[ Pobierz całość w formacie PDF ]
na czytanie całej polityki bezpieczeństwa, wiele organizacji tworzy coś na kształt wzor-
ca dokumentu polityki, w którym znajdują si�� wyszczególnione obszary odpowie-
dzialności. Na podstawie takich wzorców tworzy si�� potem bardziej zwi��złe wersje
dokumentu zawierające polityk�� bezpieczeństwa, specjalnie przystosowane i przezna-
czone dla wybranych grup: kierowników, użytkowników końcowych, działu IT. Z na-
szego doświadczenia wynika, że takie rozwiązania sprawdzają si�� najlepiej. Model
polityki bezpieczeństwa b��dzie w dużej mierze zależał od potrzeb organizacji.
Warto wspomnieć, że w proces powstawania polityki bezpieczeństwa warto zaanga-
żować wszystkie osoby, których � błogosławieństwa� b��dziesz wcześniej czy póz�niej
potrzebował. Ważne jest, aby np. dział prawny był zaangażowany już we wczesne
stadium procesu. Zdziwiłbyś si��, jak bardzo nieprzyjemny może być dyrektor działu
prawnego, kiedy położysz mu na biurku dokument, który w twoim mniemaniu jest
końcową wersją polityki bezpieczeństwa. Bardzo cz��sto zdarza si��, iż pewne kwestie
prawne (które przeci��tnemu pracownikowi nie przyjdą do głowy) mogą drastycznie
wpłynąć na treść i jej końcowy kształt. Jaka stąd płynie nauka? Odpowiednie osoby
muszą być zaangażowane w proces możliwie wcześnie. Informuj ich o post��pie pro-
cesu, uczyń z nich swoich przyjaciół i sojuszników po to, aby ewentualne problemy
zostawały odpowiednio wcześnie zauważane i rozwiązywane. Zrozumiesz, że jeżeli
polityka b��dzie właściwie przygotowana i realna, a nie na pokaz, jej przestrzeganie
i wprowadzanie stanie si�� łatwiejsze.
Tworzenie procedur i dokumentów operacyjnych
Zdefiniowanie polityki wyższego poziomu to jeszcze nie koniec procesu tworzenia
odpowiedniej dokumentacji. Kolejnym istotnym elementem b��dą procedury i strate-
gia operacyjna. To w tej fazie zagadnienia � co� pochodzące z polityki wyższego po-
ziomu zostają przekształcone w � jak� wskazujące na określone procesy, systemy
i implementacje. Z dokumentu dotyczącego ogólnej polityki bezpieczeństwa dowiesz
�Rozdział 2. f& Tworzenie bezpiecznej infrastruktury sieciowej 39
Prawdziwy koszt bezpieczeństwa
Nasza firma została zaangażowana, by pomóc pewnej organizacji, która straciła wysokiego
rangą specjalistę z działu IT. Zarządzający przedsiębiorstwem, którego roczny dochód sza-
cowany był na miliony dolarów, wpadli w panikę, bo człowiek ten został zatrudniony przez
konkurencję. Jednym z kluczowych zasobów firmy była pewna baza danych. To właśnie ona
w dużej mierze generowała zysk przedsiębiorstwa. Obawy kierownictwa wzbudzała możli-
wość, że wraz z ich pracownikiem konkurencja przejęła także bazę danych.
Nasz zespół przeprowadził analizę, której wynikiem było potwierdzenie uzasadnionych obaw.
Co więcej, były pracownik nie tylko ukradł bazę, ale � korzystając ze sprzętu firmy, praw-
dopodobnie w godzinach pracy � stworzył oprogramowanie, które razem z bazą zostało
przekazane konkurencji. Mógłbyś pomyśleć, że jego działania powinny spotkać się z ostrą
reakcją, być może nawet procesem sądowym. No cóż& Pojawił się pewien poważny pro-
blem � w przedsiębiorstwie nie obowiązywała żadna polityka bezpieczeństwa. Nigdzie jasno
nie zdefiniowano, że takie postępowanie jest niedozwolone! Tak więc, pomimo że w tym
przypadku mieliśmy do czynienia z oczywistym i poważnym nadużyciem, były pracodawca nie
mógł podjąć poważniejszych kroków zmierzających do wszczęcia postępowania sądowego.
