Bezpieczeństwo w sieci 

[ Pobierz całość w formacie PDF ]

na czytanie całej polityki bezpieczeństwa, wiele organizacji tworzy coś na kształt wzor-
ca dokumentu polityki, w którym znajdujÄ… si¹ wyszczególnione obszary odpowie-
dzialnoÅ›ci. Na podstawie takich wzorców tworzy si¹ potem bardziej zwi¹zÅ‚e wersje
dokumentu zawierajÄ…ce polityk¹ bezpieczeÅ„stwa, specjalnie przystosowane i przezna-
czone dla wybranych grup: kierowników, użytkowników końcowych, działu IT. Z na-
szego doÅ›wiadczenia wynika, że takie rozwiÄ…zania sprawdzajÄ… si¹ najlepiej. Model
polityki bezpieczeÅ„stwa b¹dzie w dużej mierze zależaÅ‚ od potrzeb organizacji.
Warto wspomnieć, że w proces powstawania polityki bezpieczeństwa warto zaanga-
żować wszystkie osoby, których  bÅ‚ogosÅ‚awieÅ„stwa b¹dziesz wczeÅ›niej czy pózniej
potrzebował. Ważne jest, aby np. dział prawny był zaangażowany już we wczesne
stadium procesu. ZdziwiÅ‚byÅ› si¹, jak bardzo nieprzyjemny może być dyrektor dziaÅ‚u
prawnego, kiedy położysz mu na biurku dokument, który w twoim mniemaniu jest
koÅ„cowÄ… wersjÄ… polityki bezpieczeÅ„stwa. Bardzo cz¹sto zdarza si¹, iż pewne kwestie
prawne (które przeci¹tnemu pracownikowi nie przyjdÄ… do gÅ‚owy) mogÄ… drastycznie
wpłynąć na treść i jej końcowy kształt. Jaka stąd płynie nauka? Odpowiednie osoby
muszÄ… być zaangażowane w proces możliwie wczeÅ›nie. Informuj ich o post¹pie pro-
cesu, uczyń z nich swoich przyjaciół i sojuszników po to, aby ewentualne problemy
zostawały odpowiednio wcześnie zauważane i rozwiązywane. Zrozumiesz, że jeżeli
polityka b¹dzie wÅ‚aÅ›ciwie przygotowana i realna, a nie na pokaz, jej przestrzeganie
i wprowadzanie stanie si¹ Å‚atwiejsze.
Tworzenie procedur i dokumentów operacyjnych
Zdefiniowanie polityki wyższego poziomu to jeszcze nie koniec procesu tworzenia
odpowiedniej dokumentacji. Kolejnym istotnym elementem b¹dÄ… procedury i strate-
gia operacyjna. To w tej fazie zagadnienia  co pochodzące z polityki wyższego po-
ziomu zostają przekształcone w  jak wskazujące na określone procesy, systemy
i implementacje. Z dokumentu dotyczącego ogólnej polityki bezpieczeństwa dowiesz
Rozdział 2. f& Tworzenie bezpiecznej infrastruktury sieciowej 39
Prawdziwy koszt bezpieczeństwa
Nasza firma została zaangażowana, by pomóc pewnej organizacji, która straciła wysokiego
rangą specjalistę z działu IT. Zarządzający przedsiębiorstwem, którego roczny dochód sza-
cowany był na miliony dolarów, wpadli w panikę, bo człowiek ten został zatrudniony przez
konkurencję. Jednym z kluczowych zasobów firmy była pewna baza danych. To właśnie ona
w dużej mierze generowała zysk przedsiębiorstwa. Obawy kierownictwa wzbudzała możli-
wość, że wraz z ich pracownikiem konkurencja przejęła także bazę danych.
Nasz zespół przeprowadził analizę, której wynikiem było potwierdzenie uzasadnionych obaw.
Co więcej, były pracownik nie tylko ukradł bazę, ale  korzystając ze sprzętu firmy, praw-
dopodobnie w godzinach pracy  stworzył oprogramowanie, które razem z bazą zostało
przekazane konkurencji. Mógłbyś pomyśleć, że jego działania powinny spotkać się z ostrą
reakcją, być może nawet procesem sądowym. No cóż& Pojawił się pewien poważny pro-
blem  w przedsiębiorstwie nie obowiązywała żadna polityka bezpieczeństwa. Nigdzie jasno
nie zdefiniowano, że takie postępowanie jest niedozwolone! Tak więc, pomimo że w tym
przypadku mieliśmy do czynienia z oczywistym i poważnym nadużyciem, były pracodawca nie
mógł podjąć poważniejszych kroków zmierzających do wszczęcia postępowania sądowego.
