo danych, należy wybrać taki nośnik, który odznacza się największą trwałością i jest najmniej podatny na zniszczenie. Nie powinien być on zainstalowany w zabezpieczonym sprzęcie, lecz przechowywany w osobnym pomieszczeniu i mieć dodatkowe zabezpieczenia. Należy także uwzględnić wielkość przedsiębiorstwa oraz rodzaj prowadzonej działalności. Jeżeli przedsiębiorstwo przechowuje dużą liczbę danych, to zaleca się przeprowadzenie archiwizacji całościowej. Gdy ochronie podlegają tylko niektóre dane,.

(14) 18. Michał Kozioł. to wystarczy przeprowadzić archiwizację częściową głównie w małych i średnich przedsiębiorstwach. Archiwizację danych przeprowadza powołana przez kierownictwo osoba, która odznacza się odpowiednią wiedzą w tym zakresie, postępująca zgodnie z odpowiednimi przepisami. Niekiedy musi ona odbyć niezbędne szkolenia. Do jej obowiązków należy sprawdzanie integralności tych nośników oraz testowanie procedury odzyskiwania z nich danych. Ochrona antywirusowa to instalacja programów zwalczających wirusy, robaki i konie trojańskie. Instaluje się je w całym systemie informatycznym firmy lub na poszczególnych stanowiskach komputerowych. Mogą być włączone przez cały czas lub na żądanie użytkownika. Z uwagi na możliwość błyskawicznego rozprzestrzeniania się wirusów w skali całego globu skuteczność programów antywirusowych jest uzależniona od regularnej aktualizacji bazy wzorców wykorzystywanej w trakcie monitorowania systemu komputerowego. Zabezpieczenie systemu przez ściany przeciwogniowe (firewall). Są to wszelkiego rodzaju zabezpieczenia sprzętowo-programowe. Polegają na zainstalowaniu w wybranym komputerze oprogramowania, którego celem jest zarządzanie komunikacją pomiędzy sieciami (zarówno wewnętrzną, jak i zewnętrzną), przede wszystkim ochrona sieci lokalnej przed niepożądanym dostępem z zewnątrz. W celu nieprzedostania się pewnych informacji na zewnątrz organizacji instaluje się takie ściany ogniowe, które ograniczają komunikację pomiędzy sieciami wewnętrzną przedsiębiorstwa i zewnętrznymi. Najczęściej stosowane są następujące ograniczenia komunikacji: tylko do wybranych użytkowników lub tylko do użytkowników posiadających określone numery IP. Niektóre firmy umożliwiają dostęp do sieci wszystkim użytkownikom, ale tylko do wybranych protokołów komunikacyjnych (np. poczty elektronicznej). W skrajnym przypadku może być to komunikacja jednokierunkowa – z sieci lokalnej do globalnej. Można również całkowicie zablokować przepływ informacji. Zabezpieczenie usług internetowych to liczne metody i techniki zabezpieczenia informacji znajdujących się w sieci Internet. Do najczęściej wykorzystywanych usług internetowych zaliczamy pocztę elektroniczną oraz strony internetowe (strony world wide web – www). Poczta elektroniczna jest cyfrowym odpowiednikiem tradycyjnej poczty. Polega ona na przesyłaniu informacji tekstowych pomiędzy serwerami pocztowymi, jak również dodatkowych załączników w postaci plików, zdjęć, rysunków, grafiki komputerowej itp. Odbywa się to za pomocą specjalnego protokołu SMTP (Simple Mail Transfer Protocol). Najczęściej stosowanym zabezpieczeniem przesyłanych informacji jest hasło dostępu, co jest zabezpieczeniem częściowym. Aby przekaz informacji był w pełni zabezpieczony, należy stosować programy pocztowe zawierające podpis elektroniczny oraz programy szyfrujące je. Programy te.

(15) Bezpieczeństwo informacji i ochrona systemów…. 19. mogą także przeprowadzić kompresję przesyłanych wiadomości, które skracają czas ich transferu (mniejsze ryzyko ich przechwycenia). Należy pamiętać także o niebezpieczeństwach wynikających z dołączanych przesyłek. Mogą one zawierać m.in. wirusy i robaki komputerowe uaktywniające się po ich otwarciu. Strony www są – obok poczty elektronicznej – powszechnie stosowaną usługą sieci Internet. Są tworzone zarówno przez firmy, organizacje, a także osoby indywidualne. Dostęp do nich odbywa się za pomocą protokołu transferu hipertekstu HTTP (Hipertext Transfer Protocol) lub protokołu transferu plików FTP (File Transfer Protocol). Wykorzystuje się w tym celu odpowiednie przeglądarki, w których wpisuje się odpowiednie adresy stron. Twórca witryn internetowych powinien zatroszczyć się o bezpieczeństwo prezentowanych informacji (ochrona antywirusowa, szyfrowanie ważnych informacji, ograniczanie dostępu do sieci itp.). Bezpieczniejszą odmiana protokołu HTTP jest protokół SHTTP (Shell Hipertekst Transfer Protocol). Wiele przedsiębiorstw, a zwłaszcza banki stosują dodatkowy protokół zabezpieczający informacje zamieszczone na stronach internetowych SSL (Secure Sockets Layers). Zapewnia bezpieczną i wiarygodną komunikację w sieci głównie w tzw. bankowości internetowej (i-bankingu). Gwarantuje on większą prywatność klientom banku poprzez szyfrowanie przesyłanych informacji. Ponadto klient, jak i serwer dokonują autoryzacji przesyłanych danych, określając swoją tożsamość. Zapewniona jest także integralność przesyłanych informacji (m.in. poprzez zastosowanie sum kontrolnych). Ważne jest także bezpieczeństwo transferów internetowych. Zazwyczaj są to: przelewy bankowe, zakupy itp. Klient nie powinien dopuścić do tego, aby sprzedawca zdobył numer identyfikacyjny jego karty płatniczej. W tym celu powinien dokonywać zakupów za pomocą banku, albo posłużyć się przydzielonym mu kodem certyfikacyjnym (potwierdzanym w urzędzie certyfikacyjnym, który go wydał). Aby sprzedający miał pewność, że transakcja została zawarta z właściwą osobą powinien zażądać od kupującego potwierdzenia jej poprzez użycie podpisu cyfrowego. Wśród wymienionych i pokrótce scharakteryzowanych metod i technik ochrony informacji na szczególną uwagę zasługują te z nich, które odznaczają się dużą skutecznością i relatywnie wysoką efektywnością ekonomiczną. Należą do nich m.in. metody kryptograficzne, identyfikacja i uwierzytelnienie osób, archiwizacja danych, ochrona programowa, ochrona antywirusowa. Właśnie te techniki należałoby rekomendować firmom, zwłaszcza małym i średnim. 5. Zakończenie W artykule przedstawiono wybrane, ważniejsze kwestie oblicza zagrożenia bezpieczeństwa informacji i systemu informatycznego. Wskazano metody.

