Skuteczne PROCEDURY - files.idg.plfiles.idg.pl/pdf/cso/20071204_03_cso.pdfkszta towaniu i wdra Qaniu...

GRU

DZI

EŃ N

R 3/

07

Cen

a 30

zł (

w t

ym 0

% V

AT)

IN

DEK

S 20

0018

BEZPIECZEŃSTWO JAKO SYSTEMrola szkoleń w zarządzaniu

bezpieczeństwems. 14

PLANY AWARYJNEminimalizacja strat,

ochrona istniejących zasobóws. 18

BACKGROUND CHECKraport: wartość sprawdzania

pracowników s. 32

Zacznijmy

ISSN 1734-946X

PROCEDURYSkuteczne

od podstaw s. 22

www.magazyncso.pl

cso0307okladka_ok.indd 22 2007-11-28 14:01:46

http://www.magazyncso.pl

http://cso.cxo.pl/

PROBLEMZ MIEJSCEM?

DOPASOWANEROZWIĄZANIE!

Z nami bezpieczniej!Najwyższy poziom bezpieczeństwa na najwęższym obszarze:

Sejf modułowy Lampertz LMS 9.3Jeden produkt – mnóstwo możliwości – absolutne bezpieczeństwo dla techniki 19“.

• szerokość sejfu zredukowana o połowę• mniejsze zapotrzebowanie na miejsce dzięki zastosowaniu drzwi dwuskrzydłowych

www.rittal-lampertz.pl

Kompetencja i bezpieczeństwo

®

http://www.rittal-lampertz.pl

www.magazyncso.pl 3

Nam jednak nie chodzi o to, eby kogo straszy . Ka dy CSO wie, e za tym sielankowym obrazem kryje si niewidoczna dla wi kszo ci pracowników i klientów druga warstwa, w której umie dostrzec mo liwe zagro enia, potencja ryzyka, mniej lub bardziej znacz ce incydenty bezpiecze stwa. Codziennie przychodz go cie,organizuje si spotkania, pracownicy ze swoimi laptopami je d po mie cie, obraca si gotówk , wymienia informacje przez Internet, wyrzuca niepotrzebne dokumenty i urz dzenia. Ka da z tych aktywno ci powoduje okre lone zagro enia, które, szcz liwie, nie zdarzaj si codziennie. Mog si jednak zi ci , a w r kach szefa bezpiecze stwa le y podj cie zawczasu dzia a zmierzaj cychz jednej strony do obni enia prawdopodobie stwa ich wyst pienia,z drugiej za , gdyby jednak mia y miejsce, do zminimalizowania skutków.

CSO, alokuj c swoje zasoby i bud ety, zawsze wcze niejszczegó owo analizuje sytuacj , zagro enia i ich wp yw na funk-cjonowanie organizacji. rodków zwykle jest za ma o, to norma, wi c w a ciwy wybór, oparty na rzetelnej analizie i sporej porcji intuicji, ma kluczowe znaczenie.

Praktyka podpowiada, e do najwa niejszych narz dzi w r kach CSO nale te, które kszta tuj wiadomo bezpiecze stwai wyrabiaj odpowiednie nawyki u pracowników.

W tym wydaniu CSO najwi cej uwagi po wi camykszta towaniu i wdra aniu procedur, które, je li s odpowiednio wprowadzone, okazuj si bardzo skuteczne. Wa ne, eby

pracownicy je rozumieli, akceptowali i chcieli stosowa . Metoda „na si ” jest najmniej wskazana. Lepsze efekty przynioswyja nienie celu ich wprowadzenia i cykl szkole . W a nie szko-lenia to narz dzie, którego nie sposób przeceni . Wi cej w tek cie„Rola szkole w zarz dzaniu bezpiecze stwem”.

Odpowiedni dobór pracowników w procesie rekrutacji mo epomóc w unikni ciu wielu k opotów. O tym, jak si to robi w USA, mówi raport „Background check”.

Pragn jeszcze poleci Pa stwu tekst „Plany awaryjne”. To wa ny, najcz ciej niedoceniany temat. Cz firm uwa a, e plany awaryjne nie s im potrzebne, cz twierdzi, e ich po prostu nie sta . Warto jednak zapozna si z t tematyk i spróbowawykorzysta cho w ograniczonym zakresie.

Zapraszam do lekturyt

Od wydawcy

Ogólnie jest dobrze. Firma dzia a swoim zwyczajnym rytmem. Klienci, pracownicy zachowuj si jak co dzie , nie dzieje sinic specjalnego, nie wida adnych oznak zagro enia.Tak zaczyna si wi kszo thrillerów.

Od wydawcy

Piotr Grabczy skiwydawca

Zapraszam do przegl dania serwisu internetowego CSOpod adresem: www.magazyncso.pl. Ju wkrótce zacznsi w nim pojawia regularnie nowe tre ci, których nie b dzie na amach naszego pisma. Od stycznia planujemy uruchomi newsletter.

03_wstepniak.indd 3 2007-12-04 16:08:10



FOTO: GETTY IMAGES/FPM4 www.magazyncso.pl

w numerzew numerze

»

Zdj cie na ok adce:

Getty Images/Collection Mix: Sub/FPM

22 TEMAT Z OK ADKIDokumenty, procedury, czyli bez czego pion

ochrony nie mo e funkcjonowa

Do stosowania procedur w ochronieinformacji niejawnych, ochronie danych osobowych czy innych tajemnic nie trzeba nikogo przekonywa .

4 Rola szkole w zarz dzaniubezpiecze stwem

Przegl daj c strony internetowe firm szkolenio-wych, mo na zauwa y , e jest do du o szkoleo bardzo zró nicowanej tematyce.

8 Za o enia do planów awaryjnychPlan awaryjny powinien minimalizowa straty zwi zane z wyst pieniem sytuacji zak ócaj cejdzia alno organizacji, ochroni zasoby,zapewni jak najszybszy powrót do normalnego funkcjonowania.

32 Raport – background checkTesty, które przechodz kandydacina pracowników korporacji, maj na celu wy onie-nie osób najbardziej przydatnych dla firmy. Co dla mened erów bezpiecze stwa jest najistotniejsze przy rekrutacji nowych ludzi?

Stra tegie:0 Terroryzm a gospodarka

W lipcu min y dwa lata od tragicz-nych zamachów terrorystycznych w Londynie, w których zgin li rów-nie nasi rodacy. Blisko sze lat temu dokonano najwi kszej serii ataków terrorystycznych na Stany Zjednoczo-ne. Dlaczego niektórzy uciekaj si do tak drastycznych metod do rozwi zy-wania swych problemów?

Na warsz tacie36 Honeypot – strategia

przeciw dzia aniom hackerów

Jeste zm czony obron przed hacke-rami? Je li tak, przejd do ofensywy. Idea, o której mówimy tohoneypot – system zaprojektowany tak, by zwabiintruza i rejestrowa jego dzia ania.

38 Odzyskiwanie danych – jak zapobiega i leczy

Utrata warto ciowych danych nie musi by równoznaczna z katastrof firmy. Pod warunkiem e wiemy, jak je od-zyska . Je li wiemy równie , jak temu zapobiec, mo emy spa ... spokojniej.

Technologie42 Integracja infrastruktury

sieciowej z systemamibezpiecze stwa

Zakres zagro e bezpiecze stwa sieci nieustannie si rozszerza. Ataki grow ka dym momencie, a liczba miejsc, z których mog zosta wyprowadzone, jest niemal nie do opanowania.

Wywiad46 Rynek zdobywa

wiadomoZakres zagro e bezpiecze stwa sieci nieustannie si rozszerza. Ka dy z nas sta si nara ony na ataki w równym stopniu. W takiej sytuacji wiadomozagro e jest istotna gdy pozwala im zapobiega .

