Przegląd najnowszych zaleceń best practice pod kątem bezpieczeństwa systemów informatycznych ze szczególnym uwzględnieniem zaleceń stosowanych w sektorze telekomunikacyjnym.pdf

(139 KB) Pobierz
X Konferencja PLOUG
Kościelisko
Październik 2004
Przegląd najnowszych zaleceń best practice pod
kątem bezpieczeństwa systemów informatycznych
ze szczególnym uwzględnieniem zaleceń
stosowanych w sektorze telekomunikacyjnym
Andrzej Adamczyk
ITTI Sp. z o. o.
e–mail: andrzej.adamczyk@itti.com.pl
Rafał Renk
ITTI Sp. z o. o., Akademia Techniczno-Rolnicza w Bydgoszczy
e–mail: rafal.renk@itti.com.pl
prof. Witold Holubowicz
ITTI Sp. z o. o., Uniwersytet im. Adama Mickiewicza w Poznaniu
e–mail: witold.holubowicz@itti.com.pl
Abstrakt
W ostatnim czasie obserwuje się wzmożone działania w kierunku zwiększenia bezpieczeństwa funkcjonowania organi-
zacji podejmowane w celu zmniejszenia ryzyka przerwania ciągłości funkcjonowania. W artykule dokonano analizy
aktualnych zaleceń best practice dotyczących bezpieczeństwa m.in. zaleceń NRIC, GAISP. Dokonano selekcji zaleceń
pod kątem stosowalności w dziedzinie systemów informatycznych rozumianych jako zasoby sprzętowe i programowe.
Zalecenia best practice można stosować wprowadzając tzw. środki zaradcze (ang. countrmeasures) obejmujące zarówno
elementy materialne, jak i procedury postępowania. Wybrane w artykule zalecenia przedyskutowano podając przykłady
środków zapobiegawczych stosowanych w praktyce w przedsiębiorstwach polskich i zagranicznych. Większość przy-
kładów została opracowana na podstawie doświadczeń z wielu projektów dotyczących bezpieczeństwa prowadzonych
przede wszystkim w firmach sektora telekomunikacyjnego. Omówione zalecenia obejmują m.in. następujące kategorie:
projektowanie, wykonywanie, testowanie i dostarczanie oprogramowania (zapewnienie odpowiedniego poziomu
odporności systemów na awarie, odporności na niewłaściwe działanie użytkownika),
• zabezpieczenia na etapie eksploatacji systemów informatycznych (auditing zabezpieczeń, zarządzanie danymi
m.in. procedury synchronizacji, zarządzanie zmianami m.in. wersjonowanie, aktualizacja i zapewnienie kompa-
tybilności systemów informatycznych, zabezpieczenie „dziur” w oprogramowaniu)
• zabezpieczenie przed wypływem informacji na etapie likwidacji przestarzałego sprzętu i oprogramowania.
Omówione zasady mogą wydatnie pomóc w opracowaniu i wdrożeniu własnych zaleceń mających na celu poprawę
bezpieczeństwa tworzenia i eksploatowania systemów informatycznych.
120
Andrzej Adamczyk, Rafał Renk, prof. Witold Holubowicz
121
Przegląd najnowszych zaleceń best practice pod kątem bezpieczeństwa systemów informatycznych...
1. Wprowadzenie
Wśród publikowanych zbiorów zaleceń typu najlepszych praktyk (ang. best practice) – które
dalej w opracowaniu nazywane będą zaleceniami bądź najlepszymi praktykami – dotyczących
bezpieczeństwa systemów informatycznych można znaleźć między innymi następujące dokumen-
ty:
zalecenia National Institute of Standards and Technology (NIST) ze Stanów Zjednoczo-
nych – Computer Security Resource Center (CSRC),
zalecenia „Generally Accepted Information Security Principles” [GAISP] opublikowane
przez Information Systems Security Association (ISSA) wywodzące się z zaleceń „Gene-
rally Accepted System Security Princiles” (GASSP) opracowanych przez Massechiusets
Institute of Technology (MIT),
zalecenia Network Reliability and Interoperability Council [NRIC] ze Stanów Zjedno-
czonych,
„OECD Guidelines for the Security of Information Systems and Networks: Towards
a Culture of Security” [OECD],
IT Infrastructure Library [ITIL] opracowana przez Office of Government Commerce
w Wielkiej Brytanii (rozpowszechniana na zasadzie komercyjnej).
