Proces zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie

Pełen tekst

(1)Zeszyty Naukowe nr. 798. Uniwersytetu Ekonomicznego w Krakowie. 2009. Jan Madej Katedra Informatyki. Janusz Sztorc Katedra Systemów Obliczeniowych. Proces zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie Streszczenie. Artykuł poświęcony jest procesowi zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie. Autorzy na podstawie przeprowadzonych studiów literaturowych przeanalizowali istniejące rozwiązania w tym zakresie oraz opracowali i przedstawili ujednolicony przebieg procesu zarządzania bezpieczeństwem systemu informatycznego. Wyróżnione przez nich etapy tego procesu to: opracowanie polityki bezpieczeństwa, zaprojektowanie systemu ochrony, wdrożenie systemu ochrony oraz utrzymanie stanu bezpieczeństwa systemu informatycznego. W artykule przedstawione etapy zostały scharakteryzowane w stopniu umożliwiającym zrozumienie ich celu i sposobu realizacji. Słowa kluczowe: bezpieczeństwo systemów informatycznych, zarządzanie bezpieczeństwem systemów informatycznych, polityka bezpieczeństwa, analiza ryzyka, system ochrony.. 1. Wprowadzenie W obecnych czasach wykorzystanie technologii informatycznej (TI) w przedsiębiorstwach stale się zwiększa, dlatego zagadnienia bezpieczeństwa systemów informatycznych (SI) nabrały szczególnego znaczenia. Równocześnie, przy obecnym stopniu uzależnienia od TI oraz przy uwzględnieniu zagrożeń, na które technologia ta jest podatna, do osiągnięcia odpowiedniego poziomu bezpieczeństwa SI w przedsiębiorstwie nie wystarczą już incydentalne działania, ale konieczna jest.

(2) 246. Jan Madej, Janusz Sztorc. realizacja złożonego procesu określanego mianem zarządzania bezpieczeństwem systemu informatycznego. Przyjmuje się, że zarządzanie bezpieczeństwem SI to działania mające na celu utrzymanie odpowiedniego poziomu bezpieczeństwa systemów informatycznych w przedsiębiorstwie1 (por. [PN-I-13335-1], [PrPN-I-13335-2]). Część z nich może być realizowana równolegle, jednak niektóre wymagają ściśle określonej kolejności. Dlatego z praktycznego punktu widzenia konieczne jest określenie poszczególnych etapów zarządzania bezpieczeństwem SI. Tymczasem w literaturze przedmiotu można znaleźć wiele opisów i schematów procesu zarządzania bezpieczeństwem SI znacznie różniących się poziomem szczegółowości, kolejnością etapów, charakterem występujących sprzężeń zwrotnych czy użytą nomenklaturą. Celem niniejszego artykułu jest analiza istniejących rozwiązań oraz opracowanie i przedstawienie ujednoliconego przebiegu procesu zarządzania bezpieczeństwem systemu informatycznego. 2. Etapy procesu zarządzania bezpieczeństwem SI Przeprowadzone studia literaturowe pozwalają stwierdzić, że często publikacje podają różną liczbę etapów wchodzących w skład procesu zarządzania bezpieczeństwem SI i różne rodzaje występujących w nich sprzężeń zwrotnych (zob rys. 1). W niektórych publikacjach autorzy wyróżniają tylko kilka głównych etapów procesu zarządzania bezpieczeństwem (zob. np. [Stawowski 1998, Sadowski 2002, IT Baseline… 2003]), w innych jest ich znacznie więcej (zob. np. [Piotrowski i Szymaczek 1997, Gaudyn 2001, PrPN-I-13335-2, Rzewuski 2002, Koweszko 2002]). Ten różny poziom szczegółowości w przedstawianiu procesu zarządzania bezpieczeństwem SI przedsiębiorstwa jest często uzasadniony i wynika przede wszystkim z faktu, że istnieją różne sposoby zarządzania bezpieczeństwem oraz różne rozmiary i struktury przedsiębiorstw. Ponieważ proces ten musi zostać dopasowany do środowiska, w którym będzie realizowany, istotne jest, aby wszystkie jego etapy odpowiadały stylowi, wielkości, strukturze i sposobowi prowadzenia działalności przedsiębiorstwa.. 1 Zagadnienie umiejscowienia celów, strategii i polityki zarządzania bezpieczeństwem SI w przedsiębiorstwie zostało przedstawione w artykule J. Madeja Zarządzanie bezpieczeństwem a polityka bezpieczeństwa systemu informatycznego w przedsiębiorstwie zamieszczonym w niniejszym Zeszycie Naukowym..

(3) Proces zarządzania bezpieczeństwem systemu…. ISO/IEC TR 13335. 247. BSI. Polityka bezpieczeństwa przedsiębiorstwa w zakresie systemów informatycznych. Opracowanie polityki bezpieczeństwa. Aspekty organizacyjne bezpieczeństwa systemów informatycznych. Koncepcja bezpieczeństwa – projekt, kompilacja. Wybór strategii analizy ryzyka (Strategia podstawowego poziomu bezpieczeństwa nieformalna / szczegółowa / mieszana ). Implementacja zabezpieczeń. Zalecenia w zakresie bezpieczeństwa systemów informatycznych. Szkolenie – uświadamianie użytkowników. Polityka bezpieczeństwa systemu informatycznego. Utrzymanie stanu bezpieczeństwa. Plan zabezpieczeń systemu informatycznego Wdrażanie (Wdrażanie zabezpieczeń i uświadamianie użytkowników w zakresie bezpieczeństwa) Czynności po wdrożeniu. Rys. 1. Etapy zarządzania bezpieczeństwem systemów informatycznych wg ISO/IEC TR 13335 i BSI Źródło: opracowanie własne na podstawie [PrPN-I-13335-2, IT Baseline… 2003, Bezpieczeństwo systemów… 2000].. Jednak pomimo różnic ważne jest to, że we wszystkich opracowaniach można wyszczególnić podobne etapy tego procesu, które polegają na zaplanowaniu i opracowaniu polityki bezpieczeństwa, zaprojektowaniu i wdrożeniu systemu ochrony oraz utrzymaniu stanu bezpieczeństwa systemu. Największe zróżnicowanie, wynikające ze wspomnianego już dopasowania do charakteru przedsiębiorstwa, dotyczy etapu opracowania polityki bezpieczeństwa SI. W przypadku pozostałych etapów autorzy wykazują dużo większą zgodność. Analiza publikacji i materiałów z literatury przedmiotu pozwala wyróżnić cztery główne etapy zarządzania bezpieczeństwem SI (rys. 2): – opracowanie polityki bezpieczeństwa systemu informatycznego, – zaprojektowanie systemu ochrony,.

