Instrukcja zarządzania bezpieczeństwem informacji w systemie
Transkrypt
Instrukcja zarządzania bezpieczeństwem informacji w systemie
Załącznik nr 4 do Zarządzenia Nr ORo.0151-179/08 Prezydenta Miasta Piekary Śląskie z dnia 21.05.08r. Instrukcja zarządzania bezpieczeństwem informacji w systemie informatycznym Bezpieczeństwa informacji W systemie informacyjnym jednostki istniej e szereg zależności pomiędzy składnikami, które tworzą środowisko pracy mechanizmów bezpiecze ństwa. Aspekty je formujące są następujące: 1. Zasady odpowiedzialności za bezpieczeństwo informacji. 2. Dokumenty precyzujące zasady ochrony informacji. 3. Analiza ryzyka. 4. Geografia zasobów informatycznych. 5. Dostęp do systemu informacyjnego. 6. Zarządzanie uprawnieniami u żytkowników systemu. 7. Mechanizmy uwierzytelniające i zasady zarządzania nimi. 8. Poprawność informacji. 9. Dostępność informacji. 10. Zasady postępowania z nośnikami przenośnymi i komputerami przeno śnymi. 11. Zasady zdalnej pracy w systemie. 12. Wymiana informacji wewnątrz systemu. 13. Połączenia z zewnętrznymi sieciami teleinformatycznymi. 14. Ochrona przed niebezpiecznym oprogramowaniem. 15. Mechanizmy monitorowania działania składowych systemu. 16. Zarządzanie oprogramowaniem. 17. Zarządzanie treścią kryptograficzną. 18. Zarządzanie zmianami systemu oraz bezpiecze ństwem serwisu. 19. Postępowanie z incydentami. 20. Planowanie ciągłości działania. 21. Kontrola bezpieczeństwa. Zasady odpowiedzialności za bezpieczeństwo informacji. Odpowiedzialność ta w systemie jednostki rozłożona jest na ścisłe kierownictwo, kadrę kierowniczą, pracowników, podmioty współpracujące oraz administratora systemu i administratora bezpiecze ństwa. Odpowiedzialność ścisłego kierownictwa, poza kilkunastoma innymi głównymi składnikami zakresu, wyraża się m.in. w akceptacji lub wyrażeniu potrzeby obniżenia poziomu ryzyka związanego z przetwarzaniem informacji w systemie informatycznym. Pracownicy piastujący stanowiska kierownicze pełnią rolę właścicieli. Obowiązki pracowników w zakresie bezpieczeństwa systemu informatycznego obejmują m.in.: przestrzeganie zasad bezpiecze ństwa danych i systemu informatycznego, informowanie o incydentach w zakresie bezpiecze ństwa systemu informatycznego, tworzenie kopii zapasowych danych przechowywanych w syste mie informatycznym, przy czym dotyczy to informacji przetwarzanych i przechowywanych lokalnie, aktywny udział we wdrażaniu mechanizmów bezpieczeństwa poprzez opiniowanie możliwości zastosowania określonego rozwiązania przy realizacji zadań danego pracownika. Z jednostką mogą, oprócz stałych pracowników, okresowo lub stale współpracować osoby realizujące swoje zadania na podstawie umowy cywilnoprawnej lub te ż będące pracownikami firm zewnętrznych, realizujących podpisane kontrakty. Komórka właściwa ds. obsługi prawnej zobowiązana jest do weryfikacji treści opiniowanych umów w powyższym kontekście. Osoby takie, o ile korzystają z systemu informatycznego jednostki, winny przestrzega ć obowiązujących zasad ochrony informacji. Warunek ten powinien być unormowany odpowiednimi zapisami w umowie o współpracy. Ponadto w przypadku konieczności dostępu współpracownika do informacji wrażliwych może okazać się konieczne podpisanie oddzielnej um owy o poufności. Administratorem bezpieczeństwa informacji jest pracownik odpowiedzialny za stworzenie, wdrożenie i nadzorowanie standardów zabezpie czenia danych przetwarzanych w systemie informatycznym. Rozdziela się obowiązki i właściwość personalną administratora systemu informatycznego od obowiązków i właściwości personalnej administratora 1 bezpieczeństwa informacji. Administrator systemu informatycznego składa administratorowi bezpieczeństwa informacji kwartalne sprawozdania z realizacji funkcji zabezpieczenia zasobów systemu komputerowego. Do obowiązków administratora bezpieczeństwa informacji należy: • Koordynacja procesu analizy ryzyka związanego z przetwarzaniem danych w systemie informatycznym. • Ocena ryzyka z uwzględnieniem danych otrzymanych od właścicieli informacji. • Określanie i wdrażanie standardów zabezpieczenia informacji w jednostce. • Opiniowanie zmian w systemie informatycznym pod k ątem ich wpływu na bezpieczeństwo przetwarzanych informacji. • Monitorowanie poziomu bezpieczeństwa w systemie informatycznym. • Zarządzanie określonymi rozwiązaniami technicznymi związanymi z ochroną systemu informatycznego. • Kontrolowanie przestrzegania zasad bezpiecznego przetwarzania danych w systemie informatycznym. • Koordynacja procesu reakcji na incydenty w zakresie bezpieczeństwa. • Merytoryczne przygotowywanie i przeprowadzanie szkoleń w zakresie bezpieczeństwa systemu informatycznego. • Uwzględnienie prawnych aspektów ochrony informacji w zabezpieczeniu systemu informatycznego. Administrator bezpieczeństwa informacji określa wymagania w zakresie zabezpieczenia systemów informatycznych i ewentualnie kontroluje ich implementacj ę, natomiast administrator systemu informatycznego wdraża mechanizmy zgodne ze zdefiniowanymi wymaganiami. Do obowiązków administratora systemu informatycznego w zakresie bezpieczeństwa danych należy: • Implementacja odpowiednich mechanizmów bezpieczeństwa w administrowanej infrastrukturze informatycznej. • Nadawanie uprawnień użytkownikom systemu informatycznego zgodnie z wnioskami ich przełożonych. • Tworzenie kopii zapasowych danych przechowywanych w syste mie informatycznym, przy czym nie dotyczy to informacji przetwarzanych i przechowywanych lokalnie. • Instalacja i uaktualnianie oprogramowania oraz zarz ądzanie licencjami, przy czym odpowiedzialność za legalność oprogramowania spoczywa na kadrze kierowniczej w zakresie zasobów informatycznych będących w posiadaniu kierowanych przez nich komórek organizacyjnych zaś dokumenty licencyjne przechowywane są w komórce właściwej ds. informatyki. • Monitorowanie działania systemu informatycznego i przekazywanie informacji o zagrożeniach administratorowi bezpieczeństwa informacji. • Aktywny udział w procesie reagowania na incydenty w zakresie bezpieczeństwa oraz w usuwaniu ich skutków. Dokumenty precyzujące zasady ochrony informacji Ogólne zasady zabezpieczenia zasobów informacyjnych sprecyzowane s ą dokumencie pod nazwą „Polityka bezpieczeństwa informacji". Stanowi on podstaw ę wytyczającą strategię jednostki w tym zakresie. Szczegółowe zasady bezpieczeństwa danych zostają opisane w dokumentach dodatkowych, tworzonych w miarę potrzeby. Do dokumentów tych zalicza się: zakresy obowiązków, regulaminy, procedury, instrukcje. Analiza ryzyka Przeprowadzenie analizy ryzyka ma na celu określenie fragmentów systemu informatycznego wymagających szczególnego zabezpieczenia, jak również zdefiniowanie tych, których ochrona nie jest krytyczna dla właściwego funkcjonowania jednostki. Analiza ryzyka jest podstawą do maksymalizacji poziomu bezpieczeństwa przetwarzanych informacji. Ocena ryzyka opiera się na określeniu trzech podstawowych wartości: • Wartość informacji dla prawidłowego funkcjonowania jednostki. • Częstotliwość wystąpienia zagrożenia dla przetwarzanych informacji. • Podatność systemu informatycznego (lub jego fragmentu) na za grożenie będąca miernikiem prawdopodobieństwa wystąpienia strat na skutek wystąpienia zagrożenia. 