Polityka ochrony
ITpedia
Bezpieczeństwo sieci to nie tylko środki techniczne i programowe systemów ochrony. Bezpieczeństwo to zarówno problem środków ochrony, jak i zarządzania zasobami oraz informacją; jest ono w rzeczy samej pochodną dobrej organizacji i właściwej polityki ochrony wprowadzanej na wszystkich szczeblach organizacyjnych. Problem ochrony sieci przedsiębiorstwa należy rozpatrywać na wszystkich szczeblach jego struktury organizacyjnej – nie wyłączając z tego ścisłego zarządu. Polityka ochrony musi być jednoznaczna i przejrzysta, a każdy pracownik firmy powinien być z nią zaznajomiony.
| Sama technologia nie może zapewnić pełnego bezpieczeństwa. Ochrona to przede wszystkim właściwe zarządzanie i organizacja. |
Podstawowym etapem w organizowaniu systemu ochrony jest rozpoznanie obszaru ochrony. Przede wszystkim trzeba określić, z czego składa się sieć: jak wygląda schemat sieci, punkty dostępu do sieci i kto z nich korzysta. Ponadto należy dokonać oceny wartościowej informacji. Jakie zasoby informacyjne są na tyle ważne, aby je chronić, i gdzie są zlokalizowane?
Szkolenie personelu w zakresie ochrony informacji jest sprawą poza wszelką dyskusją, choć często zaniedbywaną. Niezbędna jest ciągła współpraca personelu zajmującego się ochroną z komórkami organizacyjnymi przedsiębiorstwa, jak również wspomaganie, zrozumienie i elastyczność wobec użytkownika końcowego. Proces edukacyjny dla całego personelu powinien być dostosowany do oczekiwań i potrzeb każdej grupy pracowniczej, w przeciwnym razie ochrona będzie pomijana, wyłączana lub ignorowana.
Ustalenie polityki ochrony i przeszkolenie personelu są wstępem do wprowadzenia w życie planu ochrony – realizacja tego zadania powinna być w miarę "bezbolesna".
Znanych jest kilka podejść do problemu ochrony informacji, mających wpływ na całą architekturę systemu ochrony. Nie są to rozwiązania idealne, ponieważ żaden system nie jest w stanie spełnić wszystkich wymagań.
Jednym z rozwiązań jest zastosowanie systemu MLS (MultiLevel Security), eksploatowanego m.in. przez agendy rządowe Stanów Zjednoczonych. Zasadą MLS jest to, że pewne dane mogą być dostępne tylko dla osób z odpowiednimi uprawnieniami (security clearance). W strategii MLS Read Down/Write Up każdy dokument jest oznakowany zgodnie z jego znaczeniem i uprawnieniami tworzącej go osoby. Tak więc osoby z niskimi uprawnieniami mogą przekazywać informacje osobom z uprawnieniami TAJNE lub ŚCIŚLE TAJNE, ale nie mogą przekazywać ich w dół, użytkownikom nieuprawnionym. Podobnie osoby z uprawnieniami do dokumentów z klauzulą TAJNE mogą czytać dokumenty TAJNE, POUFNE i nie sklasyfikowane, ale nie ŚCIŚLE TAJNE.
Odmienne od MLS podejście reprezentuje tzw. kryptograficzna izolacja. W tym przypadku wszystkie dokumenty są szyfrowane w momencie opuszczania stacji roboczej. Na każdym poziomie ochrony jest używany inny algorytm szyfrowania i klucza szyfrowego. Dlatego też tylko klucz TAJNE może otwierać dokumenty TAJNE, stosując algorytm TAJNE. Niemniej jednak infrastruktura zarządzająca tymi kluczami wymaga dodatkowych poziomów ochrony na wypadek pojedynczego uszkodzenia w łańcuchu powiązań.
