Współczesne przedsiębiorstwa, zmuszone do prowadzenia działalności w warunkach niepewności i chaosu, poddają modyfikacjom swoje podejście do bezpieczeństwa. W obliczu trudności związanych z niepewnością i chaosem przedsiębiorstwa stoją przed koniecznością brania pod uwagę zarówno zdarzeń lokalnych, jak i globalnych, wpływających na ich działalność. Potrzeba poczucia bezpieczeństwa stanowi jedną z zasadniczych potrzeb człowieka, jest wartością pierwotną i podstawą. Stąd też kategoria bezpieczeństwa agreguje wszystkie składowe najważniejszej dla człowieka wartości. W związku z tym, zaliczając bezpieczeństwo do dóbr podstawowych, należy podkreślić, iż powinno ono stanowić przedmiot szczególnej uwagi w zarządzaniu organizacją gospodarczą niezależnie od form zorganizowania, szczebla hierarchicznego i stopnia rozwoju. Zgodnie z Ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity Dz. U. 2002 Nr 101 poz. 926, ze zmianami) oraz Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 Nr 100 poz. 1024) podmioty przetwarzające dane osobowe powinny opracować politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W odniesieniu do postrzegania i poszukiwania poczucia bezpieczeństwa warto wziąć pod uwagę model zaprezentowany przez D. Frei’a, który uwzględnia cztery elementy1: • stan braku bezpieczeństwa – w którym występuje rzeczywiste i istotne zagrożenie zewnętrzne, którego postrzeganie jest adekwatne, • stan obsesji – w którym niewielkie zagrożenie postrzega się jako duże, • stan fałszywego bezpieczeństwa – w którym istotne zagrożenie postrzegane jest jako niewielkie, • stan bezpieczeństwa – w którym zagrożenie zewnętrzne jest niewielkie, a jego postrzeganie prawidłowe. 1.Liedel K., Bezpieczeństwo informacyjne w dobie terrorystycznych i innych zagrożeń bezpieczeństwa narodowego, Wydawnictwo Adam Marszałek, Toruń 2006, s. 9. Literatura przedmiotu szeroko omawia pojęcie i typologie bezpieczeństwa z różnych perspektyw. Dokonując ich przeglądu, można zauważyć, iż po pierwsze: charakteryzuje je duży poziom ogólności i odmienność spojrzenia na problem bezpieczeństwa z racji reprezentowania przez autorów różnych dyscyplin naukowych, takich jak lingwistyka, politologia, psychologia, wojskowość i zarządzanie. Po drugie: podstawowym zadaniem przedsiębiorstw jest tworzenie i doskonalenie systemów bezpieczeństwa, przy czym stwarza się poczucie bezpieczeństwa dla pracowników przedsiębiorstw i ich otoczenia. Najszersze rozumienie bezpieczeństwa wyraża się w stwierdzeniu, iż „pewien podmiot jest bezpieczny, jeśli jest zdolny do osiągania swoich celów”2. Wydaje się jednak, iż dla potrzeb niniejszego opracowania odpowiednia jest definicja bezpieczeństwa W. Šmid’a, zgodnie z którą bezpieczeństwo to sytuacja odznaczająca się brakiem ryzyka np. w inwestowaniu, planach strategicznych, zasobach materialnych i ludzkich3. Bezpieczeństwo informacji to nic innego, jak „obrona informacyjna, która polega na uniemożliwieniu i utrudnieniu zdobywania danych o fizycznej naturze aktualnego i planowanego stanu rzeczy i zjawisk we własnej przestrzeni funkcjonowania oraz utrudnianiu wnoszenia entropii informacyjnej do komunikatów i destrukcji fizycznej do nośników danych”4. Na każdym poziomie zarządzania bezpieczeństwem informacji zasadniczym celem jest niedopuszczenie do jej ujawnienia. Należy podkreślić, że zbyt szerokie rozumienie bezpieczeństwa może utrudniać przepływ informacji w państwie, przedsiębiorstwie itp. – informacji, które są niezbędne do ich sprawnego i skutecznego funkcjonowania. Na tym tle jawi się istotna kwestia związana z zagadnieniem bezpieczeństwa informacyjnego, które dotyczy ochrony informacji stanowiących tajemnicę państwową, względnie służbową. Bezpieczeństwo informacyjne w szerokim ujęciu rozumiane jest jako stan wolny od zagrożeń, które z kolei rozumiane są głównie jako: • przekazywanie informacji nieuprawnionym podmiotom, • szpiegostwo, • działalność dywersyjna lub sabotażowa5. Przestępstwa występujące w biznesie tworzą specyficzną grupę, ponieważ, zagrażając przedsiębiorstwom czy instytucjom, stanowią zagrożenie dla zasobów organizacji, np. dla posiadanych baz informacji, środków pieniężnych, wartości firmy, takich jak reputacja, wyrobione stosunki bądź przywileje handlowe danego przedsiębiorstwa. Pojęcie bezpieczeństwa informacyjnego można przybliżyć poprzez identyfikację następujących obszarów zagrożeń: • zagrożenia losowe – wszelkiego rodzaju klęski żywiołowe, katastrofy, wypadki, które wpływają na stan bezpieczeństwa informacyjnego organizacji (np. pożar budynku, w którym przechowywane są nośniki informacji),