2 Analizę ryzyka przeprowadza się zarówno w ujęciu ilościowym jak i jakościowym metodą hybrydową opracowaną w Zespole Informatyków we współpracy z Instytutem Informatyki Politechniki Śląskiej. Geografia zasobów informatycznych Lokalizacja sprzętu informatycznego musi przebiegać tak by minimalizowała ryzyko jego zniszczenia na skutek wypadków losowych oraz ograniczała dostęp osób niepowołanych. Należy tutaj uwzględnić zarówno ochronę fizyczną, konstrukcję budynku, jak i systemy zabezpieczenia technicznego. Pomieszczenia z kluczowymi zasobami wyposaża się we wzmocnioną konstrukcję, utrudniającą próby włamania się do nich, dotyczy to zarówno zabezpieczenia ścian pomieszczenia, jak i podłogi oraz sufitu. Oznaczenia na drzwiach nie mogą sugerować faktu zlokalizowania w danym pokoju sprzętu informatycznego. Pomieszczenia z kluczowymi komponentami informatycznymi wyposaża się w zabezpieczenia techniczne, takie jak systemy przeciwpożarowe, alarm, system monitoringu wizyjnego, które są obsługiwane przez odpowiednie służby ochrony fizycznej. W odniesieniu do instalacji okablowania logicznego dokonuje si ę odseparowania kabli zasilających i sygnałowych. Krytyczne dla działania systemu informatycznego połączenia muszą być zdublowane i prowadzone innymi drogami tak by w przypadku uszkodzenia jednego z kabli nadal istniała możliwość komunikacji. Wprowadza się zasadę, że dostęp do pomieszczeń serwerowni oraz lub pomieszczeń w których serwerownie są usytuowane mogą mieć tylko i wyłącznie pracownicy komórki właściwej ds. informatyki. Pracę o charakterze stałym (8h dziennie) w pomieszczeniach tych mogą wykonywać tylko ww. pracownicy. Na czas wykonywania obowiązków związanych z wykonywaną pracą wstęp do pomieszczeń tych mogą mieć także pracownicy obsługi pod warunkiem posiadania stosownych upoważnień przy czym prace wykonywane bezpośrednio w serwerowniach wymagają bezpośredniego nadzoru pracownika komórki właściwej ds. informatyki. Dostęp do systemu informacyjnego Dostęp do systemu oparty jest o kilka procesów i mechanizmów. S ą to klasyfikacja informacji i zasobów, nadanie im klauzul bezpieczeństwa, przypisanie klauzul do mechanizmów bezpieczeństwa. Klasyfikacja informacji w jednostce opiera się o wymagane poziomy zabezpieczenia danych. W szczególno ści, jeśli administrator bezpieczeństwa oraz administrator systemu uznaj ą celowość takiego postępowania, możliwe jest stosowanie oddzielnych klasyfikacji dla poufności, integralności i dostępności. Klasyfikacja musi uwzględniać co najmniej poufność informacji. Klasyfikacja informacji przebiega zgodnie z poni ższymi zasadami: • Informacje wysoko wrażliwe - ich ujawnienie może zagrozić funkcjonowaniu jednostki (przykładem takich informacji są informacje objęte jedną z klauzul niejawności powyżej klauzuli zastrzeżona). • Informacje wrażliwe - ich ujawnienie może spowodować istotne straty finansowe lub problemy prawne (przykładem mogą być informacje dotyczące mieszkańców a objęte ochroną danych osobowych, informacje podlegające ochronie ze względu na tajemnicę skarbową, informacje o wyrokach sądowych, stanie majątkowym petentów). • Informacje wewnętrzne - wszystkie informacje wytworzone wewnątrz jednostki, nieprzeznaczone do przedstawienia na forum publicznym (dotyczy to również informacji przekazywanych innym jednostkom. • Informacje publiczne - informacje, które mogą lub muszą być przedstawione na forum publicznym. Klasyfikacja zasobów systemu informatycznego uwzględnia wrażliwość informacji przechowywanych bądź przetwarzanych za pomocą danego zasobu. W przypadku przetwarzania za pomocą zasobu informacji oznaczonej klauzulą zasób otrzymuje klauzulę równą najwyższej klauzuli przetwarzanych na nim informacji. Klasyfikacja komponentów informatycznych opiera się na znaczeniu ich prawidłowego funkcjonowania (dostępności) dla działalności jednostki. Implikuje to kolejność odtwarzania działania komponentów informatycznych w przypadku awarii lub katastrofy. Klasyfikację zasobów pod względem ich ważności dla funkcjonowania jednostki przeprowadza się w sposób następujący: • Komponenty krytyczne - brak ich dostępności może zagrozić funkcjonowaniu jednostki, praktycznie przez cały czas powinny być one dostępne. • Komponenty istotne - brak ich dostępności może spowodować straty, ale nie zagrozi funkcjonowaniu jednostki, dopuszczalna jest niedostępność tych komponentów przez krótki okres czasu. • Komponenty normalne - brak ich dostępności nie powinien spowodować istotnych strat dla jednostki, dopuszczalna jest niedostępność tych komponentów przez pewien czas. 3 Każdej klauzuli nadawanej komponentom systemu informatycznego w jednostce przydziela się podstawowe mechanizmy bezpieczeństwa, które mają chronić poufność, integralność i dostępność informacji na nim przetwarzanych. Mechanizmy te uwzględniają następujące aspekty ochrony danych: lokalizację pomieszczeń, w których mają być umieszczone klasyfikowane komponenty, sposób zabezpieczenia pomieszczeń, zasady wstępu pracowników do tych pomieszczeń, zasady dostępu użytkowników do usług realizowanych przez komponent, zabezpieczenie ci ągłości pracy zasobu, zasady serwisowania zasobu, zasady wynoszenia zasobu poza teren jednostki, dokumentacja konfiguracji zasobu, zasady zmian w konfiguracji zasobu, zabezpieczenie przed wrogim oprogramowaniem, zasady zarz ądzania kopiami zapasowymi, zasady zapisu zdarze ń, zapewnienie integralności wprowadzanych i przetwarzanych danych, wykorzystanie mechanizmów kryptograficznych, dopuszczalny czas przestoju w pracy zasobu, architektura zasobu (w szczególności z uwzględnieniem dostępności usług realizowanych przez zasób), zgodność z normami opisującymi poziom bezpieczeństwa produktów informatycznych. Klauzula jest nadawana przez administratora bezpieczeństwa informacji na podstawie danych przekazanych przez administratora systemu. Nadawanie użytkownikom praw do korzystania z informacji klasyfikowanych, o określonych klauzulach, opiera się na wiarygodności i zaufaniu. Uwzględnia się zasadę wiedzy uzasadnionej -użytkownicy powinni mieć dostęp tylko do tych informacji, które są im niezbędne do wykonywania obowiązków służbowych. Zarządzanie uprawnieniami użytkowników systemu Nadawanie uprawnień do korzystania z systemu informatycznego opiera się o zasadę wiedzy uzasadnionej i zasadę minimalnych uprawnień. Użytkownik może mieć dostęp tylko do tych informacji, które są mu potrzebne do