Bezpieczenstwo Unixa w Internecie (www.cuwroclaw.blogspot.com), Biblioteka Konesera

[ Pobierz całość w formacie PDF ]
Strategie
Na ogół
rzecz
ujmując, bezpieczeństwo komputerowe jest zbiorem technicznych rozwiązań
nietechnicznych problemów. Można poświęcić nieograniczoną ilość czasu, pieniędzy i trudu, ale
nigdy się nie rozwiąże problemu przypadkowej utraty danych lub celowego ich niszczenia. Biorąc
pod uwagę odpowiednie środowisko, na które składają się takie elementy, jak błędy programowe,
wypadki, pomyłki, pech, zła pogoda czy wrogo nastawiony i dobrze wyposażony osobnik, należy
stwierdzić, że każdy system może być zagrożony lub uszkodzony.
Zadaniem specjalisty zajmującego się bezpieczeństwem systemów jest nieść pomoc organizacjom
- pomagać im podejmować decyzje dotyczące ilości czasu i pieniędzy, jakie powinny one
poświęcać swojemu bezpieczeństwu. Do innych jego zadań należy zapewnienie organizacjom
strategii, uregulowań i procedur bezpieczeństwa, po to aby pieniądze firm były dobrze wydawane.
Specjalista potrzebny jest zatem do tego, by kontrolować system i zapewniać odpowiednie
stosowanie zaleceń oraz strategii. Dlatego praktyczne bezpieczeństwo jest w zasadzie kwestią
zarządzania i administracji, a nie konkretnych rozwiązań technicznych. Dlatego też
bezpieczeństwo musi należeć do priorytetowych zadań zarządów firm.
W tej książce planowanie bezpieczeństwa podzielono na sześć etapów:
1. Planowanie.
2. Ocena ryzyka.
3. Analiza kosztów i zysków.
4. Tworzenie strategii odpowiadającej konkretnym potrzebom.
5. Implementacja.
6. Audyt i reagowanie na incydenty.
W tym rozdziale omawiamy planowanie, ocenę ryzyka, analizę kosztów i zysków oraz
opracowywanie strategii. Implementacje są omawiane w wielu pozostałych rozdziałach książki.
Audytem zajmujemy się w rozdziale 10, a reagowaniem na incydenty w rozdziałach od 24 do 26.
Są dwie bardzo ważne zasady efektywnej strategii oraz planowania bezpieczeństwa:

Świadomość strategii i bezpieczeństwa musi spływać z góry na dół w hierarchii organizacji.
Dbałość o bezpieczeństwo oraz świadomość użytkowników są bardzo istotne, ale nie są
wystarczające do utrzymania odpowiedniego poziomu bezpieczeństwa. Władze organizacji
powinny traktować bezpieczeństwo jako tak samo ważne jak wszystko inne.