Grudzie 2007

International Da ta Gro up Po land SAul. Jor danowska 2, 04–204 War szawa

PREZES ZA RZ DUKa zi mierz Szot

WYDAW CAPiotr Grab czy ski

REDAK CJAtel. (22) 32 79 96

REDAK TOR NA CZELNYPiotr Grabczy ski

SEKRETARZ RE DAK CJIJacek Wownysz

ZESPÓSzymon Augustyniak

Jacek WownyszWanda ó ci ska

WSPÓ PRACAJacek Grzechowiak

EVENTY CXO MEDIAMag da Szczo dro ska (Project Manager)Krystian Drymer (Sales Manager CSO)

STUDIO NO WE ME DIADyrektor Artystyczny

Agata Filipczak-Dziubek

Projekt gra ficzny, ok adkaGra y na Ste fek

Fo toedytorKrzysz tof Dem czy szak

Sk ad i amanieBeata Mi tus

KorektaDa nu ta Sass

DZIA PRO DUK CJIZbigniew Kowalski (kierownik)

Aldona R kawek, Ma gorzata Majer

BIURO REKLAMY CXO ME DIAfaks: (22) 32 80 33

e-ma il: re kla ma [email protected] masz Paw lak (Dyr. sprzeda y) (22) 32 79 39Kry stian Dry mer (Sales Manager) (22) 32 79 84Beata Ulmer (22) 32 77 25Ma riusz Ma li now ski (22) 32 78 6Mariusz Siemek (22) 32 77 33Mi cha Wró blew ski (22) 32 79 83Katarzyna Manowska (Traffic) (22) 32 77 34

REKLA MY ON LINEKrystian Drymer (22) 32 79 84

DYS TRY BUCJABe ata Ko ec ka (kie row nik kol por ta u) (22) 32 78 7

Tek stów nie za mó wio nych re dak cja nie zwra ca,za strze ga j c so bie pra wo do ich skra ca nia

i re da go wa nia.Re dak cja nie po no si od po wie dzial no ci

za tre re klam.Ad re sy pocz ty elek tro nicz nej pra cow ni ków

re dak cji two rzo ne s we d ug wzo ru:imi _na zwi [email protected]

DRUKMiller Druk sp. z o.o. tel. (+22) 6 4 7 67

Na k ad pod sta wo wy 4000 egz.

PART NER ME RY TORYCZ NY CSO

THE RESOURCE FOR SECURITY EXECUTIVES

04_spisek_bg.indd 4 2007-12-03 12:34:08


mailto:[email protected]

www.krollontrack.pl

6 www.magazyncso.pl

W JEDNYM Z NAJNOWSZYCH RAPORTÓW OPUBLIKOWANYCH PRZEZ FIRM GARTNER CZY-TAMY, e ogólno wiatowe wydatki bran y IT b d wi ksze o 8% w porów-naniu z poprzednim rokiem i wyniosw 2007 r. 3, mld USD. W raporcie znajduje si równie informacja, e jedna trzecia wydatków na systemy IT przypada obecnie na kraje le ce poza AmerykPó nocn , Europ Zachodni i Japoni , co wskazuje, e kraje s abiej zaawansowane

technologicznie rozwijaj si i inwestujw informatyk . Mimo to Gartner prze-widuje, e w przysz ym roku gospodarkwiatow mo e dotkn recesja, dlatego

zaleca przygotowanie dwóch niezale nych bud etów IT: wariantu optymistycznego, zak adaj cego dalszy wzrost wydatków, i pesymistycznego, o ograniczonym bud ecie. Twierdzi tak e, e szefowie IT b d musieli w przysz o ci szybciej reagowa na technologiczne nowinki, nima to miejsce obecnie. (JW)

ORGANIZACJE, KTÓRE DYSPONU-J WRA LIWYMI, tajnymi danymi, nie czyszcz z nich dysków przeznaczonych do wyrzucenia – wynika z raportu BT Group.BT Group wraz z uczelniami z Wielkiej Brytanii, USA i Australii zbada dyski z drugiej r ki. Okaza o si , e zawierajbardzo du o informacji, które mog yby wyrz dzi firmom szkody materialne lub spowodowa zagro enie kradzie y to sa-mo ci osób prywatnych.

Badacze z brytyjskiego University of Glamorgan stwierdzili, e w ich kraju a 4 % analizowanych twar-dych dysków zawiera tajne informa-cje. Przedsi biorstwa cz sto korzystajz us ug firm zewn trznych specjali-zuj cych si w usuwaniu informacji z dysków, jednak to w a ciciele s odpo-wiedzialni za ewentualne szkody spo-wodowane pozostawieniem danych na no nikach elektronicznych. (W )

CENNE INFORMACJENA MIETNIKU

Pierwsze narz dziedo audytu e-mailQUEST INTRUST PLUG-IN FOR EXCHANGE, produkt firmy Quest Software, to pierw-szy program na rynku pozwa-laj cy na szczegó owe ledzenie w czasie rzeczywistym dost pu i aktywno ci posiadacza skrzyn-ki pocztowej oraz innych osób korzystaj cych z niej.

Z pomoc programu mo na sprawnie przeprowadzi audyt zmian uprawnie lub konfigu-racji w rodowisku Exchange Server, spe niaj c wymogi poli-tyki bezpiecze stwa firmy lub instytucji. Program pozwala przegl da i archiwizowa infor-macje zawarte w logach, gene-rowa raporty zwi zane z aktyw-no ci serwera Exchange i wysy-a alerty w przypadku stwier-dzenia nieprawid owo ci lub kry-tycznych z punktu widzenia bez-piecze stwa firmy zachowau ytkowników.

Odpowiednie wtyczki progra-mu umo liwiaj audyt zmian konfiguracyjnych i uprawniew rodowisku Exchange Server. Pozwalaj ledzi „nietypowe” aktywno ci zarówno posiada-czy skrzynek pocztowych, jak i innych osób korzystaj cych z nich. Nowe mo liwo ci pro-gramu pozwalaj firmom podjkroki zapobiegaj ce wyp ywaniu z firmy tajnych informacji. (JW)

ILUSTRACJA: IDG

AKTUALNO CIAKTUALNO CI

wskrócie

WYDATKI IT PRZEKROCZY Y3 MILIARDY DOLARÓW

06-wskrócie_bg.indd 6 2007-12-03 12:01:21


Intel, Intel Inside, Intel Centrino oraz Pentium są zarejestrowanymi znakami towarowymi Intel Corporation w Stanach Zjednoczonych i innych krajach.

Toughbook CF-W5 z linii Executive to idealny towarzysz na cały dzień pracy. Dzięki niewielkiej wadze – tylko 1240 g – i wytrzymałej obudowie jest wygodny do użytkowania w każdych warunkach. Nawet nacisk rzędu 100 kg czy upadek z wysokości 30 cm nie stanowi dla tego Toughbooka problemu.Najwyższy komfort pracy i wszechstronność zastoso-

wania zapewnia zintegrowana technologia procesora Intel® Centrino® Duo oraz baterie działające do 10,5 godzin. Panasonic Toughbook CF-W5 wyróżnia się najlepszym wśród laptopów połączeniem niskiej wagi komputera z długością pracy na baterii, co zapewnia pracownikom mobilnym prawdziwy komfort pracy.

Więcej informacji na stronie: www.toughbook.eu lub pod numerem: 0-800-800-456 (Połączenie bezpłatne).

MOBILNOSC BEZ GRANIC!PANASONIC TOUGHBOOK CF-W5

Panasonic zaleca system Windows Vista® Business

http://www.toughbook.eu

www.itxon.pl


10 www.magazyncso.pl

P Podstawowym celem dzia a terrorystów jest wywarcie wp ywu politycz-nego na rz dy pa stw dla jak najszybszego osi gni cia w asnych celów. Dzia ania ter-rorystów s gwa towne, a ludzie dokonuj cy takich aktów charakteryzuj si kompletn nieobliczalno ci . W swych dzia aniach terro-ry ci stosuj zazwyczaj drastyczne metody, tak aby wywo a jak najbardziej spektakularne efekty. Ma to ogromny wp yw psychologiczny na spo ecze stwo. Najcz ciej celem lub tarcz staj si osoby niewinne i bezbronne, tak e dzieci. To odró nia je od dzia a zbrojnych prowadzonych z zachowaniem mi dzynarodo-wych konwencji. Chocia niejednokrotnie cel terrorystów jest usprawiedliwiony, to wybrane metody przekre laj te dzia ania w oczach ka dego cywilizowanego cz owieka.