realizacji zadań - dostęp do innych danych jest zabroniony. Dla każdego rodzaju użytkownika tworzona jest rola, opisująca jego uprawnienia do korzystania z systemu informatycznego. Uprawnienia są nadawane użytkownikowi przez administratora systemu informatycznego na wniosek przełożonego – naczelnika lub kierownika komórki samodzielnej a dla pracowników samodzielnych na wniosek własny. Nowy użytkownik systemu informatycznego otrzymuje, poza opisem nadanych uprawnień, dokument precyzujący zasady bezpiecznej pracy w systemie informatycznym oraz unikalny identyfikator (login name). Mechanizmy uwierzytelniające i zarządzanie nimi Zakres ten obejmuje zarządzanie hasłami, zabezpieczenie zasobów przed dostępem osób niepowołanych, bezpieczne usuwanie i niszczenie informacji oraz szyfrowanie danych. W celu zapewnienia bezpiecznego korzystanie z haseł zaimplementowano opisane poniżej zasady: • Hasło powinno być znane tylko użytkownikowi, któremu zostało przydzielone. • Hasło nie powinno być udostępniane innym osobom, wyjątkiem są wspólne hasła administracyjne. • Hasła użytkowników nie mogą być w jakikolwiek sposób zapisywane lub utrwalane. • Hasła użytkowników stanowią tajemnicę służbową. • Hasła administracyjne mogą być utrwalane i przechowywane są w tajnej kancelarii jako obj ęte tajemnicą, dostępną tylko dla osób upoważnionych. • W przypadku podejrzenia kompromitacji hasła użytkownik winien natychmiast zmienić hasło i poinformować o tym administratora bezpieczeństwa informacji, który podejmuje kroki w celu wyjaśnienia, czy hasło to nie zostało wykorzystane do nieuprawnionego dostępu do systemu informatycznego i czy na skutek tego nie zaistniały szkody. • Minimalna długość hasła powinna wynosić 8 znaków, a hasło powinno zawierać co najmniej cyfrę, znak specjalny oraz dużą i małą literę. • W skład hasła nie mogą wchodzić pojedyncze wyrazy. • Hasło nie może bezpośrednio nawiązywać do jego użytkownika (na przykład nie powinno być numerem jego telefonu, datą urodzenia, adresem itp.). • Hasło nie może być trywialne (na przykład ciąg takich samych liter lub cyfr). • W przypadku nadawania użytkownikowi po raz pierwszy uprawnień lub kasowania hasła administrator systemu informatycznego wygeneruje hasło tymczasowe, które powinno być zmienione przez użytkownika przy pierwszym dostępie do aplikacji. • Hasła muszą być okresowo zmieniane przez użytkowników – w okresie nie dłuższym niż 30 dni chyba, że przepisy prawa stanowią o silniejszej ochronie związanej ze zmianami hasła. • Przy zmianie hasła użytkownik nie może wprowadzać jako nowego hasła jednego z kilku 4 poprzednio używanych. Stosuje się zasadę, że nowe hasło musi być różne od sześciu ostatnio używanych haseł. • Aplikacje sprawdzające tożsamość przy pomocy hasła nie mogą wyświetlać go na ekranie monitora podczas wprowadzania przez użytkownika. • Wprowadzanie hasła nie może być zautomatyzowane, na przykład poprzez przypisanie go klawiszowi funkcyjnemu. • W przypadku kilkukrotnego błędnego wprowadzenia hasła, o ile istnieją stosowne możliwości techniczne, konto użytkownika ulega zablokowaniu. Odblokowanie nast ępuje na wniosek użytkownika przez administratora systemu informatycznego, z powiadomieniem administratora bezpieczeństwa informacji. Pomieszczenia, w których znajduje się sprzęt komputerowy, zabezpiecza się przed dostępem osób nieupoważnionych poprzez instalację odpowiednich zamków, a w przypadku pomieszczeń z komponentami krytycznymi również za pomocą systemu alarmowego. O ile istnieją niezbędne możliwości techniczne stosuje się wygaszacze ekranowe z czasem reakcji nie dłuższym niż 15 minut. Konfiguracja zasobów informatycznych wykonywana jest tylko i wyłącznie przez pracowników komórki właściwej ds. informatyki. Stosuje się ograniczenie możliwości korzystania z systemu informatycznego w zależności od miejsca (stacji roboczej) i czasu. Użytkownik może korzystać z systemu na swojej stacji roboczej, b ądź stacjach roboczych umieszczonych w pokoju, w którym pracuje w standardowych godzinach pracy. Dostęp użytkowników ogranicza si ę do korzystania z określonego komputera w narzuconych godzinach. Możliwe odstępstwa od tych zasad mogą mieć charakter tylko i wyłącznie tymczasowy i wymagają zgody administratora bezpieczeństwa. Rozwiązania pozwalające na bezpieczne niszczenie informacji w systemie informatycznym są stosowane w przypadku konieczności usunięcia informacji wrażliwych. Mechanizmy bezpiecznego kasowania informacji wrażliwych stosuje się w szczególności w odniesieniu do nośników przenośnych (dyskietki, CD-ROM-y) oraz nośników danych zainstalowanych zasobach informatycznych, przekazywanych do naprawy poza siedzibą jednostki. Nośniki magnetyczne zawierające informacje wrażliwe poddawane są działaniu przeznaczonego do tego oprogramowania lub poddawane procesowi demagnetyzacji. Stosuje się szyfrowanie danych jako efektywną metodę zabezpieczenia informacji przed dost ępem osób nieupoważnionych. Reguły szyfrowania są następujące: • Informacje wrażliwe przesyłane w sieci informatycznej jednostki oraz w sieciach informatycznych niekontrolowanych przez jednostkę muszą być szyfrowane. • Dąży się do tego, o ile jest to technicznie możliwe, aby informacje wewnętrzne przesyłane za pośrednictwem sieci teleinformatycznej pozostających poza kontrolą jednostki były szyfrowane. • Informacje wrażliwe przechowywane na nośnikach przenośnych muszą być szyfrowane. • Dąży się do tego, aby informacje wewnętrzne znajdujące się na nośnikach przenośnych, wynoszonych poza teren jednostki, były szyfrowane. Informacje wrażliwe przechowywane w systemie informatycznym jednostki powinny być szyfrowane. Wszystkie informacje wrażliwe przechowywane na komputerach przeno śnych, które mogą być użytkowane poza terenem jednostki, powinny być szyfrowane. Za dobór mechanizmów szyfrujących odpowiada administrator bezpieczeństwa informacji. Poprawność informacji W przypadku informacji szczególnie wrażliwych, ze względu na ich poprawność, powinny być one wprowadzane komisyjnie przez dwóch użytkowników, z których jeden wprowadza dane do systemu, zaś drugi weryfikuje ich poprawno ść. System informatyczny powinien być wyposażony, o ile jest to technicznie możliwe, w mechanizm pozwalający na zapisanie identyfikatora osoby, która wprowadzała informacje, identyfikatora osoby, która weryfikowała poprawność, czas wprowadzenia danych oraz identyfikator stacji roboczej, z jakiej zostały one wprowadzone. Użytkownicy systemu informatycznego są zobowiązani do analizy poprawności informacji generowanych przez aplikacje. W szczególności analiza ta winna obejmować kompletność, zawartość i precyzyjność informacji. Komponenty informatyczne wyposaża się w mechanizmy pozwalające na sprawdzanie poprawności danych podczas ich wprowadzania lub podczas przetwarzania. Funkcjonują one na różnych poziomach