Efektywne bezpieczeństwo komputerowe oznacza ochronę
danych.
Wszystkie strategie i
procedury powinny więc odzwierciedlać potrzeby ochrony danych niezależnie od
przyjmowanej przez nie formy. Dane wydrukowane lub utrwalone na papierze faksowym
nie tracą swojej ważności, choć nie są już zapisane na dysku. Poufne dane o klientach
firmy również nie przestają być aktualne przez to, że zostaną przedyktowane
przez
telefon, a nie przesłane pocztą elektroniczną. Wszelkie informacje powinny być chronione
niezależnie od nośnika, na którym są zapisane.
Planowanie potrzeb związanych z bezpieczeństwem
Komputer jest bezpieczny, jeśli działa tak, jak się tego oczekuje.
Może być wiele rodzajów bezpieczeństwa komputerowego i wiele różnych definicji. W tej książce
zamiast prezentować formalną definicję przedstawiamy informacje dotyczące środków ochrony,
jakie warto powziąć. Uważamy, że bezpieczne komputery to takie, które nadają się do używania,
a komputery, których nie można z jakichś powodów używać, nie są bezpieczne.
W tej szerokiej definicji mieści się wiele kategorii bezpieczeństwa, które powinny interesować
zarówno administratorów, jak i zwykłych użytkowników:
Poufność
Ochrona danych przed odczytem i kopiowaniem przez kogokolwiek, kto nie został upoważniony
przez ich właściciela. Ten typ bezpieczeństwa obejmuje nie tylko ochronę danych w całości, ale
również poszczególnych jej fragmentów, które same wyglądają niewinnie, ale mogą być użyte do
naruszenia poufności innych.
Spójność danych
Ochrona informacji (w tym programów) przed usunięciem lub jakimikolwiek zmianami bez
1
pozwolenia właściciela. Chronione informacje obejmują takie elementy jak zapisy systemu
rozliczania, taśmy z kopiami zapasowymi, czasy utworzenia pliku i dokumentacje.
Dostępność
Ochrona świadczonych usług przed zniekształceniem i uszkodzeniem. Jeśli legalny użytkownik
potrzebuje skorzystać z systemu, który jest niedostępny, skutek może być taki sam, jak gdyby z
systemu usunięto dane.
Prawidłowość
Zapewnienie pracy systemu zgodnej z oczekiwaniami użytkowników. Jeśli sprzęt i
oprogramowanie zaczną działać radykalnie inaczej niż dotąd, zwłaszcza po uaktualnieniu
oprogramowania lub poprawieniu usterki, może dojść do katastrofy. Wyobraźmy sobie polecenie
/s, które będzie od czasu do czasu usuwało pliki zamiast je wyświetlać! Taki typ bezpieczeństwa
można uznawać za zapewnianie prawidłowości danych i programów.
Sterowanie
Regulowanie dostępu do systemu. Nieznane i nieupoważnione osoby (lub programy), które
znalazły się w systemie, mogą stanowić poważny problem. Trzeba się koniecznie dowiedzieć, jak
dostały się one do systemu. Usuwanie skutków takich epizodów może wymagać znacznego czasu
i nakładów związanych na przykład z przebudowaniem i ponownym instalowaniem systemu oraz
weryfikowaniem, czy nic ważnego nie uległo zmianie lub wyjawieniu - nawet jeśli nic się nie
zdarzyło.
Audyt
Niebezpieczeństwo systemowi grozi nie tylko ze strony nieupoważnionych użytkowników. Często
ci upoważnieni robią błędy, popełniają wykroczenia, a nawet dokonują celowych zniszczeń. W
takiej sytuacji należy sprawdzić, co zrobiono, kto to zrobił i z jakim skutkiem. Jedyną możliwością
uzyskiwania takich informacji jest skorzystanie z niepodatnego na zniszczenia i uszkodzenia
zapisu zdarzeń w systemie, za pomocą którego można zidentyfikować sprawców i ich działania. W
niektórych krytycznych aplikacjach możliwe jest cofnięcie pewnych operacji, co może być
pomocne w przywracaniu prawidłowego stanu systemu.
Wszystkie wymienione tu aspekty bezpieczeństwa są ważne, ale w różnych organizacjach kładzie
się nacisk na różne z nich. Różne podejście bierze się stąd, że w różnych instytucjach różne
rzeczy uznaje się za ważne dla bezpieczeństwa. Na przykład:

W
środowisku bankowym
spójność i audyt należą do zadań priorytetowych, podczas gdy
poufność i dostępność są drugie co do ważności.

W
systemach obrony narodowej,
w których przetwarza się
zastrzeżone dane,
najważ-
niejsza będzie poufność, a najmniej ważna dostępność .

Na
uczelni
najważniejsze będą integralność i dostępność. Priorytetem jest to, aby studenci
mogli pracować nad swoimi dokumentami, a nie śledzenie dokładnych godzin, w których
studenci logują się na swoje konta.
Administrator odpowiedzialny za bezpieczeństwo musi dokładnie rozumieć potrzeby środowiska, w
jakim przyszło mu pracować, oraz jego użytkowników. Powinien więc stworzyć procedury
odpowiednie do swojego pola działań. Nie wszystko, co zawarliśmy w naszej książce, będzie
nadawało się do każdego środowiska.
Zaufanie
Specjaliści związani z bezpieczeństwem komputerowym nie posługują się w stosunku do
systemów pojęciami, takimi jak „bezpieczny" czy „niebezpieczny"*. Zamiast tego wolimy używać
wyrazu „zaufanie" do opisywania naszego poziomu ufności w to, że system komputerowy będzie
się zachowywał zgodnie z oczekiwaniami. To każe nam pamiętać o tym, że absolutne
bezpieczeństwo nigdy nie będzie możliwe. Możemy tylko próbować zbliżyć się do niego budując
zaufanie w całą konfigurację, która będzie gwarantować działanie krytycznych aplikacji.
Zbudowanie odpowiedniego zaufania do systemu komputerowego wymaga pieczołowitości i
planowania. Decyzje powinny być opierane na zdrowej strategii i analizie ryzyka. W pozostałej
części rozdziału omówimy ogólną procedurę wypracowania realnych planów i strategii
bezpieczeństwa. Temat jest zbyt obszerny jednak, aby można mu było poświęcić dogłębną
analizę.

