Audy systemów informatycznych
Transkrypt
Audy systemów informatycznych
4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH 1. Polityka bezpieczeństwa zasobów informatycznych jako element korporacyjnego zarządzania IT Każda organizacja powinna mieć określony wyraźny cel, misję oraz strategię swojego działania z uwzględnieniem bezpieczeństwem informacji i całego systemu IT. Konieczność wdrożenia polityki bezpieczeństwa informacji w przedsiębiorstwach wynika z dwóch aspektów: gospodarczego oraz prawnego. Aspekt gospodarczy to przede wszystkim zapewnienie ciągłości działalności podmiotu gospodarczego, związany z analizą i ograniczaniem ryzyka we wszystkich obszarach jego działalności. Aspekt prawny to spełnienie nakładanych na podmiot gospodarczy wymogów prawnych określonych w aktach prawnych właściwych w odniesieniu do działalności podmiotu gospodarczego oraz informacji, które są w nim przetwarzane. Brak jednoznacznie zdefiniowanego systemu zarządzania bezpieczeństwem oraz polityki bezpieczeństwa informacji(PBI)1 powoduje, że systemy IT zarządzane są w oparciu o intuicję służb informatycznych i „rozmyte” zasady. Taki stan rzeczy może prowadzić do nadmiernego rozbudowania zabezpieczeń i nieuzasadnionego wzrostu kosztów utrzymania struktury IT, zaniedbania systemów i narażenia przedsiębiorstwa na straty finansowe. Aby tego uniknąć, niezbędne jest zatem sformułowanie w jednostce gospodarczej polityki bezpieczeństwa zasobów informatycznych, która określa sposób rozumienia bezpieczeństwa, stanowi podstawę do dalszych analiz w celu zaproponowania konkretnych rozwiązań technicznych, ustala odpowiedzialność osób i komórek oraz jasno wyraża intencję kierownictwa jednostki dotyczące wspierania wszelkich działań zmierzających do realizacji tej polityki2. Wedle definicji3, polityka bezpieczeństwa informacji jest zbiorem zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i wykorzystywaniu informacji w organizacji i dotyczy całego procesu korzystania z informacji, niezależnie od sposobu jej gromadzenia i przetwarzania. Polityka bezpieczeństwa informacji określa podstawowe zasady ochrony informacji, niezależnie od systemów ich przetwarzania (informatyczny, papierowy) oraz sposobu przetwarzania w tych systemach. Uwzględnia ona bezpieczeństwo fizyczne i logiczne przetwarzanych informacji. Swoim zasięgiem obejmuje sprzęt i oprogramowanie, za pomocą których informacje są przetwarzane, oraz ludzi, którzy te informacje przetwarzają. 1 Niektórzy autorzy używają zamiennie pojęć Polityka Bezpieczeństwa Informacji oraz Polityka Bezpieczeństwa Zasobów Informatycznych. 2 Górski J., Polityka bezpieczeństwa informacji, Informatyka 1998, nr 9. 3 Za http://www.ensi.net. Mariusz Zarzycki, [email protected] 1 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH W literaturze istnieje wiele przykładowych formatów polityki bezpieczeństwa informacji4. Mogą one stanowić bazę startową do tworzenia specyficznej dla każdej jednostki polityki bezpieczeństwa informacji. Oczywistym jest, iż polityka musi być zaadaptowana do określonych struktur organizacyjnych i informacyjnych danej jednostki gospodarczej, aby w pełni odpowiadać istniejącym planom i zasadom dotyczącym gospodarczych aspektów funkcjonowania przedsiębiorstwa. Tworzenie polityki musi być realizowane przy udziale zarówno personelu technicznego, jak i decydentów. Personel techniczny jest w stanie ocenić skutki różnych wariantów tworzonej polityki oraz możliwości jej implementacji. Decydenci są w stanie i jednocześnie odpowiadają za wprowadzenie polityki w życie. S. J. Gaston przedstawia osiem zasad, niezbędnych do uwzględnienia przy opracowywaniu polityki bezpieczeństwa