Ochrona zasobów Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia : Przypadkowe, Celowe. Zagrożenia celowe Pasywne : monitorowanie, podgląd, Aktywne : powielanie programów, oszustwa, wymuszanie przerw w pracy systemu, wykorzystanie sprzętu służbowego do celów prywatnych, ujawnianie i usuwanie informacji poufnych. Zagrożenia przypadkowe Zewnętrzne: temperatura, wilgotność, wyładowania atmosferyczne, awarie (zasilania, klimatyzacji, wodociągowe), katastrofy kataklizmy, Wewnętrzne: błędy administratora, defekty programowe lub sprzętowe, błędy użytkowników, zgubienie, zniszczenie danych. Definicja Polityka bezpieczeństwa (ang. security policy ) jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których dana organizacja buduje, zarządza oraz udostępnia zasoby i systemy informacyjne i informatyczne. Określa ona, które zasoby i w jaki sposób mają być chronione [wikipedia.org] Polityka bezpieczeństwa (PB) obejmuje swoim zakresem nie tylko sieć komputerową przedsiębiorstwa czy instytucji, ale także całość zagadnień związanych z bezpieczeństwem danych będących w dyspozycji firmy Polityka bezpieczeństwa organizacji definiuje poprawne i niepoprawne - w sensie bezpieczeństwa - sposoby wykorzystywania kont użytkowników i danych przechowywanych w systemie PB powinna być dokumentem spisanym PB należy przedstawić pracownikom , tak aby była ona zrozumiana PB zazwyczaj jest konkretnym rozwiązaniem specyficznym dla rozważanej firmy, czyli trudno uogólniać zasady tworzenia polityki Zakres PB 1. Cel i zakres dokumentu. 2. Definicja bezpieczeństwa informacji. 3. Oświadczenie o intencjach. 4. Wyjaśnienie terminologii użytej w polityce, podstawowe definicje, założenia. 5. Analiza ryzyka. 6. Określenie ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji. 7. Określenie działów organizacyjnych oraz stanowisk odpowiedzialnych za wdrażanie i przestrzeganie zasad polityki. 8. Wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa, odpowiedzialne osoby, zakres szkolenia. 9. Sposób zgłaszania, konsekwencje i odpowiedzialność za naruszenia polityki bezpieczeństwa. 10. Zakres rozpowszechniania dokumentu. Zakres PB (cd.)
(…)
…
• Fizyczne zabezpieczenie pomieszczeń
• Obszary chronione
• Strefy ochronne
• Wycofywanie, niszczenie starych podzespołów
komputerowych
• Zapewnienie odpowiednich źródeł zasilania
• Stosowanie sprzętu zapasowego (awaryjnego)
Zabezpieczenie transmisji
• Określenie głównych i awaryjnych dróg transmisji.
• Zabezpieczanie dokumentów elektronicznych.
• Zabezpieczenie sieci telekomunikacyjnej i
telefonicznej.
Zabezpieczenia programowe
• Kontrola dostępu do systemu, ochrona plików i bazy
danych.
• Zastosowania narzędzi kryptograficznych.
• Użycie mechanizmów separacji (firewall).
• Użycie mechanizmów wykrywania włamań (IDS, IPS).
• Użycie programów antywirusowych.
• Użycie programów do monitorowania działań
użytkowników systemów informatycznych.
Szkolenia pracowników
• Mechanizmy bezpieczeństwa będą skuteczne…
…
Transmisji
Emisji
Programowe
Zabezpieczenia organizacyjne
•
Określenie specjalnych obszarów chronionych.
•
Ograniczenie wymiany dokumentów.
•
Opracowanie regulaminów i procedur pracy.
•
Utworzenie procedur awaryjnych.
•
Ograniczenie ryzyka błędów ludzkich (wprowadzenie
procedur kontrolnych, bilansowanie).
•
Opracowanie procedur przyjmowania urządzeń
(kontrola jakości, gwarancja, serwis, certyfikacja…
… pracy
systemu.
16. Określenie zasad dokonywania uaktualnień
oprogramowania.
17. Określenie zasad korzystania z usługi outsourcing.
18. Określenie zasad serwisowania sprzętu.
Strategie bezpieczeństwa
Strategie bezpieczeństwa spisane w formie
dokumentu tworzą plan ochrony, który jest
opracowywany przez osoby opiekujące się systemem
informatycznym.
Plan ochrony powinien zawierać:
opis realizacji metod kontroli dostępu do systemu i
zasobów,
opis metod okresowego lub stałego monitorowania
systemu,
dokładny opis metod reagowania na wykrycie
zagrożenia,
opis metod likwidacji skutków zagrożeń.
Zasada poziomu bezpieczeństwa – celem projektanta
powinno być zapewnienia maksymalnie dostatecznej
ochrony i odpowiednio duże zmniejszenie ryzyka
wystąpienia zagrożeń, a nie zbudowanie zabezpieczeń
idealnych…
... zobacz całą notatkę
Komentarze użytkowników (0)