2.Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa polskiego, Wydawnictwo Adam Marszałek, Toruń 2006. 3.Konieczny J. (red.), Bezpieczeństwo. Teoria i praktyka. Moralne problemy bezpieczeństwa, czasopismo Krakowskiej Szkoły Wyższej im. A. Frycza Modrzewskiego, numer specjalny, Kraków 2008. 4.Borowiecki R., Kwieciński M., Monitorowanie otoczenia, przepływ i bezpieczeństwo informacji. W stronę integralności przedsiębiorstwa, Zakamycze 2003. 5.Bączek P., Zagrożenia informacyjne a bezpieczeństwo państwa Polskiego, Wydawnictwo Adam Marszałek, Toruń 2006, s. 71. • tradycyjne zagrożenia informacyjne – szpiegostwo, działalność dywersyjna lub sabotażowa (ukierunkowana na zdobycie informacji, ofensywną dezinformację prowadzoną przez inne osoby, podmioty, organizacje). • zagrożenia technologiczne – zagrożenia związane z gromadzeniem, przechowywaniem, przetwarzaniem i przekazywaniem informacji w sieciach teleinformatycznych (do takich zagrożeń zaliczamy przestępstwa komputerowe, cyberterroryzm, walkę informacyjną), • zagrożenia wynikające z niedostatecznych rozwiązań organizacyjnych i strukturalnych. Zagrożenia można podzielić ze względu na lokalizację ich źródła na:

1. wewnętrzne (powstające wewnątrz organizacji), które obejmują: o zagrożenie utratą, uszkodzeniem danych lub brakiem możliwości obsługi z powodu błędu lub przypadku, o zagrożenie utratą lub uszkodzeniem poprzez celowe działania nieuczciwych użytkowników,
2. zewnętrzne (powstające poza organizacją), które obejmują zagrożenie utratą, uszkodzeniem danych lub pozbawieniem możliwości obsługi przez celowe lub przypadkowe działanie ze strony osób trzecich w stosunku do sieci lub systemu,
3. fizyczne, w których utrata, uszkodzenie danych lub brak możliwości obsługi następuje z powodu wypadku, awarii, katastrofy lub innego nieprzewidzianego zdarzenia wpływającego na system informacyjny bądź urządzenie sieciowe6. Jednym z najistotniejszych potencjalnych źródeł zagrożeń dla bezpieczeństwa przedsiębiorstw jest naruszanie przepisów ochraniających te organizacje przez osoby posiadające dostęp do informacji. Napotyka się również bariery i trudności związane z wdrażaniem w życie ustawy o ochronie informacji niejawnych.

Ochrona danych - dotyczy tworzenia, przechowywania i posługiwania się zbiorami danych, a także pojedynczymi danymi, mająca na celu administracyjnoprawną ochronę prawa do prywatności. Regulacje prawne:

• prawo międzynarodowe
• prawo polskie Utrata cennych danych lub poufnych informacji w firmie, może spowodować nieobliczalne skutki. Kradzież czy zniszczenie informacji nie tylko zagraża sprawnemu funkcjonowaniu przedsiębiorstwa, ale również może doprowadzić do jego bankructwa. Mówiąc o bezpieczeństwie organizacji należy określić: • co chronimy • przed czym chronimy (czyli jakie są zagrożenia). Ochrona danych jest jednym z najważniejszych zadań zapewniających bezpieczeństwo organizacji (firmie), w głównej mierze polega na: • zarządzaniu bezpieczeństwem, • legalizacją i uwierzytelnianiem dostępu do danych, • zarządzanie treścią. Do zarządzanie bezpieczeństwem potrzebna jest tzw. polityka bezpieczeństwa.

6.Żebrowski A., Kwiatkowski M., Bezpieczeństwo informacji III Rzeczypospolitej, Ofi cyna Wydawnicza Abrys, Kraków 2000, s. 65.