informacji5. Zasada pierwsza mówi, że w jednostce powinna być opracowana i rozpowszechniona ogólna strategia bezpieczeństwa opisująca i wiążąca ze sobą wszystkie plany, standardy i procedury bezpieczeństwa informacji. W świetle drugiej zasady kierownictwo powinno angażować do projektowania i kontrolowania polityki bezpieczeństwa zasobów możliwie najwięcej komórek organizacyjnych, ponieważ ich pełny i aktywny udział w tym procesie jest kwestią zasadniczą dla pomyślnego wdrożenia polityki w jednostce. Zasada trzecia oznacza, że polityka bezpieczeństwa informacji rozpoczyna się od ustanowienia zasad, na których będzie się ona opierać. Czwarta zasada wymaga, aby dokładnie określić wzajemne związki między polityką bezpieczeństwa informacji a innymi planami opracowanymi w jednostce. Według zasady piątej w polityce bezpieczeństwa powinny być przedstawione zakres polityki i jej znaczenie, standardy będące podstawą tworzenia polityki oraz wymagane i zatwierdzone przypadki odstępstw od polityki bezpieczeństwa i standardów. Zasada szósta mówi, że polityka bezpieczeństwa informacji winna jasno określać potrzebę klasyfikacji informacji i systemów po to, aby była możliwa natychmiastowa reakcja na pojawiające się ryzyko zagrożeń. Zasada ta stanowi punkt wyjścia do projektowania środków ochrony zasobów informatycznych. Zasada siódma odnosi się do czynnika ludzkiego i stwierdza się w niej, że należy jasno zdefiniować rolę i odpowiedzialność poszczególnych komórek i pracowników w aspekcie bezpieczeństwa zasobów informacji. Ostatnia, ósma zasada, uwzględnia środowisko mikrokomputerowe i mówi o tym, że konieczne jest opracowanie oddzielnej polityki dla tego 4 Przykład można znaleźć w Gaston S.J., Information Security, The Canadian Institute of Chartered Accountants, Canada 1999, Górski J., op.cit., European Network Security Institute, http://www.ensi.net 5 Idzikowska G., op.cit., s-162-163 za Gaston S.J., op.cit., s. 177. Mariusz Zarzycki, [email protected] 2 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH środowiska, stanowiącej załącznik do polityki bezpieczeństwa zasobów. Winna ona przydzielać obowiązki i odpowiedzialność tym wszystkim osobom, które wykorzystują mikrokomputery jako stanowiska autonomiczne do przetwarzania danych. Kluczowym elementem polityki jest zapewnienie, aby każdy uświadomił sobie własną odpowiedzialność za utrzymywanie bezpieczeństwa. W Polsce, w trakcie tworzenia polityki bezpieczeństwa informacji, standardem jest bazowanie na metodyce prezentowanej przez European Network Security Institute – TISM6(ang. Total Information Security Management). TISM umożliwia w zorganizowany sposób i z przewidywalnym efektem wprowadzać w przedsiębiorstwach program ochrony informacji uwzględniając takie dziedziny, jak: analiza ryzyka, konstrukcja dokumentów, polityka audytów i testów, konstrukcja procedur postępowania, kultura ochrony informacji instytucji. Głównym założeniem polityki bezpieczeństwa informacji tworzonej według metodyki TISM jest określenie: jakie grupy informacji przedsiębiorstwo chce chronić, w jakich systemach mogą być one przetwarzane, kto i na jakich zasadach ma mieć do nich dostęp, kto jest odpowiedzialny za zarządzanie informacją, kto jest odpowiedzialny za zarządzanie bezpieczeństwem informacji. Wedle TISM wyróżnia się trzy podstawowe poziomy w hierarchii polityki bezpieczeństwa: politykę bezpieczeństwa – dokument główny – na poziomie którego ustala się podstawowe zasady ochrony informacji w organizacji, grupę informacji – poziom, na którym ustala się specyficzne wymagania ochrony w stosunku do informacji, system przetwarzania – poziom, na którym określa się spełnienie wymagań wyższych poziomów, w jakich informacje z danej grupy się znajdują. Polityka, która opiera się na TISM jako wzorcu, ma strukturę modułową, polegającą na tworzeniu odrębnych zasad dla poszczególnych grup informacji i ich systemów przetwarzania w oparciu o zasady przyjęte w polityce bezpieczeństwa informacji. Strukturę polityki bezpieczeństwa według TISM przedstawia rysunek 1. 