Audy systemów informatycznych

Transkrypt

4 listopada
2009
AUDY SYSTEMÓW INFORMATYCZNYCH
1.
Polityka bezpieczeństwa zasobów informatycznych jako element
korporacyjnego zarządzania IT
Każda organizacja powinna mieć określony wyraźny cel, misję oraz strategię swojego
działania z uwzględnieniem bezpieczeństwem informacji i całego systemu IT. Konieczność
wdrożenia polityki bezpieczeństwa informacji w przedsiębiorstwach wynika z dwóch
aspektów: gospodarczego oraz prawnego. Aspekt gospodarczy to przede wszystkim
zapewnienie ciągłości działalności podmiotu gospodarczego, związany z analizą i
ograniczaniem ryzyka we wszystkich obszarach jego działalności. Aspekt prawny to
spełnienie nakładanych na podmiot gospodarczy wymogów prawnych określonych w aktach
prawnych właściwych w odniesieniu do działalności podmiotu gospodarczego oraz
informacji, które są w nim przetwarzane. Brak jednoznacznie zdefiniowanego systemu
zarządzania bezpieczeństwem oraz polityki bezpieczeństwa informacji(PBI)1 powoduje, że
systemy IT zarządzane są w oparciu o intuicję służb informatycznych i „rozmyte” zasady.
Taki stan rzeczy może prowadzić do nadmiernego rozbudowania zabezpieczeń i
nieuzasadnionego wzrostu kosztów utrzymania struktury IT, zaniedbania systemów i
narażenia przedsiębiorstwa na straty finansowe. Aby tego uniknąć, niezbędne jest zatem
sformułowanie w jednostce gospodarczej polityki bezpieczeństwa zasobów informatycznych,
która określa sposób rozumienia bezpieczeństwa, stanowi podstawę do dalszych analiz w celu
zaproponowania konkretnych rozwiązań technicznych, ustala odpowiedzialność osób i
komórek oraz jasno wyraża intencję kierownictwa jednostki dotyczące wspierania wszelkich
działań zmierzających do realizacji tej polityki2.
Wedle definicji3, polityka bezpieczeństwa informacji jest zbiorem zasad i procedur
obowiązujących przy zbieraniu, przetwarzaniu i wykorzystywaniu informacji w organizacji i
dotyczy całego procesu korzystania z informacji, niezależnie od sposobu jej gromadzenia i
przetwarzania. Polityka bezpieczeństwa informacji określa podstawowe zasady ochrony
informacji, niezależnie od systemów ich przetwarzania (informatyczny, papierowy) oraz
sposobu przetwarzania w tych systemach. Uwzględnia
ona bezpieczeństwo fizyczne i
logiczne przetwarzanych informacji. Swoim zasięgiem obejmuje sprzęt i oprogramowanie, za
pomocą których informacje są przetwarzane, oraz ludzi, którzy te informacje przetwarzają.
1
Niektórzy autorzy używają zamiennie pojęć Polityka Bezpieczeństwa Informacji oraz Polityka Bezpieczeństwa
Zasobów Informatycznych.
2
Górski J., Polityka bezpieczeństwa informacji, Informatyka 1998, nr 9.
3
Za http://www.ensi.net.
Mariusz Zarzycki, [email protected]
1
4 listopada
2009
W literaturze istnieje wiele przykładowych formatów polityki bezpieczeństwa
informacji4. Mogą one stanowić bazę startową do tworzenia specyficznej dla każdej jednostki
polityki bezpieczeństwa informacji. Oczywistym jest, iż polityka musi być zaadaptowana do
określonych struktur organizacyjnych i informacyjnych danej jednostki gospodarczej, aby w
pełni odpowiadać istniejącym planom i
zasadom dotyczącym gospodarczych aspektów
funkcjonowania przedsiębiorstwa.
Tworzenie polityki musi być realizowane przy udziale zarówno personelu