BUDOWLE I IDEE W GRUZACHBezprecedensowy atak przeprowadzony pami tnego wrze nia 200 r. na niezwy-kle wa ne obiekty w Stanach Zjednoczonych w bia y dzie na oczach tysi cy ludzi by szo-kiem dla ca ego wiata. Sytuacja ta obna y a nieporadno wspó czesnego wiata Zachodu wobec nowych zagro e . Wraz z gruzami Twin Towers leg o wiele nieporadnych idei powsta ych w ostatnich dziesi tkach lat, stano-wi cych podstawy tzw. poprawno ci politycz-nej i le rozumianych swobód demokratycz-nych. Wydarzenie to mia o ogromny wp yw na gospodark Stanów Zjednoczonych i ca ego wiata. Wówczas zmieni o si na ca ym globie

poczucie bezpiecze stwa. Zniszczenie wie ow-ców na Manhattanie, cz ci Pentagonu, zabi-cie 3 tysi cy niewinnych by o najwi kszym zamachem terrorystycznym w historii ludzko-ci. Stany Zjednoczone, najwi ksze mocarstwo wiata, dysponuj ce ogromnym arsena em

broni konwencjonalnej i masowego ra enia,

W lipcu min y dwa lata od tragicznych zamachów terrorystycznych w Londynie, w których zgin li równie nasi rodacy. Blisko sze lat temu dokonano najwi kszej serii ataków terrorystycznych na Stany Zjednoczone. Dlaczego niektórzy uciekaj si do tak drastycznych metod rozwi zywania swych problemów?Jan Mazurek

TERRORYZMA GOSPODARKA

strategie

10-12 stra_terroryzm_bg.indd 10 2007-12-03 12:03:42


zosta y zaatakowane bezpo rednio na swym terytorium przez kilku m czyzn. Terrory ci zaskoczyli nie tylko Stany Zjednoczone, ale tak e ca y wiat. Zdano sobie wówczas spraw ,e we wspó czesnym wiecie nie ma bezpiecz-

nej oazy a systemy obronne o ogromnych mocach ra enia staj si bezu yteczne wobec determinacji terrorystów, którzy nie potrze-buj najnowszej broni. Terrory ci wykorzy-stali wynalazki i osi gni cia technologiczne Zachodu, aby wymierzy w niego swoje jarz-mo. By to ogromny szok psychologiczny dla narodu ameryka skiego i najwi kszej gospo-darki wiata.

Pogorszenie wska ników makroekono-micznych oraz nastrojów konsumenckich to kolejne skutki tamtych zdarze . Spadek najwa niejszego indeksu gie dy nowojorskiej Dow Jones wyniós 7%. Straty materialne poniesione w wyniku zniszczenia wie ow-ców na Manhattanie si gn y kwoty 00 mld dolarów. Strata potencja u produkcyjnego USA wynios a 0,06%.

Wielko strat materialnych ponoszo-nych w wyniku zamachów terrorystycznych jest na razie bardzo niska, st d mo na ule-ga iluzji, e w d u szej perspektywie czasu nie ma istotnego wp ywu na gospodark .Jednak w rzeczywisto ci skutki tych strat prze o y y si w nast pnych latach na gospo-dark ameryka sk i wiatow .

Zamachy terrorystyczne w Stanach Zje-dnoczonych mia y miejsce w okresie, kiedy gospodarka wiatowa prze ywa a recesj .Wówczas gracze gie dowi liczyli straty spowo-dowane p kni ciem ba ki internetowej, kiedy to spada y w szczególno ci wywindowane kursy akcji spó ek z sektora nowoczesnych technologii informatycznych. Tak wi c trage-dia z wrze nia dodatkowo pog bi a deko-niunktur w nast pnych miesi cach.

Kilka bran odczu o jej skutki dotkli-wie. S to linie lotnicze, firmy turystyczne oraz ubezpieczyciele, tak e spoza Ameryki. W takich sytuacjach skutki wyp at wyso-kich sum ubezpiecze zostaj przeniesione na ubezpieczaj cych. Krocie stracili tak e bro-kerzy i gie dy dzia aj ce na ró nych gie dach instrumentów finansowych: akcji, obligacji, instrumentów pochodnych. W pierwszych miesi cach po atakach drastycznie pogorszy-

y si wska niki koniunktury i nastrojów w Stanach Zjednoczonych i na wiecie, które wcze niej nie by y najlepsze.

W efekcie odnotowano w 200 r. rekor-dowo niski wzrost gospodarczy na poziomie 0,8%. Szacunki IMF oraz OECD mówi , ezamachy terrorystyczne przyczyni y si do spadku ameryka skiego PKB o 0,3%.

Jedn z konsekwencji wrze nia 200jest wzrost cen ropy naftowej, która od tam-tych tragicznych dni podro a a trzykrotnie. W ostatnich latach wzrost niepokojów na wiecie, szczególnie na Bliskim Wschodzie,

wp ywa wielokrotnie na ceny tego surowca.

DZIA ANIA ZARADCZEW tej sytuacji przeprowadzono seri obni ek stóp procentowych, które osi gn y poziom %, najni szy od pó wieku. Efektem tego by

stopniowy wzrost PKB, który osi gn poziom 4,2% w 2004 r. Pó niej nast pi o za amanie. W pierwszym kwartale 2007 r. wzrost wyniós0,8%, a w drugim 3,4%, licz c w skali roku.

Stany Zjednoczone musia y dokona wielu kosztownych zmian i dzia a dla unikni cia w przysz o ci tego rodzaju ataków. Nast pne lata pokaza y, e koszty podj tej walki z terro-ryzmem dla ca ej gospodarki ameryka skiej s ogromne. W efekcie nast pi a zmiana w strukturze przychodów i wydatków Stanów Zjednoczonych. W 200 r. odnotowano jeszcze nadwy k bud etow w kwocie 28 mld USD, jednak rok nast pny zamkn si deficytem 58 mld, a w 2004 r. osi gn on apogeum

648 mld USD. W ubieg ym roku nadwy -ka wydatków nad przychodami wynios a260 mld USD. Na koniec wrze nia 200 r. d ug publiczny Stanów Zjednoczonych wynosi5, bln dolarów, w chwili pisania tego artyku una National Debt Clock pokazuje kwot d ugu USA przekraczaj c 8,9 bln USD. Z ka dminut jego warto wzrasta o 896 tys. USD, a w ci gu dnia o ,29 mld USD. Na ka dego obywatela Stanów Zjednoczonych przypada z tego 29,2 tys. USD – wska nik ponad sze -ciokrotnie wy szy ni dla Polski. Kluczowy wp yw na wzrost deficytu i zad u enia majwydatki zwi zane z dzia aniami zbrojnymi wobec pa stw sprzyjaj cych terroryzmowi, takich jak Afganistan i Irak, a tak e utrzy-manie systemu bezpiecze stwa narodowego.

Kwota wydatków na wojn w Iraku ponie-siona przez Stany Zjednoczone osi gn a jublisko 430 mld USD i obecnie z ka d godzinwzrasta o 2 mln USD. Stanowi to powa ne obci enie dla podatnika ameryka skiego. Dzi kraj ten stoi przed widmem kryzysu, jaki mo e wywo a sytuacja na rynku kredytów hipotecznych. A próby ratowania sytuacji przez obni enie kosztu pieni dza mog w d u szym okresie okaza si niewystarczaj ce.

Koszty walki z terroryzmem ponosimy wszyscy i nikt na wiecie nie jest w stanie znale rozwi zania tego problemu.

NA STANACH NIE KONIECTerroryzm to problem ca ego wiata, bez wzgl -du, czy jest to pa stwo Zachodu czy islamskie, czy innej cywilizacji. Problem istnieje i ewo-luuje w z ym kierunku, co zosta o stwierdzone w ubieg ym roku w Wielkiej Brytanii.

O tym, e terroryzm nie znikn po wrze nia 200 r., wiadcz zdarzenia

w nast pnych latach, które dotkn y wszystkie kontynenty. Seria ataków w Londynie z 7 lipca 2005 r. wstrz sn a wiatem. W tym przypad-ku gospodarka brytyjska odczu a równie skut-ki tych wydarze – zareagowa y natychmiast rynki finansowe i towarowe. Z oto dro a oz minuty na minut , kursy akcji, szczególnie linii lotniczych, firm turystycznych i ubezpie-czeniowych, gwa townie spada y. Os abieniu uleg funt brytyjski, chocia nikt nie zdawasobie jeszcze sprawy w owych gor cych godzi-nach z rozmiaru szkód. Szczególnie wra liwy na takie incydenty jest kapita spekulacyjny. Wielka Brytania to pot ga gospodarcza wia-ta, dlatego te po kilku dniach sytuacja zacz apowraca do normy.