systemu - w szczególności na poziomie aplikacji, systemu zarządzania bazą danych lub na obu tych 5 poziomach, uzupełniając się nawzajem. Mechanizmy weryfikacji poprawności powinny w szczególności sprawdzać: • Poprawność składni wprowadzanych danych. • Zgodność wprowadzanych danych z dopuszczalnym zakresem. • Kompletność danych. • Obecność danych wymaganych. • Ilość wprowadzanych danych zgodnie z określonymi wymaganiami. • Zgodność zakresu wprowadzanych danych z ograniczeniami ustalonymi dla danego użytkownika. Dla zagwarantowania możliwości wykrycia nieautoryzowanych zmian w oprogramowaniu stosuje si ę mechanizmy sum kontrolnych. Sumy kontrolne winny być stosowane dla informacji wrażliwych ze względu na integralność oraz dla oprogramowania, które jest narażone na próby nieautoryzowanej modyfikacji. Możliwe jest powiązanie tego mechanizmu z klasyfikacj ą informacji według określonej klauzuli. Przy powiązaniu zastosowania sum kontrolnych z klauzulami administrator bezpiecze ństwa informacji jest odpowiedzialny za określenie, dla jakich klas informacji nale ży stosować powyższe zabezpieczenie. Decyzję o zabezpieczeniu oprogramowania sumami kontrolnymi podejmuje administrator bezpieczeństwa informacji. Jeżeli istotne są zarówno treść informacji, jak i jej pochodzenie oraz czas stworzenia, stosuje się podpis elektroniczny. W szczególności podpis elektroniczny powinien by ć stosowany: • Przy przesyłaniu informacji za pośrednictwem sieci informatycznych pozostających poza kontrolą jednostki, jeżeli stosowanie tego mechanizmu jest technicznie i prawnie mo żliwe. • Przy przesyłaniu informacji istotnych, co do treści, tożsamości nadawcy lub daty nadania w sieci informatycznej jednostki. Mechanizm podpisu elektronicznego może być powiązany z klasyfikacją informacji - dla danych o określonej klauzuli podpis ma być stosowany obligatoryjnie. Dostępność informacji Kopie zapasowe są podstawowym zabezpieczeniem dostępności przechowywanych w systemie informatycznym danych. Informacje przechowywane na serwerach i kluczowych stacjach roboczych muszą być w ten sposób zabezpieczane - dotyczy to również oprogramowania, w szczególności, gdy ponowna instalacja i konfiguracja jest czasochłonna. Za wykonywanie tych kopii odpowiada administrator systemu informatycznego. Zasady tworzenia kopii zapasowych i ich harmonogram opracowane zostają przez administratora systemu informatycznego i podlegaj ą akceptacji administratora bezpieczeństwa informacji. Informacje gromadzone na stacjach roboczych lokalnie podlegają zabezpieczeniu w postaci kopii wykonywanej przez użytkownika stacji. Kopie wykonywane przez administratora systemu informatycznego przechowywane s ą w budynku odmiennym od budynku, w jakim znajdują się oryginały informacji. Kopie zapasowe nie mogą być przechowywane w pomieszczeniach, w których znajdują się komponenty informatyczne przetwarzające zapisane na nich informacje. Dane użytkowników, które podlegają archiwizacji kopiuje się na serwery plików, w celu właściwego zabezpieczenia ich dostępności. Użytkownicy, którzy nie kopiują danych ze swoich komputerów na serwery plików (na przykład, gdy posiadają komputery przenośne, okazjonalnie korzystaj ą z sieci informatycznej jednostki), zobowiązani są samodzielnie zadbać o tworzenie kopii. Częstotliwość ich tworzenia jest uzależniona od częstotliwości wprowadzania zmian w danych. Wprowadza się szczególnie surowe zasady bezpieczeństwa do zastosowania przy archiwizacji i przechowywaniu kluczy kryptograficznych. Nośniki danych muszą być przechowywane w bezpiecznym miejscu, które jest odpowiednio chronione przed dostępem osób nieupoważnionych. Przy wykorzystaniu systemów kryptograficznych należy sporządzać kopie zapasowe konfiguracji mechanizmów szyfrujących. Jeżeli kopia zapasowa informacji innego typu niż wymienione powyżej podlega szyfrowaniu, wówczas do kopii zapasowej dołącza się klucz kryptograficzny, przy czym przechowywanie kopii klucza podlega rozproszeniu terytorialnemu. Dopuszcza si ę odszyfrowywanie informacji z kopii za pomocą tak załączonego klucza nawet w przypadku jego przeterminowania kryptograficznego. Krytyczne komponenty systemu informatycznego zabezpiecza się przy pomocy zasilaczy awaryjnych (UPS). 6 Nośniki przenośne Na nośniku przenośnym dane mogą być przechowywane tylko przez czas do tego niezbędny - gdy są one niepotrzebne, powinny zostać skasowane. W przypadku zwykłych informacji (informacji wewnętrznych) wystarczy zastosowanie mechanizmów kasujących, zainstalowanych w systemie operacyjnym, dla informacji wrażliwych i nośników, które nie mogą zostać skasowane przez narzędzia programowe, stosuje się metody opisane w części „Dostęp do systemu informatycznego". Informacje zapisane na nośnikach przenośnych, a w szczególności informacje wrażliwe, podlegają procesowi szyfrowania zgodnie z opisem w części „Dostęp do systemu informatycznego". Ze względu na ochronę antywirusową wymaga się, aby użytkownicy korzystali wyłącznie z nośników dystrybuowanych przez administratora systemu informatycznego lub inne upoważnione osoby. Korzystanie z własnych nośników jest zabronione. Nośniki oznakowuje się w sposób umożliwiający identyfikację informacji na nich zapisanych, jak również określenie klauzuli, jaką chronione są przechowywane informacje. W przypadku informacji wrażliwych oznakowanie nośnika nie powinno bezpośrednio wskazywać na jego zawartość - w tym celu stosowane są ustalone kody. Tablica kodów ustalana i przechowywana jest przez administratora bezpieczeństwa informacji. Użytkowanie komputerów przenośnych Komputery takie powinny być zabezpieczone przed uszkodzeniem w czasie transportu. Ze względu na ochronę dostępności informacji przechowywanych na laptopie, jak również podwyższone ryzyko jego uszkodzenia, użytkownicy laptopa zobowiązani są do systematycznego tworzenia kopii zapasowych. Nośniki z takimi kopiami powinny być przechowywane w bezpiecznym miejscu, z uwzględnieniem ochrony przed dostępem osób niepowołanych. W celu zabezpieczenia komputera przenośnego przed kradzieżą należy zastosować się do następujących zasad: • Komputer przenośny powinien być transportowany pod kontrol ą użytkownika lub innej upoważnionej osoby. • Komputer przenośny nie powinien być pozostawiany w sposób narażający go na kradzież. • W przypadku pozostawiania komputerów prze nośnych w biurze zaleca się umieszczanie ich po zakończeniu pracy w zamykanych szafkach. • Zaleca się, aby komputer przenośny pozostawiony w miejscu dostępnym dla osób innych niż użytkownik był przypinany do stołu przy pomocy odpowiedniego kabla zabezpiecza jącego w szczególności dotyczy to zabezpieczenia komputera podczas konferen cji, prezentacji, szkoleń, targów itp. Na komputerach przenośnych przeznaczonych do prezentacji podczas opisanych powyżej imprez nie mogą znajdować się informacje