Wszystkim pracującym w firmach, uczelniach i agencjach rządowych sugerujemy
skontaktowanie się z wewnętrznymi działami audytu lub zarządzania ryzykiem po
dodatkową pomoc (mogą tam już być opracowane gotowe strategie i plany, o których
warto wiedzieć). Więcej informacji na ten temat można znaleźć również w niektórych
pracach wspomnianych w dodatku D, pt. „Źródła papierowe". Można również zatrudnić
firmę konsultingową. Niektóre duże firmy zajmujące się księgowaniem i audytem mają już
na przykład grupy specjalistów, którzy oceniają bezpieczeństwo instalacji komputerowych.

Mniejsze instytucje lub osoby używające pojedynczych maszyn mogą stwierdzić, że
omawiamy niektóre zagadnienia o wiele bardziej szczegółowo, niż jest im to potrzebne.
Niemniej zawarte w tym rozdziale informacje z pewnością pomogą odpowiednio ustalić
priorytety.
Ocena ryzyka
Pierwszym krokiem do poprawienia bezpieczeństwa systemu jest odpowiedź na trzy podstawowe
pytania:

Co chronić?

Przed czym chronić?

Ile czasu, wysiłku i pieniędzy można poświęcić, aby zapewnić sobie należna ochronę?
Te trzy pytania tworzą podstawy procesu znanego jako
szacowanie ryzyka.
Szacowanie ryzyka odgrywa bardzo ważną rolę podczas opracowywania strategii bezpieczeństwa
komputerowego. Nie można się chronić, jeśli się nie wie przed czym!
Jeśli się zna zagrożenia, można planować strategie i techniki, które będą potrzebne do ich
zmniejszania.
Jeśli jest na przykład ryzyko wystąpienia awarii zasilania, a dostępność systemu jest bardzo
ważna, można ryzyko to zmniejszyć, kupując zasilacz awaryjny (UPS).
Prosta zasada szacowania
Zaprezentujemy prostą postać zasady szacowania ryzyka, która powinna być dobrym punktem
wyjścia. Rozpatrzymy przykład pewnej bardzo małej firmy. Nie będzie to na pewno przykład
wystarczający dla dużej firmy, instytucji czy uczelni. W przypadku większych organizacji należy
rozpatrzyć możliwość skorzystania ze specjalnych programów do szacowania ryzyka, a także
zatrudnienia firmy konsultingowej mającej doświadczenie w tej dziedzinie .
Szacowanie ryzyka można zamknąć w trzech etapach:
1.
Określanie zasobów.
2.
Określanie zagrożeń.
3.
Wyliczanie ryzyka.
Proces ten może przebiegać na wiele sposobów. Jedna z metod, która okazała się bardzo
skuteczna w naszym przypadku, polega na zorganizowaniu wewnątrz organizacji serii warsztatów.
Przez kilka tygodni należy wspólnie tworzyć listę zasobów i zagrożeń. Pomoże to nie tylko
opracować bardziej kompletną listę, ale również spowoduje wzrost świadomości wśród
uczestników warsztatów.
Określanie zasobów
Należy sporządzić listę elementów, które wymagają ochrony. Lista powinna być oparta na
odpowiednim biznesplanie i zdrowym rozsądku. Proces może wymagać znajomości prawa,
pełnego zrozumienia mechanizmów funkcjonowania organizacji, a także informacji o
funkcjonujących w niej polisach ubezpieczeniowych.
Do elementów wymagających ochrony należy zaliczyć środki materialne (dyski, monitory, kable
sieciowe, nośnik kopii zapasowych, podręczniki itp.) oraz niematerialne (możliwość
kontynuowania przetwarzania, publiczny wizerunek firmy, reputacja w branży, dostęp do
komputera, hasło użytkownika
root).
Lista powinna zawierać wszystko to, co przedstawia pewną
wartość z punktu widzenia strat wynikających z nieosiągniętych zysków, kosztów straconego
czasu oraz wartości napraw i wymian niesprawnych elementów systemu.
Na sporządzonej liście powinny się na pewno znaleźć niektóre z poniższych składników
materialnych:

komputery,

dane o charakterze strategicznym,

kopie zapasowe i archiwa,

podręczniki i książki,

wydruki,

nośniki z komercyjnym oprogramowaniem,

urządzenia i okablowanie komunikacyjne,

dane osobowe,

dane audytu,
a także niektóre z poniższych składników niematerialnych:

bezpieczeństwo i zdrowie pracowników,

prywatność użytkowników,

hasła pracowników,

wizerunek publiczny i reputacja,

dobre imię klientów,

zdolności produkcyjne lub do prowadzenia usług,

dane konfiguracyjne.
Ważne jest szersze spojrzenie na te zagadnienia niż jedynie proste rozważanie aspektów
związanych bezpośrednio z komputerami. Jeśli istnieje obawa, że ktoś chce czytać wewnętrzne
sprawozdania finansowe firmy, nie jest istotne, czy robi to, zdobywając stare wydruki, czy
szperając w cudzej poczcie.
Identyfikowanie zagrożeń
Następnym etapem jest opracowanie listy zagrożeń, na jakie narażone są zasoby organizacji.
Niektóre z nich będą miały charakter środowiskowy, będą to pożar, trzęsienie ziemi, wybuchy
bomb czy powodzie. Należy wziąć pod uwagę również bardzo rzadkie, ale możliwe zdarzenia,
takie jak zawalenie się struktury budynku czy obecność azbestu w pomieszczeniach z
komputerami, która spowoduje konieczność opuszczenia budynku na dłuższy czas. Inne
zagrożenia mogą pochodzić ze strony pracowników oraz z zewnątrz. Oto lista kilku przykładów:
• choroby ważnych osób,
• jednoczesna choroba wielu osób (np. epidemia grypy),
• utrata kluczowych pracowników (rezygnacja z pracy, wygaśnięcie umowy, śmierć),
• utrata możliwości korzystania z łączy telefonicznych lub telekomunikacyjnych,
• krótkotrwała utrata mediów (telefon, woda, prąd),
• długotrwała utrata mediów (telefon, woda, prąd),
• uderzenie pioruna,
• powódź,
• kradzież taśm lub dysków,
• kradzież komputera przenośnego pracownika,
• kradzież komputera domowego pracownika,
• infekcja wirusem komputerowym,
• bankructwo producenta komputerów,
• błędy w programach,
• destrukcyjni pracownicy,
• destrukcyjni współpracownicy z innych firm (np. personel zewnętrznego serwisu),
• złośliwość przedmiotów martwych,
• terroryzm polityczny,
• przypadkowi włamywacze systemowi,
• użytkownicy wysyłający anarchiczne lub strategiczne informacje do grup dyskusyjnych.
Wyznaczanie wymiaru zagrożeń
Po określeniu zagrożeń należy ocenić prawdopodobieństwo każdego ze zdarzeń. Być może łatwiej
będzie oszacować je w układzie rocznym.
Określanie wymiaru zagrożeń może okazać się trudne. Pewne oszacowania można uzyskać od
różnych firm, na przykład od firm ubezpieczeniowych. Jeśli jakieś zdarzenie jest okresowe, jego
prawdopodobieństwo można oszacować statystycznie na podstawie posiadanych danych. W
niektórych instytucjach przechowuje się dane statystyczne i różnego rodzaju raporty. Można
oprzeć się również na zgadywaniu ekstrapolowanym doświadczeniami z przeszłości. Na przykład:

Firma dostarczająca prąd może przedstawić oficjalne oszacowanie prawdopodobieństwa
wystąpienia w przyszłym roku awarii zasilania wskazanego budynku. Może być również w
stanie oszacować stosunek ryzyka wystąpienia kilkusekundowych wyłączeń zasilania do
wystąpienia wyłączeń długoterminowych.

Firma ubezpieczeniowa może dostarczyć aktualnych danych dotyczących
prawdopodobieństwa śmierci kluczowych pracowników w zależności od wieku i stanu
zdrowia

W określeniu prawdopodobieństwa opuszczenia firmy przez ważne osoby mogą pomóc
dane z działu kadr.

Do określenia ryzyka pojawiania się poważnych błędów w oprogramowaniu firmowym w
przyszłym roku powinny wystarczyć własne doświadczenia oraz szacunki (prawdopodobnie
100%).
Jeśli jakieś zdarzenie będzie miało miejsce częściej niż raz do roku, należy zanotować
przewidywaną liczbę jego występowania. Jeśli przewiduje się, że trzęsienia ziemi będą
występować raz na sto lat, ryzyko wyniesie 1%. Jeśli zaś w programie
sendmail
w ciągu roku
pojawią się trzy błędy, należy przyjąć wartość ryzyka za równą 300%.
Weryfikacja ryzyka
Nie można ocenić ryzyka raz i potem o tym zapomnieć. Okresowo szacunki powinno się
weryfikować. Dodatkowo powinno się to robić przy każdej okazji, kiedy wystąpią istotne zmiany
działania lub struktury organizacji. Tak więc ryzyko i potencjalne straty należy szacować w
przypadku przenosin do innego budynku, zmiany dostawców czy innych poważnych zmian.
Analiza kosztów i zysków
Po oszacowaniu ryzyka należy do każdego zagrożenia przypisać odpowiedni koszt i zestawić to
wyliczenie z kosztami ochrony. Takie działanie nazywa się
analizą kosztów i zysków.
Koszty strat
Wyliczenie kosztów może być bardzo trudne. W prostej kalkulacji można wziąć pod uwagę koszty
napraw i wymian poszczególnych elementów. W bardziej rozbudowanym wyliczeniu powinno się
brać pod uwagę koszty zaprzestania świadczenia usług, koszt dodatkowych szkoleń oraz
dodatkowych procedur, których przeprowadzenie uwarunkowane jest występowaniem utraty
reputacji firmy, a nawet koszty, jakie poniosą klienci firmy. Na ogół uwzględnienie większej liczby
czynników będzie wymagało większej pracy, ale zwiększy również dokładność obliczeń.
W większości przypadków nie ma potrzeby przypisywania dokładnych wartości poszczególnych
zagrożeń. Normalnie przypisanie przedziału kosztów do każdego z elementów powinno być
wystarczające. Na przykład strata dziesięciu pustych dyskietek może być zaklasyfikowana do
przedziału „poniżej 500 dolarów", a pożar w pomieszczeniu komputerowym może trafić do
kategorii „ponad 1.000.000 dolarów". Niektóre wydarzenia mogą trafiać do kategorii
„nienaprawialne"; do takich zaliczyć można utratę bazy danych kont albo śmierć jakiegoś
kluczowego pracownika".
Koszty takie można oszacować według pewnej płynnej skali strat, nie tylko na zasadzie
„strata/brak straty". Do następujących kategorii można przypisać różne koszty:
• niedostępność przez krótki okres (krócej niż 7-10 dni),
• niedostępność przez średni okres (1-2 tygodnie),
• niedostępność przez długi okres (ponad 2 tygodnie),
• trwała utrata lub destrukcja,
• przypadkowe błędy pracy i uszkodzenia,
• umyślne straty i uszkodzenia,
• nieautoryzowane wyjawienie zastrzeżonych informacji wewnątrz organizacji,
• nieautoryzowane wyjawienie zastrzeżonych informacji poza organizacją,
• nieautoryzowane wyjawienie wszystkich zastrzeżonych informacji na zewnątrz, konkurencji i
prasie,
• wymiana i naprawa.
Koszty prewencji
Należy wyliczyć koszty, jakie pociągają za sobą działania prewencyjne, które odpowiadają
poszczególnym pozycjom strat.
Na przykład kosztem odzyskania stabilności systemu po chwilowym wyłączeniu zasilania jest
prawdopodobnie wyłącznie to, że pracownicy firmy nie mogą pracować, podczas gdy
administrator usiłuje „podnieść" system. Jednak koszt zapobiegania szkodliwym skutkom nie
dających się przewidzieć wyłączeń zasilania jest równy kosztowi zainstalowania zasilacza
awaryjnego (UPS).
Koszty należy amortyzować w określonym czasie. Uzyskanie tych wartości może ujawnić
dodatkowe koszty, jakie należy wziąć pod uwagę. Na przykład zainstalowanie lepszego systemu
przeciwpożarowego może spowodować zmniejszenie rocznych kosztów za ubezpieczenie od
pożaru i dać dodatkowy odpis podatkowy. Ale wydawanie pieniędzy na system automatycznego
gaszenia pożarów oznacza, że mniej środków przeznaczonych będzie na inne cele, takie jak
lepsze szkolenia pracowników.
Dodawanie
Na zakończenie tego ćwiczenia powinniśmy sporządzić wielowymiarową tablicę zawierającą
zasoby, koszty i ewentualne straty. Dla każdej straty powinno się określić prawdopodobieństwo
jej wystąpienia, przewidywaną wartość oraz koszt prewencji. Jeśli zachodzi potrzeba
przeprowadzenia wnikliwej analizy, można do rozważań włączyć również prawdopodobieństwo
tego, że stosowana ochrona okaże się nieodpowiednia.
Proces określania, czy dana forma prewencji jest, czy nie jest adekwatna, jest teraz dość prosty.
Polega on na pomnożeniu każdej przewidywanej wartości strat przez prawdopodobieństwo jej
wystąpienia, posortowaniu otrzymanych wartości malejąco i porównaniu każdego kosztu
wystąpienia strat z kosztami prewencji.
To porównanie powinno zaowocować listą priorytetowych zadań, jakimi należy się zająć. Lista
[ Pobierz całość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • braseria.xlx.pl
  •