(4) Jan Madej, Janusz Sztorc. 248. – wdrożenie systemu ochrony, – utrzymanie stanu bezpieczeństwa systemu informatycznego. Istotnym elementem są tutaj sprzężenia zwrotne, które powinny zachodzić pomiędzy dowolnymi etapami. Opracowanie polityki bezpieczeństwa systemu informatycznego Projekt systemu ochrony Wdrożenie systemu ochrony Utrzymanie stanu bezpieczeństwa systemu informatycznego. Rys. 2. Etapy zarządzania bezpieczeństwem systemów informatycznych Źródło: opracowanie własne.. Takie przedstawienie zarządzania bezpieczeństwem SI charakteryzuje się dużą prostotą, oddaje jednak ideę samego procesu bez względu na wielkość i charakter przedsiębiorstwa oraz budowę jego systemu informatycznego. W miarę potrzeb schemat można odpowiednio dostosować, uszczegóławiając poszczególne etapy. Zostało to zaprezentowane na rys. 3 i jest m.in. wynikiem przeprowadzonych studiów literaturowych oraz uwzględnionych i wykorzystanych zaleceń norm ISO/IEC TR 13335, ISO/IEC 17799, metody ochrony podstawowej BSI i zaleceń NIST [An Introduction… 1996]. Poszczególne etapy zostały omówione w kolejnym punkcie. 3. Opracowanie polityki bezpieczeństwa systemu informatycznego Polityka bezpieczeństwa SI to zasady, zarządzenia i procedury, które określają, jak zasoby powinny być zarządzane, chronione i dystrybuowane w SI [PN-I-13335-1]. Jej opracowanie wymaga szeregu czynności (m.in. określenia celów i potrzeb bezpieczeństwa, zidentyfikowania zasobów, zagrożeń i ryzyka ich wystąpienia), a następnie zdefiniowania zbioru zasad, zarządzeń i procedur, których przestrzeganie ma zapewnić bezpieczeństwo systemu. Wszystkie zasady, zarządzenia i procedury powinny zostać spisane i mieć postać formalnego, obowiązującego dokumentu, zwanego dokumentem polityki bezpieczeństwa..

(5) Proces zarządzania bezpieczeństwem systemu…. 249. Opracowanie polityki bezpieczeństwa SI Czynności przygotowawcze (m.in. ustalenie celów i odpowiedzialności) Analiza ryzyka Sformułowanie polityki bezpieczeństwa. Projekt systemu ochrony Plan systemu ochrony Wybór zabezpieczeń. Wdrożenie systemu ochrony Wdrażanie zabezpieczeń Szkolenia w zakresie bezpieczeństwa Uświadamianie użytkowników w zakresie bezpieczeństwa Utrzymanie stanu bezpieczeństwa SI Utrzymanie zabezpieczeń Kontrola zgodności z projektem Monitorowanie systemu ochrony Obsługa przypadków naruszenia bezpieczeństwa Zarządzanie zmianami. Rys. 3. Etapy zarządzania bezpieczeństwem systemów informatycznych Źródło: opracowanie własne.. Realizacja polityki bezpieczeństwa wymaga doboru oraz wdrożenia odpowiednich i spójnych zabezpieczeń (fizycznych, technicznych, organizacyjnych, personalnych oraz procedur ochronnych i awaryjnych), które utworzą tzw. system ochrony (zob. dalej). Poza systemem ochrony polityka bezpieczeństwa powinna uwzględniać także m.in.: szkolenia, działania awaryjne, kontrole, monitoring i aktualizację zabezpieczeń..

(6) 250. Jan Madej, Janusz Sztorc. Zanim jednak przedsiębiorstwo rozpocznie zarządzanie bezpieczeństwem swojego systemu informatycznego i zostanie opracowana odpowiednia polityka bezpieczeństwa, musi zaistnieć bodziec, który zapoczątkuje ten proces. 3.1. Czynności przygotowawcze 3.1.1. Inicjatywa zarządzania bezpieczeństwem SI. W momencie gdy przedsiębiorstwo zarządza już efektywnie bezpieczeństwem swojego systemu informatycznego, na ogół nie ma większego znaczenia, kto ten proces zainicjował i jakie były ku temu przesłanki 2. Niemniej jednak należy pamiętać, że zanim zostaną rozpoczęte jakiekolwiek właściwe działania, koniecznie trzeba przekonać do nich kierownictwo przedsiębiorstwa. Zadanie to może być łatwiejsze lub trudniejsze, w zależności od tego, kto jest pomysłodawcą i jakie są powody tych działań. Nawet podjęcie przez kierownictwo decyzji o opracowaniu polityki bezpieczeństwa, powołanie zespołu i przyznanie środków nie gwarantują dalszego sukcesu. Bardzo ważną sprawą dla całego procesu zarządzania bezpieczeństwem SI jest zaangażowanie kierownictwa wszystkich szczebli. Bez poparcia ze strony kadry kierowniczej osiągnięcie zamierzonego poziomu bezpieczeństwa jest trudne, a czasami nawet nieosiągalne. Dlatego ważne jest, aby działania osób zajmujących się bezpieczeństwem SI poparte były odpowiednią postawą i zaangażowaniem kierownictwa, od którego oczekuje się m.in.: – zrozumienia potrzeb przedsiębiorstwa w zakresie bezpieczeństwa SI, – demonstrowania zaangażowania w sprawy bezpieczeństwa SI, – odpowiedniego poziomu świadomości w zakresie bezpieczeństwa SI, – gotowości do zaspokojenia potrzeb wynikających z zarządzania bezpieczeństwem SI (np. przydzielanie środków na ten cel). Podjęcie przez kierownictwo decyzji o zarządzaniu bezpieczeństwem SI powinno także wiązać się z wyznaczeniem osoby lub zespołu osób odpowiedzialnych za opracowanie i realizację polityki bezpieczeństwa systemu informatycznego. 3.1.2. Odpowiedzialność za opracowanie i realizację polityki bezpieczeństwa. Polityka bezpieczeństwa systemu informatycznego musi mieć swojego właściciela. Wyznaczenie tej osoby należy do obowiązków kierownictwa przedsiębiorstwa. Właściciel polityki to pracownik przedsiębiorstwa, który odpowiada za jej 2 Pomysł, aby opracować odpowiednią politykę bezpieczeństwa SI i utworzyć system ochrony, może powstać na każdym szczeblu przedsiębiorstwa, a jego powody mogą być różne (np. wymogi prawne, wymagania ze strony kontrahentów, wystąpienie zagrożenia bezpieczeństwa systemu, doniesienia mediów o zagrożeniach TI itd.)..