6 Wszelkie informacje na temat metodyki TISM opracowano na podstawie informacji zawartych na stronie WWW: http://www.ensi.net [cit. 2005-12-01], Total Information Security Management. Skrót TISM jest przedmiotem rejestracji znaku towarowego w Głównym Urzędzie Patentowym RP. Prezentowane informacje są rozpowszechniane przez autora na zasadzie Licencji Darmowej Dokumentacji GNU – GNU Free Documentation Licence. Mariusz Zarzycki, [email protected] 3 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH Według TISM struktura zarządzania informacją oraz bezpieczeństwo informacji mają określoną postać. Polega ona na określeniu odpowiednich ról administratorów, które zgrupowane są w dwóch pionach: administracyjnym i bezpieczeństwa, dotyczących zarówno głównej polityki bezpieczeństwa informacji, grup informacji, jak i systemów przetwarzania (rysunek 2). Rysunek 1. Modułowa i hierarchiczna struktura polityki bezpieczeństwa wg TISM Źródło: http://www.ensi.net [cit. 2005-05-20]. Rysunek 2. Struktura zarządzania bezpieczeństwem informacji - zależności Źródło: http://www.ensi.net [cit. 2005-04-20]. Na poziomie głównej polityki bezpieczeństwa informacji określone są role: głównego administratora informacji (GAI) oraz głównego administratora bezpieczeństwa informacji Mariusz Zarzycki, [email protected] 4 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH (GABI) . Na poziomie grupy informacji określone są role: administratora grupy informacji (AI), administratora bezpieczeństwa grupy informacji (ABI). Na poziomie systemu przetwarzania określone są role: administratora systemu (AS) oraz administratora bezpieczeństwa systemu (ABS). Praktyka pokazuje, iż wewnątrz pionów następuje łączenie ról, np. zarząd pełni rolę GAI, gdyż to on określa ważność poszczególnych grup informacji podlegających ochronie. Nie łączy się natomiast ról między pionami, co wynika z przyjętej koncepcji bezpieczeństwa: administrator systemu i administrator bezpieczeństwa(rysunek 2). Podczas tworzenia polityki bezpieczeństwa informacji, niezwykle ważną rolę odgrywają właściciele systemów informatycznych(rysunek 3). Rysunek 3. Współpraca właściciela systemu informatycznego z innymi grupami osób Źródło: Gaston S. J., Information Security, The Canadian Institute od Charterem Accountants, Kanada 1996, s. 20 w Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku informatycznym rachunkowości, Wydawnictwo UŁ, Łódź 2002 , s. 165. Właściciele określają wymagania dotyczące bezpieczeństwa informacji dla wszystkich systemów, których są właścicielami. Są oni ponadto koordynatorami współpracy z innymi grupami osób dla ustalenia wszystkich koniecznych wymogów związanych z bezpieczeństwem zasobów. G. Idzikowska cytując S.J. Gastona przyrównuje ich do Mariusz Zarzycki, [email protected] 5 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH dyrygentów orkiestry i przedstawia powiązania między właścicielami a innymi grupami osób, związanymi z systemami informatycznymi. Analizując rysunek 3 widać, iż właściciele systemów informatycznych powinni współpracować z właścicielami danych, projektantami systemów oraz specjalistami w zakresie ochrony danych, aby dokonać klasyfikacji danych i innych zasobów informatycznych oraz dokładnie określić procedury bezpieczeństwa stosownie do tej klasyfikacji7. Wynikiem prac związanych z implementacją PBI jest zbiór dokumentów, nazywanych wedle terminologii przyjętej przez ENSI, mapą dokumentów polityki bezpieczeństwa informacji(rysunek 4). Nieprawdą byłoby stwierdzenie, iż w polskich jednostkach gospodarczych brak jest działań w zakresie tworzenia i implementacji polityki bezpieczeństwa informacji. Kwestia bezpieczeństwa zasobów informacyjnych(w tym informatycznych) stanowi strategiczne działania wielu polskich przedsiębiorstw. Problem stanowi fakt, iż wykonywane działania nie mają jednak, w większości przypadków, charakteru systematycznego, lecz jedynie są one doraźne i oparte na intuicji często niekompetentnych osób. Ważną kwestią związaną z polityką bezpieczeństwa informacji jest strategia jej wdrożenia. Problem ten szeroko opisany jest w literaturze, dlatego w pracy zrezygnowano z przedstawiania szczegółowych informacji na ten temat. Wdrożona polityka bezpieczeństwa informacji jest elementem szerszego zagadnienia, tj. korporacyjnego zarządzania IT(ang. IT Governance)8. Jest to odrębna gałąź w dziedzinie zarządzania, w której skupiono się na zagadnieniach związanych z wykorzystaniem technologii informatycznej9. Wszechobecne uczestnictwo IT w organizacjach powoduje, iż akcjonariusze, zarządy, klienci i personel traktują to zagadnienie z należytą uwagą analizując, 7 Idzikowska G., op.cit., s. 164. Fragment ten opracowano w znacznym stopniu na podstawie: Stowarzyszenie ISACA [cit. 2005-02-02], http://www.isaca.org, Stowarzyszenie ISACA Polska [cit. 2005-02-02], http://www.isaca.org.pl , Board Briefing on IT Governance 2nd edition, IT Governance Institute [cit. 2005-03-02], http://www.itgi.org, http://www.ITGovernance.org , Schulman J., Governance and Management of Enterprise Architecture, Gartner Research Inc., 13 sierpień 2002, Jennings T., Change Management. An Essential Tool for IT Governance, Butler Direct Limited, Marzec 2004, s.11-13, Howard S., Case Studies: New Tactics for Active Containment of IT Costs, Gartner Symposium ITExpo 2001, Orlando 8-12 Październik 2001, s. 2-6. 9 Zobacz Earl M.J., Management strategies for Information Technology, Prentice Hall, Nowy Jork 1989. 8 Mariusz Zarzycki, [email protected] 6 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH jak silnie przedsiębiorstwo opiera się na IT oraz na ile IT jest krytyczne dla realizacji strategii jednostki organizacyjnej. Rysunek 4. Mapa dokumentów polityki bezpieczeństwa informacji Źródło: http://www.ensi.net [cit. 2005-05-20]. Mariusz Zarzycki, [email protected] 7 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH Istnieje kilka definicji Korporacyjnego Zarządzania IT. Znaczna ich część skupia się na dwóch zagadnieniach: na informacji jako nieuchwytnym elemencie systemu oraz na niezawodności systemu, jako krytycznej wartości decydującej o sukcesie bądź porażce przedsiębiorstwa. Wiele ze spotykanych w literaturze definicji zawiera wspólne elementy: odpowiedzialność zarządu, ochronę wartości ważnych dla akcjonariuszy, zapewnienie zarządzania ryzykiem, kontrolowanie inwestycji IT, zachowanie równowagi pomiędzy IT a strategią firmy, podtrzymanie bieżącej działalności, zintegrowanie z ogólną strukturą zarządzania firmą. Wartymi zaprezentowania są definicje Profesora Roberta S. Rousey’a z Uniwersytetu Południowej Kalifornii oraz Instytutu Korporacyjnego Zarządzania IT. Profesor Rousey definiuje korporacyjne zarządzanie IT jako termin używany do określenia, w jaki sposób osoby zaangażowane w zarządzanie postrzegają IT w ramach swoich funkcji nadzoru, monitorowania, kontroli i wytyczania kierunku dla jednostki. Sposób, w jaki IT jest wykorzystywane w ramach jednostki, ma