Dlaczego? Ponieważ w żadnym dokumencie nie było mowy, że takie działania są zabronione.
Gdy przedsiębiorstwo wyszło już z kryzysu, a odniesione rany trochę się zagoiły, zdecydo-
wano się na przeprowadzenie oceny stanu zabezpieczeń w firmie i w konsekwencji na stwo-
rzenie polityki bezpieczeństwa z prawdziwego zdarzenia. Ale stało się to trochę za pózno  już
po zdarzeniu, które mogło spowodować się naprawdę bardzo wysokie straty finansowe.
si¹, że należy regularnie sporzÄ…dzać kopie awaryjne wszystkich informacji krytycz-
nych, ale to w dokumencie operacyjnym znajdÄ… si¹ zalecenia co do stosowanych w tym
celu środków i metod administrowania nimi.
Dokument operacyjny może na przykład wskazywać, że metodą archiwizacji dobrze
odpowiadajÄ…cÄ… wymaganiom integralnoÅ›ci uj¹tym w polityce b¹dzie sporzÄ…dzanie za-
pisów kopii zapasowych na taśmach i przechowywanie ich w specjalnie utworzonej
bibliotece. W dokumencie operacyjnym mogÄ… także znalezć si¹ informacje okreÅ›lajÄ…-
ce, kiedy takie zapisy archiwizacyjne powinny być tworzone, gdzie i jak długo taśmy
powinny być przechowywane, kto może mieć do nich dost¹p i jak majÄ… wyglÄ…dać
procedury ich wykorzystywania. Nie trudno si¹ domyÅ›lić, iż dokumenty operacyjne
powstają jako bezpośredni rezultat analiz przeprowadzonych w fazie oceny. Jest to
jeszcze jeden powód, który przemawia za uczestnictwem specjalistów IT i admini-
stratorów w poczynaniach zespołu oceny: od tego zespołu zależy twój los  to on
wÅ‚aÅ›ciwie decyduje o wyposażeniu ci¹ w odpowiednie narz¹dzia i Å›rodki, z którymi
b¹dziesz sobie pózniej musiaÅ‚ radzić. Dokumenty i procedury operacyjne powinny być
tak zaprojektowane, aby łatwo było dokonać ich pózniejszej ponownej oceny i abyś
mógÅ‚ wykazać zgodność swoich poczynaÅ„ z przyj¹tymi w firmie zasadami. W zależ-
ności od stanu architektury sieciowej i infrastruktury procedury mogą być definiowa-
ne w fazie ochrony zasobów lub wcześniej, w fazie tworzenia oceny i polityki.
Ocena techniczna
Polityka i ocena  czy ta faza nigdy si¹ nie skoÅ„czy? W trakcie caÅ‚ego procesu może-
my mieć do czynienia z różnymi rodzajami ocen. Niektóre z nich (takie jak ocena orga-
nizacyjna) są wyraznie ćwiczeniami wyższego poziomu. Inne (jak te wyszczególnione
40 Bezpieczeństwo w sieci
w kolejnych podrozdziałach) wykonywane są na poziomie niższym, a ich celem jest
dokopanie si¹ do fundamentów infrastruktury IT. Podczas oceny technicznej doko-
nuje si¹ dobrze znane testy penetracyjne, które pokazujÄ…, jak system poradzi sobie
z atakami dokonywanymi od wewnątrz lub z zewnątrz sieci. Kilka testów technicz-
nych dotyczy innych, wybranych obszarów infrastruktury sieci. W tej sekcji przyj-
rzymy si¹ tym testom. Sprawdzimy, w jaki sposób sÄ… przeprowadzane, jakie korzyÅ›ci
przyniesie ich wykonanie i czy warte sÄ… wydanych na nie pieni¹dzy. [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • odszkodowanie.xlx.pl
  • © 2009 ...coÅ› siÄ™ w niej zmieniÅ‚o, zmieniÅ‚o i zmieniaÅ‚o nadal. - Ceske - Sjezdovky .cz. Design downloaded from free website templates