tylko-tutaj-audyt-bezpieczenstwa-informacji-w-praktyce audyt, Poradniki

[ Pobierz całość w formacie PDF ]
IDZ DO
PRZYK£ADOW
Audyt bezpieczenstwa
SPIS TREŒCI
informacji w praktyce
KATALOG KSI¥¯EK
Autor: Tomasz Polaczek
ISBN: 83-246-0402-2
Format: B5, stron: oko³o 126
KATALOG ONLINE
ZAMÓW DRUKOWANY KATALOG
TWÓJ KOSZYK
DODAJ DO KOSZYKA
Rozpoczê³a siê era spo³eczeñstwa informacyjnego. Dzia³alnoœæ coraz wiêkszej
liczby organizacji i firm zale¿y od szybkiego i efektywnego przetwarzania informacji.
Informacja sta³a siê cennym, czêsto wykradanym towarem. Zagro¿eniem dla
bezpieczeñstwa danych s¹ nie tylko crackerzy, lecz czêsto tak¿e pracownicy firmy,
którzy nieœwiadomie udostêpniaj¹ zastrze¿one informacje osobom trzecim.
Upowszechnienie informacji, bêd¹cych tajemnic¹ lub w³asnoœci¹ intelektualn¹
i handlow¹ firmy lub instytucji, mo¿e oznaczaæ utratê reputacji, zakoñczenie
dzia³alnoœci na rynku lub nawet wywo³aæ k³opoty natury prawnej. Z tych powodów
informacjê trzeba nale¿ycie chroniæ oraz odpowiedni¹ ni¹ zarz¹dzaæ.
Ksi¹¿ka „Audyt bezpieczeñstwa informacji w praktyce” przedstawia praktyczne
aspekty wdra¿ania i realizowania polityki ochrony danych. Opisuje zarówno regulacje
prawne, jak i normy ISO traktuj¹ce o bezpieczeñstwie informacji. Zawiera informacje
o odpowiednim zarz¹dzaniu systemami przechowywania danych, fizycznym
zabezpieczaniu miejsc, w których znajduj¹ siê noœniki danych, oraz szkoleniu
u¿ytkowników systemów.
Normy ISO i PN dotycz¹ce ochrony informacji
Planowanie polityki bezpieczeñstwa
Umowy o zachowaniu poufnoœci
Zabezpieczanie budynku i pomieszczeñ
Tworzenie procedur eksploatacji sprzêtu i systemów
Ochrona sieci przed programami szpieguj¹cymi
Zarz¹dzanie dostêpem u¿ytkowników do systemu
Odpowiednio zaplanowane procedury ochrony danych mog¹ uchroniæ
przedsiêbiorstwo przed powa¿nymi problemami. Wykorzystaj wiadomoœci zawarte
w tej ksi¹¿ce i wprowadŸ podobne procedury w swojej firmie.
CENNIK I INFORMACJE
ZAMÓW INFORMACJE
ONOWOŒCIACH
ZAMÓW CENNIK
CZYTELNIA
FRAGMENTY KSI¥¯EK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
O autorze ........................................................................................................................... 5
Wstęp ................................................................................................................................ 7
Zezwolenie ........................................................................................................................ 9
Od autora ........................................................................................................................ 11
Podstawowe założenia polityki bezpieczeństwa informacji ........................................... 13
Czym jest informacja .............................................................................................................. 13
Gdzie przechowujemy informacje .......................................................................................... 14
Informacja w świetle regulacji prawnych ................................................................................ 15
Zasady audytu ........................................................................................................................ 15
Norma ISO/IEC TR 13335 ...................................................................................................... 19
Zarządzanie bezpieczeństwem informacji ...................................................................... 23
Polityka bezpieczeństwa informacji ........................................................................................ 23
Co powinna zawierać polityka bezpieczeństwa informacji .................................................... 24
Czego nie powinna zawierać polityka bezpieczeństwa informacji ......................................... 25
Utworzenie infrastruktury bezpieczeństwa informacji ........................................................... 25
Odpowiedzialność oraz kompetencje w systemie bezpieczeństwa informacji ...................... 26
Autoryzacja urządzeń do przetwarzania informacji ............................................................... 26
Doradztwo specjalistyczne w zakresie bezpieczeństwa informacji ........................................ 27
Współpraca między organizacjami ......................................................................................... 28
Niezależne przeglądy stanu bezpieczeństwa informacji ....................................................... 28
Zabezpieczenie przed dostępem osób trzecich ..................................................................... 29
Zlecenie przetwarzania danych firmom zewnętrznym ............................................................ 33
 Klasyfikacja i kontrola aktywów ......................................................................................35
Rozliczanie aktywów .............................................................................................................. 35
Klasyfikacja informacji ............................................................................................................ 37
Bezpieczeństwo osobowe ...............................................................................................39
Bezpieczeństwo informacji przy określaniu obowiązków i w zarządzaniu zasobami ludzkimi 39
Szkolenie użytkowników ......................................................................................................... 43
Reagowanie na naruszenia bezpieczeństwa i niewłaściwe funkcjonowanie systemu ........... 44
Bezpieczeństwo fizyczne i środowiskowe ......................................................................47
Fizyczny obwód zabezpieczający .......................................................................................... 48
Zabezpieczenie sprzętu .......................................................................................................... 54
Ogólne zabezpieczenia ..........................................................................................................59
Zarządzanie systemami informatycznymi i sieciami komputerowymi ............................63
Procedury eksploatacyjne oraz okres odpowiedzialności ...................................................... 63