Zamachy w Madrycie mia y na celu wymuszenie wycofania wojsk hiszpa skich z Iraku. Rz d hiszpa ski wykaza si wów-czas wielk odpowiedzialno ci za los swego narodu i w krótkim czasie wycofa swój kon-tyngent. Nie poniós przy tym uszczerbku w opinii rozs dnych ludzi, a przyczyni sido poprawy bezpiecze stwa swych obywateli. Jest to postawa godna na ladowania. Atak negatywnie odbi si na gospodarce Hiszpanii, czerpi cej du e korzy ci z ruchu turystycz-nego. W nast pnym roku s oneczne pla e na Costa del Sol, bajeczne ulice Barcelony, Toledo

ILUSTRACJA: GETTY IMAGES/STOCK ILLUSTRATION/FPM www.magazyncso.pl 11



i Madrytu wype ni y si turystami i dzi kraj doskonale si rozwija, dzi ki otwarto ci na wiat, korzystaj c z przynale no ci do Unii

Europejskiej.Rok 2002, wyspa Bali. Indonezyjscy ter-

rory ci islamscy dokonuj masowego mordu na turystach z Zachodu. Tu cios by równiebolesny dla gospodarki tego regionu, yj cego z wp ywów z turystyki. Promocja tego rajskie-go miejsca leg a na pewien czas w gruzach.

Terrory ci nie omijaj równie krajów typo-wo islamskich. Przyk adem by y mordercze zamachy w miejscowo ciach turystycznych w Egipcie czy Turcji. Turystyka jest motorem tamtejszych gospodarek, dlatego skutki tych dzia a s odczuwane przez wiele lat. Jak wida , terroryzm jest wykorzystywany równiejako narz dzie walki politycznej w danym kraju przez przeciwników rz du lub rebeliantów.

W Iraku celem ataku terrorystów s nie tylko wojska koalicji, ale tak e ropoci gi, co wywiera wp yw na ceny ropy naftowej. Tu równie trwa wojna domowa.

Terroryzm to nie tylko dzie o ekstremistów islamskich. Jest on prowadzony równie przez osoby nale ce do innych narodów i wyznareligijnych. Niektórzy drog terroryzmu wybrali jako narz dzie walki o niepodleg o . Dowodów dostarcza sytuacja w Izraelu. W poprzednich latach s yszeli my cz sto doniesienia z Wysp o zamachach dokonywanych przez IRA. Bojownicy czecze scy nie oszcz dzili nawet dzieci. Przez wiele lat p yn y do nas wie ci o dzia aniach separatystycznych organizacji baskijskich. Celem ataków terrorystycznych stak e placówki dyplomatyczne.

Jak pokazuj obserwacje, walcz ce ugru-powania stara y si osi gn okre lone cele polityczne: niepodleg o , autonomi lub usu-ni cie obcych wojsk ze swego terytorium.

W ka dym z tych przypadków dzia ania terro-rystów wywo ywa y okre lone skutki ekono-miczne w zaatakowanych krajach oraz u ich najwi kszych partnerów gospodarczych.

NASZA CHATA NIE Z KRAJARównie polski podatnik ponosi koszty walki z mi dzynarodowym terroryzmem, zwa-ywszy na nasz misj wojskow w Iraku

i Afganistanie. Problematyczny jest jednak nasz wielki wk ad, niewspó mierny do ist-niej cego u nas zagro enia, jakie by o przed podj ciem kontrowersyjnych decyzji pol-skich rz dów o wys aniu wojsk do Iraku i Afganistanu. Ponie li my ju du e straty w ludziach i koszty. Podró uj cy warszaw-skim metrem widz na co dzie liczne patrole policji i ochrony metra, co wymaga dodatko-wych nak adów z bud etu miasta i pa stwa. Urz dy, biurowce, przedsi biorstwa wdra ajdrogie systemy monitoruj ce oraz wzmacnia-j personalnie ochron . Ogranicza si orga-nizowanie imprez masowych b d wyma-ga dodatkowych zabezpiecze . Wszystko to rodzi koszty dla bud etu pa stwa, jednostek samorz dowych i przedsi biorstw.

Wszystko to musi sfinansowa polski podatnik, zadaj c sobie s uszne pytanie o nasz interes w odleg ych o tysi ce kilometrów kra-jach. Niestety, nikt z rz dz cych nie raczy dana nie odpowiedzi.

Z jednej strony beztrosko przeznacza si setki milionów na pobyt naszych wojsk w odleg ych, tropikalnych krajach, z dru-giej za strony zamyka si szpitale, pozba-wiaj c ludzi podstawowej opieki medycz-nej, za któr zap acili. Nieobliczalne skut-ki dla narodu polskiego mo e przynieinstalacja tarczy antyrakietowej bez pyta-nia o pozwolenie polskiego narodu, które-

go w asno ci jest Polska, a nie grupy osób zajmuj cych si amatorsko polityk .

DALEKOSI NE KONSEKWENCJEMo e si wydawa , e terroryzm nie wywo uje wi kszej szkody w gospodarce wiata, gdywarto strat materialnych w stosunku do maj tku narodowego jest stosunkowo niska. Jednak ycie pokazuje, e skutki dzia a terro-rystycznych maj szersze znaczenie. Niepokój wywo any terroryzmem b d jego zagro e-niem mo e przyczynia si do przemiesz-cze kapita u pomi dzy regionami wiata i poszczególnymi krajami, których gospodarki s otwarte. Aby zmniejszy ryzyko poniesienia du ych strat w jednym miejscu, inwestorzy b d dokonywa dywersyfikacji inwestycji mi dzy wiele krajów, omijaj c te najbardziej zagro one lub oczekuj c wy szych stóp zwrotu na kapitale. Terroryzm mo e powodowa obni-enie stopy zwrotu z inwestycji, np. w sektorze

transportu, turystyki czy ubezpiecze .Podsumowuj c, nale y stwierdzi , e ter-

roryzm oddzia uje na ró ne sfery ycia kraju i spo ecze stwa, a jego skutki to: (i) straty w ludziach, (ii) pogorszenie wyników ekono-micznych, a nawet zahamowanie tempa wzro-stu gospodarczego, (iii) pogorszenie nastrojów spo ecze stwa i wzrost stopnia niepewno ci, (iv) zwi kszenie wydatków pa stwa na dzia-ania profilaktyczne.

W obecnej epoce istnieje niebezpiecze -stwo wykorzystania przez terrorystów nowych narz dzi i metod dzia ania, nawet broni maso-wego ra enia. Jej u ycie mog oby spowodowanieobliczalne skutki polityczne, ekonomiczne i chaos na wiecie, a w konsekwencji globalny kryzys ekonomiczny. Wraz ze wzrostem liczby ludzi na wiecie b dzie wzrasta ilo proble-mów, tak e osób nieobliczalnych, maj cych za nic swoje i cudze ycie. Obecny wzgl dny czas spokoju nie oznacza, e nie istnieje zagro e-nie terrorystyczne. Nale y si liczy , e mo enast powa jego eskalacja, gdy jest wiele nie-rozwi zanych problemów na wiecie, a dzia-ania mocarstw niejednokrotnie nie sprzyjaj

osi gni ciu porozumienia. Na pytanie: czy wojna o cywilizacj i ocalenie wiata zostanie wygrana? – odpowied brzmi: b dzie to zale-e od dobrej woli wszystkich stron. t


CSO STRATEGIE

10.09.2001 23.08.2007

Indeks giełdowy Dow Jones 9.582 13.23013.548

Indeks giełdowy WIG20 1.147 3.530

Ropa naftowa 27, 5 USD/baryłka 70 USD/baryłka

Złoto 275 USD/uncja 660 USD/uncja

Wzrost PKB Stanów Zjednoczonych 0,8% 3,4% w II kw.

