Kontakt in pripombe
domov

Varnostna politika informacijske tehnologije - moje osebno mnenje

 

Ne trdim, da imam prav za to kar tu piše, ampak zopet gre za neodvisno osebno mnenje in približen način kako se sam tega lotevam ni pa nujno, da se sploh kdo z menoj strinja, če pa kdo izrecno želi ga lahko podkrepim z argumenti. V bistvu gre za prenos dolčenih specifikacij opredeljenih v ISO17799 ter BS7799 rev. 2 standardu, v praktična pravila uporabe informacijske tehnologije, ki so od organizacije do organizacije glede na potrebe različna, torej, vse ne uporabljajo vseh. Zdi se mi bistveno najprej zbrati informacije oz. narediti posnetek stanja in potreb ter kasneje analizo varnostnih rizikov, za kar pa obstoja kar nekaj bolj ali manj dobrih orodij, ki pa jih tu ne bom omenjal saj stran ni namenjena marketingu. Tu lahko naredimo največ napak kakor povsod pri zajemih podatkov saj v primeru, da napačno interpretiramo vhodne informacije ali kaj spustimo, celotna stvar namesto majhnih napakic, ki se jih tako ali tako praktično ne moremo nikoli otresti lahko vsebuje eno zelo veliko in kasneje usodno napako, ki pravila naredi neuporabna, čeprav na videz zelo podrobna in popolna. Zato posnetku stanja dajem največjo težo in pozornost, malo bolje je z analizo pa čeprav tudi ta lahko ni pravilna. Nič kar se tiče varnosti IT ni večno in je potrebno odvisno od potreb konstantno kaj dopolniti ali spremeniti, so pa nekakšen zakon, ki določa obnašanje z informacijsko tehnologijo. Pravila v precejšnji meri rešijo problem ljudi, ki IT zlorabljajo za take in drugačne koristoljubne ali nekoristoljubne namene in se izmaknejo zakonu na račun pravne zmote, kot, 'nisem vedel da bi moral ravnati tako' in 'mislil sem da delam prav'. Ko pa je nekaj zakon in si z njim seznanjen, ni več tako preprosto. Po standardu nekako obsegajo naslednje logične dele:

  • Strojno opremo

  • Nadzor dostopa do posameznih vrst informacij

  • Upravljanje z dokumentacijo v elektronski obliki

  • Nabavljeno licenčno programsko opremo

  • Razvoj lastne programske opreme

  • Uskladitev pravil z veljavno zakonodajo (npr. Zakon o varstvu osebnih podatkov....) in seznanitev odgovornih

  • Neprekinjeno poslovanje

  • Elektronski kriminal

  • Človeški faktor

  • Šolanje zaposlenih

  • Elektronsko poslovanje

  • Fizično in elektronsko varovanje IT

  • Klasifikacijo tajnosti podatkov

  • Ukrepanje ob incidentih


Praktično pravila izgledajo lahko tako, verjetno pa je tudi drugačna implementacija možna torej sem za komentarje in kritike vedno odprt. Meni se zdi da je tako prav. Proti marsičemu se ne da nikoli popolnoma zaščititi tako, da tudi pravila niso 100% varnost saj so enako kakor povsod tudi tu možni slabi členi zakonov ali celo neuporabni.

Primera pravil:

  •  III.Upravljanje z dokumentacijo v elektronski obliki

    • 2. Elektronska pošta in internet

      • Pravilo 020202 Posredovanje elektronske pošte

        "Prepričajte se, da je prejeta elektronska pošta, ki jo posredujete naprej pravilno naslovljena, še posebej bodite pozorni na pripete dokumente, ki jih tako posredujete."

        OBRAZLOŽITEV

        Ko posredujete elektronsko sporočilo poleg potencialno varnostno kritične vsebine pošiljate tudi podatke o izvoru sporočila in vašem izvoru, kar lahko pomeni potencialno varnostno tveganje ter materialno in kazensko odgovornost v primeru napačne uporabe npr:

        • posredujete virus ali drugo škodljivo kodo, ki prejemniku povzroči znantno materialno škodo in lahko sproži odškodninski in kazenski postopek proti Vam

        • posredovanje napačne priponke lahko pomeni kršitev tajnosti podatkov in razkritje le teh, lahko  osramoti Vas, vašo enoto ali organizacijo...

        • posredovanje napačni osebi lahko povzroči kršitev tajnosti podatkov in tako pogojeno poslovno izgubo

        • posredovanje velikih datotek (priponk nad 1MB)  več prejemnikom lahko povzroči izpad sistema ali njegovo upočasnitev ter nepotreben promet

         

      • ISO17799 BS7799 Referenca

        8.7.4 Varovanje elektronske pošte

 


  • V. Elektronski kriminal

    • 1. Zaščita pred elektronskim kriminalom

      • Pravilo 050104 Zaščita pred napadi z virusi

        "Brez izjeme mora biti na vseh strežnikih, osebnih računalnikih in prenosnih računalnikih instalirana aktivna protivirusna zaščita, ki se mora vsakodnevno posodabljati, vsakodnevno pa je potrebno na vseh strežnikih, osebnih računalnikih in prenosnih računalnikih izvesti pregled datotek z antivirusnim programom"

        OBRAZLOŽITEV

        Nevarnost okužbe z virusi, ki predstavljajo potencialno nevarnost za izpad sistema, se z instalacijo in pravilno uporabo protivirusne zaščite, ki mora biti vsakodnevno posodobljena, zmanjša na najmanjšo možno mero. To omogočajo različne rešitve različnih proizvajalcev protivirusnih programov.

         

        • Noben plan reakcije med napadom ne more nadomestiti primerne protivirusne preventivne zaščite

        • Noben protivirusni prgram ne zagotavlja zaščite, če ni primerno posodobljen in če nadzor nad posodobitvami ni omogočen

        • Aktivna zaščita onemogoča shranjevanje virusov na ostalih sistemih

        • Zaščita na poštnih strežnikih onemogoča dostop uporabnikov do virusa saj je ta odstranjen preden pride do njih

        • Noben protivirusni sistem ne ščiti pred programi, ki niso dokumentirani kot virusi in se tudi ne širijo, zato je smotrno uvesti ostala pravila rokovanja z elektronskimi dokumenti in prenosnimi mediji.

         

      • ISO17799 BS7799 Referenca

8.3.1 Nadzor nad zlonamernimi programi

 


Pripombe in pojasnila: tu

Avtor strani: Matjaz Marcina 2003-2017, vse pravice pridržane
Pravno obvestilo