wrażliwe, chyba, że jest to związane z celem prezentacji i uzyskało akceptację administratora bezpieczeństwa informacji. Ponadto zaleca się szyfrowanie dysków w komputerach przenośnych zgodnie z zasadami opisanymi w części „Dostęp do systemu informatycznego". Nie zezwala się na pracę nad informacjami wrażliwymi w miejscach publicznych. Użytkownik otrzymujący komputer przenośny podpisuje oświadczenie o zobowiązaniu się do przestrzegania zaleceń związanych z ochroną laptopa. Zdalna praca. Zdalna praca w systemie informatycznym jest zabroniona dla pracowników innych ni ż zatrudnieniu w komórce właściwej ds. informatyki lub wskazanych w odpowiednich umowach z podmiotami zewnętrznymi. Wymiana informacji w systemie informatycznym Użytkownicy systemu informatycznego mogą korzystać z dostępu do zasobów Internetu tylko do realizacji zadań służbowych. W szczególności wprowadzono zakaz ściągania przez użytkowników plików lub przeglądania zasobów informacyjnych o treści prawnie zabronionej, obscenicznej bądź pornograficznej. Użytkownikom zabrania się łączyć się z wewnętrznej sieci informatycznej jednostki z publicznie dostępnymi serwerami poczty elektronicznej. Szczególne rygory stosuje się wobec ściągania z Internetu plików wykonywalnych. Pliki takie mogą być ściągane tylko przez uprawnionych zgodą administratora systemu użytkowników i tylko w uzasadnionych przypadkach. Administrator bezpiecze ństwa informacji może nakazać przetestowanie ściągniętego oprogramowania w odseparowanym środowisku. Do korzystania z Internetu użytkownicy mogą wykorzystywać jedynie zaakceptowane przez administratora bezpiecze ństwa informacji łącza ko- 7 munikacyjne. W szczególności zabrania się łączenia się użytkowników systemu informatycznego poprzez łącza komutowane, jeżeli można skorzystać z centralnego punktu dostępu do Internetu. Administrator bezpieczeństwa informacji może, po uwzględnieniu wyników analizy ryzyka i uwarunkowań ekonomicznych, wprowadzić mechanizmy monitorujące przeglądanie Internetu przez użytkowników. Mogą one uwzględniać: • Blokowanie stron internetowych określonego typu. • Blokowanie określonych stron internetowych. • Analizę ilości informacji ściąganych z Internetu i wysyłanych do Internetu przez użytkownika. • Analizę przesyłanych informacji pod kątem niebezpiecznego oprogramowania. • Analizę przesyłanych informacji pod kątem wykrywania zabronionych treści. • Zapis zdarzeń związanych z korzystaniem z Internetu przez użytkowników. Poczta elektroniczna jest narzędziem służącym do wymiany służbowych informacji wewnątrz jednostki oraz prowadzenia korespondencji z podmiotami zewnętrznymi. Użytkownicy systemu poczty elektronicznej zobowiązani są do przestrzegania następujących zasad: • Przesyłanie informacji za pośrednictwem poczty elektronicznej odbywa się zgodnie z uprawnieniami adresatów do korzystania z określonego typu danych. • W przypadku przesyłania informacji wrażliwych wewnątrz jednostki bądź informacji wewnętrznych poza nią należy wykorzystywać mechanizmy kryptograficzne, zgodnie z zasadami opisanymi w części „Dostęp do systemu informatycznego”. • Jeżeli istotne jest potwierdzenie otrzymania przez adresata prze syłki, użytkownik winien skorzystać, o ile jest to technicznie możliwe, z opcji systemu poczty elektronicznej informującej o dostarczeniu i otwarciu dokumentu. Dodatkowo zaleca się, aby użytkownik zawarł w treści dokumentu prośbę o potwierdzenie otrzymania i zapoznania się z informacją. • Informacje przesyłane za pośrednictwem poczty elektronicznej muszą być zgodne z prawem i z zasadami obowiązującymi w jednostce. • Użytkownicy nie powinni otwierać przesyłek od nieznanych sobie osób, których tytuł nie sugeruje związku z wypełnianymi przez nich obowiązkami służbowymi. W przypadku otrzymania takiej przesyłki użytkownik powinien ją zniszczyć lub skontaktować się z administratorem bezpieczeństwa informacji, który sprawdzi, czy przesyłka ta nie jest potencjalnie niebezpieczna dla systemu infor matycznego. • Użytkownicy nie powinni uruchamia ć wykonywalnych załączników dołączonych do wiadomości przesyłanych pocztą elektroniczną. W takim przypadku użytkownik powinien poinformować o zdarzeniu administratora bezpieczeństwa informacji, który winien sprawdzić, czy załącznik stanowi zagrożenie dla przetwarzanych w systemie informatycznym informacji. Adresy pocztowe użytkowników systemu informatycznego nie powinny być podawane do wiadomo ści publicznej (na przykład na stronie WWW). Tworzy się tematyczne adresy, umożliwiające nadsyłanie wiadomości osobom spoza jednostki. Informacje nadsyłane na te adresy są następnie przesyłane do właściwych użytkowników. Administrator bezpieczeństwa informacji może wdrożyć mechanizmy kontrolujące przepływ danych w ramach systemu poczty elektronicznej, uzależniając to od wyników analizy ryzyka. Kontrola przesyłek może obejmować wykrywanie niebezpiecznego oprogramowania (na przykład wirusów), analizowanie treści (występowanie podejrzanych słów lub zwrotów), oraz monitorowanie pochodzenia i przeznaczenia dokumentu (adres nadawcy, adres odbiorcy). Serwer poczty elektronicznej powinien być skonfigurowany w sposób zapewniający ochronę przed próbami ataków. Komputer obsługujący pocztę elektroniczną powinien być do tego celu przeznaczony i nie może realizować żadnych innych funkcji administracyjnych. Wszelkie usługi niezwiązane z przesyłaniem wiadomości pocztowych powinny być na tym komputerze wyłączone. Jeżeli serwer poczty elektronicznej służy do wymiany informacji ze światem zewnętrznym za pośrednictwem sieci publicznej, to powinien on być chroniony przed ewentualnymi atakami z zewnątrz za pośrednictwem ściany ogniowej. Serwer ten również powinien być oddzielony od sieci informatycznej za pomocą co najmniej ściany ogniowej - o ile przepisy prawa nie nakazują pełnej separacji galwanicznej sieci wewnętrznej. Połączenia z zewnętrznymi sieciami teleinformatycznymi Wprowadza się zasadę, że podstawowym zabezpieczeniem, pozwalającym na bezpieczne połączenie dwóch sieci, jest ograniczenie transmisji danych. Filtracja typu ruchu sieciowego odbywa się na routerze 8 łączącym system informatyczny jednostki z Internetem oraz na specjalizowanym zasobie - ścianie ogniowej. Z wdrożeniem ściany ogniowej i zarządzaniem wiąże się następujące zasady bezpieczeństwa: • Cała komunikacja pomiędzy dwiema sieciami powinna odbywać się za pośrednictwem ściany ogniowej; żadne inne połączenia pomiędzy sieciami, omijające zaporę, nie mogą mieć miejsca. • Administrator bezpieczeństwa informacji określa, jaki rodzaj komunikacji pomiędzy sieciami jest dozwolony. Każdy inny rodzaj komunikacji jest zabroniony. • Zezwolenie na przepływ informacji pomiędzy dwiema sieciami może być uzależnione od rodzaju transmisji, adresów urz ądzeń, kierunku przepływu danych, strony inicjującej połączenie, czasu