ISBN: 978-83-246-9576-8 O autorze ...........................................................................................................................5 Wstęp ................................................................................................................................7 Zezwolenie ........................................................................................................................9 Od autora ........................................................................................................................11 Podstawowe założenia polityki bezpieczeństwa informacji ...........................................13 Czym jest informacja ..............................................................................................................13 Gdzie przechowujemy informacje ..........................................................................................14 Informacja w świetle regulacji prawnych ................................................................................15 Zasady audytu ........................................................................................................................15 Norma ISO/IEC TR 13335 ......................................................................................................19 Zarządzanie bezpieczeństwem informacji ......................................................................23 Polityka bezpieczeństwa informacji ........................................................................................23 Co powinna zawierać polityka bezpieczeństwa informacji ....................................................24 Czego nie powinna zawierać polityka bezpieczeństwa informacji .........................................25 Utworzenie infrastruktury bezpieczeństwa informacji ...........................................................25 Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji ......................26 Autoryzacja urządzeń do przetwarzania informacji ...............................................................26 Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji ........................................27 Współpraca między organizacjami .........................................................................................28 Niezależne przeglądy stanu bezpieczeństwa informacji .......................................................28 Zabezpieczenie przed dostępem osób trzecich .....................................................................29 Zlecenie przetwarzania danych firmom zewnętrznym ............................................................33 Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected] Klasyfikacja i kontrola aktywów ......................................................................................35 Rozliczanie aktywów ..............................................................................................................35 Klasyfikacja informacji ............................................................................................................37 Bezpieczeństwo osobowe ...............................................................................................39 Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi ........................................................................................39 Szkolenie użytkowników .........................................................................................................43 Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu ...........44 Bezpieczeństwo fizyczne i środowiskowe ......................................................................47 Fizyczny obwód zabezpieczający ..........................................................................................48 Zabezpieczenie sprzętu ..........................................................................................................54 Ogólne zabezpieczenia ..........................................................................................................59 Zarządzanie systemami informatycznymi i sieciami komputerowymi ............................63 Procedury eksploatacyjne oraz okres odpowiedzialności ......................................................63 Planowanie i odbiór systemu ..................................................................................................67 Ochrona przed szkodliwym oprogramowaniem .....................................................................69 Procedury wewnętrzne ...........................................................................................................71 Zarządzanie sieciami ..............................................................................................................73 Postępowanie z nośnikami i ich bezpieczeństwo ...................................................................74 Wymiana danych i oprogramowania ......................................................................................77 Kontrola dostępu do systemu .........................................................................................85 Potrzeby biznesowe związane z dostępem do informacji .....................................................85 Zarządzanie dostępem użytkowników ...................................................................................86 Zakres odpowiedzialności użytkowników ...............................................................................89 Kontrola dostępu do sieci .......................................................................................................91 Kontrola dostępu do systemów operacyjnych .......................................................................94 Kontrola dostępu do aplikacji .................................................................................................97 Monitorowanie dostępu do systemu i jego wykorzystywania .................................................98 Komputery przenośne i praca zdalna ...................................................................................100 Zabezpieczenia kryptograficzne ...........................................................................................103 Zarządzanie ciągłością działania organizacji w sytuacji krytycznej .....................................105 Zgodność .............................................................................................................................111 Przegląd polityki bezpieczeństwa informacji i zgodności technicznej ..................................114 Skorowidz .....................................................................................................................117 4 (cid:2) SPIS TREŚCI Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected] Tomasz Polaczek jest specjalistą w zakresie bezpieczeństwa informacji Swoje bogate doświadczenie zdobył w trakcie realizacji projektów w kilkunastu dużych firmach w Polsce. Posiada certyfikaty firmy Microsoft, brytyjski BS 7799-2 — Lead Auditor oraz wiele innych potwierdzających kompetencje w zakresie bezpieczeństwa informacji. Ponadto prowadzi szkolenia dotyczące ochrony danych osobowych, polityki bezpieczeństwa oraz bezpieczeństwa IT. Zapraszamy również na stronę autora poświęconą szeroko pojętemu bezpie- czeństwu informacji www.polityka-bezpieczenstwa.pl. Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected] 6 (cid:2) AUDYT BEZPIECZENSTWA INFORMACJI W PRAKTYCE Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected] Stajemy się społeczeństwem informacyjnym. Dla instytucji państwowych, firm, a nawet poszczególnych osób szybkie i właściwe przetwarzanie infor- macji ma kluczowe znaczenie. Informacja dotycząca funkcjonowania firmy, jej kontaktów handlowych oraz innych strategicznych aspektów często sta- nowi podstawę działalności na rynku, należy do najważniejszych aktywów przedsiębiorstwa, a jej wartość jest trudna do przeceniona. Często słyszymy w mediach lub z innych źródeł masowego przekazu o spektakularnych wła- maniach dokonywanych przez krakerów oraz o zniszczeniach lub kradzieży cennych danych. Informacje takie wywołują lęk wśród ludzi z zarządów i kie- rownictwa firm. W takich sytuacjach ludzie zastanawiają się, czy im samym nie grozi podobne niebezpieczeństwo, jednak nie zawsze zdają sobie sprawę, że źródła tego typu zagrożeń mogą znajdować się także wewnątrz organizacji. Często to właśnie pracownicy zatrudnieni w firmach, kooperanci czy podwy- konawcy bywają sprawcami nieautoryzowanego i bezprawnego udostępnienia informacji osobom trzecim, często konkurencji, co w licznych przypadkach ma na celu uzyskania korzyści materialnej. Często osoby te z nieznanych powodów mają bezpośredni dostęp do informacji, do których wglądu mieć nie powinni. Znane są również przypadki sabotażu ze strony pracowników zwalnianych z danej firmy lub instytucji, którzy celowo, chcąc wyrazić swoją złość na kierownictwo, niszczą informacje lub niekiedy upubliczniają je za pomocą takich mediów jak internet. Dużym zagrożeniem są także ataki z wyko- rzystaniem zdobyczy inżynierii społecznej, zwanej potocznie socjotechniką, gdyż nieraz powodują przekazanie istotnych informacji w niepowołane ręce. Utrata lub udostępnienie informacji, które stanowią tajemnicę lub własność intelektualną bądź handlową należącą do firmy lub instytucji, może oznaczać utratę reputacji, zakończenie działalności na rynku lub nawet wywołać kło- poty natury prawnej. Z tego względu informację trzeba należycie chronić oraz odpowiednio nią zarządzać. Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected] Rosnąca wartość informacji zwiększa niebezpieczeństwo jej utraty lub nieau- toryzowanego ujawnienia, stąd niezwykle ważnym zadaniem, stawianym przed firmami oraz instytucjami publicznymi, stało się odpowiednie zabez- pieczanie środowisk, w których ta informacja jest przechowywana bądź prze- twarzana. Zazwyczaj firmy biorą pod uwagę bezpieczeństwo środowisk in- formatycznych, teleinformatycznych oraz innych elektronicznych systemów przetwarzania danych, choć informacja to nie tylko pliki zapisywane w po- staci elektronicznej. Informacja znajduje się także na papierze, jest przeka- zywana słownie czy nawet za pomocą znaków. Podmioty zainteresowane wdrożeniem systemu bezpieczeństwa informacji muszą zatem przeprowadzić dogłębną analizę ryzyka swoich zasobów w celu określenia rodzaju możliwych zagrożeń oraz podatności na te zagrożenia. Z analizy ryzyka jasno i klarow- nie wynika, które aktywa są podatne na zagrożenia. Analiza taka pozwala także na określenie, w jaki sposób te zagrożenia wyeliminować lub znacząco zminimalizować. Ważnym aspektem wdrożonego systemu bezpieczeństwa in- formacji jest też posiadanie wewnątrz firmy lub instytucji planu ciągłości dzia- łania w sytuacji krytycznej, spowodowanej działaniem umyślnym, nieumyśl- nym lub w wyniku klęsk naturalnych. Obecnie na rynku oferuje się wiele rozwiązań oraz narzędzi pozwalających na zabezpieczenie podmiotu od strony sprzętowej, programowej czy też sys- temów dostępowych, lecz rozwiązania te w pełni nie zastąpią tego kluczowego elementu, jakim jest jasno sformułowana i sprecyzowana polityka bezpieczeń- stwa informacji. Wdrożenie konkretnych zabezpieczeń nie oznacza jednak jeszcze zapewnie- nia całkowitego bezpieczeństwa. Należy określić cele danej firmy bądź insty- tucji, dzięki czemu będzie można wskazać odpowiedni sposób przetwarzania informacji, monitorowania systemów przechowywania i przetwarzania infor- macji, a także przeprowadzania szkoleń uświadamiających dla pracowników. Zapewnienie bezpieczeństwa informacji nie jest więc tylko działaniem jedno- razowym, mającym na celu zapobieżenie utracie danych, lecz jest złożonym procesem, w którego sprawne funkcjonowanie powinni się włączyć wszyscy pracownicy, kierownictwo a także wszystkie inne osoby bądź firmy współ- pracujące z daną organizacją, utrzymującą wdrożony system zarządzania bez- pieczeństwem informacji. Istnieje wiele regulacji prawnych, standardów czy norm (np. norm ISO), mó- wiących o zasadach zapewniania bezpieczeństwa informacji, o sposobach wdra- żania systemów bezpieczeństwa, metodach zarządzania takimi systemami, a także o zasadach przetwarzania i wykorzystywania informacji. Ułatwiają one organizacjom wdrażanie odpowiednich dla danego rodzaju działalności procedur i systemów, począwszy od wykonania zabezpieczeń fizycznych i do- stępowych do pomieszczeń, wykonania zabezpieczeń informatycznych aż po określenie poziomów dostępu do informacji w celu zachowania jej poufności, dostępności i integralności. 8 (cid:2) AUDYT BEZPIECZENSTWA INFORMACJI W PRAKTYCE Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected] Przedruk spisu treści z normy PN ISO/IEC 17799:2003 za zgodą Prezesa Polskie- go Komitetu Normalizacyjnego — zezwolenie Nr 12/P/2005. Oryginał nor- my jest dostępny w Wydziale Marketingu i Sprzedaży PKN oraz w autoryzowa- nych przez PKN punktach dystrybucji — szczegóły na stronie www.pkn.pl. Za zgodność przedruku normy z oryginałem odpowiada autor niniejszej publikacji. Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected] 10 (cid:2) AUDYT BEZPIECZENSTWA INFORMACJI W PRAKTYCE Ebookpoint.pl kopia dla: Sebastian Sobiepanski [email protected]