Polityka bezpieczeństwa Zaprojektowanie zasad bezpieczeństwa organizacji to innymi słowy określenie jej polityki bezpieczeństwa. Polityka bezpieczeństwa powinna być przygotowana w sposób realistyczny i praktyczny. Oznacza to, że powinna odzwierciedlać faktyczne potrzeby związane z bezpieczeństwem organizacji i faktyczne możliwości jego zapewnienia oraz powinna dawać jasne wytyczne, w jaki sposób system bezpieczeństwa ma być konstruowany i jak ma funkcjonować. Politykę bezpieczeństwa organizacji pod względem wagi i charakteru porównać można do polityki obronnej państwa. Określaniem polityki bezpieczeństwa zajmuje się zarząd organizacji oraz managerzy odpowiedzialni za bezpieczeństwo. Sposoby realizacji polityki obronnej to strategie obrony, natomiast zadania opracowywania i realizacji taktyk współdzielą kierownicy, administratorzy i użytkownicy. Formalną podstawą systemu bezpieczeństwa w organizacji jest dokument zwany „Polityką bezpieczeństwa". W nim określa się, które zasoby organizacji mają być chronione i jakie metody powinny być do tego użyte. Dokument ten musi być zgodny z aktualnymi przepisami prawnymi. Poza wymienieniem potrzebnego do zapewnienia założonego poziomu bezpieczeństwa sprzętu, oprogramowania i zasobów ludzkich, musi definiować odpowiednie procedury na wypadek awarii czy włamania. Politykę należy stosować w organizacji w sposób spójny. Powinna ona stanowić dla pracowników źródło informacji przydatnych podczas wykonywania codziennych obowiązków. Dobrze przemyślana i napisana polityka służy również w charakterze zabezpieczenia dla organizacji i jej zarządu w przypadku potrzeby wskazania odpowiedzialności. W skład dokumentów polityki bezpieczeństwa wchodzą również standardy, zalecenia, wzorce i procedury. Źródła polityki bezpieczeństwa: • Analiza zasobów danych – które należy chronić - znajdujących się w organizacji oraz • określenie ich wartości. • Analiza struktury organizacyjnej. • Analiza obiegu dokumentów w organizacji, metod ich niszczenia i poziomów dostępu do nich. Dodatkowo przydaje się jasne określenie zakresu informacji niejawnych, zwłaszcza dotyczących systemów informatycznych firmy. • Analiza struktury fizycznej. • Analiza ryzyka.

Rozpoznanie potrzeb zabezpieczania informacji powinno uwzględniać następujące zagadnienia jak: • uprawnienia; • obowiązki; • zagrożenia; • silne strony; • usługi bezpieczeństwa; • priorytety; • ograniczenia projektowe. Definicje: • Słaby punkt (podatność) określamy jako słabość procedur bezpieczeństwa systemu, jego projektu, implementacji lub wewnętrznych mechanizmów kontrolnych, która może zostać wykorzystana (przypadkowo lub celowo) i skutkować złamaniem zabezpieczeń lub naruszeniem polityki bezpieczeństwa. • Skutek – różnorodne negatywne efekty, które mogą być wywołane w wyniku wykorzystania słabego punktu. Poziom skutku jest uzależniony od zagrożenia i stanowi relatywną wartość elementów dotkniętej nim infrastruktury i zasobów. • Ryzyko jest funkcją prawdopodobieństwa udanego wykorzystania potencjalnego słabego punktu przez źródło zagrożenia oraz niepożądanego skutku takiego zdarzenia dla organizacji. • Zagrożenie to potencjał wykorzystania (przypadkowego lub celowego) określonego słabego punktu przez źródło zagrożenia. Źródło zagrożenia jest definiowane jako:

1. Zamiar i metoda celowego wykorzystania słabego punktu.
2. Sytuacja i metoda przypadkowego wywołania negatywnego skutku za pośrednictwem słabego punktu. Najczęściej spotykanymi typami źródeł zagrożeń są źródła naturalne, takie jak burze czy powodzie i źródła ludzkie, takie jak złośliwe ataki i działania przypadkowe oraz źródła środowiskowe, takie jak zanik zasilania. Elementy organizacji podlegające ochronie podzielić można na trzy kategorie: zasoby materialne, dane (informacje) przechowywane w organizacji i - reputacja. Zasoby materialne organizacji to cała infrastruktura produkcyjna (lub usługowa, w zależności od charakteru organizacji) i do jej ochrony stosowane są zwykle powszechnie znane metody zabezpieczeń (alarmy, zabezpieczenia antywłamaniowe, pracownicy ochrony, itp.). Ochrona zasobów materialnych organizacji jest zagadnieniem równie istotnym jak ochrona pozostałych jej elementów. Jednak w niniejszym wykładzie przyjmiemy założenie, że funkcjonowanie organizacji oparte jest na wykorzystaniu systemu informatycznego i bezpieczeństwu tegoż właśnie poświęcona będzie dalsza jego część. Należy jednak mieć na uwadze, iż niedostateczna ochrona organizacji przed fizycznym dostępem osób nie upoważnionych może mieć bardzo poważne konsekwencje. Reputacja. Wbrew pozorom jest to bardzo ważny element i powinien podlegać szczególnej ochronie. Intruz zwykle podszywając się pod pracownika wysyłając obraźliwe lub nieprawdziwe informacje może wyrządzić wiele szkody. W przypadku podszywania się intruzów pod pracowników przez pewien okres, po niemiłych incydentach może powstać opinia, iż organizacja ta zatrudnia nie godne zaufania osoby (często niesłusznie) lub —już po wyjaśnieniu sprawy — osób nie potrafiących ochronić się przed włamaniem do systemu komputerowego (często słusznie). Taka utrata reputacji może powodować spadek zaufania do instytucji, co często daje w rezultacie wymierne straty finansowe.

Podstawy prawne ochrony informacji.

Kodeks karny: • Art. 267: Kto bez uprawnień uzyskuje informacje nie dla niego przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne lub inne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. • Art. 268: Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji (…), jeżeli czyn dotyczy zapisu na komputerowym nośniku informacji, podlega karze pozbawienia wolności do lat trzech. • Art. 269: Kto na komputerowym nośniku informacji niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa (…) administracji rządowej, innego organu państwowego lub administracji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od sześciu miesięcy do lat ośmiu. • Art. 287: Kto w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody bez upoważnienia wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od trzech miesięcy do lat pięciu.

Według policji wykrywalność wymienionych przestępstw – tzw. przestępstw przeciwko ochronie informacji – wynosi ponad 60 %. W sumie co roku stwierdza się w Polsce kilkaset takich przestępstw, a ich liczba stale rośnie.

Bezpieczeństwo systemu informatycznego.

W czasach gdy kluczowe dane dla każdej firmy i organizacji są przechowywane w postaci elektronicznej – bazy danych na serwerach – bezpieczeństwo systemów informatycznych jest sprawą niezwykle istotną. W wielu firmach pokutuje pogląd, że atak może nastąpić z zewnątrz – takie firmy posiadają zwykle doskonałe zabezpieczenia. Jednakże ochrona danych to nie tylko zabezpieczenie ich przed atakami z sieci – to także odpowiednia polityka postępowania wewnątrz firmy. Wiele spośród najgłośniejszych ataków crakerskich przeprowadzono od wewnątrz korporacyjnej sieci. Dlatego ważniejsze od urządzeń zabezpieczających jest świadomość pracowników, dopiero ona, w połączeniu z odpowiednim sprzętem i oprogramowaniem, gwarantuje bezpieczeństwo systemu informatycznego. Ogólnie przyjęte zasady zabezpieczania systemów informatycznych • Bezpieczeństwo informatyczne jest elementem ułatwiającym realizację misji organizacji. • Bezpieczeństwo informatyczne jest integralnym elementem właściwego zarządzania. • Bezpieczeństwo informatyczne powinno być efektywne pod względem kosztowym. • Odpowiedzialność właścicieli systemu wybiega poza granice ich organizacji. • Odpowiedzialność za bezpieczeństwo informatyczne oraz zasady rozliczania • użytkowników powinny być jednoznaczne. • Bezpieczeństwo informatyczne wymaga jasno zdefiniowanego i zintegrowanego podejścia. • Skuteczność zabezpieczeń systemu powinna być okresowo weryfikowana. • Bezpieczeństwo informatyczne jest ograniczone czynnikami społecznymi.