i zweryfikowanego mechanizmem uwierzytelniaj ącym identyfikatora użytkownika. • Oprogramowanie spełniające funkcję ściany ogniowej, powinno być zainstalowane na przeznaczonym do tego komputerze. Komputer ten nie mo że spełniać żadnych dodatkowych funkcji. System operacyjny komputera powinien być skonfigurowany w sposób bezpieczny i zawierać tylko te komponenty, które są potrzebne do właściwej pracy oprogramowania. • Dostęp administracyjny do ściany ogniowej powinien być możliwy tylko dla upoważnionych pracowników, z wykorzystaniem bezpiecznych kanałów komunikacyjnych. • Zdarzenia związane z działaniem ściany ogniowej powinny być zapisywane w logu. Za analizę logu jest odpowiedzialny administrator systemu. • Osoby zarządzające ścianą ogniową powinny posiadać szczegółową wiedzę na temat zastosowanego produktu i legitymować się ukończonymi specjalistycznymi szkoleniami w tym zakresie. • Konfiguracja ściany ogniowej powinna być zabezpieczona poprzez stworzenie kopii zapasowych umożliwiających jej szybkie odtworzenie w przypadku awarii. • W przypadku awarii ściany ogniowej połączenie pomiędzy dwiema sieciami powinno zostać zablokowane. W szczególności zabronione powinno być realizowanie połączenia pomiędzy sieciami bez ściany ogniowej. Ochrona przed niebezpiecznym oprogramowaniem W celu zapewnienia ochrony przed nie bezpiecznym oprogramowaniem, które może być wprowadzone do systemu informatycznego wprowadza się obowiązek przestrzegania przedstawionych niżej zasad. System informatyczny jednostki powinien być wyposażony w kompleksowy system wykrywający niebezpieczne oprogramowanie (system antywirusowy), uwzględniający, że: • Poszczególne moduły systemu antywirusowego powinny ze sobą współpracować. • System antywirusowy powinien umożliwiać centralne zarządzanie, w tym centralną analizę zdarzeń związanych z pojawianiem się w systemie informatycznym niebezpiecznego oprogramowania. • System antywirusowy powinien być systematycznie uaktualniany - dotyczy to instalacji wzorców niebezpiecznego oprogramowania, umo żliwiających jego wykrycie. • Użytkownicy nie mogą bez upoważnienia ściągać oprogramowania z Internetu ani uruchamiać oprogramowania przesyłanego za pośrednictwem poczty elektronicznej lub innych systemów elektronicznej wymiany informacji. • Integralność danych i oprogramowania, kluczowych dla funkcjonowania jednostki, powinna być weryfikowana przy zastosowaniu mechanizmu sum kontrolnych. Zgodno ść sum kontrolnych oprogramowania i danych operacyjnych powinna być okresowo sprawdzana z sumą kontrolną wzorca. Administrator bezpieczeństwa informacji jest odpowiedzialny za stworzenie koncepcji ochrony antywirusowej, wdrożenie wraz z administratorem systemu informatycznego oprogramowania antywirusowego, monitorowanie jego działania, oraz systematyczne uaktualnianie wzorców niebezpiecznych kodów. Administrator systemu informatycznego jest odpowiedzialny za okresowe weryfikowanie zgodności sum kontrolnych z ich wzorcami. Monitorowanie działania systemu informatycznego Monitorowanie systemu informatycznego ma na celu kontrolowanie po prawności pracy komponentów infrastruktury informatycznej, analizę sposobu jej wykorzystania oraz odpowiednio wczesne wykrywanie zagrożeń dla informacji przetwarzanych metodami elektronicznymi. Monitorowanie działania infrastruktury przeprowadzane jest przez administratora systemu informatycznego. 9 Administrator systemu informatycznego jest odpowiedzialny za kontrol ę prawidłowego działania urządzeń i oprogramowania. Administrator bezpieczeństwa informacji analizuje zapisy w dziennikach systemowych dotyczące czynności związanych z zarządzaniem infrastrukturą dostarczane przez administratora systemu informatycznego. Zapis działania systemu informatycznego może obejmować między innymi następujące elementy: • Włączenie i wyłączenie komponentu. • Udane i nieudane próby logowania si ę użytkowników do systemu. • Nadawanie i odbieranie uprawnie ń użytkownikom. • Udane i nieudane próby wykonywania operacji krytycznych dla funkcjonowania systemu informatycznego. • Próby dostępu administracyjnego do elementów infrastruktury informatycznej. • Operacje przeprowadzane na konsoli urządzenia (na przykład serwera). • Instalowanie i modyfikowanie oprogramowania. • Używanie systemowych narzędzi administracyjnych. • Uruchomienie przez użytkownika krytycznych aplikacji. • Udane i nieudane próby dost ępu do danych. • Wprowadzanie danych do systemu informatycznego. • Przesyłanie danych. • Usuwanie danych. • Rozkład obciążenia sieci informatycznej. • Błędy w transmisji danych w sieci informatycznej. • Próby naruszenia zasad bezpieczeństwa mechanizmów separujących sieci informatyczne (ścian ogniowych). • Obciążenie komponentów informatycznych (przekroczenie okre ślonego poziomu). • Zajęcie przestrzeni dyskowej (przekroczenie określonego poziomu). • Awarie sprzętu i oprogramowanie. • Warunki środowiskowe pracy systemu informatycznego (na przykład temperatura urządzeń - o ile wyposażone są one w odpowiednie czujniki i moduły programowe). Wprowadza się synchronizację czasów systemowych wszystkich urządzeń informatycznych w ramach sieci komputerowych. Za przeprowadzanie tej operacji odpowiada administrator systemu informaty cznego. Analizujący zdarzenia w systemie informatycznym jest zobowiązany do zwrócenie szczególnej uwagi na następujące zjawiska: • Próby (udane i nieudane) korzystania z systemu informatycznego poza normalnymi godzinami pracy. • Korzystanie przez użytkownika z systemu informatycznego poprzez stację roboczą zwykle przez niego niewykorzystywaną (lub nawet niebędącą dla niego dostępną). • Wzrost ilości nieudanych prób zalogowania się na konto użytkownika. • Wzrost ilości nieudanych prób dostępu do zasobów systemu informatycznego. • Brak zapisu zdarzeń w systemie informatycznym w pewnym okresie czasu. • Wyjątkowo duża ilość zapisanych zdarzeń. • Duże obciążenie sieci informatycznej. • Transfer dużej ilości informacji. • Wykonywanie krytycznych operacji w systemie informatyc znym. • Przetwarzanie informacji wrażliwych. • Awarie komponentów informatycznych. Zaleca się zastosowanie narzędzi automatycznie analizujących zapisy i informujących odpowiednich administratorów w przypadku zaistnienia zjawisk krytycznych. Zarządzanie oprogramowaniem Proces zarządzania oprogramowaniem obejmuje zasady jego instalacji, konfiguracji i uaktualniania w sposób zapewniający bezpieczeństwo przetwarzanych informacji, jak również zgodność z warunkami licencyjnymi. Za proces ten odpowiedzialny jest administrator systemu informatycznego. Administrator bezpieczeństwa informacji może pełnić funkcje kontrolną, jak również udzielać wsparcia poprzez, 10 miedzy innymi, udział w testach bezpieczeństwa oprogramowania, które ma być wdrożone w jednostce. Wprowadza się zakaz wnoszenia przez użytkowników