Zarządzanie bezpieczeństwem informacji

Dla każdej zmiany należy określić jej wpływ na bezpieczeństwo - czasem zmiana wymaga głębszej analizy, a czasem wystarczy ocena gremium zajmującego się systemem informatycznym i jego bezpieczeństwem. Wyniki takich ocen powinny zostać pisemnie udokumentowane.

Kluczowym procesem jest zarządzanie ryzykiem, które powinno być prowadzone podczas całego okresu eksploatacji systemu, gdyż tylko wówczas jest efektywne. Analiza ryzyka - jest głównym procesem zarządzania ryzykiem, identyfikuje ryzyko, które ma być kontrolowane lub akceptowane. Analiza ryzyka obejmuje ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Pełny cykl analizy ryzyka może być stosowany:

- dla nowych systemów

- dla eksploatowanych systemów - w dowolnym momencie życia systemu

- podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń

- podczas projektowania systemu

- przy planowaniu znaczących zmian w systemie.

Proces zarządzania ryzykiem sprowadza się do porównywania określonego ryzyka z zyskami i/lub kosztami zabezpieczeń oraz wypracowywania strategii ich wdrożenia oraz polityki bezpieczeństwa instytucji w zakresie systemów informatycznych zgodnej z polityką bezpieczeństwa instytucji i celami działania instytucji. Po analizie zysków i/lub kosztów oraz potencjalnych następstw spośród wielu możliwych do zastosowania zabezpieczeń wybierane jest właściwe, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Należy ponadto mieć na uwadze, że zabezpieczenia mogą wprowadzać własne podatności. Trzeba więc skupić uwagę nie tylko na redukcji znanego ryzyka, lecz również nie wprowadzać nowego, związanego z zabezpieczeniem.

Stosowane są różne metody analizy ryzyka. Niezależnie od tego, jakiej użyjemy, decydująca jest równowaga między czasem a kosztem identyfikacji, kosztem zabezpieczeń a osiągniętym poziomem bezpieczeństwa. Analiza ryzyka jest pracochłonna, jednak w większości systemów wystarczy wprowadzenie tzw. ochrony podstawowej (baseline controls, baseline protection), którą określa się jako minimalny zbiór zabezpieczeń ustalony dla systemu lub instytucji.

Skuteczność działań w dziedzinie bezpieczeństwa zależy od osiągnięcia i utrzymywania wysokiego poziomu fachowości i świadomości personelu, który jest powszechnie uważany za najsłabsze ogniwo. Osiąga się to przez program działań uświadamiających, szkoleniowych, motywujących i dyscyplinujących. Program musi dotykać wszystkich szczebli organizacji instytucji i musi być dostosowany do ich specyfiki.

Jak już wspomniano na wstępie, osiągnięcie bezpieczeństwa nie jest aktem jednorazowym - bezpieczeństwo musi być utrzymywane, a więc również monitorowane. Analizowany jest wpływ zmian na bezpieczeństwo, kontrolowana permanentnie rozliczalność, sprawdzane są - coraz częściej automatycznie - dzienniki działań (logi), używane są narzędzia do wykrywania i odstraszania intruzów, praktykowany jest kontrolowany audyt itp.

Nawet najlepsze zabezpieczenia nie likwidują do końca ryzyka szczątkowego. Należy być zawsze przygotowanym na wypadek niekorzystnych zdarzeń, mając przygotowane różne warianty planów awaryjnych, opisujące różne scenariusze zachowań, uwzględniające między innymi:

- różne okresy trwania awarii

- częściową lub pełną utratę funkcjonalności

- brak dostępu do pomieszczeń lub budynków zajmowanych przez instytucję.

Plany odtwarzania po katastrofach opisują sposoby przywrócenia systemu do pierwotnego stanu, uwzględniając elementy, takie jak:

- kryteria definiujące katastrofę

- odpowiedzialnego za wprowadzenie w życie planu odtwarzania

- odpowiedzialnych za poszczególne działania odtwarzające

- opis działań odtwarzających.

Cytowane powyżej pojęcia oraz cele działania instytucji tworzą razem plany, strategie i politykę bezpieczeństwa w zakresie systemów informatycznych dla instytucji. Instytucja musi mieć zapewnioną możliwość prawidłowego funkcjonowania, z ryzykiem ograniczonym do akceptowalnego poziomu. Nie istnieją absolutnie skuteczne zabezpieczenia, stąd instytucja musi być przygotowana do odtwarzania swego stanu po incydentach.

Zobacz także: Bezpieczne biurko


TOP 200