Rynki finansowe na dzie przed zamachami w 200 roku i w sierpniu 2007 roku



WOJCIECH DRZEWIECKIo segmencie premium

PIOTR R. FRANKOWSKIo samochodachkoncepcyjnych

PONADTO:• premiery roku 2007

• nowości techniczne 2006 roku

• moda na terenówki

• osobowe wersjeaut dostawczych

• finansowanie aut

• promocja poprzez sporty motorowe

MARZEC 2007

DODATEK SPECJALNY

PARTNER WYDANIA:

RAPORTY

www.cxomedia.pl

INSPIRUJĄCE TEMATY W EKSKLUZYWNEJ OPRAWIE

Boom na rynku magazynów w PolsceJedwabnym szlakiem - logistyczna obsługa handlu dalekowschodniego

GRUDZIEŃ 2007RA PORT S PEC J A L N Y

PARTNER WYDANIA STYLE

Interesy za atwia si przy stoleIstnieje coś takiego, jak ogólnie przyjęty kod zachowań i tego właśnie oczekują od nas nasi zagraniczni partnerzy

NIEWIELE MNIEJSZE LOTNICTWOGdy polski polityk usłyszy słowo: lotnictwo, najczęściej przed oczami stają mu samoloty komunikacyjne i wojskowe

Partner wydania

By w klubieGranatowa klubowa marynarka jest symbolicznym krokiem w stronę elity elit - dzielnych, wpływowych i bogatych.

LISTOPAD 2007

WKRÓTCE NASTĘPNE RAPORTY

c11_raporty.indd 1 2007-11-30 12:16:29

http://www.cxomedia.pl

D


Przegl daj c strony internetowe firm szkoleniowych, mo na zauwa y ,e jest do du o szkole o bardzo zró nicowanej tematyce. Jedne s skierowane

do osób, które chc podnie swoje kwalifikacje merytoryczne, inne s przeznaczone dla osób zainteresowanych rozszerzeniem swoich kompetencji b d uzyskaniem wiedzy

przydatnej w wykonywaniu dodatkowych obowi zków.Jacek Grzechowiak

D enie do rozwoju kompetencji, szcze-gólnie kompetencji kluczowych, jest naj-bardziej widoczne w organizacjach ucz -cych si . Post powanie takie jest jednym z elementów kszta towania trwa ej przewagi konkurencyjnej poprzez odpowiednie wyko-rzystanie zasobów przedsi biorstwa, osi ga-ne dzi ki rozwojowi kompetencji. Tak wi corganizacje s zainteresowane rozwojem kompetencji swoich pracowników, poniewalepiej wykszta cona kadra (zw aszcza mene-d erska) potrafi lepiej wykorzysta zasoby organizacji.

Zarz dzenie bezpiecze stwem jest jednym z elementów prowadzenia dzia alno ci ope-racyjnej przez organizacje biznesowe. Proces ten ma coraz wi kszy wp yw na wyniki firm, dlatego jego jako powinna by traktowana tak jak w przypadku innych procesów ope-racyjnych. Tak e sposób postrzegania zarz -dzania bezpiecze stwem jest coraz bardziej widoczny. Wynika on z kilku czynników, z których zagro enia kryminalne czy terrory-styczne s jedynie niewielk cz ci ryzyka, z jakim spotykaj si firmy. Ka da organizacja podlega jednak indywidualnym zagro eniom, wynikaj cym z charakteru jej dzia alno ci, lokalizacji, pozycji na rynku czy cho by walki konkurencyjnej.

Niezale nie od rodzajów ryzyka oddzia u-j cych na przedsi biorstwo niezb dny jest roz-wój systemu zarz dzania bezpiecze stwem. Jednym z charakterystycznych i jednocze nie wa nych jego elementów jest rozwój kompe-tencji w tym zakresie. Dotyczy to zarówno osób zarz dzaj cych elementami systemu bezpiecze stwa (w praktyce wi c security

managerów), jak i pracowników korzystaj -cych z tego systemu. Wa nymi czynnikami s – podobnie jak w przypadku innych aspek-tów zarz dzania – znajomo potrzeb bezpie-cze stwa oraz mo liwo ci oferowanych przez wspó czesne systemy ochrony, rozwi zania organizacyjne, proceduralne, czy wreszcie mo liwo ci pracowników dzia ów ochrony i dostawców us ug.

Tak rozumiane podej cie do zarz dzania bezpiecze stwem wymaga zorganizowania odpowiedniego wsparcia szkoleniowego, które dostarczy wiedzy podstawowej oraz b dzie j aktualizowa wraz z rozwojem organizacji oraz zmian zagro e , na jakie jest nara o-na. Rozwój kompetencji w zakresie bezpie-cze stwa jest jednym z wa niejszych zadasecurity managera, poniewa to on jest osobodpowiedzialn w praktyce za tworzenie systemu bezpiecze stwa organizacji i zarz -dzanie nim. Jednocze nie poprzez szkolenia security manager tworzy now jako bezpie-cze stwa w organizacji i podnosi efektywnotego procesu.

SYSTEMY SZKOLEW przedsi biorstwach istniej ró ne systemy szkole pracowników. Z regu y jednak sk a-daj si one z trzech komponentów:

ROLA SZKOLEW ZARZ DZANIU

BEZPIECZE STWEM

CSO STRATEGIE

14-16_stra_szkolenia_bg.indd 14 2007-12-03 11:56:23


ILUSTRACJA: GETTY IMAGES/ICONICA/FPM www.magazyncso.pl 15

• szkolenia podstawowe (wst pne) – najcz ciej dostarczaj ce bazowej wiedzy, umo liwiaj -cej sprawne „poruszanie si ” po organizacji oraz swoim obszarze odpowiedzialno ci;

• szkolenia doskonal ce (uzupe niaj ce) – rozwijaj ce kompetencje kluczowe oraz umiej tno ci pomocnicze;

• szkolenia specjalistyczne – dedykowane do wybranej grupy odbiorców, potrzebuj cych specjalistycznej wiedzy.

Szkolenia podstawowe cz sto s organi-zowane w ramach obowi zkowych szkoleBHP. Ten rodzaj szkole kierowany jest do pra-cowników rozpoczynaj cych prac w przed-si biorstwie. Dzi ki nim nowo zatrudnieni otrzymuj podstawow wiedz z wielu obsza-rów dzia ania przedsi biorstwa, w tym wie-dz z zakresu bezpiecze stwa. Udzia security managera w tym szkoleniu podstawowym wydaje si wi c oczywisty. Organizacja tego szkolenia mo e przybiera ró n posta , zale -n od rodzaju i kultury przedsi biorstwa, np. w firmach zlokalizowanych w wielu miejscach mo e to by odr bne szkolenie. Do cz sto – zw aszcza w du ych przedsi biorstwach – ten typ szkole jest zast powany przez drukowane broszury, wydawane nowemu pracownikowi przez dzia HR. Niekiedy do tego celu wyko-rzystywany jest intranet. Wszystkie formy maj swoje zalety i mog by wykorzystywane z powodzeniem do szkole wst pnych. Jednak kontakt osobisty security managera z nowy-mi pracownikami pozwala nawi za bli sze relacje i wykorzysta kultur organizacyjn do zainspirowania ich do aktywnego wspó dzia-ania w kreowaniu polityki bezpiecze stwa

organizacji. W wielu przypadkach pozwala to szefom bezpiecze stwa porówna swoje do wiadczenia z do wiadczeniami wyniesio-nymi przez osoby przybywaj ce z innych firm. W ramach szkole podstawowych prezento-wane s bardzo zró nicowane tre ci, muszone jednak odpowiada potrzebom organizacji, tak aby nowi pracownicy nabyli przekonania, e system bezpiecze stwa s u y potrzebom

przedsi biorstwa i wnosi konkretn wartododan w sukces organizacji.

Szkolenia doskonal ce – ten rodzaj szko-le jest dedykowany dla pracowników z d u -szym sta em, szczególnie gdy obejmuj oni nowe obowi zki w ramach wewn trznego

awansu. Szkolenia doskonal ce powinny byprowadzone tak e w przypadkach:• zmian prawnych powoduj cych koniecz-

no wprowadzenia nowych rozwi zaw zakresie bezpiecze stwa;

• zmian w poziomie bezpiecze stwa organi-zacji, np. wynikaj cych ze zmiany lokalizacji b d zmian stanu bezpiecze stwa w dotych-czasowej lokalizacji;

• rozpoczynania realizacji nowych, inno-wacyjnych projektów b d wprowadza-nia szczególnie wa nych – z biznesowego punktu widzenia – produktów.

Katalog ten nie jest zamkni ty; potrze-ba przeprowadzenia szkole doskonal cych powinna by przedmiotem zainteresowania i bie cej analizy security managera. Bie ce ledzenie stanu bezpiecze stwa pozwala

bowiem ujawni potrzeby w tym zakresie, tak e potrzeby szkoleniowe. Szkolenia dosko-nal ce to do wa ny element szkole , choniestety jeszcze rzadko stosowany. Wynika to z faktu, e w wielu przypadkach zarz dzanie bezpiecze stwem wci nie jest identyfiko-wane z potrzebami organizacji i sprowadza-ne jest jedynie do poziomu ochrony fizycznej (czasami tak e technicznej). Jest to jednak znaczne zubo enie mo liwo ci tego kompo-nentu organizacji i jego wp ywu na prze-wag konkurencyjn (ni sze straty bezpo-rednie i po rednie to przecie wy sze zyski

organizacji).Jednocze nie ten rodzaj szkole pozwala

rozwin kompetencje za ogi, daj c przy tym security managerowi mo liwo zweryfiko-wania swojej wizji bezpiecze stwa przez pry-zmat potrzeb pracowników. Jest to równieistotny proces, pozwalaj cy optymalizowaprocesy bezpiecze stwa we wszystkich jego aspektach.

Szkolenia doskonal ce s procesem, w którym powinna by widoczna aktywna rola security managera zarówno jako inspi-

ratora, jak i prowadz cego. Cz szkoledoskonal cych mo e zosta zlecona partne-rom zewn trznym, zw aszcza gdy ich przed-miotem b d prawne uwarunkowania bez-piecze stwa, nowe trendy w ochronie osób, mienia i informacji b d w sko specjali-zowane techniki ochrony, wynikaj ce np. z konieczno ci ich zastosowania w czasie realizacji nowych projektów.

W ramach szkole doskonal cych celowe jest wykorzystanie do wiadcze wspó pracu-j cych firm ochrony z jednoczesnym w cze-niem w proces szkolenia cz ci pracowników

(szefowie ochrony obiektu, dowódcy zmian), która powinna by zaznajomiona z potrzeba-mi przedsi biorstwa, gdzie wykonuje zadania ochronne. Zakres szkolenia i jego cz stotli-wo nale y jednak w tym przypadku uza-le ni od kilku czynników, mi dzy innymi od profilu szkolenia, zada ochrony, rotacji pracowników bezpiecze stwa.

Szkolenia specjalistyczne s najbardziej zaawansowan form nauczania, kierowando pracowników nara onych na specyficzne rodzaje ryzyka. Ten typ szkole dotyczy ró -nych grup, do których najcz ciej nale :• Najwy sze kierownictwo firmy, które z uwagi

na swoje uprawnienia oraz pozycj zawodo-w i spo eczn mo e by zagro one napadem, porwaniem b d szanta em.

• Pracownicy o szczególnym znaczeniu dla firmy, np. posiadaj cy unikalne kompeten-cje, przez co s nara eni na ró ne zagro e-nia, takie jak korupcja czy szanta . Lista osób mo e by d uga, z pewno ci jednak do tej grupy powinni zosta zaliczeni cz on-kowie zespo ów zarz dzania kryzysowego.

• Pracownicy, którzy z racji wykonywanych obowi zków mog podlega ró nym zagro-eniom, z regu y kryminalnym, tacy jak:

kasjerzy, pracownicy sklepów o wysokich obrotach, osoby odpowiedzialne za trans-fer gotówki lub warto ci j zast puj cych,

W wielu firmach szkolenia z zakresu bezpiecze stwa s postrzegane jako element kszta towania przewagi konkurencyjnej.



pracownicy magazynowi w niektórych typach firm (np. jubilerskich) itp.

• Pracownicy dzia ów ochrony b d osoby odpowiedzialne za bezpiecze stwo organi-zacji. Dotyczy to nie tylko security manage-rów lub osób odpowiedzialnych za ochronfizyczn i techniczn , lecz tak e pracow-ników zajmuj cych si bezpiecze stwem teleinformatycznym.

Profil szkole specjalistycznych jest z regu-y szyty na miar , uwzgl dniaj c potrzeby

przedsi biorstwa, poziom i rodzaj zagro e ,wreszcie mo liwo ci finansowe. Najcz ciej szkolenia specjalistyczne koncentruj si na takich zagadnieniach, jak:• zasady bezpiecze stwa osobistego: wykry-

wanie obserwacji, zachowanie w sytuacjach ekstremalnych zagro e (napad, porwanie), unikanie sytuacji korupcjogennych b du atwiaj cych dokonanie szanta u;

• zarz dzanie kryzysowe: system wczesnego wykrywania zagro e , algorytm post po-wania w sytuacji kryzysowej, tworzenie, szkolenie oraz praca zespo u zarz dzania kryzysowego, centra zarz dzania kryzyso-wego (zasadnicze i zapasowe) itp.;

• zasady bezpiecze stwa podczas obs ugi warto ci pieni nych (sposób przechowy-wania, post powanie podczas przygoto-wania do przekazania konwojowi firmy ochrony, zasady dost pu do pomieszczew trakcie tych procesów, weryfikacja pra-cowników upowa nionych do obs ugi gotówki itp.), wykrywanie symptomów podwy szonego zagro enia;

• nowoczesne metody i rodki bezpiecze -stwa; technologie wspomagaj ce ochronosób, mienia i informacji; trendy w zarz -dzaniu bezpiecze stwem.

DOSTOSUJ DO W ASNEJ FIRMYPrzedstawione powy ej obszary szkoleniowe s jedynie wybrane spo ród wielu oferowa-nych na rynku. Szczegó owy plan szkolenia, jego zakres oraz formy nale y dopasowa do potrzeb i kultury organizacji, tak aby osi g-ni te cele w maksymalnym stopniu pokry-wa y si z celami przedsi biorstwa. Szkolenia specjalistyczne, z uwagi na ich charakter oraz potrzeby w zakresie bazy szkoleniowej, w zde-

cydowanej mierze s przeprowadzane przez odpowiednie firmy. Ta w a nie cecha sprawia, e ich przygotowanie wymaga od security

managera zarówno kreatywno ci, jak i prze-zorno ci, aby szkolenie rzeczywi cie spe nia oswoj rol i przynosi o organizacji faktyczn– a nie wirtualn – warto dodan . Dlatego te wybór partnera do przeprowadzenia szko-lenia specjalistycznego jest procesem, który nale y przeprowadzi z najwy sz rzetelno -ci , w sposób analogiczny jak wybór firmy

wiadcz cej us ugi ochrony, dbaj c szczególnie o uwiarygodnienie do wiadczenia przez part-nera szkoleniowego mi dzy innymi poprzez:• zweryfikowanie kwalifikacji trenerów

(zarówno w zakresie zasad bezpiecze -stwa, jak i kwalifikacji metodycznych);

• przeprowadzenie wizji lokalnej bazy szko-leniowej;

• uzyskanie referencji z przeprowadzonych szkole dla innych firm.

Równie istotny jest dobór osób szkolo-nych, zarówno pod wzgl dem potrzeb, jak i cech psychicznych oraz fizycznych. Nie ka dy bowiem jest predysponowany do tego rodza-ju szkole , np. trudno wymaga osi gni cia pozytywnego wyniku w szkoleniu z jazdy eks-tremalnej od osoby, która posiada prawo jazdy, ale nie prowadzi samochodu na co dzie . Ten mechanizm nie dotyczy oczywi cie wszystkich szkole specjalistycznych. Wa nym aspektem szkole specjalistycznych jest tak e mo li-wo znalezienia przez samych szkolonych (a tak e security managera) zagadnie szcze-gólnie trudnych, dzi ki czemu podejmuje sidzia ania organizacyjne wspomagaj ce osoby, którym niektóre aspekty bezpiecze stwa spra-wiaj wi ksz trudno .