Bezpieczeństwo systemu informatycznego obejmuje: •Zarządzanie programowe — zarządzanie bezpieczeństwem informatycznym na odpowiednich poziomach ze scentralizowanym systemem wymuszania i kontroli. •Zarządzanie ryzykiem — proces oceny ryzyka, którego zadaniem jest redukcja ryzyka do akceptowalnych poziomów i utrzymanie tego poziomu ryzyka. •Planowanie cyklu rozwoju — zarządzanie bezpieczeństwem na podstawie cyklu rozwoju systemu. Plan bezpieczeństwa systemu należy opracować przed etapem inicjalizacji cyklu rozwoju systemu, tak aby mógł być uwzględniony w kolejnych jego częściach. •Zagadnienia związane z personelem i użytkownikami — ta kategoria praktyk obejmuje menedżerów, użytkowników i implementatorów oraz ich uprawnienia dostępu do zasobów systemu informatycznego. •Przygotowanie do zdarzeń losowych i katastrof— planowanie zmierzające do zabezpieczenia działania organizacji w przypadku katastrofy lub przerwy w działaniu systemu. • Reakcja na wystąpienie incydentów związanych z zabezpieczeniami — szybkie i efektywne podejmowanie odpowiednich działań na wypadek incydentów związanych z wewnętrznymi lub zewnętrznymi próbami uzyskania nieautoryzowanego dostępu. • Świadomość i szkolenia — zapewnienie szkoleń kształtujących świadomość bezpieczeństwa informatycznego dla wszystkich pracowników mających kontakt z systemami informatycznymi. • Zagadnienia bezpieczeństwa w dziedzinie administracji i obsługi — zastosowanie zasad bezpieczeństwa systemów informatycznych w zadaniach realizowanych przez administratorów systemu i zewnętrzne służby obsługi. • Bezpieczeństwo fizyczne i środowiskowe — implementacja mechanizmów kontroli środowiskowej i fizycznej, takich jak utrzymanie i monitorowanie właściwej temperatury i wilgotności czy też zabezpieczenie komputerów przenośnych i nośników magnetycznych. • Identyfikacja i uwierzytelnianie — implementacja środków kontroli dostępu z wykorzystaniem mechanizmów identyfikacji i uwierzytelniania w celu zabezpieczenia przed dostępem nieautoryzowanych użytkowników do zasobów systemu informatycznego. • Logiczna kontrola dostępu — środki techniczne służące do wymuszania polityki bezpieczeństwa systemu informatycznego na poziomie dostępu do zasobów informatycznych. • Analiza zdarzeń — zapis działań w systemie i zastosowanie środków umożliwiających śledzenie zdarzeń na poziomie poszczególnych użytkowników, detekcji włamań, rekonstrukcji zdarzeń nietypowych i identyfikacji problemów. • Kryptografia — udostępnienie usług bezpieczeństwa, polegających na zabezpieczeniu poufności i integralności informacji poprzez implementację techniki podpisu elektronicznego.

Do aspektów fizycznych bezpieczeństwa należy zdefiniowanie obiegu dokumentów w firmie, metod ich niszczenia (niszczarki) i poziomów dostępu do nich. Dodatkowo przydaje się jasne określenie zakresu informacji niejawnych, zwłaszcza dotyczących systemów informatycznych firmy. Należy również rozważyć metody ochrony stacji roboczych ze specjalnym uwzględnieniem komputerów administratorów, z uwagi na ich uprzywilejowanie w dostępie, znajdującą się na nich dokumentację itp. Projektując politykę bezpieczeństwa, należy pamiętać, że ponad 80% ataków na systemy pochodzi z wnętrza sieci. Z tego względu nie należy ufać własnym pracownikom, dlatego też użytkownicy w sieci nie powinni mieć większych możliwości niż bezwzględnie jest im to potrzebne. Ograniczenia nakładane na użytkowników powinny tworzyć czytelne reguły dostępu do różnych zasobów i umożliwiać szybką lokalizację nielojalnego lub nieostrożnego pracownika. Użytkownik powinien również ponosić odpowiedzialność za zachowanie w tajemnicy haseł, dokumentacji, informacji o systemach używanych w firmie, o topologii sieci komputerowej, metodach jej zabezpieczeń i szczegółach polityki bezpieczeństwa. Każdy użytkownik powinien zostać przeszkolony w dotyczących go zagadnieniach bezpieczeństwa. Należy także uczulić użytkowników na sytuacje niestandardowe, przykładowo administratora dzwoniącego z prośbą o podanie hasła. Zmniejszymy tym samym niebezpieczeństwo ataków typu „inżynieria społeczna".

