Instrukcja zarządzania bezpieczeństwem informacji w systemie

Instrukcja zarządzania bezpieczeństwem informacji w systemie

Załącznik nr 4 do Zarządzenia Nr ORo.0151-179/08
Prezydenta Miasta Piekary Śląskie z dnia 21.05.08r.
Instrukcja zarządzania bezpieczeństwem informacji w systemie informatycznym
Bezpieczeństwa informacji
W systemie informacyjnym jednostki istniej e szereg zależności pomiędzy składnikami, które tworzą
środowisko pracy mechanizmów bezpiecze ństwa. Aspekty je formujące są następujące:
1. Zasady odpowiedzialności za bezpieczeństwo informacji.
2. Dokumenty precyzujące zasady ochrony informacji.
3. Analiza ryzyka.
4. Geografia zasobów informatycznych.
5. Dostęp do systemu informacyjnego.
6. Zarządzanie uprawnieniami u żytkowników systemu.
7. Mechanizmy uwierzytelniające i zasady zarządzania nimi.
8. Poprawność informacji.
9. Dostępność informacji.
10. Zasady postępowania z nośnikami przenośnymi i komputerami przeno śnymi.
11. Zasady zdalnej pracy w systemie.
12. Wymiana informacji wewnątrz systemu.
13. Połączenia z zewnętrznymi sieciami teleinformatycznymi.
14. Ochrona przed niebezpiecznym oprogramowaniem.
15. Mechanizmy monitorowania działania składowych systemu.
16. Zarządzanie oprogramowaniem.
17. Zarządzanie treścią kryptograficzną.
18. Zarządzanie zmianami systemu oraz bezpiecze ństwem serwisu.
19. Postępowanie z incydentami.
20. Planowanie ciągłości działania.
21. Kontrola bezpieczeństwa.
Zasady odpowiedzialności za bezpieczeństwo informacji.
Odpowiedzialność ta w systemie jednostki rozłożona jest na ścisłe kierownictwo, kadrę kierowniczą,
pracowników, podmioty współpracujące oraz administratora systemu i administratora bezpiecze ństwa.
Odpowiedzialność ścisłego kierownictwa, poza kilkunastoma innymi głównymi składnikami zakresu,
wyraża się m.in. w akceptacji lub wyrażeniu potrzeby obniżenia poziomu ryzyka związanego
z przetwarzaniem informacji w systemie informatycznym. Pracownicy piastujący stanowiska kierownicze
pełnią rolę właścicieli. Obowiązki pracowników w zakresie bezpieczeństwa systemu informatycznego
obejmują m.in.: przestrzeganie zasad bezpiecze ństwa danych i systemu informatycznego,
informowanie o incydentach w zakresie bezpiecze ństwa systemu informatycznego, tworzenie kopii
zapasowych danych przechowywanych w syste mie informatycznym, przy czym dotyczy to informacji
przetwarzanych i przechowywanych lokalnie, aktywny udział we wdrażaniu mechanizmów bezpieczeństwa
poprzez opiniowanie możliwości zastosowania określonego rozwiązania przy realizacji zadań danego
pracownika. Z jednostką mogą, oprócz stałych pracowników, okresowo lub stale współpracować osoby
realizujące swoje zadania na podstawie umowy cywilnoprawnej lub te ż będące pracownikami firm
zewnętrznych, realizujących podpisane kontrakty. Komórka właściwa ds. obsługi prawnej zobowiązana
jest do weryfikacji treści opiniowanych umów w powyższym kontekście. Osoby takie, o ile korzystają
z systemu informatycznego jednostki, winny przestrzega ć obowiązujących zasad ochrony informacji.
Warunek ten powinien być unormowany odpowiednimi zapisami w umowie o współpracy. Ponadto w
przypadku konieczności dostępu współpracownika do informacji wrażliwych może okazać się
konieczne podpisanie oddzielnej um owy o poufności. Administratorem bezpieczeństwa informacji jest
pracownik odpowiedzialny za stworzenie, wdrożenie i nadzorowanie standardów zabezpie czenia
danych przetwarzanych w systemie informatycznym. Rozdziela się obowiązki i właściwość personalną
administratora systemu informatycznego od obowiązków i właściwości personalnej administratora
1
bezpieczeństwa informacji. Administrator systemu informatycznego składa administratorowi bezpieczeństwa
informacji kwartalne sprawozdania z realizacji funkcji zabezpieczenia zasobów systemu komputerowego.
Do obowiązków administratora bezpieczeństwa informacji należy:
• Koordynacja procesu analizy ryzyka związanego z przetwarzaniem danych w systemie
informatycznym.
• Ocena ryzyka z uwzględnieniem danych otrzymanych od właścicieli informacji.
• Określanie i wdrażanie standardów zabezpieczenia informacji w jednostce.
• Opiniowanie zmian w systemie informatycznym pod k ątem ich wpływu na bezpieczeństwo
przetwarzanych informacji.
• Monitorowanie poziomu bezpieczeństwa w systemie informatycznym.
• Zarządzanie określonymi rozwiązaniami technicznymi związanymi z ochroną systemu
informatycznego.
• Kontrolowanie przestrzegania zasad bezpiecznego przetwarzania danych w systemie
informatycznym.
• Koordynacja procesu reakcji na incydenty w zakresie bezpieczeństwa.
• Merytoryczne przygotowywanie i przeprowadzanie szkoleń w zakresie bezpieczeństwa systemu
informatycznego.
• Uwzględnienie prawnych aspektów ochrony informacji w zabezpieczeniu systemu
informatycznego.
Administrator bezpieczeństwa informacji określa wymagania w zakresie zabezpieczenia systemów
informatycznych i ewentualnie kontroluje ich implementacj ę, natomiast administrator systemu
informatycznego wdraża mechanizmy zgodne ze zdefiniowanymi wymaganiami.
Do obowiązków administratora systemu informatycznego w zakresie bezpieczeństwa danych należy:
• Implementacja odpowiednich mechanizmów bezpieczeństwa w administrowanej infrastrukturze
informatycznej.
• Nadawanie uprawnień użytkownikom systemu informatycznego zgodnie z wnioskami ich
przełożonych.
• Tworzenie kopii zapasowych danych przechowywanych w syste mie informatycznym, przy czym
nie dotyczy to informacji przetwarzanych i przechowywanych lokalnie.
• Instalacja i uaktualnianie oprogramowania oraz zarz ądzanie licencjami, przy czym
odpowiedzialność za legalność oprogramowania spoczywa na kadrze kierowniczej w zakresie
zasobów informatycznych będących w posiadaniu kierowanych przez nich komórek organizacyjnych
zaś dokumenty licencyjne przechowywane są w komórce właściwej ds. informatyki.
• Monitorowanie działania systemu informatycznego i przekazywanie informacji o zagrożeniach
administratorowi bezpieczeństwa informacji.
• Aktywny udział w procesie reagowania na incydenty w zakresie bezpieczeństwa oraz
w usuwaniu ich skutków.
Dokumenty precyzujące zasady ochrony informacji
Ogólne zasady zabezpieczenia zasobów informacyjnych sprecyzowane s ą dokumencie pod nazwą
„Polityka bezpieczeństwa informacji". Stanowi on podstaw ę wytyczającą strategię jednostki w tym
zakresie. Szczegółowe zasady bezpieczeństwa danych zostają opisane w dokumentach
dodatkowych, tworzonych w miarę potrzeby. Do dokumentów tych zalicza się: zakresy obowiązków,
regulaminy, procedury, instrukcje.