(7) Proces zarządzania bezpieczeństwem systemu…. 251. opracowanie, wdrożenie i późniejszą realizację. Zazwyczaj pełni on funkcję kierownika do spraw bezpieczeństwa. Należy jednak zaznaczyć, że właściciel polityki nie musi być jej autorem (choć sytuacja taka byłaby bardzo korzystna). W praktyce niewiele małych i średnich przedsiębiorstw ma wystarczające zaplecze personalne do jej opracowania, dlatego wyznaczony właściciel polityki musi często korzystać z usług konsultantów zewnętrznych. W dużych przedsiębiorstwach zaplecze kadrowe jest lepsze, jednak tam z kolei pojawia się często konieczność stworzenia właściwej struktury zarządzania w celu inicjowania, wdrażania, koordynowania i kontrolowania polityki bezpieczeństwa w całym przedsiębiorstwie. W takich przypadkach zaleca się utworzenie odpowiedniej komórki organizacyjnej (np. działu ds. bezpieczeństwa) pracującej pod kierownictwem osoby z najwyższego szczebla. Do obowiązków takiego działu należy m.in. zatwierdzanie polityki bezpieczeństwa, nadzorowanie jej realizacji, podział odpowiedzialności, wykonywanie przeglądów bezpieczeństwa, zatwierdzanie przedsięwzięć wpływających na zmianę poziomu bezpieczeństwa. Po wyznaczeniu osoby odpowiedzialnej za realizację polityki bezpieczeństwa kierownictwo musi wraz z nią ustalić główne cele polityki. 3.1.3. Cele polityki bezpieczeństwa. Osiągnięcie bezpieczeństwa systemu informatycznego wymaga dostosowania celów i strategii działania do każdego poziomu przedsiębiorstwa. Dlatego punktem wyjścia jest jasne ustalenie głównych celów przedsiębiorstwa dotyczących bezpieczeństwa jego systemu informatycznego. Cele te muszą wynikać z celów nadrzędnych (np. biznesowych) i w efekcie prowadzić do celów polityki bezpieczeństwa systemów informatycznych, którymi najczęściej są: – zagwarantowanie prawnych wymagań ochrony informacji (np. ochrona danych rachunkowych, ochrona danych osobowych, ochrona informacji niejawnych), – zagwarantowanie bezpieczeństwa zasobów systemu, a w szczególności przetwarzanej informacji (tzn. zagwarantowanie jej poufności, integralności i dostępności), – zagwarantowanie bezpieczeństwa publicznego i prestiżu przedsiębiorstwa, – zagwarantowanie ciągłości funkcjonowania przedsiębiorstwa, – osiągnięcie redukcji kosztów. 3.2. Analiza ryzyka. Analiza ryzyka w kontekście bezpieczeństwa systemów informatycznych składa się z analizy wartości zasobów, ich zagrożeń i podatności na nie. Jest ona bardzo ważnym elementem zarządzania bezpieczeństwem, ponieważ od sposobu.

(8) Jan Madej, Janusz Sztorc. 252. jej przeprowadzenia zależy ocena sytuacji w zakresie bezpieczeństwa i późniejszy wybór zabezpieczeń. Przebieg pełnej analizy ryzyka składa się zazwyczaj z kilku etapów (zob. rys. 4).. Identyfikacja i inwentaryzacja zasobów. Określenie wartości zasobu. Ustalenie podatności zasobu na zagrożenia. Identyfikacja zagrożeń zasobu. Określenie następstw naruszenia bezpieczeństwa zasobu. Decyzja o dalszych działaniach (m.in. zalecenia co do zabezpieczeń, określenie ryzyka akceptowalnego i szczątkowego). Rys. 4. Etapy analizy ryzyka Źródło: opracowanie własne.. W zależności od przyjętej strategii, niektóre etapy analizy mogą być zredukowane. Celem analizy ryzyka jest dostarczenie m.in.: – informacji o wartości i wymaganiach ochronnych analizowanych zasobów, – informacji o podatności zasobów na zagrożenia, – informacji o potencjalnych zagrożeniach zasobów i ich poziomie ryzyka, – informacji o następstwach naruszenia bezpieczeństwa zasobów, – zaleceń co do ryzyka akceptowalnego i ryzyka szczątkowego3 danych zasobów, 3 Ryzyko, które świadomie nie jest w żaden sposób ograniczane, ponieważ zostało zaakceptowane, określa się mianem ryzyka akceptowalnego. Ryzyko szczątkowe jest to ryzyko, które pozostaje po wdrożeniu zabezpieczeń. W praktyce ryzyko takie zawsze istnieje, gdyż żaden system nie jest całkowicie bezpieczny, co więcej, pewne zasoby pozostają celowo niechronione w najlepszy.

(9) Proces zarządzania bezpieczeństwem systemu…. 253. – zaleceń co do wyboru zabezpieczeń, – informacji o korzyściach wynikających z wdrożenia zabezpieczeń. Zalecenia i informacje dostarczone przez analizę ryzyka powinny być przyjęte i zatwierdzone przez kierownictwo przedsiębiorstwa jako punkt wyjścia dalszych działań (m.in. opracowania planu systemu ochrony – zob. dalej). Poddanie analizie wszystkich zasobów systemu informatycznego jest bardzo kosztowne i czasochłonne. Ponadto nie zawsze istnieje potrzeba przeprowadzenia tak szczegółowej analizy. O tym, jak dokładna i na czym oparta powinna być analiza ryzyka, decyduje przede wszystkim planowany poziom bezpieczeństwa systemu oraz inne czynniki (np. wielkość, charakter i rodzaj działalności przedsiębiorstwa). Dlatego w praktyce występują różne rodzaje analizy ryzyka, określane mianem strategii. Najczęściej wykorzystywane strategie analizy ryzyka to: – strategia podstawowego poziomu bezpieczeństwa, – nieformalna analiza ryzyka, – szczegółowa analiza ryzyka, – strategia mieszana. Porównanie ich podstawowych cech zawiera tabela 1, a krótka charakterystyka znajduje się poniżej. Tabela 1. Porównanie strategii analizy ryzyka Wyszczególnienie. Strategia podstawowego poziomu bezpieczeństwa. Nieformalna Szczegółowa analiza analiza ryzyka ryzyka. Strategia mieszana. Czas przeprowadzenia analizy. krótki / średni. krótki. długi. średni. Zaangażowanie zasobów. mały / średni. małe / średnie. mały małe. wysoki. wysokie. średni. średnie. wybrane. brak. wszystkie. wybrane. podstawowy. niski. wysoki. podstawowy. Koszt analizy. Zasoby podlegające identyfikacji. Poziom bezpieczeństwa Źródło: opracowanie własne.. dostępny sposób (np. z powodu niskiego ryzyka wystąpienia zagrożenia lub wysokich kosztów zabezpieczeń). Ważne jest jednak, aby osoby decydujące o wyborze zabezpieczeń miały świadomość istnienia ryzyka szczątkowego i akceptowały je. Możliwa powinna być tylko albo akceptacja ryzyka, albo zastosowanie dodatkowych zabezpieczeń, które zredukują to ryzyko do akceptowanego poziomu – co na ogół wiąże się z dodatkowymi kosztami. Niedopuszczalna jest sytuacja, w której ryzyko szczątkowe nie jest akceptowane, ale np. z braku środków kierownictwo nie robi nic, aby je zmniejszyć..