znaczący wpływ na to, czy jednostka spełni wizję, misję i osiągnie cele strategiczne. IT Governance Institute promuje definicję , która traktuje IT Governance jak inne elementy zarządzania, należące do zakresu odpowiedzialności zarządu i akcjonariuszy(reprezentowanych przez radę nadzorczą). Precyzuje ona działania zarządzających, sugeruje struktury organizacyjne, procesy zapewniające działanie organizacji w celu realizacji strategii danego podmiotu gospodarczego. Zaprezentowane definicje bazują na raportach dotyczących zarządzania, które zawierały zagadnienia istotne dla szeroko rozumianego zarządzania korporacyjnego 10. W ostatnich czasach tematyka korporacyjnego zarządzania IT 11 podejmowana jest w wielu firmach. Stanowi ona podstawę podczas przygotowywania się do podjęcia takich decyzji, jak fuzja, wejście na giełdę czy outsourcing. Zbiera się informacje dotyczące umiejętności pracowników, kultury organizacyjnej i środowiska działania. Wymagana jest wiedza o kluczowych sprawach takich, jak zdolności produkcyjne, ryzyko, wiedza na temat procesów czy informacje o klientach. Przedstawione powyżej informacje na temat zagrożeń, na które narażone jest środowisko informatyczne oraz złożoność i niepewność przedsięwzięć związanych z systemami informatycznymi, o której mowa w pierwszym rozdziale, świadczą o konieczności posiadania odpowiednich metod umożliwiających sprawowanie kontroli nad tym środowiskiem. 10 11 Raport Cadbury’ego oraz Turnballa opisywane w dalszej części pracy. Czasami pojawia się również określenie Ład Korporacyjny IT. Mariusz Zarzycki, [email protected] 8 4 listopada 2009 AUDY SYSTEMÓW INFORMATYCZNYCH Mechanizmem umożliwiającym taką kontrolę powinien być system kontroli wewnętrznej, stworzenie i wprowadzenie którego jest obowiązkiem zarządu i kierownictwa wyższego szczebla. PBI, jak i korporacyjne zarządzanie IT mają istotny wpływ na system kontroli wewnętrznej w danej organizacji. Polityka bezpieczeństwa informacji stanowi element systemu kontroli wewnętrznej, który w najprostszym rozumieniu traktuje się jako jeden z najważniejszych elementów zarządzania, zapewniający bezpieczne, zgodne z obowiązującym prawem działanie przedsiębiorstwa. Ponieważ system kontroli wewnętrznej nie daje stuprocentowej pewności przestrzegania określonych procedur, polityk i uregulowań, konieczne jest posiadania narzędzia, weryfikującego funkcjonowanie oraz efektywność tego systemu wraz z proponowaniem ewentualnych jego ulepszeń. Narzędziem tym jest szeroko rozumiany audyt. Kontynuując rozważania na temat Polityki Bezpieczeństwa Informacji, jako elementu systemu kontroli wewnętrznej, w kolejnym rozdziale skupiono się na przedstawieniu informacji na temat teoretycznych podstaw audytu informatycznego, rozpoczynając rozważania od wyjaśnienia różnić pomiędzy kontrolą wewnętrzną a audytem. Wdrożona w jednostce gospodarczej polityka bezpieczeństwa informacji ma znaczący wpływ na metodykę wykorzystywaną do przeprowadzania audytu systemów informatycznych. Istnienie PBI, sugeruje audytorowi odnoszenie się w prowadzonym badaniu do procedur, regulaminów i zasad sprecyzowanych w poszczególnych elementach polityki bezpieczeństwa informacji. Brak wdrożonej polityki powoduje, iż audyt, szczególnie IT, jest czynnością inicjującą potrzebę posiadania polityki bezpieczeństwa informacji, poprzez identyfikację istniejącego ryzyka oraz zagrożeń, na jakie narażona jest ogólnie rozumiana informacja. Należy również podkreślić, iż audyt systemów IT w jednostce pozbawionej PBI, wymaga od audytora kompleksowego spojrzenia na zagadnienie bezpieczeństwa zasobów, a co za tym idzie i informacji Mariusz Zarzycki, [email protected] 9