Kradzież i modyfikacja informacji, szpiegostwo. Istnieje cały szereg zagrożeń dla bezpieczeństwa systemu informatycznego organizacji. Najbardziej oczywiste są zagrożenia związane z kradzieżą i nielegalną modyfikacją danych. Kradzieży mogą podlegać informacje, które później są wykorzystywane bezpośrednio (np. informacje o planach działań firmy) lub informacje pośredniczące w uzyskaniu innych informacji (np. kradzież haseł przesyłanych kanałami transmisyjnymi). Zdobycie poufnych informacji przez intruza nie musi odbywać się na drodze technicznej; informacje te może wyłudzić lub zdobyć podstępem od użytkowników systemu. Dlatego też niezwykle ważną rolę w ochronie informacji odgrywa czynnik ludzki. Istotnym zagrożeniem jest również niewłaściwe skonfigurowanie usług sieciowych świadczonych przez system informatyczny organizacji. Poufne informacje mogą wówczas „przeciekać" legalnymi kanałami przepływu informacji. Szereg zagrożeń wiąże się również z bezprawną modyfikacją danych. Systemy powinny być w odpowiedni sposób zabezpieczane przed kradzieżą i atakami na autentyczność danych. Szczególnie niebezpieczną odmianą kradzieży informacji jest szpiegostwo. Szpiegostwo ma na celu zdobycie ważnych, poufnych danych w celu późniejszego wykorzystania ich przeciw właścicielowi. Istnieją różne odmiany tej działalności: szpiegostwo przemysłowe, militarne, polityczne. Znane są przykłady takich działań: włamania do sieci komputerowej Pentagonu czy wspomniana afera polityczna „Computergate". Niebezpieczeństwa wynikające z działalności szpiegów są powszechnie znane i nie wymagają komentarza. Wzrost poziomu tych zagrożeń w ostatnich latach związany jest silnie z dynamicznym rozwojem globalnej sieci komputerowej. Jednym z najprostszych do przeprowadzenia przez intruza ataków na system jest atak polegający na tak silnym przeciążeniu działania systemu, iż niemożliwa okaże się praca w tym systemie. Ten rodzaj sabotażu może sparaliżować pracę organizacji w takim stopniu, że nie będzie ona mogła normalnie funkcjonować. Napastnik „zaleje" system falą komunikatów, listów elektronicznych, połączeń modemowych i żądań usług sieciowych w tak dużym stopniu, że system nie będzie praktycznie robił nic poza próbami wykonania tych wszystkich zleceń. Bardziej wyrafinowane ataki polegają na przekierowaniu żądań usług systemu w inne, zupełnie niewłaściwe miejsca. Szczególną bolączką jest fakt, że ochrona przed blokadą usług systemu jest bardzo trudna; w praktyce wiąże się z izolowaniem systemu od otoczenia sieciowego. Jak wspomnieliśmy wcześniej, zagrożone są również zasoby komputerowe systemu, takie jak: pamięć dyskowa, czas obliczeniowy, pamięć operacyjna. Niezależnie od tego, że działanie w systemie komputerowym organizacji nieproszonych gości przeciąża system, to jest także źródłem powstawania innych, poważniejszych zagrożeń, jak kradzież informacji czy różnorakie formy jej modyfikacji. Zniszczenie danych przechowywanych, w systemie komputerowym organizacji może być zarówno aktem wandalizmu, jak i świadomym działaniem konkurencji. Nawet jeśli istnieją kopie bezpieczeństwa systemu, to ponowne instalowanie systemu operacyjnego, specjalistycznego oprogramowania czy danych wiąże się ze stratą pewnej ilości czasu i całkowitym lub częściowym zablokowaniem funkcjonowania instytucji. Istnieją też pewne informacje, które zostaną utracone bezpowrotnie, a mianowicie te, które powstały od czasu utworzenia ostatniej kopii bezpieczeństwa systemu.

Metody oceny bezpieczeństwa systemu informatycznego. Pierwsza z tych metod polega na przydziale systemowi tzw. klasy bezpieczeństwa określonej w ramach szeroko obecnie stosowanego standardu „The Orange Book". Pełna nazwa tego standardu to Trusted Computer Systems Evaluation Criteria. Dokument ten opracowany został w Departamencie Obrony USA i zawiera opis kryteriów przydziału analizowanych systemów do odpowiednich klas bezpieczeństwa, informacje na temat sposobu wykonywania analiz bezpieczeństwa, a także zalecenia dotyczące zapewniania bezpieczeństwa systemu informatycznego. Druga metoda oceny poziomu bezpieczeństwa polega na wykonaniu ekspertyz określanych mianem analizy ryzyka. Cechą charakterystyczną analizy ryzyka jest to, że dokonywana ocena w silnym stopniu uwzględnia prawdopodobieństwo wystąpienia danego zagrożenia - w myśl zasady, że byłoby nierozsądne zajmować się względnie mało prawdopodobnym ryzykiem wówczas, gdy nie zostały jeszcze odparte zagrożenia potencjalnie bardziej dotkliwe w skutkach.