(16) 20. Michał Kozioł. i sposoby przeciwdziałania coraz to nowym zagrożeniom. Jak można zauważyć, tematyka bezpieczeństwa i ochrony systemu informacyjnego nie została do końca wyczerpana. Wynika to głównie z jej rozległości i wielowątkowości, jak również z nieustannego postępu w dziedzinie informatyki (sprzętu i oprogramowania). Warto przy tym dodać, że pojawiają się nowe zagrożenia, którym należy przeciwdziałać, dlatego problem stworzenia bezpiecznego systemu komputerowego jest nadal otwarty. Jego rozwiązanie wymaga jednak opracowania kompleksowej i wewnętrznie spójnej metodyki budowy systemu ochrony informacji w organizacji, zwłaszcza w firmie ujmującej obok aspektu technicznego również kontekst ekonomiczno-organizacyjny i społeczny. Proces ten powinien obejmować zarówno etapy, jak i narzędzia badawcze umożliwiające ich realizację. Wśród licznych metod i technik badawczych wykorzystywanych w poszczególnych etapach tworzenia polityki bezpieczeństwa informacji powinna znaleźć się procedura diagnozowania społecznych uwarunkowań tej polityki, ze zwróceniem szczególnej uwagi na proces diagnozowania struktury organizacyjnej firmy i jej kultury organizacyjnej, potrzeb szkoleniowych pracowników i inne. Literatura Doroszewicz S., Niedźwiecka A. [2004], Projekt badań jakości internetowej usługi bankowej postrzeganej przez klientów indywidualnych, „Studia i prace kolegium zarządzania i finansów”, Zeszyt Naukowy nr 51, Wydawnictwo Szkoły Głównej Handlowej w Warszawie, Warszawa. Kiełtyka L. [2002], Komunikacja w zarządzaniu, Agencja Wydawnicza Placet, Warszawa. Kiełtyka L. [2003], Zarządzanie bezpieczeństwem informacji, „Współczesne Zarządzanie” nr 3. Kosiński J. [2000], Bezpieczeństwo danych i systemów teleinformatycznych [w:] Zarządzanie bezpieczeństwem, red. P. Tyrała, Wydawnictwo Profesjonalnej Szkoły Biznesu, Kraków. Lula P., Wołoszyn J. [2001], Informatyczne metody i środki ochrony zasobów informatycznych przedsiębiorstwa [w:] System informacji strategicznej. Wywiad gospodarczy a konkurencyjność przedsiębiorstwa, red. R. Borowiecki i M. Romanowski, Diffin, Warszawa Łamek W. [2004], Wirtualne testowanie. Jak sprawdzić w Internecie bezpieczeństwo komputera, „Internet” nr 11. Pełech T. [2003], Rola i postać zabezpieczeń organizacyjnych w obliczu zagrożeń utraty bezpieczeństwa, „Informatyka Teoretyczna i Stosowana”, nr 3/5, Wydawnictwo Politechniki Częstochowskiej, Częstochowa. Pełech T. [2004], Social Engineering i Phishing. Formy oraz metody ochrony informacji cyfrowej w organizacji [w:] Zarządzanie przedsiębiorstwem w warunkach integracji europejskiej, cz. 2, red. M. Czyż, Z. Cięciwa, Wydawnictwo AGH, Uczelniane Wydawnictwo Naukowo-Dydaktyczne, Kraków. Szmit M. [2003], Informatyka w zarządzaniu, Diffin, Warszawa..

(17) Bezpieczeństwo informacji i ochrona systemów…. 21. Information Security and Protection of a Computer System in the Enterprise The article submits typologies of classifications concerning threats to information and information systems; the selected ones (most important) have been characterised. Next, the security policy for information and for a computer system has been defined and a methodology of its creation and enhancement, modified by the Author, has been presented. The meaning of human aspect in the considered field has been pointed out and special attention has been paid to the organisational culture as an determinant of this policy. The last part of the paper has been devoted to the description of information protection methods and techniques with special consideration for teleinformation technology methods. Key words: information, knowledge, knowledge management, information security policy, information security, computer system security..

(18)