Atrybuty bezpieczeństwa
ITpedia
Określenie atrybutów bezpieczeństwa pozwala precyzyjnie zdefiniować pojęcia, w tym tak kluczowe jak:
- bezpieczeństwo,
- jego polityka,
- zarządzanie bezpieczeństwem.
Bezpieczeństwo informacji czy systemu teleinformatycznego utożsamiane jest z tymi właśnie atrybutami.
Bezpieczeństwo teleinformatyczne (IT security) określane jest jako wszelkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Drugim kluczowym pojęciem jest polityka bezpieczeństwa instytucji w zakresie systemów informatycznych (IT security policy). Obejmuje ona zasady, zarządzenia i procedury, które określają, jak zasoby – włącznie z informacjami wrażliwymi – są zarządzane, chronione i dystrybuowane w instytucji i jej systemach teleinformatycznych.
Zarządzanie bezpieczeństwem informacji (systemów informatycznych) (IT security management) obejmuje zespół procesów zmierzających do osiągnięcia iutrzymywania ustalonego poziomu bezpieczeństwa, tzn. poziomu poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Jego realizacja obejmuje działania, takie jak:
- określenie celów (co należy chronić), strategii (w jaki sposób) i reguł polityki bezpieczeństwa systemów informatycznych w instytucji (jakie konkretne przedsięwzięcia należy podjąć),
- identyfikowanie i analizowanie zagrożeń dla zasobów,
- identyfikowanie i analizowanie ryzyka,
- określenie adekwatnych zabezpieczeń,
- monitorowanie wdrożenia, eksploatacji (skuteczności) zabezpieczeń,
- opracowanie i wdrożenie programu szkoleniowo-uświadamiającego,
- wykrywanie incydentów i reakcja na nie.
Zarządzanie bezpieczeństwem systemów informatycznych obejmuje zbiór procesów zawierających inne procesy bezpośrednio lub pośrednio związane z bezpieczeństwem. Kluczowym jest tu proces zarządzania ryzykiem z subprocesem analizy ryzyka. Istotnymi z punktu widzenia bezpieczeństwa są również procesy zarządzania konfiguracją oraz zarządzania zmianami.
Zarządzanie konfiguracją jest procesem śledzenia zmian w konfiguracji systemu pod kątem oddziaływania na już osiągnięty poziom bezpieczeństwa. Wszelkie zmiany powinny być odzwierciedlane w dokumentach związanych z bezpieczeństwem, takich jak plany awaryjne czy plany odtwarzania po katastrofach.
Zarządzanie zmianami jest procesem wykorzystywanym do identyfikacji nowych wymagań bezpieczeństwa wówczas, gdy w systemie informatycznym występują zmiany. Do takich zmian należy zaliczyć:
- zmiany sprzętowe,
- aktualizacje oprogramowania,
- nowe procedury,
- nowe funkcje,
- nowych użytkowników, w tym grupy użytkowników zewnętrznych ianonimowych,
- dodatkowe połączenia sieciowe i międzysieciowe.
Dla każdej zmiany należy określić jej wpływ na bezpieczeństwo. Wyniki takich ocen powinny być udokumentowane.
Kluczowym procesem jest zarządzanie ryzykiem, które powinno być prowadzone podczas całego okresu eksploatacji systemu.
Analiza ryzyka jest głównym elementem zarządzania ryzykiem, identyfikuje ryzyko, które ma być kontrolowane lub akceptowane. Analiza ta obejmuje ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Analiza ryzyka jest pracochłonna, jednak w większości systemów wystarczy wprowadzenie tzw. ochrony podstawowej (baseline controls, baseline protection), którą określa się jako minimalny zbiór zabezpieczeń ustalony dla systemu lub instytucji.
Nawet najlepsze zabezpieczenia nie likwidują do końca tzw. Ryzyka szczątkowego. Dlatego też nie mniej istotne jest przygotowanie na wypadek niekorzystnych zdarzeń, w postaci różnych wariantów planów awaryjnych, opisujących różne scenariusze zachowań, uwzględniające między innymi:
- różne okresy trwania awarii,
- częściową lub pełną utratę funkcjonalności,
- brak dostępu do pomieszczeń lub budynków zajmowanych przez instytucję.
Plany odtwarzania po katastrofach opisują sposoby przywrócenia systemu do pierwotnego stanu.