Zalecenia tego typu powinny charakteryzować się cechami wymienionymi w tabeli 1
[GKBSP]:
Tabela 1. Cechy najlepszych praktyk
Cechy najlepszych praktyk
Czym zalecenia nie są
Skierowane do człowieka; jako powtarzalna lub
indywidualna metoda używana przez ludzi w
celu wykonani pewnego procesu.
Nie są one mechanizmem bezpieczeństwa IT,
zaimplementowanym sprzętowo lub programo-
wo.
Dotyczące bezpieczeństwa; czyli odgrywające
rolę w zabezpieczaniu informacji, zasobów lub
ciągłości działania w ramach organizacji.
Nie są one zaleceniami dotyczącymi prowadze-
nia firmy, mimo, że wspomagają działania biz-
nesowe organizacji.
Sprawdzone doświadczalnie; czyli efektywne
w procesie bezpieczeństwa; wynik doświadcze-
nia operacyjnego.
Nie są one jakimikolwiek zaleceniami, które
można wdrożyć. Nie są też wynikiem teoretycz-
nych rozważań.
Jedno z najbardziej efektywnych (przynoszą-
cych skutek) istniejących zaleceń używanych w
poszczególnych procesach systemu bezpieczeń-
stwa
Nie są one jakimikolwiek zaleceniami wdrożo-
nymi w praktyce.
Tego rodzaju zalecenia omówiono w kolejnych rozdziałach niniejszego artykułu. Do omówie-
nia wybrano trzy grupy zaleceń: NIST, GAISP i NRIC. Dotyczą one ogólnych aspektów funkcjo-
nowania instytucji (NIST, GAISP) oraz bardziej szczegółowo rozwoju systemów informatycznych
(NRIC).
970468916.008.png 970468916.009.png 970468916.010.png 970468916.011.png 970468916.001.png 970468916.002.png 970468916.003.png 970468916.004.png 970468916.005.png 970468916.006.png 970468916.007.png
 
122
Andrzej Adamczyk, Rafał Renk, prof. Witold Holubowicz
2. Zalecenia NIST
Organizacja NIST jest rządową agencją Stanów Zjednoczonych. Jedną z działalności NIST jest
działalność jako organizacji standaryzującej rozwiązania dla systemów informatycznych.
W ramach tej działalności działają działy. W dziale Bezpieczeństwa Komputerowego znajdują się
m.in.: bieżące informacje na temat najnowszych zagrożeń, statystyki roczne, pokazujące liczbę
słabych punktów w systemach z podziałem na kategorie (atak zdalnym, atak w sieci LAN, ataki
DoS, słabe punkty systemów operacyjnych), biuletyny na temat bezpieczeństwa systemów (ang.
Security Bulletins), specjalne publikacje (ang. Special Publications). Zaleceniami bezpieczeństwa
zajmuje się w NIST Computer Security Resource Center (CSRC).
Poniżej zaprezentowane zostały najważniejsze zalecenia opracowane w oparciu o publikację
NIST 800-14 p.t.: „Rekomendowane praktyki i reguły w zabezpieczaniu systemów informatycz-
nych” (ang. „Generally Accepted Principles and Practices for Securing Information Technology
Systems”) [NIST].
