• cel - jednoznacznie identyfikuje, co ma zostać osiągnięte,
• strategia - powinna określać, w jaki sposób wytyczony cel zostanie osiągnięty,
• polityka - najbardziej konkretny element w modelu, wskazujący, co konkretnie powinno zostać zrealizowane i jakie zasady powinny być przestrzegane, aby cel został osiągnięty.

Każda organizacja próbuje realizować określony cel, który może się różnić w zależności od charakteru instytucji (cele społeczne, biznesowe). W każdym jednak przypadku realizacja zadań statutowych wymaga zagwarantowanego odpowiedniego poziomu bezpieczeństwa, które wspomaga i warunkuje realizację wytyczonych zadań statutowych. Tak więc oprócz oczywistej ochrony zasobów teleinformatycznych ważna jest także ochrona organizacji na takim poziomie, aby mogła ona nieprzerwanie działać. Można mówić tutaj o różnych aspektach działania organizacji, takich jak: ciągłość procesów biznesowych, zdolność produkowania wyrobów czy też świadczenia usług na rynku, lub nie mniej ważnym aspekcie, jakim jest pozytywny wizerunek. Nikt chyba nie chciałby trzymać pieniędzy w banku, o którym wiadomo, że jego zabezpieczenia zostały złamane. Dlatego też niezbyt często słyszy się o takich incydentach - chociażby ze względu na pozytywny wizerunek instytucji.

Ochrona instytucji budowana jest na trzech poziomach, które w zasadzie są niezmienne i nie zależą od charakteru organizacji:

• bezpieczeństwo instytucji (poziom I),
• bezpieczeństwo teleinformatyczne w instytucji (poziom II),
• bezpieczeństwo systemów instytucji (poziom III).

Dla każdego z wymienionych elementów, zgodnie z trójpoziomowym modelem odniesienia, można określić znajome już trzy elementy: cel, strategię i politykę.

W przypadku pierwszego poziomu, poziomu bezpieczeństwa instytucji, określa się cele, strategie i politykę dla całej instytucji. W skład polityki wchodzą takie elementy jak polityka działania instytucji wynikająca z jej celów i strategii istnienia, polityka finansowa, polityka marketingowa i polityka zastosowania zasobów teleinformatycznych w instytucji, jak również inne wynikające ze specyfiki instytucji takie jak normy prawne, zwłaszcza przepisy bądź umowy. Strategie polityki pierwszego poziomu powinny wyznaczać w dużej mierze cele polityki drugiego poziomu.

Na drugim poziomie powinny się znaleźć ogólne zalecenia dotyczące polityki bezpieczeństwa dla zasobów teleinformatycznych w instytucji. Na tym poziomie polityka rozumiana jest jako prawa, zasady postępowania, ochrony, które dotyczą systemów i zasobów teleinformatycznych w całej instytucji, w tym informacji niejawnych i wrażliwych, wszelkich usług ze szczególnym uwzględnieniem usług krytycznych dla istnienia i działania firmy.

Trzeci poziom polityki bezpieczeństwa określa cele, strategię i politykę bezpieczeństwa dla konkretnego systemu w instytucji. Nie oznacza to, że można na tym poziomie opisać tylko jeden system działający w organizacji. W ramach trzeciego poziomu może współistnieć wiele polityk bezpieczeństwa dla wszystkich istniejących systemów w instytucji. Ważne jest, aby poszczególne dokumenty polityk bezpieczeństwa dla konkretnych systemów były tak nazwane, aby wszystkie zainteresowane osoby czy jednostki były w stanie je rozróżnić. Aby zapewnić zgodność między sobą, polityki dla poszczególnych systemów powinny wynikać z polityk poziomu II i polityk poziomu I.

Istnieje także możliwość - zwłaszcza jeśli firma jest duża i podzielona na oddziały - że w polityce bezpieczeństwa na poziomie drugim zostaje wyodrębniony dodatkowy (opcjonalny) podpoziom dotyczący oddziału lub jakiegoś departamentu. Utworzenie takiego podpoziomu uwarunkowane jest potrzebą zastosowania innych bądź bardziej szczegółowych zasad ochrony informacji w danej komórce organizacyjnej.