Planowanie i odbiór systemu .................................................................................................. 67
Ochrona przed szkodliwym oprogramowaniem ..................................................................... 69
Procedury wewnętrzne ........................................................................................................... 71
Zarządzanie sieciami .............................................................................................................. 73
Postępowanie z nośnikami i ich bezpieczeństwo ................................................................... 74
Wymiana danych i oprogramowania ...................................................................................... 77
Kontrola dostępu do systemu .........................................................................................85
Potrzeby biznesowe związane z dostępem do informacji ..................................................... 85
Zarządzanie dostępem użytkowników ................................................................................... 86
Zakres odpowiedzialności użytkowników ............................................................................... 89
Kontrola dostępu do sieci ....................................................................................................... 91
Kontrola dostępu do systemów operacyjnych ....................................................................... 94
Kontrola dostępu do aplikacji ................................................................................................. 97
Monitorowanie dostępu do systemu i jego wykorzystywania ................................................. 98
Komputery przenośne i praca zdalna ................................................................................... 100
Zabezpieczenia kryptograficzne ........................................................................................... 103
Zarządzanie ciągłością działania organizacji w sytuacji krytycznej ..................................... 105
Zgodność ............................................................................................................................. 111
Przegląd polityki bezpieczeństwa informacji i zgodności technicznej .................................. 114
Skorowidz ..................................................................................................................... 115
4
SPIS TREŚCI
Sieci komputerowe, a właściwie wszelakie systemy informatyczne, stały się
już niezbędne zarówno przy wykonywaniu czynności służbowych, jak rów-
nież w życiu prywatnym. W rzeczywistości bez tego dobrodziejstwa techniki
trudno się obyć. Przykładowo, coraz częściej sieci komputerowe służą do do-
konywania zakupów. Siecią przesyła się wszelakie informacje i dane — te
ważne i te mniej istotne. Systemy informatyczne z kolei dane te przetwarzają
i przechowują. Oczywistym jest, że aby służyły one w należyty — i przede
wszystkim — w bezpieczny sposób, trzeba zapewnić ich odpowiednią obsługę
i poprawnie zarządzać nimi.
Bardzo istotnym elementem systemu bezpieczeństwa informacji jest staranne
zabezpieczenie sieci komputerowych i systemów informatycznych przed oso-
bami niepowołanymi. W tym celu — podobnie jak w przypadku innych sys-
temów — trzeba wprowadzić odpowiednie procedury eksploatacyjne.
Procedury eksploatacyjne
oraz okres odpowiedzialności
Informacja jest wykorzystywana za pomocą różnego typu urządzeń. Skoro
tak się dzieje, oznacza to również konieczność zabezpieczenia tych urządzeń.
W tym przypadku oczywistą sprawą jest sprecyzowanie odpowiednich pro-
cedur zarządzania tymi urządzeniami oraz zakresów odpowiedzialności za te
 urządzenia oraz informacje w nich przechowywane lub przetwarzane. Należy
również wdrożyć procedury reagowania na incydenty związane z uszkodze-
niem takich urządzeń bądź niewłaściwym ich użytkowaniem, co może się
przyczynić do uszkodzenia sprzętu lub utraty przechowywanych danych.
Dokumentowanie procedur eksploatacyjnych
Procedury zawarte w polityce bezpieczeństwa informacji powinny być ogól-
nodostępne dla wszystkich osób w organizacji — jest to warunek sprawnego
funkcjonowania całego systemu. Jak wspomniałem we wcześniejszych rozdzia-
łach tej książki, poszczególne procedury powinny być opracowane w sposób
ściśle odpowiadający specyfice pracy na danych stanowiskach, jednak istnieją
jeszcze procedury ogólnodostępne, skierowane do wszystkich pracowników
organizacji. Istnieje przecież wiele urządzeń, wykorzystywanych przez prak-
tycznie wszystkie osoby w firmie do przeglądania, przesyłania, przechowy-
wania czy przetwarzania informacji. Sposób posługiwania się tym sprzętem
i zasady ochrony informacji z nim związanej powinny zatem zostać precy-
zyjnie określone w odpowiednich procedurach. Do takich procedur należą
właśnie m.in. procedury eksploatacyjne. Oczywiście, należy je odpowiednio
dokumentować i przechowywać. Każda z tych procedur powinna zawierać
dokładną instrukcję postępowania z określonymi urządzeniami oraz z infor-
macją w nich zawartą lub przetwarzaną.
Podczas codziennej pracy bardzo często dochodzi do incydentów, które po-
tencjalnie mają wpływ na jakość pracy lub na bezpieczeństwo przetwarzanych
danych. Oczywiście, te zdarzenia są spowodowane różnymi przyczynami,
np. błędnym działaniem aplikacji lub niepoprawną pracą systemu informa-
tycznego. W takich przypadkach, gdy praca zostanie zakłócona przez np. źle
działający system informatyczny, procedury powinny mówić m.in. o obsłudze
technicznej i sposobie uzyskania pomocy działu lub firmy zajmującej się
utrzymaniem bądź serwisem struktur informatycznych. Poza tym należy rów-
nież udokumentować procedury ponownego uruchomienia systemu bądź jego
odtworzenia w przypadku awarii.
Kontrola zmian w eksploatacji
W przypadku każdego systemu informatycznego na porządku dziennym jest
dokonywanie zmian, aktualizacji zabezpieczeń lub innych czynności związanych
z podniesieniem wydajności działania sprzętu i oprogramowania. Wszystkie
tego typu zmiany powinny być starannie dokumentowane, co ułatwia zapo-
bieganie awariom systemu lub przynajmniej pozwala na odpowiednio szybkie
zdiagnozowanie przyczyn jego uszkodzenia. Każda zmiana czy aktualizacja
64
ROZDZIAŁ 6. ZARZĄDZANIE SYSTEMAMI INFORMATYCZNYMI I SIECIAMI KOMPUTEROWYMI
[ Pobierz całość w formacie PDF ]