The Orange Book W pierwszej części The Orange Book zdefiniowane są podstawowe pojęcia i koncepcje omawiane w dalszej części dokumentu. Oto one: Monitor referencyjny jest mechanizmem wymuszania autoryzowanego Dostępu podmiotów systemu do jego obiektów. Natomiast mechanizm kontroli poprawności odwołania jest implementacją koncepcji monitora referencyjnego. Mechanizm ten służy do sprawdzania poprawności każdego odwołania do danych lub programu przez użytkownika (lub program) pod względem zgodności z listą autoryzowanych typów dostępów dla danego użytkownika. W związku z tym mechanizm kontroli poprawności odwołania musi być: • odporny na próby niepoprawnego użytkowania, • zawsze uruchamiany, • dostatecznie mały, by mógł być poddawany analizie i testom w celu sprawdzenia pewności zabezpieczenia. Wczesne implementacje mechanizmu kontroli poprawności odwołań znane są pod nazwą jąder ochrony. Jądro ochrony jest kombinacją sprzętu i oprogramowania, które realizują koncepcję monitorowania odwołań. Aby rozszerzyć kryteria oceny bezpieczeństwa również na systemy nie zawierające jądra ochrony, wprowadzono pojęcie Trusted Computing Base (TCB). TCB jest „sercem" bezpiecznego systemu komputerowego zawierającym wszystkie elementy odpowiedzialne za realizację polityki bezpieczeństwa i wspieranie izolacji obiektów systemu objętych ochroną. Tak więc TCB zawiera sprzęt i oprogramowanie krytyczne dla ochrony systemu i musi być zaprojektowane i zaimplementowane tak, aby zapewniać założony poziom ochrony. TCB powinna mieć na tyle prostą strukturę, aby możliwe było wykonanie testów i analiz, dających odpowiedź na pytanie, czy system jest godny zaufania.

Klasy oceny bezpieczeństwa. Ocena poziomu bezpieczeństwa systemu polega na zakwalifikowaniu go do którejś z poniższych klas: Klasa D: Minimal protection. Do klasy tej włączane są systemy, które były ocenione, ale nie zostały zakwalifikowane do żadnej z pozostałych klas. Klasa Cl: Discretionary security protection. TCB tej klasy zapewnia separację użytkowników i danych. Uzyskany poziom bezpieczeństwa pozwala użytkownikom chronić dane związane z projektami, nad którymi pracują, czy dane prywatne, uniemożliwiając innym użytkownikom ich odczyt, modyfikowanie lub usuwanie. Klasa C2: Controlled access protection. Systemy tej klasy wymuszają silniejszy poziom ochrony niż dla klasy Cl poprzez wprowadzanie procedur logowania, mechanizmów audytu i izolacji zasobów. Klasa B1: Labeled security protection. Systemy te posiadają wszystkie właściwości systemów klasy C2. Dodatkowo wprowadzony jest element etykietowania podmiotów i obiektów (opisywania ich właściwości w systemie bezpieczeństwa). Klasa B2: Structured protection. TCB jest oparta na jasno zdefiniowanej i udokumentowanej polityce bezpieczeństwa. Ponadto TCB musi być podzielona na część krytyczną pod względem ochrony (protectioncritical) i resztę. TCB ma posiadać dobrze zdefiniowany interfejs i jest łatwa w testowaniu (posiada odpowiednie mechanizmy). Wzmocnione muszą być mechanizmy uwierzytelniania oraz narzędzia administrowania bezpieczeństwem systemu. System musi być względnie odporny na penetrację Klasa B3: Security domains. Zminimalizowana jest złożoność TCB w celu umożliwienia wykonania dokładniejszych analiz. System posiada silne wsparcie dla administracji bezpieczeństwem, mechanizm audytu rozszerzony do reagowania na sygnały związane z bezpieczeństwem. Wymagane jest opracowanie procedur odtwarzania stanu systemu. System jest wysoce odporny na penetrację. Klasa A1: Verified design. Systemy tej klasy są funkcjonalnie równoważne systemom klasy B3. Różnica polega na tym, że istnieje możliwość weryfikacji, czy TCB jest poprawnie zaimplementowana.

Analiza ryzyka.

Analiza ryzyka to systematyczny podział zagrożeń danych i środków im przeciwdziałających na kategorie oraz określenie planu działania, który skieruje większość zasobów (technicznych i pozatechnicznych ) przeciw najbardziej prawdopodobnemu ryzyku. Istotną sprawą jest uwzględnianie priorytetów zagrożeń. Analiza ryzyka nie ma na celu stworzenia planu całkowitej ochrony; ma zapewnić stopień bezpieczeństwa proporcjonalny do wagi chronionej informacji.