Należy również pamiętać, że istnieje możliwość tworzenia dodatkowych dokumentów, jeśli tylko pojawi się taka potrzeba. Przykładowymi rodzajami tworzonych dokumentów są m.in. procedury:

• korzystania z komputerów,
• korzystania z internetu,
• korzystania z poczty,
• reakcji na incydenty,
• odzyskiwania systemów po awarii

Należy zwrócić uwagę na najbardziej istotny element w procesie budowy polityki bezpieczeństwa dla instytucji - zaangażowanie zarządu. Bez akceptacji zarządu i jego pomocy nie da się ustanowić skutecznej polityki bezpieczeństwa. Ważnym argumentem dla aktywizacji zarządu w tym kierunku jest fakt, że to właśnie on ponosi odpowiedzialność za bezpieczeństwo teleinformatyczne w instytucji.

Czego powinno się oczekiwać od zarządu w przypadku tworzenia polityki bezpieczeństwa?

• dużego zaangażowania w ten proces,
• uświadomienia sobie, że funkcjonowanie instytucji zależy od bezpieczeństwa teleinformatycznego,
• określenia w planach budżetowych środków inwestycyjnych przeznaczonych na budowę lub modernizację systemu bezpieczeństwa teleinformatycznego,
• powołania zespołu ds. bezpieczeństwa teleinformatycznego,
• czynnego udziału w procesie analizy i zarządzania ryzykiem (w odpowiednim zakresie określonym dla swej roli),
• zaangażowania w działania nadzorujące, kontrolujące i koordynujące budowę, modernizację i testowanie systemów bezpieczeństwa (może się to odbywać przez wydelegowanie określonej osoby z zarządu do współpracy z osobami bezpośrednio związanymi z bezpieczeństwem teleinformatycznym instytucji).

Poparcie zarządu ma jeszcze jedno kolosalne znaczenie dla instytucji, a w szczególności dla personelu. Oznacza ono, że wszystko, co jest związane z bezpieczeństwem i implementowane przez odpowiedni personel, ma bezpośrednie poparcie zarządu (lub władz instytucji). Element ten jest często pomijany, jednak osoby związane z tworzeniem czy też uaktualnianiem systemu bezpieczeństwa instytucji bardzo szybko docenią zalety odpowiedniego wsparcia. Często zdarza się, że działania podwyższające bezpieczeństwo powodują obniżenie wygody użytkowników. Na przykład wprowadzenie obowiązku używania haseł o długości 12 znaków znacznie poprawia poziom bezpieczeństwa - dla użytkownika, który loguje się do kilku różnych systemów taka decyzja wyraźnie obniża użyteczność i potraktuje ją jako "kolejny element utrudniający mu pracę". W efekcie zacznie łamać inne zalecenia, na przykład zapisując hasła na kartkach. Ważne jest, aby pracownik miał świadomość, że wszystkie działania bezpośrednio popiera zarząd, a co za tym idzie, sprzeciwienie się zaleceniom personelu odpowiedzialnego za bezpieczeństwo jest równoznaczne z sprzeciwieniem się decyzjom zarządu.

Dochodzimy w tym momencie do kolejnej ważnej kwestii, jaką są szkolenia użytkowników i uświadamianie ich odnośnie do bezpieczeństwa teleinformatycznego. Świadomy użytkownik jest w stanie zaakceptować dodatkowe utrudnienia, jeśli zrozumie, w jakim celu zostały wprowadzone. Przeszkolony użytkownik będzie również mniej podatny na wszelkie działania inżynierii społecznej, a także będzie szybciej identyfikował i reagował na incydenty. Poziom szkoleń z zakresu bezpieczeństwa powinien być zróżnicowany dla różnych grup personelu. Inny poziom i zakres szkoleń będzie potrzebny pracownikom zajmującym się wdrażaniem zasad bezpieczeństwa, inny szeregowym pracownikom czy też kadrze kierowniczej.

Ogólnie ujmując, możemy wyróżnić następujące fazy tworzenia i realizacji polityki bezpieczeństwa informacji:

1. Podjęcie przez zarząd decyzji o budowie systemu bezpieczeństwa dla instytucji. W ramach tego etapu zostanie wybrany także zespół, który będzie bezpośrednio odpowiedzialny za całe przedsięwzięcie.

2. Projektowanie i planowanie obejmujące opracowanie polityki bezpieczeństwa instytucji i polityki bezpieczeństwa teleinformatycznego instytucji, wybór odpowiedniej strategii zarządzania ryzykiem, określenie wymagań co do zabezpieczeń, określenie i zaakceptowanie zredukowanego poziomu ryzyka, opracowanie poszczególnych polityk bezpieczeństwa dla istniejących w instytucji systemów.