Zalecenia te można zakwalifikować do następujących grup:
1. Bezpieczeństwo proceduralne:
a. rozpocznij od strategii i polityki bezpieczeństwa,
b. określ jakiego rodzaju procedur potrzeba: polityki bezpieczeństwa informacji, pod-
ręczników administrowania systemami, zaleceń dotyczących utrzymania witryn in-
ternetowych, czy może zasad świadczenia usług e-commerce,
c. ustal, kto powinien przestrzegać tych procedur: wszyscy pracownicy używający w
swej pracy komputerów, administratorzy systemów, help desk, pracownicy zajmu-
jący się utrzymaniem systemów, pracujący na zasadach outsourcing IT, zajmujący
się zakupem i dostawą aplikacji,
d. określ osoby posiadające klucze umożliwiające dostęp do dokumentów,
e. zabezpiecz archiwa dokumentów i informacji kontaktowych,
f. kontroluj politykę haseł dostępu w taki sposób, by utrudnić odgadnięcie hasła,
złamanie hasła używając oprogramowania słownikowego i metody brute force, za-
pewnij, aby hasła składały się co najmniej z ośmiu znaków, nie zawierały nazwisk
i dat urodzenia, zawierały co najmniej jedną duża literę, małą literę, cyfrę i znak
specjalny; usuń hasła, które nie spełniają tych wymagań; zmieniaj hasła co 45-60
dni; ogranicz możliwość zmiany haseł na wcześniej używane; staraj się stosować
hasła będące wyrażeniami zawierającymi wiele słów,
g.
stosuj standardy i poradniki bezpieczeństwa, analizuj ryzyko i zagrożenia.
2.
Bezpieczeństwo używania Internetu:
a. nie pobieraj plików z nie znanych źródeł (np. witryn internetowych),
b. nie uruchamiaj plików ze stron WWW,
c. zabezpiecz hasła, numery kart kredytowych i prywatne informacje przy korzysta-
niu z przeglądarki internetowej,
d.
włącz w przeglądarce opcję wysokiego bezpieczeństwa.
3.
Bezpieczeństwo korzystania z poczty elektronicznej:
a.
bądź ostrożny, gdy otwierasz załączniki,
123
Przegląd najnowszych zaleceń best practice pod kątem bezpieczeństwa systemów informatycznych...
b. upewnij się, że oprogramowanie pocztowe, z którego korzystasz jest odpowiednio
skonfigurowane,
c. nie odpowiadaj na wszystkie wiadomości, które nie wymagają odpowiedzi.
4. Bezpieczeństwo korzystania z komputera:
a. używaj haseł dostępu (nie zapisuj haseł na papierze ani elektronicznie),
b. używaj własnych kont na komputerze (nie korzystaj ze wspólnych kont systemo-
wych),
c. używaj blokady ekranu, kiedy odchodzisz od komputera,
d. wyloguj się lub zablokuj komputer przenośny, kiedy kończysz pracę.
5. Bezpieczeństwo osobowe:
a. potwierdzaj tożsamość osób i instytucji,
b. towarzysz wszystkim sprzedawcom i ekipom naprawczym w trakcie ich pobytu w
firmie,
c. przekazuj tylko niezbędne informacje,
d. dokładnie niszcz informacje osobowe,
e. przeprowadzaj weryfikacje przeszłości osób zatrudnionych,
f. kontroluj wejścia i wyjścia z firmy,
g. kontroluj wyjazdy osób (np. dłuższe nieobecności),
h. zapewniaj odpowiednie zaangażowanie zarządu (wyznacz odpowiedzialności, za-
pewnij środki) i świadomość pracowników w zakresie bezpieczeństwa (stosuj
szkolenia, informuj pracownika w pierwszym dniu pracy o procedurach bezpie-
czeństwa i rzeczach, które wolno i których nie na leży robić).
6. Procedury zapewniające odtworzenie stanu normalnego danych i funkcjonowania syste-
mów:
a. wykonuj kopie zapasowe wszystkich plików, oprogramowania i danych konfigura-
cyjnych,
b. prowadź na bieżąco inwentaryzację sprzętu i oprogramowania.
7. Bezpieczeństwo fizyczne:
a. stosuj i używaj zamki w drzwiach,
b. stosuj alarmy,
c.
zapewnij ochronę fizyczną.
8.
Bezpieczeństwo sprzętu i oprogramowania:
a.
przechowuj w bezpieczny sposób,
b.
izoluj dane wrażliwe ze względów bezpieczeństwa,
c.
monitoruj połączenia wykonywane z modemów telefonicznych,
d.
oddziel fizycznie komputery od sieci, jeśli to konieczne,
e.
zainstaluj wymienialne dyski twarde lub podobne nośniki informacji,

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin