[ Pobierz całość w formacie PDF ]

możliwości konsultacji z menedżerami, zastępcami kierowników itp. grupa ludzi zajmująca
się przeprowadzaniem oceny mogła teraz zebrać dużo więcej istotnych informacji dotyczą-
cych struktury przedsiębiorstwa, zasobów krytycznych. Informacji byłoby mniej, gdyby ocena
ograniczyła się tylko do pracowników pionu IT.
Najważniejsze pytanie, które zadawaliśmy, brzmiało:  Jaka strata lub jakiego rodzaju prze-
rwa w działalności może spowodować bankructwo firmy? Nie jest to pytanie, na które po-
trafi odpowiedzieć zwykły administrator systemu. Potrafi za to ktoś z grona kierowniczego.
Nasze działania doprowadziły do przeprowadzenia oceny stanu bezpieczeństwa w firmie,
ale także do określenia programu IA i zdefiniowania pierwszej w historii firmy polityki bez-
pieczeństwa. Przytoczony tutaj przykład wskazuje wyraznie, jak ważne jest rozpoczęcie pro-
cesu od odpowiedniego miejsca i stworzenie podwalin procedur i polityki bezpieczeństwa.
Elementy te są ważniejsze niż zbyt pochopne koncentrowanie się na aspektach technicznych.
34 Bezpieczeństwo w sieci
Ocena funkcjonalna
JeÅ›li w firmie zdefiniowano już program IA lub przynajmniej okreÅ›lono rol¹ i zakres
odpowiedzialnoÅ›ci osoby, której zadaniem b¹dzie przeprowadzenie procesu oceny,
nast¹pnym krokiem jest ocena funkcjonalna. Cel tej fazy jest jasno okreÅ›lony: identy-
fikacja zasobów informacyjnych b¹dÄ…cych w posiadaniu organizacji i klasyfikacja ich
w zależności od  poziomu krytyczności , wagi, wartości i wpływu, jaki miałaby ich
utrata na działalność firmy.
Na tym etapie w dużej mierze b¹dziemy mieli do czynienia z tzw.  robotÄ… papierko-
wą , której rezultatem niekoniecznie musi być rekomendacja zakupu nowej zapory
sieciowej czy zalecenie wskazujÄ…ce na koniecznÄ… zmian¹ dÅ‚ugoÅ›ci hasÅ‚a i jego formy
(składu hasła). Jednym z najważniejszych elementów przydatnych nam w dalszej pra-
cy, a jednocześnie pozornie nie mającym żadnego związku z zagadnieniami bezpie-
czeÅ„stwa jest tzw. matryca krytycznoÅ›ci (tj. matryca, w której sklasyfikowane b¹dÄ…
zasoby informacyjne, przy czym głównym kryterium b¹dzie waga danych zasobów
 ich krytyczność z punktu widzenia działalności firmy).
Zanim zdecydujesz si¹ na opuszczenie pozostaÅ‚ej cz¹Å›ci rozdziaÅ‚u, dobrze by byÅ‚o
gdybyÅ› poÅ›wi¹ciÅ‚ troch¹ czasu, żeby dowiedzieć si¹, czym tak naprawd¹ jest matryca
krytyczności. Podstawowym powodem wymuszającym na nas utworzenie matrycy
krytyczności jest stwierdzenie, iż dopóki nie wiesz, które zasoby są rzeczywiście
istotne z punktu widzenia działalności organizacji, nie znasz ich wpływu na procesy
biznesowe zachodzÄ…ce w firmie i nie wiesz, co staÅ‚oby si¹ z przedsi¹biorstwem, jeÅ›li
dane zasoby ulegÅ‚yby zniszczeniu, dopóty nie okreÅ›lisz poprawnie niezb¹dnych Å›rod-
ków bezpieczeÅ„stwa. Jako administrator możesz na przykÅ‚ad sp¹dzać mnóstwo czasu,
zabezpieczajÄ…c serwer sieciowy i nie przejmować si¹ ochronÄ… istotnej bazy danych,
która w tym czasie mogłaby być bez trudu splądrowana czy wykradziona. Jeżeli w ta-
kim przypadku włamanie na serwer przynosi nieporównywalnie niższe straty niż
utrata danych z bazy, twoje wysiÅ‚ki idÄ… na marne. B¹dÄ…c pracownikiem dziaÅ‚u IT,
możesz niestety nie wiedzieć, gdzie ukryte sÄ… prawdziwe skarby. Ta wiedza cz¹sto
dana jest menedżerom, członkom zarządu i innym pracownikom firmy, którzy nie
należą do kadry pracowniczej pionu IT.
JeÅ›li wszyscy ci ludzie dobrze wykonujÄ… swojÄ… prac¹, czÅ‚onkowie zespoÅ‚u dokonujÄ…-
cego oceny zajmÄ… si¹ wszystkimi elementami, które majÄ… jakikolwiek wpÅ‚yw na bez-
pieczeÅ„stwo zasobów. Elementy te b¹dÄ… si¹ zmieniać w zależnoÅ›ci od rodzaju doko-
nywanej oceny i nazewnictwa stosowanego przez dokonujących analizy. Można
jednak uznać, że w mniejszym lub wi¹kszym stopniu pokrywać si¹ b¹dÄ… z elementami
wyszczególnionymi poniżej:
polityka;
zarzÄ…dzanie ryzykiem;
zarządzanie i kontrola nad kontami użytkowników;
sterowanie konfiguracjÄ… sprz¹towÄ… i programowÄ…;
kontrola sesji;
Rozdział 2. f& Tworzenie bezpiecznej infrastruktury sieciowej 35
bezpieczeństwo sieci;
dost¹p zdalny;
administrowanie systemem;
reakcja na incydent;
audyt;
ochrona antywirusowa;
planowanie reakcji na przypadkowe zdarzenia;
kopie bezpieczeństwa i odzyskiwanie;
konserwacja, utrzymanie sprz¹tu itd.;
bezpieczeństwo fizyczne;
aspekty bezpieczeństwa w odniesieniu do personelu;
szkolenia i zwi¹kszanie Å›wiadomoÅ›ci dotyczÄ…cej bezpieczeÅ„stwa;
odzyskiwanie danych po naruszeniu bezpieczeństwa.
Zadaniem oceny funkcjonalnej jest zdobycie wszystkich istotnych informacji, dzi¹ki
którym b¹dziesz mógÅ‚ stworzyć podstawy polityki bezpieczeÅ„stwa odnoszÄ…cej si¹ do
elementów ważnych z punktu widzenia działalności firmy. Proces oceny rozpoczyna
najcz¹Å›ciej spotkanie informacyjne, na którym wszyscy zainteresowani poznajÄ… spo-
sób, w jaki proces b¹dzie przebiegaÅ‚. Ważne jest, aby na spotkaniu pojawili si¹ repre-
zentanci wszystkich grup, które b¹dÄ… w jakiÅ› sposób zaangażowane w proces: osoby
reprezentujące pion IT, dział zasobów ludzkich (HR), działy sprzedaży i marketingu,
dyrektorzy i kierownicy przedsi¹biorstwa, przedstawiciele dziaÅ‚u prawnego, pracow-
nicy eksploatacji i technicy oraz wszystkie inne osoby reprezentujÄ…ce istotne z punktu
widzenia dziaÅ‚alnoÅ›ci firmy dziaÅ‚y i departamenty. Powinni oni znać swojÄ… rol¹ i jej
znaczenie dla caÅ‚oÅ›ci procesu. Dzi¹ki uczestnictwu w pierwszym spotkaniu informa-
cyjno-organizacyjnym i poznaniu wagi procesu ci wszyscy ludzie stajÄ… si¹ naszymi
sprzymierzeńcami.
Kolejnym krokiem zespoÅ‚u oceny b¹dzie gromadzenie jak najbogatszej wiedzy o firmie: [ Pobierz caÅ‚ość w formacie PDF ]

  • zanotowane.pl
  • doc.pisz.pl
  • pdf.pisz.pl
  • freetocraft.keep.pl