(10) 254. Jan Madej, Janusz Sztorc. Według powszechnie uznanych standardów i norm (np. BSI, ISO/IEC TR 13335, ISO/IEC 17799) oraz doświadczeń praktycznych dla małych i średnich przedsiębiorstw, które nie mają wysokich wymagań bezpieczeństwa, wystarczającą metodą analizy ryzyka jest strategia podstawowego poziomu bezpieczeństwa (małe i średnie przedsiębiorstwa) lub nieformalna analiza ryzyka (małe przedsiębiorstwa). W tym miejscu należy zaznaczyć, że strategia podstawowego poziomu bezpieczeństwa i analiza nieformalna proponują od razu pewne rozwiązania w zakresie zabezpieczania zasobów. Oznacza to, że nachodzą one częściowo na następny etap zarządzania bezpieczeństwem, czyli projektowanie systemu ochrony (por. rys. 3). 3.2.1. Strategia podstawowego poziomu bezpieczeństwa. Strategia ta polega na doborze grupy zabezpieczeń, które pozwalają osiągnąć podstawowy poziom bezpieczeństwa SI w przedsiębiorstwie. Podczas jej realizacji należy najpierw sporządzić listę zasobów systemu (na podstawie katalogu modułów wzorcowych), a następnie zapoznać się z ich potencjalnymi zagrożeniami (na podstawie katalogu zagrożeń). Kolejnym krokiem jest przypisanie wymagań ochronnych do poszczególnych zasobów, a zakończeniem – wybór zestawu zabezpieczeń odpowiednich dla zasobów i ustalonego dla nich poziomu bezpieczeństwa (na podstawie katalogu zabezpieczeń). Wzorcowe katalogi zasobów, zagrożeń i zabezpieczeń dostępne są w publikacjach poświęconych wykorzystaniu podstawowego poziomu bezpieczeństwa (np. [IT Baseline… 2003, PN-ISO/IEC 17799]). Można także skorzystać z doświadczeń innych przedsiębiorstw, podobnych do analizowanego pod względem celów, wielkości, rodzaju działalności i budowy systemu informatycznego. Do zalet strategii podstawowego poziomu należy m.in.: – redukcja czasu i wysiłku poświęconego na wybór zabezpieczeń, – niewielkie zaangażowanie zasobów systemu, – łatwa przenośność rozwiązań pomiędzy różnymi systemami, – łatwa porównywalność rozwiązań przyjętych w różnych przedsiębiorstwach. Do wad tej strategii należy m.in.: – nieodpowiednia (niewystarczająca lub zbyt restrykcyjna) ochrona zasobów systemu w przypadku błędnego ustalenia ich wymagań ochronnych, – ewentualne trudności z zarządzaniem bezpieczeństwem w przypadku istotnych zmian w systemie (np. jego rozwoju lub aktualizacji). 3.2.2. Nieformalna analiza ryzyka. Analiza nieformalna przeprowadzana jest przez osobę, która wykorzystując swoją wiedzę i doświadczenie, potrafi określić wartość zasobów, ich podatność.

(11) Proces zarządzania bezpieczeństwem systemu…. 255. na zagrożenia oraz określić ryzyko, na jakie są one narażone. Jeżeli osoba taka nie jest zatrudniona w przedsiębiorstwie, analiza może być przeprowadzona przez konsultantów zewnętrznych. Do zalet nieformalnej analizy ryzyka należy przede wszystkim: – oszczędność czasu potrzebnego na przeprowadzenie analizy, – niewielki koszt analizy (w porównaniu np. z analizą szczegółową). Do jej wad należy: – większe prawdopodobieństwo nieuwzględnienia niektórych rodzajów ryzyka oraz pominięcia zasobów, – duży wpływ subiektywnych poglądów i nastawienia osoby analizującej na wynik tejże analizy, – brak szczegółowego uzasadnienia wyboru konkretnych zabezpieczeń, – trudności w zarządzaniu bezpieczeństwem w przypadku istotnych zmian w systemie (np. jego rozwoju lub aktualizacji), które mogą spowodować konieczność przeprowadzenia powtórnej analizy. 3.2.3. Szczegółowa analiza ryzyka. Szczegółowa analiza ryzyka musi być przeprowadzona dla całego systemu informatycznego przedsiębiorstwa. Wymaga ona identyfikacji i określenia wartości wszystkich zasobów oraz oceny ich podatności na zagrożenia i samych zagrożeń. Informacje te służą do określenia poziomu ryzyka, wyboru zabezpieczeń oraz przyjęcia ryzyka akceptowalnego. Do zalet tej analizy należy m.in.: – określenie poziomu bezpieczeństwa dla każdego zasobu SI, – dostarczenie dodatkowych informacji dla innych procesów w przedsiębiorstwie (np. zarządzania zmianami). Do głównych jej wad należy: – wysoki koszt wynikający m.in. z jej dużej czaso- i pracochłonności, – konieczność posiadania przez osoby przeprowadzające analizę szczegółowej wiedzy o konkretnych rozwiązaniach występujących w systemie. 3.2.4. Strategia mieszana. Przeprowadzenie strategii mieszanej poprzedzone jest wyodrębnieniem części systemu informatycznego przedsiębiorstwa o wysokim stopniu ryzyka lub zawierającej zasoby krytyczne. Następnie dla tej części przeprowadzana jest szczegółowa analiza ryzyka w celu osiągnięcia odpowiedniego poziomu ochrony, a dla reszty systemu realizowana jest strategia podstawowego poziomu bezpieczeństwa lub analiza nieformalna. Główną przewagą strategii mieszanej nad analizą szczegółową całego systemu jest mniejszy koszt i krótszy czas jej realizacji. Wadą tej strategii jest nieodpo-.