Analiza ryzyka
Przeprowadzenie analizy ryzyka ma na celu określenie fragmentów systemu informatycznego
wymagających szczególnego zabezpieczenia, jak również zdefiniowanie tych, których ochrona nie jest
krytyczna dla właściwego funkcjonowania jednostki. Analiza ryzyka jest podstawą do maksymalizacji
poziomu bezpieczeństwa przetwarzanych informacji.
Ocena ryzyka opiera się na określeniu trzech podstawowych wartości:
• Wartość informacji dla prawidłowego funkcjonowania jednostki.
• Częstotliwość wystąpienia zagrożenia dla przetwarzanych informacji.
• Podatność systemu informatycznego (lub jego fragmentu) na za grożenie będąca miernikiem
prawdopodobieństwa wystąpienia strat na skutek wystąpienia zagrożenia.
2
Analizę ryzyka przeprowadza się zarówno w ujęciu ilościowym jak i jakościowym metodą hybrydową
opracowaną w Zespole Informatyków we współpracy z Instytutem Informatyki Politechniki Śląskiej.
Geografia zasobów informatycznych
Lokalizacja sprzętu informatycznego musi przebiegać tak by minimalizowała ryzyko jego zniszczenia
na skutek wypadków losowych oraz ograniczała dostęp osób niepowołanych. Należy tutaj uwzględnić
zarówno ochronę fizyczną, konstrukcję budynku, jak i systemy zabezpieczenia technicznego. Pomieszczenia
z kluczowymi zasobami wyposaża się we wzmocnioną konstrukcję, utrudniającą próby włamania się do nich,
dotyczy to zarówno zabezpieczenia ścian pomieszczenia, jak i podłogi oraz sufitu. Oznaczenia na drzwiach
nie mogą sugerować faktu zlokalizowania w danym pokoju sprzętu informatycznego. Pomieszczenia
z kluczowymi komponentami informatycznymi wyposaża się w zabezpieczenia techniczne, takie jak systemy
przeciwpożarowe, alarm, system monitoringu wizyjnego, które są obsługiwane przez odpowiednie
służby ochrony fizycznej. W odniesieniu do instalacji okablowania logicznego dokonuje si ę
odseparowania kabli zasilających i sygnałowych. Krytyczne dla działania systemu informatycznego
połączenia muszą być zdublowane i prowadzone innymi drogami tak by w przypadku uszkodzenia
jednego z kabli nadal istniała możliwość komunikacji.
Wprowadza się zasadę, że dostęp do pomieszczeń serwerowni oraz lub pomieszczeń w których
serwerownie są usytuowane mogą mieć tylko i wyłącznie pracownicy komórki właściwej ds. informatyki.
Pracę o charakterze stałym (8h dziennie) w pomieszczeniach tych mogą wykonywać tylko ww.
pracownicy. Na czas wykonywania obowiązków związanych z wykonywaną pracą wstęp do
pomieszczeń tych mogą mieć także pracownicy obsługi pod warunkiem posiadania stosownych
upoważnień przy czym prace wykonywane bezpośrednio w serwerowniach wymagają bezpośredniego
nadzoru pracownika komórki właściwej ds. informatyki.
Dostęp do systemu informacyjnego
Dostęp do systemu oparty jest o kilka procesów i mechanizmów. S ą to klasyfikacja informacji i zasobów,
nadanie im klauzul bezpieczeństwa, przypisanie klauzul do mechanizmów bezpieczeństwa. Klasyfikacja
informacji w jednostce opiera się o wymagane poziomy zabezpieczenia danych. W szczególno ści,
jeśli administrator bezpieczeństwa oraz administrator systemu uznaj ą celowość takiego
postępowania, możliwe jest stosowanie oddzielnych klasyfikacji dla poufności, integralności
i dostępności. Klasyfikacja musi uwzględniać co najmniej poufność informacji.
Klasyfikacja informacji przebiega zgodnie z poni ższymi zasadami:
• Informacje wysoko wrażliwe - ich ujawnienie może zagrozić funkcjonowaniu jednostki (przykładem
takich informacji są informacje objęte jedną z klauzul niejawności powyżej klauzuli zastrzeżona).
• Informacje wrażliwe - ich ujawnienie może spowodować istotne straty finansowe lub problemy prawne
(przykładem mogą być informacje dotyczące mieszkańców a objęte ochroną danych osobowych,
informacje podlegające ochronie ze względu na tajemnicę skarbową, informacje o wyrokach
sądowych, stanie majątkowym petentów).
• Informacje wewnętrzne - wszystkie informacje wytworzone wewnątrz jednostki, nieprzeznaczone do
przedstawienia na forum publicznym (dotyczy to również informacji przekazywanych innym
jednostkom.
• Informacje publiczne - informacje, które mogą lub muszą być przedstawione na forum publicznym.
Klasyfikacja zasobów systemu informatycznego uwzględnia wrażliwość informacji przechowywanych
bądź przetwarzanych za pomocą danego zasobu. W przypadku przetwarzania za pomocą zasobu
informacji oznaczonej klauzulą zasób otrzymuje klauzulę równą najwyższej klauzuli przetwarzanych na nim
informacji. Klasyfikacja komponentów informatycznych opiera się na znaczeniu ich prawidłowego
funkcjonowania (dostępności) dla działalności jednostki. Implikuje to kolejność odtwarzania działania
komponentów informatycznych w przypadku awarii lub katastrofy. Klasyfikację zasobów pod względem ich
ważności dla funkcjonowania jednostki przeprowadza się w sposób następujący:
• Komponenty krytyczne - brak ich dostępności może zagrozić funkcjonowaniu jednostki, praktycznie przez
cały czas powinny być one dostępne.
• Komponenty istotne - brak ich dostępności może spowodować straty, ale nie zagrozi funkcjonowaniu
jednostki, dopuszczalna jest niedostępność tych komponentów przez krótki okres czasu.
• Komponenty normalne - brak ich dostępności nie powinien spowodować istotnych strat dla jednostki,
dopuszczalna jest niedostępność tych komponentów przez pewien czas.
3
Każdej klauzuli nadawanej komponentom systemu informatycznego w jednostce przydziela się
podstawowe mechanizmy bezpieczeństwa, które mają chronić poufność, integralność i dostępność informacji
na nim przetwarzanych. Mechanizmy te uwzględniają następujące aspekty ochrony danych: lokalizację
pomieszczeń, w których mają być umieszczone klasyfikowane komponenty, sposób zabezpieczenia
pomieszczeń, zasady wstępu pracowników do tych pomieszczeń, zasady dostępu użytkowników do
usług realizowanych przez komponent, zabezpieczenie ci ągłości pracy zasobu, zasady serwisowania
zasobu, zasady wynoszenia zasobu poza teren jednostki, dokumentacja konfiguracji zasobu, zasady
zmian w konfiguracji zasobu, zabezpieczenie przed wrogim oprogramowaniem, zasady zarz ądzania
kopiami zapasowymi, zasady zapisu zdarze ń, zapewnienie integralności wprowadzanych i przetwarzanych
danych, wykorzystanie mechanizmów kryptograficznych, dopuszczalny czas przestoju w pracy zasobu,
architektura zasobu (w szczególności z uwzględnieniem dostępności usług realizowanych przez zasób),
zgodność z normami opisującymi poziom bezpieczeństwa produktów informatycznych. Klauzula jest
nadawana przez administratora bezpieczeństwa informacji na podstawie danych przekazanych przez
administratora systemu. Nadawanie użytkownikom praw do korzystania z informacji klasyfikowanych,
o określonych klauzulach, opiera się na wiarygodności i zaufaniu. Uwzględnia się zasadę wiedzy
uzasadnionej -użytkownicy powinni mieć dostęp tylko do tych informacji, które są im niezbędne do
wykonywania obowiązków służbowych.
Zarządzanie uprawnieniami użytkowników systemu
Nadawanie uprawnień do korzystania z systemu informatycznego opiera się o zasadę wiedzy
uzasadnionej i zasadę minimalnych uprawnień. Użytkownik może mieć dostęp tylko do tych informacji,
które są mu potrzebne do realizacji zadań - dostęp do innych danych jest zabroniony. Dla każdego
rodzaju użytkownika tworzona jest rola, opisująca jego uprawnienia do korzystania z systemu
informatycznego. Uprawnienia są nadawane użytkownikowi przez administratora systemu
informatycznego na wniosek przełożonego – naczelnika lub kierownika komórki samodzielnej a dla
pracowników samodzielnych na wniosek własny. Nowy użytkownik systemu informatycznego otrzymuje,
poza opisem nadanych uprawnień, dokument precyzujący zasady bezpiecznej pracy w systemie
informatycznym oraz unikalny identyfikator (login name).
Mechanizmy uwierzytelniające i zarządzanie nimi
Zakres ten obejmuje zarządzanie hasłami, zabezpieczenie zasobów przed dostępem osób niepowołanych,
bezpieczne usuwanie i niszczenie informacji oraz szyfrowanie danych. W celu zapewnienia bezpiecznego
korzystanie z haseł zaimplementowano opisane poniżej zasady:
• Hasło powinno być znane tylko użytkownikowi, któremu zostało przydzielone.
• Hasło nie powinno być udostępniane innym osobom, wyjątkiem są wspólne hasła
administracyjne.
• Hasła użytkowników nie mogą być w jakikolwiek sposób zapisywane lub utrwalane.
• Hasła użytkowników stanowią tajemnicę służbową.
• Hasła administracyjne mogą być utrwalane i przechowywane są w tajnej kancelarii jako obj ęte
tajemnicą, dostępną tylko dla osób upoważnionych.
• W przypadku podejrzenia kompromitacji hasła użytkownik winien natychmiast zmienić hasło
i poinformować o tym administratora bezpieczeństwa informacji, który podejmuje kroki w celu
wyjaśnienia, czy hasło to nie zostało wykorzystane do nieuprawnionego dostępu do systemu
informatycznego i czy na skutek tego nie zaistniały szkody.
• Minimalna długość hasła powinna wynosić 8 znaków, a hasło powinno zawierać co najmniej cyfrę,
znak specjalny oraz dużą i małą literę.
• W skład hasła nie mogą wchodzić pojedyncze wyrazy.
• Hasło nie może bezpośrednio nawiązywać do jego użytkownika (na przykład nie powinno być
numerem jego telefonu, datą urodzenia, adresem itp.).
• Hasło nie może być trywialne (na przykład ciąg takich samych liter lub cyfr).
• W przypadku nadawania użytkownikowi po raz pierwszy uprawnień lub kasowania hasła
administrator systemu informatycznego wygeneruje hasło tymczasowe, które powinno być zmienione przez użytkownika przy pierwszym dostępie do aplikacji.
• Hasła muszą być okresowo zmieniane przez użytkowników – w okresie nie dłuższym niż 30 dni
chyba, że przepisy prawa stanowią o silniejszej ochronie związanej ze zmianami hasła.
• Przy zmianie hasła użytkownik nie może wprowadzać jako nowego hasła jednego z kilku
4
poprzednio używanych. Stosuje się zasadę, że nowe hasło musi być różne od sześciu
ostatnio używanych haseł.
• Aplikacje sprawdzające tożsamość przy pomocy hasła nie mogą wyświetlać go na ekranie monitora
podczas wprowadzania przez użytkownika.
• Wprowadzanie hasła nie może być zautomatyzowane, na przykład poprzez przypisanie go klawiszowi
funkcyjnemu.
• W przypadku kilkukrotnego błędnego wprowadzenia hasła, o ile istnieją stosowne możliwości
techniczne, konto użytkownika ulega zablokowaniu. Odblokowanie nast ępuje na wniosek
użytkownika przez administratora systemu informatycznego, z powiadomieniem administratora
bezpieczeństwa informacji.
Pomieszczenia, w których znajduje się sprzęt komputerowy, zabezpiecza się przed dostępem osób
nieupoważnionych poprzez instalację odpowiednich zamków, a w przypadku pomieszczeń
z komponentami krytycznymi również za pomocą systemu alarmowego. O ile istnieją niezbędne
możliwości techniczne stosuje się wygaszacze ekranowe z czasem reakcji nie dłuższym niż 15 minut.
Konfiguracja zasobów informatycznych wykonywana jest tylko i wyłącznie przez pracowników komórki
właściwej ds. informatyki. Stosuje się ograniczenie możliwości korzystania z systemu
informatycznego w zależności od miejsca (stacji roboczej) i czasu. Użytkownik może korzystać
z systemu na swojej stacji roboczej, b ądź stacjach roboczych umieszczonych w pokoju, w którym
pracuje w standardowych godzinach pracy. Dostęp użytkowników ogranicza si ę do korzystania
z określonego komputera w narzuconych godzinach. Możliwe odstępstwa od tych zasad mogą
mieć charakter tylko i wyłącznie tymczasowy i wymagają zgody administratora
bezpieczeństwa. Rozwiązania pozwalające na bezpieczne niszczenie informacji w systemie
informatycznym są stosowane w przypadku konieczności usunięcia informacji wrażliwych. Mechanizmy
bezpiecznego kasowania informacji wrażliwych stosuje się w szczególności w odniesieniu do nośników
przenośnych (dyskietki, CD-ROM-y) oraz nośników danych zainstalowanych zasobach informatycznych,
przekazywanych do naprawy poza siedzibą jednostki.
Nośniki magnetyczne zawierające informacje wrażliwe poddawane są działaniu przeznaczonego do tego
oprogramowania lub poddawane procesowi demagnetyzacji. Stosuje się szyfrowanie danych jako
efektywną metodę zabezpieczenia informacji przed dost ępem osób nieupoważnionych. Reguły
szyfrowania są następujące:
• Informacje wrażliwe przesyłane w sieci informatycznej jednostki oraz w sieciach informatycznych
niekontrolowanych przez jednostkę muszą być szyfrowane.
• Dąży się do tego, o ile jest to technicznie możliwe, aby informacje wewnętrzne przesyłane za
pośrednictwem sieci teleinformatycznej pozostających poza kontrolą jednostki były szyfrowane.
• Informacje wrażliwe przechowywane na nośnikach przenośnych muszą być szyfrowane.
• Dąży się do tego, aby informacje wewnętrzne znajdujące się na nośnikach przenośnych,
wynoszonych poza teren jednostki, były szyfrowane.
Informacje wrażliwe przechowywane w systemie informatycznym jednostki powinny być szyfrowane.
Wszystkie informacje wrażliwe przechowywane na komputerach przeno śnych, które mogą być
użytkowane poza terenem jednostki, powinny być szyfrowane. Za dobór mechanizmów szyfrujących
odpowiada administrator bezpieczeństwa informacji.
Poprawność informacji
W przypadku informacji szczególnie wrażliwych, ze względu na ich poprawność, powinny być one
wprowadzane komisyjnie przez dwóch użytkowników, z których jeden wprowadza dane do systemu,
zaś drugi weryfikuje ich poprawno ść. System informatyczny powinien być wyposażony, o ile jest to
technicznie możliwe, w mechanizm pozwalający na zapisanie identyfikatora osoby, która
wprowadzała informacje, identyfikatora osoby, która weryfikowała poprawność, czas wprowadzenia
danych oraz identyfikator stacji roboczej, z jakiej zostały one wprowadzone. Użytkownicy systemu
informatycznego są zobowiązani do analizy poprawności informacji generowanych przez aplikacje.
W szczególności analiza ta winna obejmować kompletność, zawartość i precyzyjność informacji.
Komponenty informatyczne wyposaża się w mechanizmy pozwalające na sprawdzanie poprawności
danych podczas ich wprowadzania lub podczas przetwarzania. Funkcjonują one na różnych poziomach
systemu - w szczególności na poziomie aplikacji, systemu zarządzania bazą danych lub na obu tych
5
poziomach, uzupełniając się nawzajem. Mechanizmy weryfikacji poprawności powinny w szczególności
sprawdzać:
• Poprawność składni wprowadzanych danych.
• Zgodność wprowadzanych danych z dopuszczalnym zakresem.
• Kompletność danych.
• Obecność danych wymaganych.
• Ilość wprowadzanych danych zgodnie z określonymi wymaganiami.
• Zgodność zakresu wprowadzanych danych z ograniczeniami ustalonymi dla danego
użytkownika.
Dla zagwarantowania możliwości wykrycia nieautoryzowanych zmian w oprogramowaniu stosuje si ę
mechanizmy sum kontrolnych. Sumy kontrolne winny być stosowane dla informacji wrażliwych ze
względu na integralność oraz dla oprogramowania, które jest narażone na próby nieautoryzowanej
modyfikacji. Możliwe jest powiązanie tego mechanizmu z klasyfikacj ą informacji według określonej
klauzuli. Przy powiązaniu zastosowania sum kontrolnych z klauzulami administrator bezpiecze ństwa
informacji jest odpowiedzialny za określenie, dla jakich klas informacji nale ży stosować powyższe
zabezpieczenie. Decyzję o zabezpieczeniu oprogramowania sumami kontrolnymi podejmuje
administrator bezpieczeństwa informacji.
Jeżeli istotne są zarówno treść informacji, jak i jej pochodzenie oraz czas stworzenia, stosuje się podpis
elektroniczny. W szczególności podpis elektroniczny powinien by ć stosowany:
• Przy przesyłaniu informacji za pośrednictwem sieci informatycznych pozostających poza kontrolą
jednostki, jeżeli stosowanie tego mechanizmu jest technicznie i prawnie mo żliwe.
• Przy przesyłaniu informacji istotnych, co do treści, tożsamości nadawcy lub daty nadania w sieci
informatycznej jednostki.
Mechanizm podpisu elektronicznego może być powiązany z klasyfikacją informacji - dla danych
o określonej klauzuli podpis ma być stosowany obligatoryjnie.
Dostępność informacji
Kopie zapasowe są podstawowym zabezpieczeniem dostępności przechowywanych w systemie
informatycznym danych. Informacje przechowywane na serwerach i kluczowych stacjach roboczych
muszą być w ten sposób zabezpieczane - dotyczy to również oprogramowania, w szczególności, gdy
ponowna instalacja i konfiguracja jest czasochłonna. Za wykonywanie tych kopii odpowiada
administrator systemu informatycznego. Zasady tworzenia kopii zapasowych i ich harmonogram
opracowane zostają przez administratora systemu informatycznego i podlegaj ą akceptacji
administratora bezpieczeństwa informacji. Informacje gromadzone na stacjach roboczych lokalnie
podlegają zabezpieczeniu w postaci kopii wykonywanej przez użytkownika stacji. Kopie wykonywane
przez administratora systemu informatycznego przechowywane s ą w budynku odmiennym od budynku,
w jakim znajdują się oryginały informacji. Kopie zapasowe nie mogą być przechowywane
w pomieszczeniach, w których znajdują się komponenty informatyczne przetwarzające zapisane na
nich informacje.
Dane użytkowników, które podlegają archiwizacji kopiuje się na serwery plików, w celu właściwego
zabezpieczenia ich dostępności. Użytkownicy, którzy nie kopiują danych ze swoich komputerów na
serwery plików (na przykład, gdy posiadają komputery przenośne, okazjonalnie korzystaj ą z sieci
informatycznej jednostki), zobowiązani są samodzielnie zadbać o tworzenie kopii. Częstotliwość ich
tworzenia jest uzależniona od częstotliwości wprowadzania zmian w danych.
Wprowadza się szczególnie surowe zasady bezpieczeństwa do zastosowania przy archiwizacji
i przechowywaniu kluczy kryptograficznych. Nośniki danych muszą być przechowywane w
bezpiecznym miejscu, które jest odpowiednio chronione przed dostępem osób nieupoważnionych. Przy
wykorzystaniu systemów kryptograficznych należy sporządzać kopie zapasowe konfiguracji mechanizmów
szyfrujących. Jeżeli kopia zapasowa informacji innego typu niż wymienione powyżej podlega szyfrowaniu,
wówczas do kopii zapasowej dołącza się klucz kryptograficzny, przy czym przechowywanie kopii klucza
podlega rozproszeniu terytorialnemu. Dopuszcza si ę odszyfrowywanie informacji z kopii za pomocą tak
załączonego klucza nawet w przypadku jego przeterminowania kryptograficznego. Krytyczne
komponenty systemu informatycznego zabezpiecza się przy pomocy zasilaczy awaryjnych (UPS).
6
Nośniki przenośne
Na nośniku przenośnym dane mogą być przechowywane tylko przez czas do tego niezbędny - gdy są one
niepotrzebne, powinny zostać skasowane. W przypadku zwykłych informacji (informacji wewnętrznych)
wystarczy zastosowanie mechanizmów kasujących, zainstalowanych w systemie operacyjnym, dla
informacji wrażliwych i nośników, które nie mogą zostać skasowane przez narzędzia programowe,
stosuje się metody opisane w części „Dostęp do systemu informatycznego". Informacje zapisane na
nośnikach przenośnych, a w szczególności informacje wrażliwe, podlegają procesowi szyfrowania
zgodnie z opisem w części „Dostęp do systemu informatycznego". Ze względu na ochronę
antywirusową wymaga się, aby użytkownicy korzystali wyłącznie z nośników dystrybuowanych przez
administratora systemu informatycznego lub inne upoważnione osoby. Korzystanie z własnych nośników jest
zabronione. Nośniki oznakowuje się w sposób umożliwiający identyfikację informacji na nich zapisanych,
jak również określenie klauzuli, jaką chronione są przechowywane informacje. W przypadku informacji
wrażliwych oznakowanie nośnika nie powinno bezpośrednio wskazywać na jego zawartość - w tym celu
stosowane są ustalone kody. Tablica kodów ustalana i przechowywana jest przez administratora
bezpieczeństwa informacji.
Użytkowanie komputerów przenośnych
Komputery takie powinny być zabezpieczone przed uszkodzeniem w czasie transportu. Ze względu
na ochronę dostępności informacji przechowywanych na laptopie, jak również podwyższone ryzyko
jego uszkodzenia, użytkownicy laptopa zobowiązani są do systematycznego tworzenia kopii
zapasowych. Nośniki z takimi kopiami powinny być przechowywane w bezpiecznym miejscu,
z uwzględnieniem ochrony przed dostępem osób niepowołanych.
W celu zabezpieczenia komputera przenośnego przed kradzieżą należy zastosować się do
następujących zasad:
• Komputer przenośny powinien być transportowany pod kontrol ą użytkownika lub innej
upoważnionej osoby.
• Komputer przenośny nie powinien być pozostawiany w sposób narażający go na kradzież.
• W przypadku pozostawiania komputerów prze nośnych w biurze zaleca się umieszczanie ich po
zakończeniu pracy w zamykanych szafkach.
• Zaleca się, aby komputer przenośny pozostawiony w miejscu dostępnym dla osób innych niż
użytkownik był przypinany do stołu przy pomocy odpowiedniego kabla zabezpiecza jącego w szczególności dotyczy to zabezpieczenia komputera podczas konferen cji, prezentacji, szkoleń,
targów itp.
Na komputerach przenośnych przeznaczonych do prezentacji podczas opisanych powyżej imprez nie
mogą znajdować się informacje wrażliwe, chyba, że jest to związane z celem prezentacji i uzyskało
akceptację administratora bezpieczeństwa informacji. Ponadto zaleca się szyfrowanie dysków w
komputerach przenośnych zgodnie z zasadami opisanymi w części „Dostęp do systemu informatycznego". Nie zezwala się na pracę nad informacjami wrażliwymi w miejscach publicznych.
Użytkownik otrzymujący komputer przenośny podpisuje oświadczenie o zobowiązaniu się do
przestrzegania zaleceń związanych z ochroną laptopa.
Zdalna praca.
Zdalna praca w systemie informatycznym jest zabroniona dla pracowników innych ni ż zatrudnieniu
w komórce właściwej ds. informatyki lub wskazanych w odpowiednich umowach z podmiotami
zewnętrznymi.
Wymiana informacji w systemie informatycznym
Użytkownicy systemu informatycznego mogą korzystać z dostępu do zasobów Internetu tylko do
realizacji zadań służbowych. W szczególności wprowadzono zakaz ściągania przez użytkowników
plików lub przeglądania zasobów informacyjnych o treści prawnie zabronionej, obscenicznej bądź
pornograficznej. Użytkownikom zabrania się łączyć się z wewnętrznej sieci informatycznej jednostki
z publicznie dostępnymi serwerami poczty elektronicznej.
Szczególne rygory stosuje się wobec ściągania z Internetu plików wykonywalnych. Pliki takie mogą być
ściągane tylko przez uprawnionych zgodą administratora systemu użytkowników i tylko w uzasadnionych przypadkach. Administrator bezpiecze ństwa informacji może nakazać przetestowanie
ściągniętego oprogramowania w odseparowanym środowisku. Do korzystania z Internetu użytkownicy
mogą wykorzystywać jedynie zaakceptowane przez administratora bezpiecze ństwa informacji łącza ko-
7
munikacyjne. W szczególności zabrania się łączenia się użytkowników systemu informatycznego
poprzez łącza komutowane, jeżeli można skorzystać z centralnego punktu dostępu do Internetu.
Administrator bezpieczeństwa informacji może, po uwzględnieniu wyników analizy ryzyka i uwarunkowań
ekonomicznych, wprowadzić mechanizmy monitorujące przeglądanie Internetu przez użytkowników.
Mogą one uwzględniać:
• Blokowanie stron internetowych określonego typu.
• Blokowanie określonych stron internetowych.
• Analizę ilości informacji ściąganych z Internetu i wysyłanych do Internetu przez użytkownika.
• Analizę przesyłanych informacji pod kątem niebezpiecznego oprogramowania.
• Analizę przesyłanych informacji pod kątem wykrywania zabronionych treści.
• Zapis zdarzeń związanych z korzystaniem z Internetu przez użytkowników.
Poczta elektroniczna jest narzędziem służącym do wymiany służbowych informacji wewnątrz jednostki
oraz prowadzenia korespondencji z podmiotami zewnętrznymi. Użytkownicy systemu poczty
elektronicznej zobowiązani są do przestrzegania następujących zasad:
• Przesyłanie informacji za pośrednictwem poczty elektronicznej odbywa się zgodnie
z uprawnieniami adresatów do korzystania z określonego typu danych.
• W przypadku przesyłania informacji wrażliwych wewnątrz jednostki bądź informacji wewnętrznych poza
nią należy wykorzystywać mechanizmy kryptograficzne, zgodnie z zasadami opisanymi w części
„Dostęp do systemu informatycznego”.
• Jeżeli istotne jest potwierdzenie otrzymania przez adresata prze syłki, użytkownik winien
skorzystać, o ile jest to technicznie możliwe, z opcji systemu poczty elektronicznej informującej
o dostarczeniu i otwarciu dokumentu. Dodatkowo zaleca się, aby użytkownik zawarł w treści
dokumentu prośbę o potwierdzenie otrzymania i zapoznania się z informacją.
• Informacje przesyłane za pośrednictwem poczty elektronicznej muszą być zgodne z prawem
i z zasadami obowiązującymi w jednostce.
• Użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie sugeruje
związku z wypełnianymi przez nich obowiązkami służbowymi. W przypadku otrzymania takiej przesyłki użytkownik powinien ją zniszczyć lub skontaktować się z administratorem bezpieczeństwa
informacji, który sprawdzi, czy przesyłka ta nie jest potencjalnie niebezpieczna dla systemu infor matycznego.
• Użytkownicy nie powinni uruchamia ć wykonywalnych załączników dołączonych do wiadomości
przesyłanych pocztą elektroniczną. W takim przypadku użytkownik powinien poinformować
o zdarzeniu administratora bezpieczeństwa informacji, który winien sprawdzić, czy załącznik
stanowi zagrożenie dla przetwarzanych w systemie informatycznym informacji.
Adresy pocztowe użytkowników systemu informatycznego nie powinny być podawane do wiadomo ści
publicznej (na przykład na stronie WWW). Tworzy się tematyczne adresy, umożliwiające nadsyłanie
wiadomości osobom spoza jednostki. Informacje nadsyłane na te adresy są następnie przesyłane do
właściwych użytkowników.
Administrator bezpieczeństwa informacji może wdrożyć mechanizmy kontrolujące przepływ danych
w ramach systemu poczty elektronicznej, uzależniając to od wyników analizy ryzyka. Kontrola przesyłek
może obejmować wykrywanie niebezpiecznego oprogramowania (na przykład wirusów), analizowanie
treści (występowanie podejrzanych słów lub zwrotów), oraz monitorowanie pochodzenia i przeznaczenia
dokumentu (adres nadawcy, adres odbiorcy). Serwer poczty elektronicznej powinien być skonfigurowany
w sposób zapewniający ochronę przed próbami ataków. Komputer obsługujący pocztę elektroniczną
powinien być do tego celu przeznaczony i nie może realizować żadnych innych funkcji
administracyjnych. Wszelkie usługi niezwiązane z przesyłaniem wiadomości pocztowych powinny być
na tym komputerze wyłączone. Jeżeli serwer poczty elektronicznej służy do wymiany informacji ze
światem zewnętrznym za pośrednictwem sieci publicznej, to powinien on być chroniony przed
ewentualnymi atakami z zewnątrz za pośrednictwem ściany ogniowej. Serwer ten również powinien być
oddzielony od sieci informatycznej za pomocą co najmniej ściany ogniowej - o ile przepisy prawa nie
nakazują pełnej separacji galwanicznej sieci wewnętrznej.
Połączenia z zewnętrznymi sieciami teleinformatycznymi
Wprowadza się zasadę, że podstawowym zabezpieczeniem, pozwalającym na bezpieczne połączenie
dwóch sieci, jest ograniczenie transmisji danych. Filtracja typu ruchu sieciowego odbywa się na routerze
8
łączącym system informatyczny jednostki z Internetem oraz na specjalizowanym zasobie - ścianie
ogniowej.
Z wdrożeniem ściany ogniowej i zarządzaniem wiąże się następujące zasady bezpieczeństwa:
• Cała komunikacja pomiędzy dwiema sieciami powinna odbywać się za pośrednictwem ściany
ogniowej; żadne inne połączenia pomiędzy sieciami, omijające zaporę, nie mogą mieć miejsca.
• Administrator bezpieczeństwa informacji określa, jaki rodzaj komunikacji pomiędzy sieciami jest
dozwolony. Każdy inny rodzaj komunikacji jest zabroniony.
• Zezwolenie na przepływ informacji pomiędzy dwiema sieciami może być uzależnione od
rodzaju transmisji, adresów urz ądzeń, kierunku przepływu danych, strony inicjującej połączenie,
czasu i zweryfikowanego mechanizmem uwierzytelniaj ącym identyfikatora użytkownika.
• Oprogramowanie spełniające funkcję ściany ogniowej, powinno być zainstalowane na przeznaczonym do tego komputerze. Komputer ten nie mo że spełniać żadnych dodatkowych funkcji.
System operacyjny komputera powinien być skonfigurowany w sposób bezpieczny i zawierać tylko
te komponenty, które są potrzebne do właściwej pracy oprogramowania.
• Dostęp administracyjny do ściany ogniowej powinien być możliwy tylko dla upoważnionych
pracowników, z wykorzystaniem bezpiecznych kanałów komunikacyjnych.
• Zdarzenia związane z działaniem ściany ogniowej powinny być zapisywane w logu. Za analizę logu
jest odpowiedzialny administrator systemu.
• Osoby zarządzające ścianą ogniową powinny posiadać szczegółową wiedzę na temat
zastosowanego produktu i legitymować się ukończonymi specjalistycznymi szkoleniami w tym
zakresie.
• Konfiguracja ściany ogniowej powinna być zabezpieczona poprzez stworzenie kopii zapasowych
umożliwiających jej szybkie odtworzenie w przypadku awarii.
• W przypadku awarii ściany ogniowej połączenie pomiędzy dwiema sieciami powinno zostać
zablokowane. W szczególności zabronione powinno być realizowanie połączenia pomiędzy
sieciami bez ściany ogniowej.
Ochrona przed niebezpiecznym oprogramowaniem
W celu zapewnienia ochrony przed nie bezpiecznym oprogramowaniem, które może być wprowadzone
do systemu informatycznego wprowadza się obowiązek przestrzegania przedstawionych niżej zasad.
System informatyczny jednostki powinien być wyposażony w kompleksowy system wykrywający
niebezpieczne oprogramowanie (system antywirusowy), uwzględniający, że:
• Poszczególne moduły systemu antywirusowego powinny ze sobą współpracować.
• System antywirusowy powinien umożliwiać centralne zarządzanie, w tym centralną analizę
zdarzeń związanych z pojawianiem się w systemie informatycznym niebezpiecznego
oprogramowania.
• System antywirusowy powinien być systematycznie uaktualniany - dotyczy to instalacji wzorców
niebezpiecznego oprogramowania, umo żliwiających jego wykrycie.
• Użytkownicy nie mogą bez upoważnienia ściągać oprogramowania z Internetu ani uruchamiać
oprogramowania przesyłanego za pośrednictwem poczty elektronicznej lub innych systemów
elektronicznej wymiany informacji.
• Integralność danych i oprogramowania, kluczowych dla funkcjonowania jednostki, powinna być
weryfikowana przy zastosowaniu mechanizmu sum kontrolnych. Zgodno ść sum kontrolnych
oprogramowania i danych operacyjnych powinna być okresowo sprawdzana z sumą kontrolną
wzorca.
Administrator bezpieczeństwa informacji jest odpowiedzialny za stworzenie koncepcji ochrony
antywirusowej, wdrożenie wraz z administratorem systemu informatycznego oprogramowania
antywirusowego, monitorowanie jego działania, oraz systematyczne uaktualnianie wzorców niebezpiecznych kodów. Administrator systemu informatycznego jest odpowiedzialny za okresowe
weryfikowanie zgodności sum kontrolnych z ich wzorcami.
Monitorowanie działania systemu informatycznego
Monitorowanie systemu informatycznego ma na celu kontrolowanie po prawności pracy komponentów
infrastruktury informatycznej, analizę sposobu jej wykorzystania oraz odpowiednio wczesne
wykrywanie zagrożeń dla informacji przetwarzanych metodami elektronicznymi. Monitorowanie
działania infrastruktury przeprowadzane jest przez administratora systemu informatycznego.
9
Administrator systemu informatycznego jest odpowiedzialny za kontrol ę prawidłowego działania
urządzeń i oprogramowania. Administrator bezpieczeństwa informacji analizuje zapisy w dziennikach
systemowych dotyczące czynności związanych z zarządzaniem infrastrukturą dostarczane przez
administratora systemu informatycznego.
Zapis działania systemu informatycznego może obejmować między innymi następujące elementy:
• Włączenie i wyłączenie komponentu.
• Udane i nieudane próby logowania si ę użytkowników do systemu.
• Nadawanie i odbieranie uprawnie ń użytkownikom.
• Udane i nieudane próby wykonywania operacji krytycznych dla funkcjonowania systemu
informatycznego.
• Próby dostępu administracyjnego do elementów infrastruktury informatycznej.
• Operacje przeprowadzane na konsoli urządzenia (na przykład serwera).
• Instalowanie i modyfikowanie oprogramowania.
• Używanie systemowych narzędzi administracyjnych.
• Uruchomienie przez użytkownika krytycznych aplikacji.
• Udane i nieudane próby dost ępu do danych.
• Wprowadzanie danych do systemu informatycznego.
• Przesyłanie danych.
• Usuwanie danych.
• Rozkład obciążenia sieci informatycznej.
• Błędy w transmisji danych w sieci informatycznej.
• Próby naruszenia zasad bezpieczeństwa mechanizmów separujących sieci informatyczne (ścian
ogniowych).
• Obciążenie komponentów informatycznych (przekroczenie okre ślonego poziomu).
• Zajęcie przestrzeni dyskowej (przekroczenie określonego poziomu).
• Awarie sprzętu i oprogramowanie.
• Warunki środowiskowe pracy systemu informatycznego (na przykład temperatura urządzeń - o ile
wyposażone są one w odpowiednie czujniki i moduły programowe).
Wprowadza się synchronizację czasów systemowych wszystkich urządzeń informatycznych w ramach
sieci komputerowych. Za przeprowadzanie tej operacji odpowiada administrator systemu informaty cznego.
Analizujący zdarzenia w systemie informatycznym jest zobowiązany do zwrócenie szczególnej uwagi na
następujące zjawiska:
• Próby (udane i nieudane) korzystania z systemu informatycznego poza normalnymi godzinami
pracy.
• Korzystanie przez użytkownika z systemu informatycznego poprzez stację roboczą zwykle przez
niego niewykorzystywaną (lub nawet niebędącą dla niego dostępną).
• Wzrost ilości nieudanych prób zalogowania się na konto użytkownika.
• Wzrost ilości nieudanych prób dostępu do zasobów systemu informatycznego.
• Brak zapisu zdarzeń w systemie informatycznym w pewnym okresie czasu.
• Wyjątkowo duża ilość zapisanych zdarzeń.
• Duże obciążenie sieci informatycznej.
• Transfer dużej ilości informacji.
• Wykonywanie krytycznych operacji w systemie informatyc znym.
• Przetwarzanie informacji wrażliwych.
• Awarie komponentów informatycznych.
Zaleca się zastosowanie narzędzi automatycznie analizujących zapisy i informujących
odpowiednich administratorów w przypadku zaistnienia zjawisk krytycznych.
Zarządzanie oprogramowaniem
Proces zarządzania oprogramowaniem obejmuje zasady jego instalacji, konfiguracji i uaktualniania
w sposób zapewniający bezpieczeństwo przetwarzanych informacji, jak również zgodność z warunkami
licencyjnymi. Za proces ten odpowiedzialny jest administrator systemu informatycznego. Administrator
bezpieczeństwa informacji może pełnić funkcje kontrolną, jak również udzielać wsparcia poprzez,
10
miedzy innymi, udział w testach bezpieczeństwa oprogramowania, które ma być wdrożone
w jednostce. Wprowadza się zakaz wnoszenia przez użytkowników własnych, zawierających
oprogramowanie nośników danych zawierających oprogramowania i uruchamiania ich na stacjach
roboczych. Ponadto zabrania si ę podłączania własnego sprzętu teleinformatycznego (na przykład
komputerów przenośnych) do systemu informatycznego jednostki. Samowolna instalacja
oprogramowania przez użytkownika stanowi poważne naruszenie zasad bezpieczeństwa. Użytkownik
ponosi odpowiedzialność za wszelkie szkody spowodowane przez takie działania, jak również za straty
poniesione przez jednostkę z tytułu zainstalowanych w systemie informatycznym programów bez
odpowiednich licencji. Oprogramowanie może być instalowane wyłącznie przez administratora systemu
informatycznego, administratora bezpieczeństwa informacji lub przez upoważnione przez nich osoby.
Dąży się do stosowania takiej konfiguracji stacji roboczych, aby u żytkownik nie mógł ich samodzielnie
instalować lub zmieniać.
Zarządzanie mechanizmami kryptograficznymi
Wybór mechanizmów kryptograficznych uwzględnia miedzy innymi następujące kryteria:
• Realizacja wymaganych usług kryptograficznych (szyfrowanie symetryczne, asymetryczne, podpis
cyfrowy, znakowanie czasem itp.).
• Odpowiednia moc mechanizmów kryptograficznych (zastosowane algorytmy, długości kluczy).
• Wymagany sposób zarządzania kluczami kryptograficznymi.
• Wymagana wydajność mechanizmu kryptograficznego.
• Kompatybilność z istniejącą infrastrukturą informatyczną jednostki.
• Rodzaj zabezpieczanych danych (dane przechowywane na nośniku, przesyłane przez sieci
lokalne, transmitowane w sieciach roz ległych lub publicznych).
• Wymagania dotyczące certyfikacji produktu (o ile wyst ępują).
• Wymagania dotyczące zgodności z normami branżowymi i wykorzystanie standardowych
protokołów dla mechanizmów kryptograficznych (o ile występują).
• Łatwość wdrożenia mechanizmu i integracji z systemem informatycznym.
• Odporność na próby kompromitacji mechanizmu.
• Wymagany stopień interakcji z użytkownikiem.
Określenie powyżej opisanych kryteriów jest wynikiem analizy ryzyka, sprecyzowania potrzeb
w zakresie wdrożenia mechanizmów szyfrujących, istniejących uwarunkowań technicznych
i organizacyjnych, jak również aspektów ekonomicznych. Za określenie wymagań związanych
z ochroną informacji odpowiada administrator bezpiecze ństwa informacji. Za określenie wymagań
związanych z kompatybilnością mechanizmu kryptograficznego z funkcjonuj ącą w jednostce
infrastrukturą odpowiada administrator systemu informatyczne go, a wymagania te z uwzględnieniem
problematyki ochrony informacji, zatwierdzane są administratora bezpiecze ństwa informacji. Osobą
odpowiedzialną za administrację komponentami kryptograficznymi jest administrator systemu. Krytyczne
operacje związane z zarządzaniem tymi komponentami winny być przeprowadzane komisyjnie przez
dwie osoby. Za określenie operacji krytycznych dla mechanizmów kryptograficznych jest odpowiedzialny
administrator bezpieczeństwa informacji. Wszystkie operacje krytyczne powinny być odpowiednio
dokumentowane. Dokumentacja powinna być chroniona przed zniszczeniem, zafałszowaniem
i dostępem osób nieupoważnionych. Korzystać z niej może administrator bezpieczeństwa informacji,
osoby przez niego upoważnione, jak również osoby upoważnione przez Prezydenta Miasta.
Użytkownicy systemu kryptograficznego są zobowiązani do zabezpieczenia wykorzystywanych przez
siebie prywatnych lub tajnych kluczy kryptograficznych przed dost ępem osób nieupoważnionych.
W przypadku podejrzenia kompromitacji prywatnego lub tajnego klucza użytkownik jest zobowiązany
do natychmiastowego poinformowania o zaistniałym incydencie administratora bezpiecze ństwa
informacji. Wszystkie klucze kryptograficzne (w tym klucze publiczne) musz ą być chronione przed
nieautoryzowaną modyfikacją lub nieautoryzowanym zniszczeniem. Sprzęt kryptograficzny, służący do
przechowywania i wykorzystywania krytycznego materiału kryptograficznego (na przykład podpisywania
certyfikatów zawierających klucze publiczne), musi znajdować się w wydzielonej strefie, chronionej
przed dostępem osób nieupoważnionych. Do strefy tej mają dostęp wyłącznie administrator
bezpieczeństwa informacji, osoby przez niego upoważnione oraz osoby upoważnione przez
Prezydenta Miasta. W przypadku realizacji fun kcji szyfrowania i podpisu cyfrowego z wykorzystaniem
mechanizmów kryptografii asymetrycznej konieczne jest stosowanie co najmniej dwóch ró żnych par
11
kluczy jednej związanej z zabezpieczeniem poufności informacji, drugiej z cyfrowym sygnowaniem
dokumentu. Klucze kryptograficzne (również prywatne i tajne, służące do zabezpieczania dokumentów
o długim okresie życia - inne niż sesyjne) podlegają archiwizacji. Ich archiwum znajduje si ę, podobnie
jak urządzenia z krytycznym materiałem kryptograficznym, w szczególnie chronionej, wydzielonej
strefie. Dostęp do archiwum ma administrator bezpieczeństwa informacji oraz osoby przez niego
wskazane. Odtworzenie klucza kryptograficznego może być przeprowadzone komisyjnie (przez co
najmniej dwie osoby uprawnione do administrowania systemu kryptograficznego), wyłącznie
w szczególnie uzasadnionych przypadkach, za zgod ą administratora bezpieczeństwa informacji lub
Prezydenta Miasta. Operację odtworzenia zarchiwizowanych kluczy uznaje się za operację krytyczną.
Okres archiwizacji uzależniony jest od rodzaju dokumentów zabezpieczanych przez klucze i ustalany
jest przez administratora bezpieczeństwa informacji. Administrator bezpieczeństwa informacji jest
odpowiedzialny za proces unieważniania kluczy, co do których istnieje podejrzenie, iż zostały
skompromitowane, których okres życia zakończył się, oraz które winny utracić ważność z innych
powodów - w szczególności wykorzystywanych przez zwolnionych pracowników lub współpracowników,
którzy zakończyli świadczenie usług dla jednostki.
Bezpieczne serwisowanie systemu informatycznego
Administrator systemu informatycznego jest odpowiedzialny za przestrzeganie zasad serwisu systemu
informatycznego. W szczególności zasady te obejmują następujące zagadnienia:
• Określanie dopuszczalnego czasu przestoju danego komponentu (jako rezultat analizy wpływu na
działanie jednostki).
• Określanie czasu reakcji służb serwisowych i czasu naprawy adekwatnych do dopuszczalnego
czasu przestoju komponentu.
• Dokumentację awarii sprzętu i prac wykonanych przez służby serwisowe.
• Przygotowywanie statystyk napraw sprzętu informatycznego przez służby serwisowe.
• Analizowanie rzeczywistych czasów reakcji i czasów napraw oraz ewentualne podejmowanie akcji
korekcyjnych.
Zarządzanie zmianami
Proces wprowadzania zmian w systemie informatycznym powinien na każdym etapie uwzględniać problem
zabezpieczenia informacji przetwarzanych metodami elektronicznymi. Ze względu na to jest on monitorowany przez administratora bezpiecze ństwa informacji.
Inicjując proces zmian obejmujący wprowadzenie nowych komponentów informatycznych ustala się
wymagania, jakie mają być przez nie spełnione. Obejmują one:
• Zakres funkcji, jaki ma być realizowany przez dany komponent.
• Akceptowalność przez użytkowników w stopniu niepowodującym niepotrzebnych zaniechań
i osłabienia rozwoju systemu.
• Możliwość współpracy z infrastrukturą informatyczną jednostki.
• Zgodność z obowiązującymi w jednostce wewnętrznymi standardami w zakresie technologii
informatycznych, w tym z przepisami prawa.
• Spełnienie standardów branżowych.
• Posiadanie certyfikatów, w tym certyfikatów zgodności z określonymi rozwiązaniami
technologicznymi.
• Wydajność komponentu.
• Wiarygodność działania komponentu.
• Możliwość zapewnienia odpowiedniego wsparcia technic znego.
Ponadto oddzielnie dla każdego typu wprowadzanego komponentu administrator bezpieczeństwa
informacji może określić wymagania w zakresie funkcji bezpieczeństwa, które muszą być spełniane, oraz
wymagany sposób uwiarygodnienia realizowania tych funkcji (może być to posiadanie odpowiedniego
certyfikatu bezpieczeństwa).
Przed wprowadzeniem zmian w systemie informatycznym nowe kom ponenty powinny zostać
przetestowane. Zaleca się, o ile jest to technicznie możliwe, aby na potrzeby badań zbudować środowisko
testowe fizycznie odseparowane od systemu informatycznego.
Incydenty w zakresie bezpieczeństwa
12
Incydentem w zakresie bezpieczeństwa jest sytuacja powodująca utratę poufności, integralności lub
dostępności przetwarzanych danych. Wdrożenie zasad reagowania na incydenty w zakresie ochrony
danych jest istotnym elementem utrzymania wymaganego poziomu ich bezpieczeństwa.
W szczególności zasady te powinny obejmować następujące aspekty reagowania na incydent:
• Powiadomienie o wystąpieniu incydentu, z uwzględnieniem kanałów raportowania.
• Rozpoznanie sytuacji, powiadomienie u żytkowników, na których pracę incydent ma wpływ, ocena
strat.
• Analiza przyczyn incydentu, podj ęcie kroków zmierzających do usunięcia jego skutków.
• Konsekwencje dyscyplinarne wobec sprawców, ewentualne powiadomienie organów ścigania
o popełnieniu przestępstwa lub powiadomienie mediów.
• Ocena skuteczności reakcji na incydent i usunięcia jego skutków.
• Określenie możliwości wzmocnienia mechanizmów zabezpieczających tak, aby zapobiec
występowaniu incydentów danego rodzaju w przyszłości.
• Określenie możliwości ulepszenia procesu reakcji na incydenty w zakresie bezpieczeństwa
informacji.
Użytkownicy systemu informatycznego są zobowiązani do zgłaszania wszelkich zauważonych
nieprawidłowości w działaniu systemu informatycznego - jest to podstawą do odpowiednio wczesnego
wykrycia incydentu i podjęcia kroków zaradczych. Raportowanie jest realizowane w następujący sposób:
• Użytkownicy systemu informatycznego są zobowiązani do informowania administratora systemu
informatycznego lub osób przez niego upoważnionych o wszelkich zauważonych nieprawidłowościach w działaniu wykorzystywanych przez nich komponentów informatycznych, jak również
o zauważonych zagrożeniach dla funkcjonowania systemu informatycznego. W przypadku
zgłoszenia nieprawidłowości telefonicznie lub osobiście administrator może poprosić użytkownika
do przygotowania pisemnego opisu zauważonej nieprawidłowości, uwzględniającego rodzaj
informacji przetwarzanych przez użytkownika.
• W przypadku, gdy zdarzenie zgłoszone przez użytkownika może być związane z incydentem
w zakresie bezpieczeństwa, administrator systemu informatycznego winien poinformowa ć
o zaistniałym fakcie administratora bezpieczeństwa informacji – z zachowaniem formy pisemnej.
Administrator bezpieczeństwa informacji może poprosić użytkownika o szczegółowy opis
zauważonego zdarzenia
• Administrator systemu informatycznego jest zobowiązany do informowania administratora
bezpieczeństwa informacji o wszelkich anomaliach w pracy administrowanych przez siebie
urządzeń, mogących być przyczyną lub skutkiem incydentu w zakresie bezpiecze ństwa
• Administrator bezpieczeństwa informacji winien monitorować informacje generowane przez system
wykrywania włamań w celu odpowiednio szybkiego podj ęcia właściwych działań związanych
z reakcją na incydent.
• Po uznaniu zaistniałej sytuacji za incydent w zakresie bezpieczeństwa administrator bezpieczeństwa
informacji winien, wspólnie z administratorem systemu informatycznego, dokonać oceny strat. W
ocenie strat winni brać także udział kierownicy tych komórek organizacyjnych (lub wydelegowani
przez nich pracownicy), w których dane i komponenty dotkni ęte incydentem są wykorzystywane
do realizacji procesów biznesowych. W wyniku oceny zaistniała sytuacja może zostać uznana za
sytuacje kryzysową, zagrażającą prawidłowemu funkcjonowaniu jednostki - decyzja taka jest
podejmowana przez Prezydenta Miasta lub cz łonka ścisłego kierownictwa jednostki
odpowiedzialnego za zagadnienia bezpieczeństwa publicznego.
Administrator bezpieczeństwa informacji jest odpowiedzialny za przeprowadzenie analizy przyczyn
zaistnienia incydentu. Analiza może być przeprowadzana samodzielnie przez administratora, mo że
on także powołać zespół ekspertów. Zaleca się, aby w pracach zespołu brał udział administrator
systemu informatycznego lub osoby przez niego upowa żnione. Istotne jest również, aby ograniczyć
dopuszczalny czas przeprowadzania analizy przyczyn zaistnienia incydentu, przynajmniej w zakresie
wymagającym wstrzymanie prac związanych z odtwarzaniem komponentów do stanu pierwotnego. Jeżeli
istnieje potrzeba, aby wydłużyć ten czas, to może to nastąpić za zgodą Prezydenta Miasta lub
właścicieli procesów, do których realizacji konieczne je st wykorzystanie niedostępnych komponentów.
Istotnym elementem reakcji na incydent jest określenie możliwości poprawy bezpieczeństwa
przetwarzania informacji w jednostce w przyszłości, w oparciu o analizę:
13
• Skuteczności wdrożonych zasad reagowania na incyd enty.
• Skuteczności realizacji zasad opisanych powyżej.
• Skuteczności mechanizmów zabezpieczaj ących system informatyczny.
Za powyższą analizę i wytyczenie możliwych kierunków poprawy bezpieczeństwa danych odpowiada
administrator bezpieczeństwa informacji. Aby analiza taka był możliwa, wprowadza się zasadę
dokumentowanie wszystkich działań związanych z reakcją na incydent, począwszy od powiadomienia
o podejrzeniu zaistnienia niebezpiecznego zdarzenia.
Planowanie ciągłości działania
Wdrożenie w jednostce planu ciągłości działania ma na celu kontynuację kluczowych procesów
wykorzystujących elektroniczne przetwarzanie danych w sytuacji, gdy część infrastruktury informatycznej
jest niedostępna - na przykład w skutek katastrofy. Plan ciągłości działania uruchamiany jest w sytuacji
kryzysowej - wówczas, gdy skutki zaistniałych incydentów zagrażają funkcjonowaniu instytucji.
Przygotowanie planu leży w obowiązkach komórki właściwej ds. bezpieczeństwa publicznego.
14