Zarządzanie bezpieczeństwem systemu informatycznego.

Na zarządzanie bezpieczeństwem systemu informatycznego składa się kilka technik pozwalających w znacznym stopniu na zminimalizowanie ryzyka naruszenia poufności, integralności oraz dostępności informacji. Narzędzia i techniki zarządcze, choć nie tak spektakularne jak zaawansowane rozwiązania techniczne, mogą być bardzo skuteczne w implementacji i utrzymaniu bezpieczeństwa systemu przy rozsądnych kosztach. Do tego typu narzędzi zalicza się politykę bezpieczeństwa, planowanie urlopów, sprawdzanie historii kariery pracowników, szkolenia kształtujące świadomość bezpieczeństwa oraz planowanie zdarzeń. Zarządzanie bezpieczeństwem systemu informatycznego odbywa się metodą zstępującą. Zarząd jednostki musi skonstruować, dystrybuować i wymuszać stosowanie polityki bezpieczeństwa organizacji. Ważnym aspektem tej polityki jest odpowiedni personel, wyszkolony w świadomości jej wymogów. Gdy polityka i związane z nią procedury są już opracowane, należy posłużyć się narzędziami zarządczymi, które pozwolą na zapewnienie odpowiedniego poziomu wprowadzanych rozwiązań. Innym elementem zarządzania bezpieczeństwem jest implementacja właściwych środków bezpieczeństwa. Najlepsza polityka bezpieczeństwa, istniejąca tylko na papierze bądź nie realizowana dostatecznie starannie, nie zapewni dobrej ochrony. Opracowując politykę bezpieczeństwa, należy pamiętać, aby była możliwa do zrealizowania; należy uwzględnić istniejące narzędzia ochrony i koszt jej realizacji. Mówiąc o koszcie wdrożenia polityki bezpieczeństwa, należy zaznaczyć, że do jej realizacji nie zawsze musi być używane drogie oprogramowanie komercyjne. Bezpieczeństwo informatyczne powinno być efektywne pod względem kosztowym – praktyki zarządcze umożliwiają uzyskanie znaczących redukcji ryzyka po rozsądnych kosztach –zależy to od przyjętego modelu bezpieczeństwa.

PODSUMOWANIE.

W dzisiejszych czasach musi istnieć jasna i dobrze zdefiniowana polityka bezpieczeństwa systemu. Ponadto muszą istnieć mechanizmy wymuszające jej realizację. Dla każdego obiektu systemu muszą być określone następujące informacje: poziom ochrony, do którego obiekt należy (tzn. obiekty muszą być w systemie poklasyfikowane według kryterium bezpieczeństwa) oraz prawa dostępu podmiotów, które potencjalnie mogą starać się o dostęp do obiektu. Podmioty muszą być nazwane w jakiś sposób, aby możliwa była ich identyfikacja. System komputerowy musi zawierać sprzętowe i/lub programowe mechanizmy zabezpieczeń, które można w sposób niezależny ocenić pod względem stopnia spełniania wymogów 1 - 4. Mechanizmy ochrony muszą być stale chronione przed nieautoryzowanym dostępem. W przeciwnym wypadku niemożliwe jest utrzymanie odpowiedniego poziomu ochrony. Należy pamiętać, że osiągnięcie całkowitego bezpieczeństwa informatycznych dzisiejszych systemach informatycznych jest w praktyce nieosiągalne. Związane jest to z faktami, iż:

• systemy komputerowe często są systemami „otwartymi"; zaimplementowanie w nich „stuprocentowego" bezpieczeństwa mogłoby spowodować, że straciłyby swój charakter,

• koszt wprowadzenia absolutnego bezpieczeństwa mógłby być tak wysoki, iż przerósłby wartość samego systemu.

Ocena bezpieczeństwa systemu informatycznego może jednak uświadomić, jakie istnieją w nim luki i niedociągnięcia, a przez to znacząco przyczynić się do podniesienia poziomu ochrony informacji przechowywanych i przetwarzanych w tym systemie. Formalny proces inżynierii bezpieczeństwa systemów informatycznych udostępnia solidną podstawę do określania, projektowania, implementacji i oceny systemów wysokiej jakości, cechujących się znacznym poziomem bezpieczeństwa informacji. Zarządzanie ryzykiem oraz zasady bezpieczeństwa systemu informatycznego, zastosowane w ramach cyklu rozwoju systemu zapewniają obsługę systemu na akceptowalnym poziomie ryzyka od fazy rozwoju po fazę wycofania z użytku.