Jak zwykle w przypadku dzia a , które nie przek adaj si wprost na zysk przedsi bior-stwa, jednym z powa niejszych problemów s kwestie finansowe. Nie ma uniwersalnej recepty na uzyskanie zgody naszych kole-

gów CFO, uwielbiaj cych wska niki typu ROI, na sfinansowanie takich przedsi wzi . Rola szefa bezpiecze stwa polega w tym przypadku na wskazaniu rodzajów ryzyka i potencjalnych szkód w przypadku ich wyst pienia oraz odpo-wiednio kreatywnej argumentacji (konieczna jest przy tym konsekwencja w dzia aniu).

W wielu przedsi biorstwach szkolenia z zakresu bezpiecze stwa s ju postrzegane jako element kszta towania przewagi konku-rencyjnej. Jest to swego rodzaju znak czasu.

Firmy, traktuj c zarz dzanie bezpiecze stwem na równi z innymi procesami, maj wymierne korzy ci, nie tylko w postaci zmniejszenia strat, lecz tak e poprzez osi gni cie stanu harmonijnego – niezak ócanego incydentami – funkcjonowania. Jest to warto wp ywaj ca zdecydowanie korzystnie na ich rozwój, w tym tak e na wyniki finansowe. Du a w tym zas uga pracowników, którzy znaj c zasady bezpiecze stwa (w ró nym zakresie), jasno definiuj swoje potrzeby i lepiej korzystajz zasobów systemu zarz dzania bezpiecze -stwem, optymalizuj c w ten sposób nak ady ponoszone przez firmy na ten komponent ich dzia alno ci operacyjnej. t

Przy pisy1 Kwestia monitorowania rotacji pracowników ochrony

jest wa nym elementem zarz dzania bezpiecze -stwem. Nie jest to tematem tego artyku u, warto jed-nak zwróci uwag , e zbyt du a rotacja pracowników wp ywa negatywnie na jako i efektywno systemu ochrony. Jednocze nie pracownicy ochrony wchodzw posiadanie wra liwej wiedzy (znajomo procedur, systemów zabezpiecze technicznych, s abych punk-tów ochrony itp.). Dlatego udzia pracowników ochrony, b d cych przy tym pracownikami firmy zewn trznej, nale y starannie rozwa y .

2 Rozporz dzenie Ministra Spraw Wewn trznych i Administracji z dnia 14.10.1998 stanowi, i pod poj -ciem „warto ci pieni ne” rozumiane s : „…krajowe i zagraniczne znaki pieni ne, czeki, weksle i inne doku-menty zast puj ce w obrocie gotówk oraz z oto, sre-bro i wyroby z tych metali, kamienie szlachetne i per y, a tak e platyna i inne metale z grupy platynowców”. Celowe jest jednak rozwa enie w tym kontek cie np. kart telefonicznych, które tak e zast puj gotówk .


Ka da organizacja podlega indywidual-nym zagro eniom, wynikaj cym z charak-teru jej dzia alno ci, lokalizacji, pozycji na rynku.

CSO STRATEGIE



Więcej informacji na stronie http://semafor2008.computerworld.pl

Konferencja SEMAFOR to ważny punkt na mapie imprez IT w Polsce. Jest to wspólne przedsięwzięcie stowarzyszeń ISACA, ISSA Polska oraz tygodnika Computerworld. Jej tematyka skupiać się będzie wokół spraw dotyczących bezpieczeństwa informacji, audytu, zarządzania IT i ładu informatycznego w przedsiębiorstwach.

Informatyka pod kontrolą

IT Governance

Organizacja bezpieczeństwa w prak-tyce działalności przedsiębiorstwa

IT Governance w praktyce działalności firm w Polsce

Outsourcing w praktyce

Praktyka outsourcingu wewnętrznego

Outsourcing bezpieczeństwa IT

ITIL kontra reszta świata

Mierzenie poziomu usług (SLA)

Incydenty bezpieczeństwa

Proces zarządzania incydentami

Relacje biznesu z organami ścigania i wymiarem sprawiedliwości w przypadku przestępstw cyfrowych

Informatyka śledcza (Computer forensics)

Co jest dowodem elektronicznym i jak go zabezpieczyć

Co wolno policji i prokuratorze a co wolno firmie

22–23 stycznia 2008 r., hotel Mariott, Warszawa

KLUCZOWE ZAGADNIENIA

Daniel Barriuso – Head of IT Risk for EMEA and Global Asset Management, Credit Suisse

Mary Ann Davidson – Chief Security Officer, Oracle Corporation

GOŚCIE SPECJALNI

Organizatorzy

PROMOCJA przy zgłoszeniu

do 7 stycznia 2008 r.!

Patroni medialni

Informacje merytoryczne: Przemysław Gamdzyk, tel. 662 287823, e-mail: [email protected]ółpraca ze sponsorami: Marcin Ziemnicki, tel. 662 287739, e-mail: [email protected]

Partner merytoryczny



http://semafor2008.computerworld.pl


N Na pocz tku warto zastano-wi si , jakich sytuacji plan awaryj-ny b dzie dotyczy . Z regu y, mówi co zarz dzaniu kryzysowym (a plany awaryjne bez w tpienia s jego ele-mentem), mamy na my li sytuacje zwi zane z wyst pieniem czynnikówzewn trznych, prowadz ce do spara-li owania funkcjonowania przed-si biorstwa. Przyk adami takich zdarze s wszelkiego rodzaju kataklizmy (np. powód ), awa-rie i wypadki, które uniemo li-wiaj dost p do danego obiektu lub powoduj jego uszkodzenie (np. awarie sieci gazowej, wypadek pojazdu przewo cego toksyczne substancje), wreszcie zjawiska o charakterze masowym, wp ywaj ce lub mog ce wp ynna pracowników organizacji (np. pande-mia). Nale y pami ta jednak, e sytuacja kryzysowa mo e mie charakter ca kowicie lokalny i dotyczy tylko danej organiza-cji. Wyobra my sobie cz sto rozpatrywanw kontek cie planów awaryjnych sytuacj– uszkodzenie systemu informatycznego. Bior c pod uwag zale no wspó czesnych firm i instytucji od infrastruktury infor-matycznej, sytuacja taka kwalifikuje si do uznania jej za kryzysow , gdy skutecznie parali uje realizacj procesów zachodz cych w organizacji. Co wi cej, wyst pienie awarii nie musi by spowodowane pod o eniem bomby pod serwerowni – wystarczy uszko-

dzenie jednego z komponentów przy nie naj-lepiej zaprojektowanej infrastrukturze IT.

Niektóre plany awaryjne dotyczy b dsytuacji, w których zagro one jest ycie i zdro-wie ludzkie. W takim przypadku podstaws procedury ratownicze. Istotnym elemen-tem planów jest wspó praca z odpowiednimi s u bami. W dalszych rozwa eniach b dziemy jednak analizowa plany jedynie w aspekcie zapewnienia dost pno ci zasobów niezb d-nych do realizacji procesów biznesowych, utra-conych w sposób chwilowy b d sta y w wyni-ku wyst pienia okre lonego zdarzenia.

