POLITYKA BEZPIECZEŃSTWA WYBRANE ZAGADNIENIA dr inż. Andrzej Wójcik II Konferencja OSPOIN 09-10.10.2002r.
Polityka bezpieczeństwa Zakres oddziaływania
Polityka bezpieczeństwa informacji
Hierarchia polityk bezpieczeństwa polityka działania organizacji dotyczy celów i strategii działania organizacji polityka bezpieczeństwa organizacji dotyczy przetwarzania, przechowywania, dystrybucji, wykorzystania i prezentacji informacji polityka bezpieczeństwa informacji dotyczy informacji wrażliwej polityka bezpieczeństwa systemu informatycznego dotyczy koncepcji bezpieczeństwa interpretowanych jako wymagania systemowe polityka bezpieczeństwa systemu technologicznego dotyczy przetwarzania informacji wrażliwej i wykorzystywania zasobów
Bezpieczeństwo systemu informacyjnego poufność ochrona przed ujawnieniem nieuprawnionemu odbiorcy integralność ochrona przed nieuprawnioną modyfikacją lub zniekształceniem dostępność uprawniony dostęp do zasobów informacyjnych rozliczalność określenie i weryfikowanie odpowiedzialności za wykorzystanie systemu informacyjnego autentyczność weryfikacja tożsamości podmiotów i prawdziwości zasobów niezawodność gwarancja oczekiwanego zachowania systemu i otrzymywanych wyników
Analiza ryzyka
Modele bezpieczeństwa modele bezpieczeństwa w sposób sformalizowany, precyzyjny i jednoznaczny wyrażają te aspekty polityki bezpieczeństwa, których realizacja jest wymagana w systemie informatycznym rzeczywistość opisują w terminach jednostek operacyjnych: podmiotów i obiektów dwa aspekty bezpieczeństwa: procesy – identyfikacja, uwierzytelnianie, autoryzacja właściwości zasobów – poufność, integralność, dostępność, spójność dwa podejścia projektowe: mniej restrykcyjne - to, co nie jest zabronione, jest dozwolone bardziej restrykcyjne - to, co nie jest dozwolone, jest zabronione
Model bezpieczeństwa Założenia ogólne
Model zintegrowanego systemu bezpieczeństwa teleinformatycznego warstwa 5 zarządzanie bezpieczeństwem agenci bezpieczeństwa warstwa 4 protokoły bezpieczeństwa Zarządzania Bezpieczeństwem Baza Danych usługi bezpieczeństwa warstwa 3 warstwa 2 mechanizmy bezpieczeństwa warstwa 1 moduły podstawowe
Zagrożenia klasyfikacja i oddziaływanie
Bezpieczeństwo fizyczne wzorcowy model System ACC System CCTV System sygnalizacji pożaru System zabezpieczenia mechanicznego System ochrony zewnętrznej System ewakuacji i antypanikowy Zintegrowany system nadzoru i monitoringu Chroniony obiekt Architektura, strefy
Projekt zabezpieczenia fizycznego na przykładzie Centrum Przetwarzania Danych
Zintegrowany system zarządzania bezpieczeństwem obiektu
Specjalizowany budynek Specjalizowany budynek. Specjalnie skonstruowane pomieszczenia o wzmocnionej konstrukcji, odporne na działanie ognia, wyposażone w drenaż zapobiegający zalaniom, zabezpieczenia elektrostatyczne, specjalne strefy bezpieczeństwa. Wydzielone osobne strefy bezpieczeństwa dla sprzętu Całodobowy monitoring. Wnętrze i otoczenie budynku Centrum Zapasowego monitorowane w systemie 24x7x365 z wykorzystaniem telewizji przemysłowej. Centrum chronione jest przez strażnikówj. Niezależnie od tego cały teren, na którym znajduje się Centrum zapasowe chroniony jest przez system alarmowy umożliwiający zdalne powiadomienie grupy interwencyjnej. System przeciwpożarowy. Automatyczny system gaszenia poszczególnych pomieszczeń odpowiednimi środkami (np.gaz FM 200 neutralny ludzi i sprzętu), zdublowane czujniki, ścianki i drzwi ognioodporne, specjalne procedury przeciwpożarowe opracowane dla tego typu pomieszczeń. Centrum zapasowe Architektura, strefy Zasilanie. Bezprzerwowe zasilanie z kilku niezależnych źródeł. Dodatkowo stosowane są UPS'y w układzie nadmiarowym oraz agregat prądotwórczy z automatycznym startem, który bez tankowania paliwa może pracować przez 6 dni. Praca systemu zasilania monitorowana jest przez specjalistyczny system zarządzania. Łącza telekomunikacyjne. Centrum Zapasowe podłączone jest do sieci Internet poprzez skalowalne łącza telekomunikacyjne o dużej przepustowości, które zapewniają szybkie i niezawodne połączenie. Dostęp do pomieszczeń. Procedura dostępu do Centrum Zapasowego wymaga, aby zgodę wyraziły trzy ośrodki kontrolne. Poszczególne pomieszczenia chronione są trójstopniowym poziomem zabezpieczeń (zamki, czytniki zbliżeniowych kart magnetycznych, kontrola linii papilarnych). System klimatyzacji i wentylacji. Monitorowany zdalnie system utrzymujący odpowiednie warunki pracy urządzeń w serwerowni oraz w pozostałych pomieszczeniach. Nadmiarowy system obejmujący serwerownię.
Plany awaryjne BCP Utrzymanie ciągłości pracy
Planowanie awaryjne
Andrzej Wójcik ANDRZEJ.WOJCIK@atm.com.pl Dziękuję za uwagę Andrzej Wójcik ANDRZEJ.WOJCIK@atm.com.pl