Dlaczego? Ponieważ w żadnym dokumencie nie było mowy, że takie działania są zabronione.
Gdy przedsiębiorstwo wyszło już z kryzysu, a odniesione rany trochę się zagoiły, zdecydo-
wano się na przeprowadzenie oceny stanu zabezpieczeń w firmie i w konsekwencji na stwo-
rzenie polityki bezpieczeństwa z prawdziwego zdarzenia. Ale stało się to trochę za póz�no � już
po zdarzeniu, które mogło spowodować się naprawdę bardzo wysokie straty finansowe.
si��, że należy regularnie sporządzać kopie awaryjne wszystkich informacji krytycz-
nych, ale to w dokumencie operacyjnym znajdą si�� zalecenia co do stosowanych w tym
celu środków i metod administrowania nimi.
Dokument operacyjny może na przykład wskazywać, że metodą archiwizacji dobrze
odpowiadającą wymaganiom integralności uj��tym w polityce b��dzie sporządzanie za-
pisów kopii zapasowych na taśmach i przechowywanie ich w specjalnie utworzonej
bibliotece. W dokumencie operacyjnym mogą także znalez�ć si�� informacje określają-
ce, kiedy takie zapisy archiwizacyjne powinny być tworzone, gdzie i jak długo taśmy
powinny być przechowywane, kto może mieć do nich dost��p i jak mają wyglądać
procedury ich wykorzystywania. Nie trudno si�� domyślić, iż dokumenty operacyjne
powstają jako bezpośredni rezultat analiz przeprowadzonych w fazie oceny. Jest to
jeszcze jeden powód, który przemawia za uczestnictwem specjalistów IT i admini-
stratorów w poczynaniach zespołu oceny: od tego zespołu zależy twój los � to on
właściwie decyduje o wyposażeniu ci�� w odpowiednie narz��dzia i środki, z którymi
b��dziesz sobie póz�niej musiał radzić. Dokumenty i procedury operacyjne powinny być
tak zaprojektowane, aby łatwo było dokonać ich póz�niejszej ponownej oceny i abyś
mógł wykazać zgodność swoich poczynań z przyj��tymi w firmie zasadami. W zależ-
ności od stanu architektury sieciowej i infrastruktury procedury mogą być definiowa-
ne w fazie ochrony zasobów lub wcześniej, w fazie tworzenia oceny i polityki.
Ocena techniczna
Polityka i ocena � czy ta faza nigdy si�� nie skończy? W trakcie całego procesu może-
my mieć do czynienia z różnymi rodzajami ocen. Niektóre z nich (takie jak ocena orga-
nizacyjna) są wyraz�nie ćwiczeniami wyższego poziomu. Inne (jak te wyszczególnione
�40 Bezpieczeństwo w sieci
w kolejnych podrozdziałach) wykonywane są na poziomie niższym, a ich celem jest
dokopanie si�� do fundamentów infrastruktury IT. Podczas oceny technicznej doko-
nuje si�� dobrze znane testy penetracyjne, które pokazują, jak system poradzi sobie
z atakami dokonywanymi od wewnątrz lub z zewnątrz sieci. Kilka testów technicz-
nych dotyczy innych, wybranych obszarów infrastruktury sieci. W tej sekcji przyj-
rzymy si�� tym testom. Sprawdzimy, w jaki sposób są przeprowadzane, jakie korzyści
przyniesie ich wykonanie i czy warte są wydanych na nie pieni��dzy.
[ Pobierz całość w formacie PDF ]
zanotowane.pldoc.pisz.plpdf.pisz.plodszkodowanie.xlx.pl