technicznego, jak i decydentów. Personel techniczny jest w stanie ocenić skutki różnych
wariantów tworzonej polityki oraz możliwości jej implementacji. Decydenci są w stanie i
jednocześnie odpowiadają za wprowadzenie polityki w życie. S. J. Gaston przedstawia osiem
zasad, niezbędnych do uwzględnienia przy opracowywaniu polityki bezpieczeństwa
informacji5.
Zasada pierwsza mówi, że w jednostce powinna być opracowana i rozpowszechniona
ogólna strategia bezpieczeństwa opisująca i wiążąca ze sobą wszystkie plany, standardy i
procedury bezpieczeństwa informacji. W świetle drugiej zasady kierownictwo powinno
angażować do projektowania i kontrolowania polityki bezpieczeństwa zasobów możliwie
najwięcej komórek organizacyjnych, ponieważ ich pełny i aktywny udział w tym procesie jest
kwestią zasadniczą dla pomyślnego wdrożenia polityki w jednostce. Zasada trzecia oznacza,
że polityka bezpieczeństwa informacji rozpoczyna się od ustanowienia zasad, na których
będzie się ona opierać. Czwarta zasada wymaga, aby dokładnie określić wzajemne związki
między polityką bezpieczeństwa informacji a innymi planami opracowanymi w jednostce.
Według zasady piątej w polityce bezpieczeństwa powinny być przedstawione zakres polityki i
jej znaczenie, standardy będące podstawą tworzenia polityki oraz wymagane i zatwierdzone
przypadki odstępstw od polityki bezpieczeństwa i standardów. Zasada szósta mówi, że
polityka bezpieczeństwa informacji winna jasno określać potrzebę klasyfikacji informacji i
systemów po to, aby była możliwa natychmiastowa reakcja na pojawiające się ryzyko
zagrożeń. Zasada ta stanowi punkt wyjścia do projektowania środków ochrony zasobów
informatycznych. Zasada siódma odnosi się do czynnika ludzkiego i stwierdza się w niej, że
należy jasno zdefiniować rolę i odpowiedzialność poszczególnych komórek i pracowników w
aspekcie bezpieczeństwa zasobów informacji. Ostatnia, ósma zasada, uwzględnia środowisko
mikrokomputerowe i mówi o tym, że konieczne jest opracowanie oddzielnej polityki dla tego
4
Przykład można znaleźć w Gaston S.J., Information Security, The Canadian Institute of Chartered
Accountants, Canada 1999, Górski J., op.cit., European Network Security Institute, http://www.ensi.net
5
Idzikowska G., op.cit., s-162-163 za Gaston S.J., op.cit., s. 177.
2
4 listopada
2009
środowiska, stanowiącej załącznik do polityki bezpieczeństwa zasobów. Winna ona
przydzielać obowiązki i odpowiedzialność tym wszystkim osobom, które wykorzystują
mikrokomputery jako stanowiska autonomiczne do przetwarzania danych.
Kluczowym elementem polityki jest zapewnienie, aby każdy uświadomił sobie własną
odpowiedzialność za utrzymywanie bezpieczeństwa.
W Polsce, w trakcie tworzenia polityki bezpieczeństwa informacji, standardem jest
bazowanie na metodyce prezentowanej przez European Network Security Institute –
TISM6(ang. Total Information Security Management). TISM umożliwia w zorganizowany
sposób i z przewidywalnym efektem wprowadzać w przedsiębiorstwach program ochrony
informacji uwzględniając takie dziedziny, jak: analiza ryzyka, konstrukcja dokumentów,
polityka audytów i testów, konstrukcja procedur postępowania, kultura ochrony informacji
instytucji. Głównym założeniem polityki bezpieczeństwa informacji tworzonej według
metodyki TISM jest określenie:

jakie grupy informacji przedsiębiorstwo chce chronić,

w jakich systemach mogą być one przetwarzane,

kto i na jakich zasadach ma mieć do nich dostęp,

kto jest odpowiedzialny za zarządzanie informacją,

kto jest odpowiedzialny za zarządzanie bezpieczeństwem informacji.
Wedle TISM wyróżnia się trzy podstawowe poziomy w hierarchii polityki
bezpieczeństwa:

politykę bezpieczeństwa – dokument główny – na poziomie którego ustala się
podstawowe zasady ochrony informacji w organizacji,

grupę informacji – poziom, na którym ustala się specyficzne wymagania ochrony w
stosunku do informacji,

system przetwarzania – poziom, na którym określa się spełnienie wymagań wyższych
poziomów, w jakich informacje z danej grupy się znajdują.
Polityka, która opiera się na TISM jako wzorcu, ma strukturę modułową, polegającą
na tworzeniu odrębnych zasad dla poszczególnych grup informacji i ich systemów
przetwarzania w oparciu o zasady przyjęte w polityce bezpieczeństwa informacji. Strukturę
polityki bezpieczeństwa według TISM przedstawia rysunek 1.
6
Wszelkie informacje na temat metodyki TISM opracowano na podstawie informacji zawartych na stronie
WWW: http://www.ensi.net [cit. 2005-12-01], Total Information Security Management. Skrót TISM jest
przedmiotem rejestracji znaku towarowego w Głównym Urzędzie Patentowym RP. Prezentowane informacje są
rozpowszechniane przez autora na zasadzie Licencji Darmowej Dokumentacji GNU – GNU Free
Documentation Licence.
3
4 listopada
2009
Według TISM struktura zarządzania informacją oraz bezpieczeństwo informacji mają
określoną postać. Polega ona na określeniu odpowiednich ról administratorów, które
zgrupowane są w dwóch pionach: administracyjnym i bezpieczeństwa, dotyczących zarówno
głównej polityki bezpieczeństwa informacji, grup informacji, jak i systemów przetwarzania
(rysunek 2).
Rysunek 1. Modułowa i hierarchiczna
struktura polityki bezpieczeństwa wg TISM
Źródło: http://www.ensi.net [cit. 2005-05-20].
Rysunek 2. Struktura zarządzania bezpieczeństwem informacji - zależności
Na poziomie głównej polityki bezpieczeństwa informacji określone są role: głównego
administratora informacji (GAI) oraz głównego administratora bezpieczeństwa informacji
4
4 listopada
2009
(GABI) . Na poziomie grupy informacji określone są role: administratora grupy informacji
(AI), administratora bezpieczeństwa grupy informacji (ABI). Na poziomie systemu
przetwarzania określone są role: administratora systemu (AS) oraz administratora
bezpieczeństwa systemu (ABS). Praktyka pokazuje, iż wewnątrz pionów następuje łączenie
ról, np. zarząd pełni rolę GAI, gdyż to on określa ważność poszczególnych grup informacji
podlegających ochronie. Nie łączy się natomiast ról między pionami, co wynika z przyjętej
koncepcji bezpieczeństwa: administrator systemu i administrator bezpieczeństwa(rysunek 2).
Podczas tworzenia polityki bezpieczeństwa informacji, niezwykle ważną rolę
odgrywają właściciele systemów informatycznych(rysunek 3).
Rysunek 3. Współpraca właściciela systemu informatycznego z innymi grupami
osób
Źródło: Gaston S. J., Information Security, The Canadian Institute od Charterem Accountants, Kanada
1996, s. 20 w Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku
informatycznym rachunkowości, Wydawnictwo UŁ, Łódź 2002 , s. 165.
Właściciele określają wymagania dotyczące bezpieczeństwa informacji dla wszystkich
systemów, których są właścicielami. Są oni ponadto koordynatorami współpracy z innymi
grupami
osób
dla
ustalenia
wszystkich
koniecznych
wymogów
związanych
z
bezpieczeństwem zasobów. G. Idzikowska cytując S.J. Gastona przyrównuje ich do
5
4 listopada
2009
dyrygentów orkiestry i przedstawia powiązania między właścicielami a innymi grupami osób,
związanymi z systemami informatycznymi. Analizując rysunek 3 widać, iż właściciele
systemów informatycznych powinni współpracować z właścicielami danych, projektantami
systemów oraz specjalistami w zakresie ochrony danych, aby dokonać klasyfikacji danych i
innych zasobów informatycznych oraz dokładnie określić procedury bezpieczeństwa
stosownie do tej klasyfikacji7.
Wynikiem prac związanych z implementacją PBI jest zbiór dokumentów,
nazywanych wedle terminologii przyjętej przez ENSI, mapą dokumentów polityki
bezpieczeństwa informacji(rysunek 4).
Nieprawdą byłoby stwierdzenie, iż w polskich jednostkach gospodarczych brak jest
działań w zakresie tworzenia i implementacji polityki bezpieczeństwa informacji. Kwestia
bezpieczeństwa zasobów informacyjnych(w tym informatycznych) stanowi strategiczne
działania wielu polskich przedsiębiorstw. Problem stanowi fakt, iż wykonywane działania nie
mają jednak, w większości przypadków, charakteru systematycznego, lecz jedynie są one
doraźne i oparte na intuicji często niekompetentnych osób.
Ważną kwestią związaną z polityką bezpieczeństwa informacji jest strategia jej
wdrożenia. Problem ten szeroko opisany jest w literaturze, dlatego w pracy zrezygnowano z
przedstawiania szczegółowych informacji na ten temat.
Wdrożona polityka bezpieczeństwa informacji jest elementem szerszego zagadnienia,
tj. korporacyjnego zarządzania IT(ang. IT Governance)8. Jest to odrębna gałąź w dziedzinie
zarządzania, w której skupiono się na zagadnieniach związanych z wykorzystaniem
technologii informatycznej9. Wszechobecne uczestnictwo IT w organizacjach powoduje, iż
akcjonariusze, zarządy, klienci i personel traktują to zagadnienie z należytą uwagą analizując,
7
Idzikowska G., op.cit., s. 164.
Fragment ten opracowano w znacznym stopniu na podstawie:
 Stowarzyszenie ISACA [cit. 2005-02-02], http://www.isaca.org,
 Stowarzyszenie ISACA Polska [cit. 2005-02-02], http://www.isaca.org.pl ,
 Board Briefing on IT Governance 2nd edition, IT Governance Institute [cit. 2005-03-02],
http://www.itgi.org, http://www.ITGovernance.org ,
 Schulman J., Governance and Management of Enterprise Architecture, Gartner Research Inc., 13
sierpień 2002,
 Jennings T., Change Management. An Essential Tool for IT Governance, Butler Direct Limited, Marzec
2004, s.11-13,
 Howard S., Case Studies: New Tactics for Active Containment of IT Costs, Gartner Symposium
ITExpo 2001, Orlando 8-12 Październik 2001, s. 2-6.
9
Zobacz Earl M.J., Management strategies for Information Technology, Prentice Hall, Nowy Jork 1989.
8
6
4 listopada
2009
jak silnie przedsiębiorstwo opiera się na IT oraz na ile IT jest krytyczne dla realizacji strategii
jednostki organizacyjnej.
Rysunek 4. Mapa dokumentów polityki bezpieczeństwa informacji
7
4 listopada
2009
Istnieje kilka definicji Korporacyjnego Zarządzania IT. Znaczna ich część skupia się
na dwóch zagadnieniach: na informacji jako nieuchwytnym elemencie systemu oraz na
niezawodności systemu, jako krytycznej wartości decydującej o sukcesie bądź porażce
przedsiębiorstwa. Wiele ze spotykanych w literaturze definicji zawiera wspólne elementy:
odpowiedzialność zarządu, ochronę wartości ważnych dla akcjonariuszy, zapewnienie
zarządzania ryzykiem, kontrolowanie inwestycji IT, zachowanie równowagi pomiędzy IT a
strategią firmy, podtrzymanie bieżącej działalności, zintegrowanie z ogólną strukturą
zarządzania firmą. Wartymi zaprezentowania są definicje Profesora Roberta S. Rousey’a z
Uniwersytetu Południowej Kalifornii oraz Instytutu Korporacyjnego Zarządzania IT. Profesor
Rousey definiuje korporacyjne zarządzanie IT jako termin używany do określenia, w jaki
sposób osoby zaangażowane w zarządzanie postrzegają IT w ramach swoich funkcji nadzoru,
monitorowania, kontroli i wytyczania kierunku dla jednostki. Sposób, w jaki IT jest
wykorzystywane w ramach jednostki, ma znaczący wpływ na to, czy jednostka spełni wizję,
misję i osiągnie cele strategiczne. IT Governance Institute promuje definicję , która traktuje IT
Governance jak inne elementy zarządzania, należące do zakresu odpowiedzialności zarządu i
akcjonariuszy(reprezentowanych
przez
radę
nadzorczą).
Precyzuje
ona
działania
zarządzających, sugeruje struktury organizacyjne, procesy zapewniające działanie organizacji
w celu realizacji strategii danego podmiotu gospodarczego.
Zaprezentowane definicje bazują na raportach dotyczących zarządzania, które
zawierały zagadnienia istotne dla szeroko rozumianego zarządzania korporacyjnego 10.
W ostatnich czasach tematyka korporacyjnego zarządzania IT 11 podejmowana jest w
wielu firmach. Stanowi ona podstawę podczas przygotowywania się do podjęcia takich
decyzji, jak fuzja, wejście na giełdę czy outsourcing. Zbiera się informacje dotyczące
umiejętności pracowników, kultury organizacyjnej i środowiska działania. Wymagana jest
wiedza o kluczowych sprawach takich, jak zdolności produkcyjne, ryzyko, wiedza na temat
procesów czy informacje o klientach.
Przedstawione powyżej informacje na temat zagrożeń, na które narażone jest
środowisko informatyczne oraz złożoność i niepewność przedsięwzięć związanych z
systemami informatycznymi, o której mowa w pierwszym rozdziale, świadczą o konieczności
posiadania
odpowiednich
metod
umożliwiających
sprawowanie
kontroli
nad
tym
środowiskiem.
10
11
Raport Cadbury’ego oraz Turnballa opisywane w dalszej części pracy.
Czasami pojawia się również określenie Ład Korporacyjny IT.
8
4 listopada
2009
Mechanizmem umożliwiającym taką kontrolę powinien być system kontroli
wewnętrznej, stworzenie i wprowadzenie którego jest obowiązkiem zarządu i kierownictwa
wyższego szczebla.
PBI, jak i korporacyjne zarządzanie IT mają istotny wpływ na system kontroli
wewnętrznej w danej organizacji. Polityka bezpieczeństwa informacji stanowi element
systemu kontroli wewnętrznej, który w najprostszym rozumieniu traktuje się jako jeden z
najważniejszych elementów zarządzania, zapewniający bezpieczne, zgodne z obowiązującym
prawem działanie przedsiębiorstwa. Ponieważ system kontroli wewnętrznej nie daje
stuprocentowej pewności przestrzegania określonych procedur, polityk i uregulowań,
konieczne jest posiadania narzędzia, weryfikującego funkcjonowanie oraz efektywność tego
systemu wraz z proponowaniem ewentualnych jego ulepszeń. Narzędziem tym jest szeroko
rozumiany audyt.
Kontynuując rozważania na temat Polityki Bezpieczeństwa Informacji, jako elementu
systemu kontroli wewnętrznej, w kolejnym rozdziale skupiono się na przedstawieniu
informacji na temat teoretycznych podstaw audytu informatycznego, rozpoczynając
rozważania od wyjaśnienia różnić pomiędzy kontrolą wewnętrzną a audytem.
Wdrożona w jednostce gospodarczej polityka bezpieczeństwa informacji ma znaczący
wpływ
na
metodykę
wykorzystywaną
do
przeprowadzania
audytu
systemów
informatycznych. Istnienie PBI, sugeruje audytorowi odnoszenie się w prowadzonym badaniu
do procedur, regulaminów i zasad sprecyzowanych w poszczególnych elementach polityki
bezpieczeństwa informacji. Brak wdrożonej polityki powoduje, iż audyt, szczególnie IT, jest
czynnością inicjującą potrzebę posiadania polityki bezpieczeństwa informacji, poprzez
identyfikację istniejącego ryzyka oraz zagrożeń, na jakie narażona jest ogólnie rozumiana
informacja. Należy również podkreślić, iż audyt systemów IT w jednostce pozbawionej PBI,
wymaga od audytora kompleksowego spojrzenia na zagadnienie bezpieczeństwa zasobów, a
co za tym idzie i informacji
9

Audy systemów informatycznych

Transkrypt

Podobne dokumenty

Dyrektor Jerzy Goraziński Zastępca Dyrektora Robert Pardela

Dawid Zarzycki - Polskie Radio Białystok

OGŁOSZENIA DROBNE

MARIUSZ WANDOR życiorys

Pytania na egzamin z dydaktyki informatyki - BK-S

Firma z otwartym sercem

Płyta MPMK

Wizja Firmy - Tachospeed

Audyt

Audy systemów informatycznych