własnych, zawierających oprogramowanie nośników danych zawierających oprogramowania i uruchamiania ich na stacjach roboczych. Ponadto zabrania si ę podłączania własnego sprzętu teleinformatycznego (na przykład komputerów przenośnych) do systemu informatycznego jednostki. Samowolna instalacja oprogramowania przez użytkownika stanowi poważne naruszenie zasad bezpieczeństwa. Użytkownik ponosi odpowiedzialność za wszelkie szkody spowodowane przez takie działania, jak również za straty poniesione przez jednostkę z tytułu zainstalowanych w systemie informatycznym programów bez odpowiednich licencji. Oprogramowanie może być instalowane wyłącznie przez administratora systemu informatycznego, administratora bezpieczeństwa informacji lub przez upoważnione przez nich osoby. Dąży się do stosowania takiej konfiguracji stacji roboczych, aby u żytkownik nie mógł ich samodzielnie instalować lub zmieniać. Zarządzanie mechanizmami kryptograficznymi Wybór mechanizmów kryptograficznych uwzględnia miedzy innymi następujące kryteria: • Realizacja wymaganych usług kryptograficznych (szyfrowanie symetryczne, asymetryczne, podpis cyfrowy, znakowanie czasem itp.). • Odpowiednia moc mechanizmów kryptograficznych (zastosowane algorytmy, długości kluczy). • Wymagany sposób zarządzania kluczami kryptograficznymi. • Wymagana wydajność mechanizmu kryptograficznego. • Kompatybilność z istniejącą infrastrukturą informatyczną jednostki. • Rodzaj zabezpieczanych danych (dane przechowywane na nośniku, przesyłane przez sieci lokalne, transmitowane w sieciach roz ległych lub publicznych). • Wymagania dotyczące certyfikacji produktu (o ile wyst ępują). • Wymagania dotyczące zgodności z normami branżowymi i wykorzystanie standardowych protokołów dla mechanizmów kryptograficznych (o ile występują). • Łatwość wdrożenia mechanizmu i integracji z systemem informatycznym. • Odporność na próby kompromitacji mechanizmu. • Wymagany stopień interakcji z użytkownikiem. Określenie powyżej opisanych kryteriów jest wynikiem analizy ryzyka, sprecyzowania potrzeb w zakresie wdrożenia mechanizmów szyfrujących, istniejących uwarunkowań technicznych i organizacyjnych, jak również aspektów ekonomicznych. Za określenie wymagań związanych z ochroną informacji odpowiada administrator bezpiecze ństwa informacji. Za określenie wymagań związanych z kompatybilnością mechanizmu kryptograficznego z funkcjonuj ącą w jednostce infrastrukturą odpowiada administrator systemu informatyczne go, a wymagania te z uwzględnieniem problematyki ochrony informacji, zatwierdzane są administratora bezpiecze ństwa informacji. Osobą odpowiedzialną za administrację komponentami kryptograficznymi jest administrator systemu. Krytyczne operacje związane z zarządzaniem tymi komponentami winny być przeprowadzane komisyjnie przez dwie osoby. Za określenie operacji krytycznych dla mechanizmów kryptograficznych jest odpowiedzialny administrator bezpieczeństwa informacji. Wszystkie operacje krytyczne powinny być odpowiednio dokumentowane. Dokumentacja powinna być chroniona przed zniszczeniem, zafałszowaniem i dostępem osób nieupoważnionych. Korzystać z niej może administrator bezpieczeństwa informacji, osoby przez niego upoważnione, jak również osoby upoważnione przez Prezydenta Miasta. Użytkownicy systemu kryptograficznego są zobowiązani do zabezpieczenia wykorzystywanych przez siebie prywatnych lub tajnych kluczy kryptograficznych przed dost ępem osób nieupoważnionych. W przypadku podejrzenia kompromitacji prywatnego lub tajnego klucza użytkownik jest zobowiązany do natychmiastowego poinformowania o zaistniałym incydencie administratora bezpiecze ństwa informacji. Wszystkie klucze kryptograficzne (w tym klucze publiczne) musz ą być chronione przed nieautoryzowaną modyfikacją lub nieautoryzowanym zniszczeniem. Sprzęt kryptograficzny, służący do przechowywania i wykorzystywania krytycznego materiału kryptograficznego (na przykład podpisywania certyfikatów zawierających klucze publiczne), musi znajdować się w wydzielonej strefie, chronionej przed dostępem osób nieupoważnionych. Do strefy tej mają dostęp wyłącznie administrator bezpieczeństwa informacji, osoby przez niego upoważnione oraz osoby upoważnione przez Prezydenta Miasta. W przypadku realizacji fun kcji szyfrowania i podpisu cyfrowego z wykorzystaniem mechanizmów kryptografii asymetrycznej konieczne jest stosowanie co najmniej dwóch ró żnych par 11 kluczy jednej związanej z zabezpieczeniem poufności informacji, drugiej z cyfrowym sygnowaniem dokumentu. Klucze kryptograficzne (również prywatne i tajne, służące do zabezpieczania dokumentów o długim okresie życia - inne niż sesyjne) podlegają archiwizacji. Ich archiwum znajduje si ę, podobnie jak urządzenia z krytycznym materiałem kryptograficznym, w szczególnie chronionej, wydzielonej strefie. Dostęp do archiwum ma administrator bezpieczeństwa informacji oraz osoby przez niego wskazane. Odtworzenie klucza kryptograficznego może być przeprowadzone komisyjnie (przez co najmniej dwie osoby uprawnione do administrowania systemu kryptograficznego), wyłącznie w szczególnie uzasadnionych przypadkach, za zgod ą administratora bezpieczeństwa informacji lub Prezydenta Miasta. Operację odtworzenia zarchiwizowanych kluczy uznaje się za operację krytyczną. Okres archiwizacji uzależniony jest od rodzaju dokumentów zabezpieczanych przez klucze i ustalany jest przez administratora bezpieczeństwa informacji. Administrator bezpieczeństwa informacji jest odpowiedzialny za proces unieważniania kluczy, co do których istnieje podejrzenie, iż zostały skompromitowane, których okres życia zakończył się, oraz które winny utracić ważność z innych powodów - w szczególności wykorzystywanych przez zwolnionych pracowników lub współpracowników, którzy zakończyli świadczenie usług dla jednostki. Bezpieczne serwisowanie systemu informatycznego Administrator systemu informatycznego jest odpowiedzialny za przestrzeganie zasad serwisu systemu informatycznego. W szczególności zasady te obejmują następujące zagadnienia: • Określanie dopuszczalnego czasu przestoju danego komponentu (jako rezultat analizy wpływu na działanie jednostki). • Określanie czasu reakcji służb serwisowych i czasu naprawy adekwatnych do dopuszczalnego czasu przestoju komponentu. • Dokumentację awarii sprzętu i prac wykonanych przez służby serwisowe. • Przygotowywanie statystyk napraw sprzętu informatycznego przez służby serwisowe. • Analizowanie rzeczywistych czasów reakcji i czasów napraw oraz ewentualne podejmowanie akcji korekcyjnych. Zarządzanie zmianami Proces wprowadzania zmian w systemie informatycznym powinien na każdym etapie uwzględniać problem zabezpieczenia informacji przetwarzanych metodami elektronicznymi. Ze względu na to jest on monitorowany przez administratora bezpiecze ństwa informacji. Inicjując proces zmian obejmujący wprowadzenie nowych komponentów informatycznych ustala się wymagania, jakie mają być przez nie spełnione. Obejmują one: • Zakres funkcji, jaki ma być realizowany przez dany komponent. • Akceptowalność przez użytkowników w stopniu niepowodującym niepotrzebnych zaniechań i osłabienia rozwoju systemu. • Możliwość współpracy z infrastrukturą informatyczną jednostki. • Zgodność z obowiązującymi w jednostce wewnętrznymi standardami w zakresie technologii informatycznych, w tym z przepisami prawa. • Spełnienie standardów branżowych. • Posiadanie certyfikatów, w tym certyfikatów zgodności z określonymi rozwiązaniami technologicznymi. • Wydajność komponentu. • Wiarygodność działania komponentu. • Możliwość zapewnienia odpowiedniego wsparcia technic znego. Ponadto oddzielnie dla każdego typu wprowadzanego komponentu administrator bezpieczeństwa informacji może określić wymagania w zakresie funkcji bezpieczeństwa, które muszą być spełniane, oraz wymagany sposób uwiarygodnienia realizowania tych funkcji (może być to posiadanie odpowiedniego certyfikatu bezpieczeństwa). Przed wprowadzeniem zmian w systemie informatycznym nowe kom ponenty powinny zostać przetestowane. Zaleca się, o ile jest to technicznie możliwe, aby na potrzeby badań zbudować środowisko testowe fizycznie odseparowane od systemu informatycznego. Incydenty w zakresie bezpieczeństwa 12 Incydentem w zakresie bezpieczeństwa jest sytuacja powodująca utratę poufności, integralności lub dostępności przetwarzanych danych. Wdrożenie zasad reagowania na incydenty w zakresie ochrony danych jest istotnym elementem utrzymania wymaganego poziomu ich bezpieczeństwa. W szczególności zasady te powinny obejmować następujące aspekty reagowania na incydent: • Powiadomienie o wystąpieniu incydentu, z uwzględnieniem kanałów raportowania. • Rozpoznanie sytuacji, powiadomienie u żytkowników, na których pracę incydent ma wpływ, ocena strat. • Analiza przyczyn incydentu, podj ęcie kroków zmierzających do usunięcia jego skutków. • Konsekwencje dyscyplinarne wobec sprawców, ewentualne powiadomienie organów ścigania o popełnieniu przestępstwa lub powiadomienie mediów. • Ocena skuteczności reakcji na incydent i usunięcia jego skutków. • Określenie możliwości wzmocnienia mechanizmów zabezpieczających tak, aby zapobiec występowaniu incydentów danego rodzaju w przyszłości. • Określenie możliwości ulepszenia procesu reakcji na incydenty w zakresie bezpieczeństwa informacji. Użytkownicy systemu informatycznego są zobowiązani do zgłaszania wszelkich zauważonych nieprawidłowości w działaniu systemu informatycznego - jest to podstawą do odpowiednio wczesnego wykrycia incydentu i podjęcia kroków zaradczych. Raportowanie jest realizowane w następujący sposób: • Użytkownicy systemu informatycznego są zobowiązani do informowania administratora systemu informatycznego lub osób przez niego upoważnionych o wszelkich zauważonych nieprawidłowościach w działaniu wykorzystywanych przez nich komponentów informatycznych, jak również o zauważonych zagrożeniach dla funkcjonowania systemu informatycznego. W przypadku zgłoszenia nieprawidłowości telefonicznie lub osobiście administrator może poprosić użytkownika do przygotowania pisemnego opisu zauważonej nieprawidłowości, uwzględniającego rodzaj informacji przetwarzanych przez użytkownika. • W przypadku, gdy zdarzenie zgłoszone przez użytkownika może być związane z incydentem w zakresie bezpieczeństwa, administrator systemu informatycznego winien poinformowa ć o zaistniałym fakcie administratora bezpieczeństwa informacji – z zachowaniem formy pisemnej. Administrator bezpieczeństwa informacji może poprosić użytkownika o szczegółowy opis zauważonego zdarzenia • Administrator systemu informatycznego jest zobowiązany do informowania administratora bezpieczeństwa informacji o wszelkich anomaliach w pracy administrowanych przez siebie urządzeń, mogących być przyczyną lub skutkiem incydentu w zakresie bezpiecze ństwa • Administrator bezpieczeństwa informacji winien monitorować informacje generowane przez system wykrywania włamań w celu odpowiednio szybkiego podj ęcia właściwych działań związanych z reakcją na incydent. • Po uznaniu zaistniałej sytuacji za incydent w zakresie bezpieczeństwa administrator bezpieczeństwa informacji winien, wspólnie z administratorem systemu informatycznego, dokonać oceny strat. W ocenie strat winni brać także udział kierownicy tych komórek organizacyjnych (lub wydelegowani przez nich pracownicy), w których dane i komponenty dotkni ęte incydentem są wykorzystywane do realizacji procesów biznesowych. W wyniku oceny zaistniała sytuacja może zostać uznana za sytuacje kryzysową, zagrażającą prawidłowemu funkcjonowaniu jednostki - decyzja taka jest podejmowana przez Prezydenta Miasta lub cz łonka ścisłego kierownictwa jednostki odpowiedzialnego za zagadnienia bezpieczeństwa publicznego. Administrator bezpieczeństwa informacji jest odpowiedzialny za przeprowadzenie analizy przyczyn zaistnienia incydentu. Analiza może być przeprowadzana samodzielnie przez administratora, mo że on także powołać zespół ekspertów. Zaleca się, aby w pracach zespołu brał udział administrator systemu informatycznego lub osoby przez niego upowa żnione. Istotne jest również, aby ograniczyć dopuszczalny czas przeprowadzania analizy przyczyn zaistnienia incydentu, przynajmniej w zakresie wymagającym wstrzymanie prac związanych z odtwarzaniem komponentów do stanu pierwotnego. Jeżeli istnieje potrzeba, aby wydłużyć ten czas, to może to nastąpić za zgodą Prezydenta Miasta lub właścicieli procesów, do których realizacji konieczne je st wykorzystanie niedostępnych komponentów. Istotnym elementem reakcji na incydent jest określenie możliwości poprawy bezpieczeństwa przetwarzania informacji w jednostce w przyszłości, w oparciu o analizę: 13 • Skuteczności wdrożonych zasad reagowania na incyd enty. • Skuteczności realizacji zasad opisanych powyżej. • Skuteczności mechanizmów zabezpieczaj ących system informatyczny. Za powyższą analizę i wytyczenie możliwych kierunków poprawy bezpieczeństwa danych odpowiada administrator bezpieczeństwa informacji. Aby analiza taka był możliwa, wprowadza się zasadę dokumentowanie wszystkich działań związanych z reakcją na incydent, począwszy od powiadomienia o podejrzeniu zaistnienia niebezpiecznego zdarzenia. Planowanie ciągłości działania Wdrożenie w jednostce planu ciągłości działania ma na celu kontynuację kluczowych procesów wykorzystujących elektroniczne przetwarzanie danych w sytuacji, gdy część infrastruktury informatycznej jest niedostępna - na przykład w skutek katastrofy. Plan ciągłości działania uruchamiany jest w sytuacji kryzysowej - wówczas, gdy skutki zaistniałych incydentów zagrażają funkcjonowaniu instytucji. Przygotowanie planu leży w obowiązkach komórki właściwej ds. bezpieczeństwa publicznego. 14