(12) 256. Jan Madej, Janusz Sztorc. wiedni dobór analizy dla części systemu w przypadku niewłaściwego wyodrębnienia obszarów systemu o wysokim stopniu ryzyka. Strategia ta, ze względu na mniejsze koszty i porównywalną skuteczność, może być z powodzeniem wykorzystana zamiast analizy szczegółowej. Jest ona zalecana w większości przedsiębiorstw, dla których strategia podstawowego poziomu bezpieczeństwa jest niewystarczająca. 3.3. Sformułowanie polityki i opracowanie dokumentu polityki bezpieczeństwa SI. Przeprowadzenie analizy ryzyka powinno dostarczyć osobom odpowiedzialnym za bezpieczeństwo systemu informatycznego niezbędnej wiedzy na temat ryzyka, na jakie narażone są zasoby systemu, oraz możliwości jego zaakceptowania lub sposobów jego ograniczenia i wyeliminowania. Na jej podstawie kierownictwo przedsiębiorstwa musi opracować i przyjąć treść polityki bezpieczeństwa. Na etapie opracowywania (podczas zebrań, posiedzeń i spotkań) ma ona kształt roboczy (często w postaci raportów, sprawozdań, propozycji, notatek itd.), ale musi zostać sformalizowana i przyjąć postać dokumentu polityki bezpieczeństwa. Dokument polityki bezpieczeństwa systemu informatycznego to wszystkie spisane zasady, rozporządzenia i procedury stanowiące politykę bezpieczeństwa SI. Powinien on być zatwierdzony przez kierownictwo oraz opublikowany i udostępniony wszystkim pracownikom. Zalecane jest, aby dokument ten zawierał m.in.: – definicję bezpieczeństwa SI oraz ogólne cele, zakres i znaczenie bezpieczeństwa, – przyjętą hierarchię ważności zasobów (np. strategiczne, krytyczne, autoryzowane, powszechnie dostępne) i klasyfikację wymagań ochronnych zasobów (np. bardzo wysokie, wysokie, umiarkowane, brak), – wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności, – oświadczenie o intencjach kierownictwa i jego poparciu dla realizowanej polityki, – określenie ogólnych i szczegółowych obowiązków oraz odpowiedzialności w zakresie zarządzania bezpieczeństwem, a także konsekwencji naruszenia polityki bezpieczeństwa, – odsyłacze do dokumentacji uzupełniającej politykę (np. do procedur ochronnych). W tym miejscu należy jeszcze raz podkreślić rolę sprzężeń zwrotnych, które występują na każdym etapie zarządzania bezpieczeństwem (zob. rys. 2) oraz podczas formalizowania polityki bezpieczeństwa. Ostateczny kształt dokumentu polityki, a przede wszystkim opracowanie szczegółowych procedur postępowania.

(13) Proces zarządzania bezpieczeństwem systemu…. 257. i obsługi zabezpieczeń systemu informatycznego, możliwe jest dopiero po ich wyborze i wdrożeniu. 4. Projekt systemu ochrony 4.1. Plan systemu ochrony. Po przeprowadzeniu analizy ryzyka i sformułowaniu polityki bezpieczeństwa należy przystąpić do zaprojektowania systemu ochrony. Do dyspozycji są zabezpieczenia, które służą nie tylko do wykrywania, ograniczania zagrożeń i zapobiegania im, ale także do odstraszania potencjalnych intruzów, uświadamiania użytkowników oraz monitorowania, poprawiania i odtwarzania systemu. Może się wydawać, że szeroki zestaw współczesnych zabezpieczeń pozwala na uzyskanie pełnego bezpieczeństwa systemu. Tymczasem w praktyce nie jest to możliwe, ponieważ wykorzystanie wszystkich dostępnych zabezpieczeń doprowadziłoby do powstania systemu ochrony zbyt restrykcyjnego, a zarazem drogiego i niezdolnego do prawidłowego funkcjonowania. Dlatego dobór zabezpieczeń musi być uzasadniony rzeczywistymi wymaganiami ochronnymi zasobów i odpowiednio zaplanowany. Oznacza to, że powinien powstać plan systemu ochrony, czyli dokument, który określa skoordynowane działania mające na celu wdrożenie polityki bezpieczeństwa systemu informatycznego4. Plan ochrony powinien określać podstawowe działania, które należy podjąć w krótkim, średnim i długim okresie oraz związane z tym koszty, obciążenia i harmonogram wdrożenia, a w szczególności: – kompleksowy projekt systemu ochrony, zawierający m.in.: wybrane zabezpieczenia dostosowane do wymagań ochronnych zasobów, oszacowanego ryzyka i innych czynników5, koszty zakupu i wdrożenia zabezpieczeń, oszacowane ryzyko szczątkowe, które pozostanie po wdrożeniu zabezpieczenia, szczegółowy plan wdrożenia zabezpieczeń zawierający priorytety, budżet oraz ramy czasowe, działania kontrolne podczas wdrażania systemu ochrony (np. przypisanie odpowiedzialności, procedury składania raportów z postępów prac),. Podczas opracowywania planu ochrony należy posługiwać się wynikami przeprowadzonej analizy ryzyka (tzn. listą zasobów podlegających ochronie, ich wartością, wymaganiami ochronnymi, ryzykiem wystąpienia zagrożeń, zaleceniami co do wyboru zabezpieczeń oraz określonym i zaakceptowanym poziomem ryzyka szczątkowego). 4. 5 Na wybór zabezpieczeń duży wpływ powinno mieć środowisko i realia kulturowe, w których działa przedsiębiorstwo. Niektóre zabezpieczenia wyraźnie informują użytkowników o nastawieniu przedsiębiorstwa do bezpieczeństwa. W związku z tym ważne jest, aby ich wybór nie był obraźliwy dla pracowników..

(14) 258. Jan Madej, Janusz Sztorc. – wymagania w zakresie uświadamiania i szkolenia personelu informatycznego oraz użytkowników, – wymagania dotyczące opracowania szczegółowych procedur ochronnych i awaryjnych. 4.2. Wybór zabezpieczeń. Po opracowaniu planu ochrony, który określa wybrane rodzaje zabezpieczeń, należy zakupić i przygotować konkretne zabezpieczenia. Odpowiedni ich dobór jest bardzo ważny dla prawidłowego funkcjonowania polityki bezpieczeństwa. Zabezpieczenia organizacyjne, personalne i procedury wymagają opracowania odpowiednich zasad postępowania (reguł, regulaminów, procedur) oraz przyjęcia planów określonych działań (np. szkoleń). Przed wyborem zabezpieczeń technicznych (programowych i sprzętowych) należy zapoznać się z ich specyfikacją techniczną i warunkami zakupu. Obecnie ich podaż jest duża, a ponadto istnieje wiele firm, które pomagają przy wyborze oraz zapewniają ich instalowanie i konfigurowanie. Podczas wyboru zabezpieczeń należy uwzględnić m.in.: – zgodność zabezpieczeń (urządzeń, programów) z przyjętą specyfikacją (np. spełnianie planowanych funkcji, odpowiednia cena), – zgodność zabezpieczeń z innymi elementami SI (np. systemem operacyjnym, programami, urządzeniami), – warunki zakupu, – warunki gwarancji, – koszty dodatkowe (np. koszt instalacji, konfiguracji, utrzymania, serwisowania), – łatwość obsługi zabezpieczenia, – łatwość wdrożenia zabezpieczeń6, – dostępność usług serwisowych, – markę producenta zabezpieczeń. 5. Wdrożenie systemu ochrony 5.1. Uwagi ogólne. Wdrażanie systemu ochrony powinno być realizowane według przygotowanego uprzednio planu wdrożenia zabezpieczeń. Równolegle powinny się odbywać szko6 Wybrane zabezpieczenia powinny dać się wdrożyć bez potrzeby nadmiernego angażowania pracowników przedsiębiorstwa. Jeżeli zabezpieczenia powodują znaczące zmiany, ich wdrożenie powinno łączyć się z programem szkoleń (zob. dalej)..

(15) Proces zarządzania bezpieczeństwem systemu…. 259. lenia i uświadamianie użytkowników systemu. Ważne jest, by poziom świadomości użytkowników podnosić w dłuższym okresie, ponieważ ich przyzwyczajeń, na ogół, nie da się zmienić z dnia na dzień. 5.2. Wdrażanie zabezpieczeń. Po wybraniu i zakupie odpowiednich zabezpieczeń należy przystąpić do ich wdrożenia. Ze strony przedsiębiorstwa zazwyczaj odpowiedzialny jest za to kierownik ds. bezpieczeństwa systemu informatycznego. Wdrożeniem zajmują się pracownicy przedsiębiorstwa lub osoby zewnętrzne. Podczas wdrażania należy zwrócić uwagę m.in. na to, czy: – koszty wdrażania zabezpieczeń nie przekroczyły zatwierdzonego poziomu (na tym etapie mogą pojawić się dodatkowe, nieprzewidziane wcześniej wydatki), – zabezpieczenia są właściwie wdrażane (zgodnie z ich wymaganiami i przyjętym planem), – zabezpieczenia są od początku właściwie eksploatowane i administrowane. Większość technicznych zabezpieczeń musi być uzupełniona przez zabezpieczenia organizacyjne, personalne i procedury ochronne. Należy więc, w miarę możliwości, równolegle z nimi wdrażać odpowiednie rozwiązania organizacyjne, opracować procedury oraz przeprowadzać szkolenia i uświadamianie w zakresie bezpieczeństwa. Wszystkie działania powinny być zatwierdzone przez kierownictwo, przygotowane i egzekwowane od samego początku funkcjonowania systemu ochrony. Po zakończeniu wdrożenia powinien się rozpocząć formalny proces zatwierdzenia (akredytacja) wdrożonych zabezpieczeń, po którym wydaje się zezwolenie na rozpoczęcie działania danego zabezpieczenia. 5.3. Szkolenia w zakresie bezpieczeństwa. Podczas gdy uświadamianie w zakresie bezpieczeństwa odnosi się do wszystkich użytkowników, szczegółowe szkolenia są niezbędne dla: – personelu odpowiedzialnego za zarządzanie bezpieczeństwem SI, a w szczególności dla osoby pełniącej funkcję kierownika ds. bezpieczeństwa, – personelu odpowiedzialnego za rozwój i funkcjonowanie systemu informatycznego. Cykl szkoleń, który musi być przeprowadzony w czasie wdrażania systemu ochrony, powinien obejmować m.in.: – zasady funkcjonowania zabezpieczeń, – zasady obsługi i utrzymania zabezpieczeń (np. omówienie ich konfigurowania, występujących awarii, nieprawidłowości działania)..

(16) 260. Jan Madej, Janusz Sztorc. 5.4. Uświadamianie w zakresie bezpieczeństwa. Dla zapewnienia odpowiedniego poziomu świadomości w zakresie bezpieczeństwa ważne jest rozpoczęcie i realizacja programu uświadamiania użytkowników systemu. Program ten powinien obejmować całe przedsiębiorstwo, poczynając od najwyższych szczebli kierowniczych, a kończąc na szeregowych pracownikach. Decydującym czynnikiem jest uświadomienie kadry kierowniczej, gdyż do jej obowiązków należeć będzie nadzorowanie, kontrolowanie i dalsze uświadamianie podległego im personelu. Program ten powinien przekazywać wiedzę niezbędną do zrozumienia procesu zarządzania bezpieczeństwem SI w przedsiębiorstwie, a przede wszystkim: – podstawowe potrzeby ochrony, – cele polityki bezpieczeństwa systemów informatycznych, – podstawowe pojęcia związane z bezpieczeństwem SI (np. podatność zasobów na zagrożenia, zagrożenia, ryzyko, zabezpieczenia), – następstwa wystąpienia zagrożeń i naruszenia bezpieczeństwa, – funkcjonowanie systemu ochrony w przedsiębiorstwie, – obowiązki i odpowiedzialność właścicieli zasobów, – potrzebę kontroli, monitorowania i postępowań wyjaśniających naruszenia bezpieczeństwa, – konsekwencje nieautoryzowanego działania (w tym sankcje dyscyplinarne). W programie uświadamiania pracowników można zastosować szeroką gamę środków7. Ważne jest także, aby jak najwięcej przekazywanych treści (choćby w postaci przykładów) odnosiło się do sytuacji panującej w przedsiębiorstwie. Ponadto program powinien być tak zaprojektowany, aby motywował pracowników oraz zapewniał ich akceptację w zakresie wspólnej odpowiedzialności za bezpieczeństwo. Uświadamianie w zakresie bezpieczeństwa musi mieć wpływ na postępowanie pracowników, dlatego ich zachowanie i korzystanie z zabezpieczeń powinno być monitorowane, aby określić skuteczność programu. Uświadamianie pracowników jest procesem ciągłym i nigdy nie może być uznane za zakończone. Powinno się je powtarzać okresowo w celu odświeżenia wiedzy pracowników i informowania nowego personelu. 7 Np. podręczniki, ulotki, praktyczne ćwiczenia, warsztaty, seminaria i wykłady. Efektywne uświadamianie wymaga odpowiedniego doboru środków, uwzględniającego wiedzę pracowników oraz aspekty społeczne, kulturowe i psychologiczne. Do programu uświadamiania zaliczają się także szkolenia użytkowników w zakresie obsługi wprowadzonych zabezpieczeń. Szczegółowym szkoleniom poddany musi zostać personel informatyczny bezpośrednio związany z bezpieczeństwem SI, ale pewne ich elementy muszą obejmować także pozostałych użytkowników (np. obsługa programów, urządzeń)..

(17) Proces zarządzania bezpieczeństwem systemu…. 261. 6. Utrzymanie stanu bezpieczeństwa systemu informatycznego 6.1. Uwagi ogólne. Bezpośrednio po wdrożeniu systemu ochrony należy rozpocząć etap utrzymania uzyskanego poziomu bezpieczeństwa SI. Wszystkie zaimplementowane zabezpieczenia wymagają obsługi w celu zapewnienia ich właściwego funkcjonowania. Ten aspekt zarządzania bezpieczeństwem jest bardzo istotny, choć zwykle przywiązuje się do niego najmniej wagi. Istnieje tendencja do „zapominania” o zabezpieczeniach, które już zostały wdrożone, i poświęcania im zaledwie minimum niezbędnej uwagi. Ich sprawdzanie, aktualizowanie i udoskonalanie często w ogóle nie ma miejsca. Tymczasem naturalnym zjawiskiem jest starzenie się zabezpieczeń i spadek ich skuteczności w czasie. Przestarzałe zabezpieczenia powinny być wykrywane i aktualizowane poprzez planowe działania, takie jak utrzymanie zabezpieczeń i kontrole ich zgodności z projektem systemu ochrony. Ponadto aby zapewnić stały poziom bezpieczeństwa, niezbędne jest monitorowanie systemu ochrony, obsługa przypadków naruszenia bezpieczeństwa i odpowiednie zarządzanie zmianami SI. Działania te zostały przedstawione poniżej. Ze względu na dynamiczny rozwój technologii informatycznej oraz pojawiające się nowe zagrożenia i zabezpieczenia we wszystkich obszarach związanych z utrzymaniem stanu bezpieczeństwa SI należy śledzić nowości i wydarzenia w tej dziedzinie. Możliwe jest to m.in. poprzez: – czytanie bieżących publikacji poświęconych tematyce informatycznej, a w szczególności zagadnieniom bezpieczeństwa (np. magazyn „Haking” – zob. http://www.haking.pl/, miesięcznik „IT FAQ” – zob. http://www.it-faq.pl, – przeglądanie serwisów internetowych z zakresu bezpieczeństwa SI (np. [CERT, „Bezpieczeństwo IT”, ISACA, SCC, SANS, ENSI]), – uczestnictwo w grupach dyskusyjnych o tematyce bezpieczeństwa (np. pl.comp.security, pl.comp.networking, pl.comp.os.ms-windows), – przeglądanie serwisów internetowych producentów oprogramowania i urządzeń wykorzystywanych w systemie informatycznym przedsiębiorstwa, – kontakty i współpracę ze specjalistami do spraw bezpieczeństwa. 6.2. Utrzymanie zabezpieczeń. Wszystkie zabezpieczenia, ze względu na proces ich starzenia się, potrzebują odpowiedniego utrzymania, co jest podstawowym warunkiem zapewnienia odpowiedniego poziomu bezpieczeństwa SI. W związku z tym należy: – wyznaczyć osoby do obsługi konkretnych zabezpieczeń, – ustalić odpowiedzialność za obsługę zabezpieczeń, – poddawać zabezpieczenia okresowej kontroli,.

(18) 262. Jan Madej, Janusz Sztorc. – uaktualniać i modyfikować zabezpieczenia, – kontrolować to, jak zmiany w SI wpływają na funkcjonowanie zabezpieczeń, – zwracać uwagę na to, czy postęp technologiczny nie powoduje pojawienia się nowych zagrożeń lub podatności na zagrożenia zasobów chronionych zabezpieczeniami. Wymienione czynności muszą być spisane w formie zarządzeń i procedur zaakceptowanych przez kierownictwo oraz wchodzić w skład polityki bezpieczeństwa SI. Ich wykonanie powinno stanowić gwarancję tego, że istniejące zabezpieczenia będą funkcjonować zgodnie z oczekiwaniami i pozwolą uniknąć niekorzystnych oraz kosztownych następstw zagrożeń. 6.3. Kontrola zgodności z projektem systemu ochrony. Ponieważ wdrożone zabezpieczenia muszą być zgodne z projektem, należy weryfikować poprzez kontrolę zwaną audytem bezpieczeństwa, która ma duży wpływ na poziom bezpieczeństwa SI. Pozwala ona sprawdzić, czy odpowiednie zabezpieczenia wdrożone są prawidłowo i funkcjonują poprawnie oraz czy personel odpowiednio je użytkuje i postępuje zgodnie z określonymi wymogami. Kontrolę zgodności należy przeprowadzać systematycznie w określonych odstępach czasu oraz, dodatkowo, podczas dokonywania zmian w SI (np. podczas rozwoju systemu, przy wycofywaniu z eksploatacji jego elementów). Sprawdzanie zgodności z planem bezpieczeństwa powinno być przeprowadzone przez zewnętrzny lub wewnętrzny personel (tzw. audytorów) i zazwyczaj polega na użyciu list kontrolnych skonstruowanych według projektu systemu ochrony. Jeśli kontrola wykaże, że zabezpieczenia nie są zgodne z planem bezpieczeństwa, należy opracować plan czynności naprawczych, wdrożyć go, a następnie wykonać przegląd wyników. 6.4. Monitorowanie systemu ochrony. Wszystkie zmiany w zasobach, zagrożeniach, podatności na zagrożenia i zabezpieczeniach mają wpływ na bezpieczeństwo i tylko wczesne ich wykrycie umożliwia podjęcie odpowiednich działań. Dlatego system informatyczny i używane w nim zabezpieczenia powinny być monitorowane w celu upewnienia się, czy zmiany w środowisku nie wpłynęły na ich efektywność. W pewnym zakresie monitorowanie systemu wykonywane jest automatycznie przez odpowiednie narzędzia (np. systemy IDS, firewalle, skanery antywirusowe), a jego wyniki otrzymywane są w postaci danych wyjściowych (np. dzienników, rejestrów, logów, alarmów). Wygenerowane dzienniki powinny być przeszukiwane pod kątem zdarzeń istotnych dla bezpieczeństwa systemu – „ręcznie” lub za pomocą odpowiednich.

(19) Proces zarządzania bezpieczeństwem systemu…. 263. narzędzi do ich analizowania. Za działanie minimalne należy uznać okresowe przeglądanie zdarzeń zarejestrowanych w dziennikach. Jednak jest to nieefektywne i często oznacza brak możliwości zauważenia pewnych trendów lub przewidzenia ewentualnych zagrożeń. Dlatego zalecane jest analizowanie zawartości dzienników np. przy użyciu metod statystycznych. Pozwala to nie tylko wykryć przeszłe przypadki naruszenia bezpieczeństwa, ale także zauważyć określone kierunki zmian oraz powtarzające się niepożądane zdarzenia. Ponadto jeżeli monitorowanie realizowane jest prawidłowo, daje także obraz osiągniętego stanu bezpieczeństwa w porównaniu z wyznaczonymi celami. 6.5. Obsługa przypadków naruszenia bezpieczeństwa. Występowanie przypadków naruszenia bezpieczeństwa (incydentów) w funkcjonującym systemie informatycznym jest nieuniknione. Pomimo wdrożonego systemu ochrony zawsze mogą wystąpić zagrożenia, które naruszą bezpieczeństwo systemu8. Jedynym wyjściem z takiej sytuacji jest minimalizacja skutków wystąpienia incydentu i przeciwdziałanie dalszym jego następstwom. Oznacza to konieczność natychmiastowego skutecznego przeciwdziałania, dlatego konieczne są w przedsiębiorstwie ustalone procedury awaryjne, które w takich sytuacjach, krok po kroku, pozwolą użytkownikowi podjąć właściwe działania. Procedury te powinny być opracowane w ramach polityki bezpieczeństwa i gwarantować, że ich przestrzeganie zapobiegnie wystąpieniu incydentu lub zminimalizuje jego skutki. Oczywiście nie każda procedura gwarantuje skuteczne przeciwdziałanie incydentom, dlatego w przedsiębiorstwie należy przede wszystkim: – opracować szczegółowe procedury odpowiednie do incydentów najczęściej spotykanych w danym SI oraz procedury ogólne dla określonych typów zagrożeń, – umieścić procedury w miejscu dostępnym dla każdego, kto może ich potrzebować, – przeszkolić personel, tak aby umiał rozpoznać rodzaj incydentu i potrafił bezzwłocznie zastosować odpowiednią procedurę, – na bieżąco aktualizować i dostosowywać procedury. Należy zaznaczyć, że pomimo wszystkich negatywnych następstw, jakie niosą ze sobą przypadki naruszenia bezpieczeństwa, ich pozytywnym aspektem jest to, że po wystąpieniu incydentu zwiększa się zainteresowanie problematyką bezpieczeństwa i chęć poprawienia systemu ochrony.. Np. brak prądu, awarie sprzętu czy pomyłkowe skasowanie pliku zdarzają się nawet w dobrze zabezpieczonych systemach. 8.