3. Wdrożenie polityki bezpieczeństwa oraz sprawdzenie skuteczności zabezpieczeń.

4. Ciągłe monitorowanie trafności przyjętych założeń polityki bezpieczeństwa i zaakceptowanego poziomu bezpieczeństwa.

Osiągnięcie założonego poziomu bezpieczeństwa nie kończy realizacji przyjętej polityki bezpieczeństwa. Proces taki ma charakter ciągły i wymaga systematycznej kontroli, analizy i weryfikacji. W przypadku zabezpieczeń, które w dużej mierze opierają się na nowoczesnej technologii, rodzi się pytanie jak długo zastosowane rozwiązania będą jeszcze skuteczne. Dlatego co jakiś czas powinna zostać przeprowadzana weryfikacja polityki bezpieczeństwa, jak również wszystkich mechanizmów zabezpieczeń.

Kolejnym aspektem, który należy wziąć pod uwagę, jest to, że posiadane zasoby teleinformatyczne wciąż podlegają zmianom. Pojawiają się nowe komputery, świadczone są nowe usługi itp. Wszystkie te elementy mają znaczący wpływ na utrzymywanie odpowiedniego poziomu bezpieczeństwa. W celu weryfikowania istniejących zabezpieczeń, a także określenia, czy osiągnięty poziom bezpieczeństwa jest zadowalający, należy przeprowadzić audyt. Istnieje wiele definicji określających to pojęcie. Polska norma PN-I-02000:2002 rozróżnia dwa typy audytu: audyt bezpieczeństwa i audyt systemu informatycznego.

Zgodnie z definicją zawartą w przytoczonej normie przez audyt bezpieczeństwa rozumiemy - "niezależny przegląd i sprawdzenie zapisów oraz funkcji systemów przetwarzania danych w celu sprawdzenia prawidłowości kontroli systemowej, zapewnienie zgodności z przyjętą polityką bezpieczeństwa i procedurami działania w celu wykrycia przełamań bezpieczeństwa oraz w celu zalecenia określonych zmian kontroli, w polityce bezpieczeństwa i procedurach". Natomiast audyt systemu informatycznego rozumiany jest jako - "sprawdzanie procedur stosowanych w systemie przetwarzania danych w celu oceny ich skuteczności i poprawności oraz w celu zalecenia ulepszeń".

Audyt ma na celu zweryfikowanie zastosowanej już polityki bezpieczeństwa oraz procedur z nią związanych, jak również wskazanie możliwych ulepszeń. Audyt powinien być przeprowadzany w regularnych odstępach czasu, a nie tylko w przypadku naruszenia zabezpieczeń czy też istotnych zmian w konfiguracji i zasobach teleinformatycznych. Częstość audytu jest w dużej mierze kwestią umowną i zależy od specyfiki instytucji.

Domyślnie można przyjąć, że w większości przypadków audyt powinien być przeprowadzany co 6 lub 12 miesięcy, o ile nie wystąpią okoliczności wskazujące na jego wcześniejsze przeprowadzenie. Audyt może być wykonywany przez wyspecjalizowaną firmę zewnętrzną i wtedy mówimy o audycie zewnętrznym lub też może być przeprowadzony przez samą instytucję bez angażowania firm zewnętrznych i wtedy mówimy o audycie wewnętrznym.

Przed przystąpieniem do audytu należy zdefiniować:

• typ audytu - wewnętrzny czy zewnętrzny,
• przedmiot audytu - można wyróżnić audyt informatyczny, finansowy i operacyjny,
• zakres audytu - co będzie podlegać audytowi.

Audyt jest procesem przeprowadzanym w kilku głównych fazach. Faza pierwsza polega na utworzeniu listy audytowej. Lista taka zazwyczaj jest sporządzana według wybranego standardu - dla standardu BS 7799 będzie to lista zawierająca 127 punktów, dla standardu COBIT^TM - 302 punkty, a dla TSEC - 134. Kolejny etap polega na wypełnieniu listy audytowej na podstawie przeprowadzonych testów, badań, kontroli dokumentów i innych mechanizmów. Następnie przeprowadzane jest badanie systemów ochrony fizycznej i technicznej zasobów teleinformatycznych. Na koniec przygotowany zostaje raport zawierający dokumentację audytu, tj. jego zakres, typ i przedmiot oraz wynik i wnioski końcowe.

Artykuł powstał na podstawie książki "Społeczeństwo informacyjne" pod redakcją Joanny Papińskiej-Kacperek. Jest to podręcznik (dla studentów) i poradnik (dla menedżerów) opisujący tematy związane z zastosowaniem nowych technologii informacyjnych i ich bezpieczeństwem. Książkę znajdziesz w księgarni internetowej PWN www.ksiegarnia.pwn.pl, wpisując w pole wyszukiwarki zwrot "społeczeństwo informacyjne".

Mariusz Ludwiński