[ Pobierz całość w formacie PDF ]

nych działów. Informacje są zbierane za pośrednictwem serii wywiadów i rozmów,
których celem b¹dzie okreÅ›lenie krytycznych zasobów informacyjnych firmy. Pierwsze
wywiady cz¹sto wywoÅ‚ujÄ… kolejne spotkania, bo w miar¹ jak odkrywana jest struktura
przedsi¹biorstwa, pojawiajÄ… si¹ wÄ…tki i zagadnienia, których wczeÅ›niej nie poruszano.
Jako wynik całej serii zabiegów powstaje lista krytycznych zasobów informacyjnych
i wspomniana już (b¹dzie o niej mowa także w dalszej cz¹Å›ci rozdziaÅ‚u) matryca
krytyczności.
Matryca krytycznoÅ›ci jest tematem, który warto troch¹ lepiej poznać, gdyż to ona sta-
nie si¹ podstawÄ… budowania polityki bezpieczeÅ„stwa. Matryca okreÅ›la każdy zasób
informacyjny: ważne bazy danych, zródła informacji lub procesy i dokonuje ich kla-
syfikacji przy pomocy trzech czynników zwanych atrybutami wpływu. Oto one:
36 Bezpieczeństwo w sieci
Poufność  co stanie si¹, gdy dany zasób zostanie ujawniony nieodpowiednim
osobom?
Integralność  co stanie si¹, gdy informacja zostanie w jakiÅ› sposób uszkodzona
lub zmodyfikowana?
DostÄ™pność  co stanie si¹, gdy zasób b¹dzie przez pewien czas niedost¹pny?
Każdemu z tych atrybutów przydziela si¹ pewnÄ… wartość wpÅ‚ywu, która wskazuje na
jego wag¹. Cz¹sto wartość okreÅ›lana jest trójstopniowo: niska, Å›rednia i wysoka. De-
finicja poszczególnych wartoÅ›ci wpÅ‚ywu zależy głównie od rodzaju przedsi¹biorstwa
i prowadzonej działalności. Może na przykład wyglądać jak ta poniżej:
Niska (N)  niedogodność i kłopot dla klientów firmy. Straty finansowe
z powodu zaburzenia działalności firmy są minimalne. Ryzyko ogólnego
pogorszenia relacji z klientami jest niskie.
Zrednia (Z)  firma X może nie wywiÄ…zać si¹ z przyj¹tych zobowiÄ…zaÅ„.
Możliwe jest wszcz¹cie przeciwko niej post¹powaÅ„ sÄ…dowych, które na tak
ograniczonym rynku mogÄ… spowodować czasowÄ… utrat¹ konkurencyjnoÅ›ci.
Wysoka (W)  sprawy sądowe w toku. Duże straty finansowe firmy. Umowy
zerwane. Wynikiem ostatecznym jest całkowita utrata konkurencyjności
i zastopowanie działalności firmy.
Matryca krytyczności to tabela, w której wyszczególniono istotne zasoby i przypo-
rządkowano im pewne wartości zgodnie z kryteriami zaprezentowanymi powyżej.
Taka przykładowa matryca została zaprezentowana w tabeli 2.1.
Tabela 2.1. Prosta przykładowa matryca krytyczności
Zasoby krytyczne Poufność Integralność Dostępność
Baza zawierająca dane dotyczące klientów firmy W W N
Lista płac N Z N
W matrycy z powyższej tabeli uwzgl¹dniono dwa zasoby: baz¹ danych o klientach i list¹
płac. Przyporządkowane zasobom wartości wpływu pokazują, że jeżeli baza zawiera-
jąca dane o klientach zostanie ujawniona (na przykład trafi do konkurencji lub do
szerszego grona osób nieuprawnionych), to b¹dzie to miaÅ‚o bardzo duży wpÅ‚yw na
działalność firmy (z punktu widzenia poufności). Jeśli baza zostanie w jakiś sposób
uszkodzona, także b¹dzie to zwiÄ…zane z wysokim wpÅ‚ywem na codziennÄ… dziaÅ‚alność
firmy (z perspektywy integralności), bo być może jest ona wykorzystywana podczas
sprzedaży produktów przedsi¹biorstwa. Jeżeli baza danych stanie si¹ przez pewien czas
niedost¹pna, wpÅ‚yw na dziaÅ‚alność firmy b¹dzie stosunkowo niski (patrzÄ…c z punktu
widzenia atrybutu dost¹pnoÅ›ci), dlatego że wglÄ…d w dane klientów nie jest niezb¹dny
przez cały czas. Matryca krytyczności może wspomóc twórców polityki bezpieczeń-
stwa w procesie decyzyjnym podczas przydzielania właściwego poziomu zabezpie-
czenia poszczególnym zasobom firmy i przekÅ‚ada si¹ bezpoÅ›rednio na Å›rodki wdraża-
ne przez pracowników działu IT.
Rozdział 2. f& Tworzenie bezpiecznej infrastruktury sieciowej 37
Przeczytaj jeszcze raz ostatnie zdanie wcześniejszego akapitu, bo mówi ono o tym, że
niewielka tabela w dokumencie, którym może wcale si¹ nie interesujesz, może bezpo-
Å›rednio wpÅ‚ynąć na twoje poczynania. Konieczność dost¹pu do bazy danych o klien-
tach może na przykład wymagać zastosowania metod silnego uwierzytelniania takich,
jak tokeny czy karty mikroprocesorowe (tzw. smart cards), szyfrowania transmisji
w sieci VPN, cz¹stej koniecznoÅ›ci sporzÄ…dzania kopii bezpieczeÅ„stwa czy nawet dro-
gich macierzy RAID (które zapewnią zachowanie integralności), ale nie usprawiedli-
wi nadmiarowych klastrów bazy, bo tak naprawd¹ to nie dyspozycyjność jest tu naj-
ważniejsza. Zwróć uwag¹  to wszystko, o czym byÅ‚a mowa w tym podrozdziale,
naprawd¹ jest ważne!
Tworzenie polityki
PrzeszedÅ‚eÅ› już przez faz¹ oceny, w trakcie której udzieliÅ‚eÅ› odpowiedniego wsparcia
grupie konsultantów. Zespół dokonujÄ…cy oceny stworzyÅ‚ matryc¹ krytycznoÅ›ci, która
wÅ‚aÅ›ciwie definiuje stosunek do istotnych zasobów firmy. Nast¹pnym zadaniem b¹-
dzie stworzenie polityki bezpieczeństwa określającej, w jaki sposób wybrane zasoby
powinny być ochraniane. Trzeba pami¹tać, że dokument, w którym nakreÅ›lono zasady
polityki bezpieczeÅ„stwa, ma sporÄ… wag¹. Podobnie jak dokumenty z fazy oceny
w dużym stopniu wpływa on na poziom i standard zastosowanych pózniej środków
bezpieczeństwa.
Polityka bezpieczeństwa określa zasoby, które powinny być zabezpieczone  nie
wskazuje na zastosowanie konkretnych metod. Polityka może mówić o konieczności
zastosowania szyfrowania informacji krytycznych, ale nie dowiesz si¹ z niej, czy do
szyfrowania masz wykorzystać algorytm TripleDES czy IDEA. Nie dowiesz si¹ tak-
że, z którego oprogramowania masz skorzystać i nie uzyskasz informacji o sposobie
implementacji szyfrowania. Takich informacji nie uwzgl¹dnia si¹ w polityce bezpie-
czeÅ„stwa, gdyż w przypadku zmiany stosowanej w firmie technologii caÅ‚Ä… polityk¹ [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • dona35.pev.pl