(20) 264. Jan Madej, Janusz Sztorc. 6.6. Zarządzanie zmianami w systemie informatycznym i jego zabezpieczeniach. System informatyczny i jego środowisko ulegają ciągłym zmianom, które są wynikiem dostępności nowych możliwości i usług informatycznych, a w szczególności: – wprowadzenia nowych procedur, funkcji i usług systemu, – aktualizacji oraz zmian sprzętu i oprogramowania, – zatrudnienia nowych pracowników. Każda planowana i wprowadzana zmiana w systemie informatycznym powinna być przeanalizowana pod kątem jej wpływu na bezpieczeństwo. Podstawowym celem bezpieczeństwa w zarządzaniu zmianami jest zapewnienie tego, aby zmiany nie obniżały bezpieczeństwa SI. Zarządzanie zmianami polega więc na określaniu nowych wymagań bezpieczeństwa w związku z następującymi w systemie informatycznym zmianami. Każda wprowadzana zmiana powinna być: – rozpatrzona pod kątem jej wpływu na bezpieczeństwo systemu (w razie konieczności należy dokonać analizy ryzyka i określić nowe wymagania bezpieczeństwa), – uzgodniona i zaakceptowana przez osobę odpowiedzialną za bezpieczeństwo SI, – odnotowana w dokumentacji systemu informatycznego, – uwzględniana w związanych z nią dokumentach9 (np. procedurach ochronnych i awaryjnych). W wypadku zmian polegających na zakupie nowych urządzeń i programów niekiedy wymagane jest, aby przed dopuszczeniem ich do użytkowania przeprowadzony został proces ich autoryzacji. Polega on na pisemnym potwierdzeniu przez osobę odpowiedzialną za bezpieczeństwo tego, że nowy element został sprawdzony pod kątem jego przeznaczenia, zgodności z systemem i wymogami bezpieczeństwa. Zarządzanie zmianami jest ostatnim etapem procesu zarządzania bezpieczeństwem SI. W przypadku wprowadzenia zmian na tyle dużych, że praktycznie powodują one powstanie nowego systemu informatycznego (np. wymiana sprzętu i oprogramowania), konieczne jest przejście do pierwszego etapu zarządzania (opracowanie polityki bezpieczeństwa) i rozpoczęcie całego procesu od początku.. 9 Czasami zmiany przeprowadzane w systemie są niewielkie i nie wpływają na jego bezpieczeństwo. W ich przypadku nie jest wymagana analiza ryzyka, a zgoda osoby odpowiedzialnej za bezpieczeństwo jest tylko formalnością. Jednak bez względu na wielkość zmiany zawsze powinna być ona odpowiednio udokumentowana..

(21) Proces zarządzania bezpieczeństwem systemu…. 265. 7. Zakończenie Celem niniejszego artykułu była analiza istniejących rozwiązań w zakresie zarządzania bezpieczeństwem systemu informatycznego w przedsiębiorstwie oraz przedstawienie ujednoliconego przebiegu tego procesu. Na osiągniecie założonego celu pozwoliły przeprowadzone studia literaturowe, a w szczególności uwzględnienie zaleceń norm ISO/IEC TR 13335, ISO/IEC 17799 i metody ochrony podstawowej BSI. W rezultacie został opracowany i zaprezentowany spójny czteroetapowy przebieg procesu zarządzania bezpieczeństwem SI, a jego poszczególne etapy zostały scharakteryzowane w stopniu umożliwiającym zrozumienie ich celu i sposobu realizacji. Literatura Bezpieczeństwo systemów komputerowych [2000], red. A. Grzywak, Wydawnictwo Pracowni Komputerowej Jacka Skalmierskiego, Gliwice. „Bezpieczeństwo IT”, http://www.bezpieczenstwoit.pl/. CERT Coordination Center, http://www.cert.org/. European Network Security Institute, http://www.ensi.net/. Gaudyn D. [2001], Model zarządzania bezpieczeństwem informacji w organizacji ubezpieczeniowej, rozprawa doktorska, Akademia Górniczo-Hutnicza, Kraków. „Haking”, http://www.haking.pl/. An Introduction to Computer Security: The NIST Handbook [1996], NIST Special Publication 800-12 [w:] http://www.csrc.nist.gov. IT Baseline Protection Manual [2003], Bundesamt für Sicherheit in der Informationstechnik, http://www.bsi.de/english/. „IT FAQ”, http://www.it-faq.pl/. Koweszko A. [2002], Zarządzanie bezpieczeństwem [w:] http://www.isaca.org.pl/. National Institute of Standards and Technology – Computer Security Resource Center, http://csrc.nist.gov/. Piotrowski J., Szymaczek M. [1997], Projektowanie skutecznych systemów ochrony informacji, „Informatyka”, nr 7–8. Polska Norma PN-I-13335-1:1999 [1999], Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Polska Norma PN-ISO/IEC 17799:2003 [2003], Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny, Warszawa. Projekt Polskiej Normy PrPN-I-13335-2 [2000], Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Zarządzanie i planowanie bezpieczeństwa systemów informatycznych, Polski Komitet Normalizacyjny, Warszawa. Rzewuski M. [2002], Jak przetrwać katastrofę?, „PCKurier” nr 3..

(22) 266. Jan Madej, Janusz Sztorc. Sadowski A. [2002], Czym jest polityka bezpieczeństwa organizacji? [w:] http://www. bezpieczenstwo.pl/. Secure Computing Corporation, http://www.sctc.com/. Stawowski M. [1998], Ochrona informacji w sieciach komputerowych, Wydawnictwo ArsKom, Warszawa. Stowarzyszenie do spraw Audytu i Kontroli Systemów Informatycznych ISACA (Information Systems Audit and Control Association), http://www.isaca.org.pl/. System Administration, Networking, and Security Institute (SANS), http://www.sans.org/. Management of Computer System Security in an Enterprise The paper is devoted to the process of computer system security management in a company. The authors, on the basis of bibliography studies, have analysed existing solutions in the considered topic and have developed and submitted a consolidated course of management process concerning computer system security. The detailed stages of this process cover: security policy development, protection system project, protection system implementation and maintaining security state of a computer system. All stages have been characterised with consideration of their goal understanding and completion method..

(23)