Analizuj c sytuacje, w których plan awa-ryjny b dzie uruchamiany, mo emy zdefi-niowa za o enia, wed ug których b dzie on opracowywany i wdra any. Nale y bowiem

pami ta , e wyst pienie sytuacji wymagaj cej uruchomienia planu wi e si z utrat dost pno ci pew-nych zasobów, które w oczywisty sposób nie mog by wykorzystane przy jego realizacji. W przypadku zasobów materialnych przyk ad stanowi przechowywanie doku-mentacji niezb dnej do realizacji planu (np. dokumentacji serwiso-wej) w systemie informatycznym, który w a nie uleg uszkodzeniu. Przyk ad ten wydaje si trywialny, ale praktyka wskazuje, e wbrew pozorom nie mo e by on uznany za ca kiem hipotetyczny. Unikni cie ryzyka zwi zanego z pora k rea-

lizacji planu w ww. przypadku jest proste – wystarczy przechowywa dokumentacjrównie poza systemem, w postaci papiero-wej. Zdecydowanie trudniejszym do rozwi -zania problemem jest zapewnienie personelu niezb dnego do realizacji okre lonych dzia-a . Pami tajmy, e plany awaryjne mog

dotyczy równie sytuacji, które powodu-j utrat dost pno ci cz ci pracowników. Realizacja planu w sytuacji, w której nast piutrata zasobów podstawowych i zast puj -cych je zapasowych, równie mo e stanpod znakiem zapytania. Powy ej wskazane zagadnienia powinny nam uzmys owi , enie jest mo liwe opracowanie planu awaryj-nego, który nadaje si do realizacji w ka dymprzypadku. Wykonanie planu ograniczo-

CSO STRATEGIE

Plan awaryjny powinien minimalizowa straty zwi zane z wyst pieniem sytuacji zak ócaj cej dzia alno organizacji, ochroni zasoby, zapewni jak najszybszy powrót do normalnego funkcjonowania. Tak zdefiniowany cel warunkuje sposób opracowy-

wania, wdra ania oraz pó niejszego utrzymywania planów awaryjnych.Adam Ga ach

ZA O ENIA DOPLANÓW AWARYJNYCH

18-21 stra_plany_bg.indd 18 2007-12-03 12:04:56


ne jest dost pno ci niezb dnych zasobów – mo emy prowadzi dzia ania zmierzaj -ce do minimalizacji prawdopodobie stwaich utraty, jednak e nie da si zagwaran-towa ich ca kowitej dost pno ci. Z tego te wzgl du plany awaryjne musz byopracowywane na podstawie przyj tych za o e , wynikaj cych ze specyfiki zdarze ,których wyst pienie inicjuje uruchomienie planu. Za o enia dla opracowywania planu awaryjnego nie mog bazowa na wariancie optymistycznym. Podstaw do zdefiniowa-nia za o e jest analiza niebezpiecze stw, pozwalaj ca na ocen prawdopodobie stwaró nych scenariuszy zagro e i ich wp ywuna dost pno zasobów wykorzystywanych przy realizacji procedur. Warto nadmieni ,e analiza ta stanowi powinna podsta-

w do okre lenia sposobu zabezpieczenia dost pno ci wykorzystywanych zasobów. Przyk adowo, przy analizie zagro e zwi -zanych z utrat dost pno ci budynku warto zastanowi si , czy obiekt stanowi cy lokali-zacj zapasow znajduje si w odpowiedniej odleg o ci, tak aby wyst pienie zagro enianie spowodowa o utraty zarówno lokalizacji podstawowej, jak i zapasowej, uniemo li-wiaj c relokacj firmy.

Opracowywanieplanów awaryjnychPrzy opracowywaniu planów awaryjnych musimy pami ta o kilku podstawowych zasadach. W trakcie ich realizacji mo ewyst pi czynnik stresu, dzia ania b dmusia y by wykonywane szybko, nierzad-ko w warunkach niesprzyjaj cych koncen-tracji. Z tego te powodu plany powinny by opracowywane w sposób przejrzysty, umo liwiaj cy ich atwe wykorzystanie. Szczególnie istotne jest jednoznaczne wska-zanie lokalizacji zasobów niezb dnych do realizacji poszczególnych procedur obj tychplanem. Nad problemem opisu zasobów warto zatrzyma si chwil d u ej. Je eli zasoby wykorzystywane s jedynie na wypa-dek uruchomienia planu awaryjnego, wów-czas istnieje du e prawdopodobie stwo, eb d one znajdowa y si w miejscu wskaza-nym w planie. Przyk adowo, je eli plan awa-ryjny na wypadek uszkodzenia infrastruk-

tury sieciowej zak ada wymian pewnych elementów, a elementy te mog by u yte jedynie w wypadku awarii, wówczas istnieje niewielkie ryzyko zabrania ich z miejsca przechowywania. Je eli jednak materia y te s u ywane bardzo rzadko lub nie by y do tej pory u ywane, celowe b dzie umieszczenie szczegó owego ich opisu wraz z ewentual-nym zamieszczeniem zdj cia w celu unik-ni cia wszelkich w tpliwo ci. Z drugiej stro-ny plan awaryjny zak ada mo e wykorzy-stanie zasobów u ywanych w codziennym funkcjonowaniu organizacji (np. no ników kopii zapasowych podlegaj cych regularne-mu zapisowi). Istnieje wówczas ryzyko, emateria y te nie b d umieszczone w miejscu wskazanym w planie. W takim przypadku warto zastanowi si nad wdro eniem odpo-wiednich procedur kontrolnych. Zagadnienie lokalizacji zasobów powinno by równiejednym z elementów sprawdzanych w trak-cie testowania planów awaryjnych.

Realizacja planu awaryjnego mo e bypodzielona na trzy etapy. Pierwszy z nich to uruchomienie planu awaryjnego w zwi zku z wyst pieniem okre lonego zdarzenia powo-duj cego utrat zasobów niezb dnych do nor-malnego funkcjonowania organizacji. Osoby odpowiedzialne za realizacj poszczególnych procedur s powiadamiane o konieczno-ci rozpocz cia niezb dnych dzia a . Dalsze

etapy zwi zane s z zapewnieniem mo li-wo ci kontynuacji procesów biznesowych, opieraj c si na zasobach zast pczych, oraz z przywróceniem normalnej dzia alno cifirmy. Niekiedy podzia ten jest bardzo wyra -ny – w pierwszej kolejno ci zapewniana jest mo liwo kontynuacji procesów, a dopiero po zako czeniu tej fazy odbudowywane szniszczone zasoby. W innych przypadkach podzia ten mo e nie wyst powa – dzia ania zwi zane z zapewnieniem ci g o ci dzia abiznesowych i odbudow realizowane srównolegle. W praktyce zale y to od specy-fiki zdarze , charakteru organizacji i wyko-rzystywanych przez ni zasobów, a tak esposobu opracowania procedur sk adaj cych si na plan awaryjny.

Jak ju wspomnia em, krytycznym zasobem niezb dnym do realizacji planu awaryjnego s ludzie. Bywa, e nieprze-

widziana absencja uniemo liwia realizacjprocedur kryzysowych. Z drugiej strony pewne zdarzenia, na wypadek których opracowywane powinny by plany awa-ryjne, stwarzaj istotne ryzyko braku per-sonelu. Podstawow zasad b dzie zatem przypisywanie co najmniej dwóch osób do ka dego z zada realizowanych w ramach planu, tak aby wzajemnie si dublowa y. W przypadku nieobecno ci jednej z nich druga jest w stanie realizowa przypi-sane jej procedury. Przypisuj c osoby do poszczególnych dzia a , warto zastanowisi nad minimalizacj ryzyka absencji obu z nich. Dlatego ludzie przypisani do takiej pary powinni, w miar mo liwo ci, pra-cowa w innych lokalizacjach, nie wyje -d a jednocze nie w podró e s u bowe, nie przebywa w tym samym czasie na urlopie itp. Ponadto rzecz oczywist , ale wartwspomnienia, jest unikni cie sytuacji, w której dubler jest jednocze nie przypisa-ny do drugiej procedury i w czasie sytuacji

ILUSTRACJA: GETTY IMAGES/TAXI JAPAN/FPM; FOTO: MPR www.magazyncso.pl 19

IT SERVICE MANAGEMENT

Piotr Noga ,Principal Presales Consultant, Symantec

Wprowadzanie planów awaryjnych stanowi doskona okazj , aby

upiec dwie pieczenie na jednym ogniu: mo na, przy niewielkich lub zerowych kosztach doda-tkowych, zbudowa solidne fundamenty ITSM(IT Service Management). Modyfikacje istniej cych rozwi za i procedur maj ce na celu stworzenie efektywnych planów awaryjnych wymagaj skata-logowania us ug, automatyzacji i standaryzacji jak najwi kszej liczby procesów. Redundancja wielu obszarów funkcjonalnych niezb dna dla budowy rozwi za awaryjnych tworzy idealne rodowisko dla technologii równowa enia

obci enia oraz architektur wykorzystuj cych nadmiarow infrastruktur do obs ugi procesów QA, rozwoju posiadanych aplikacji (development) lub do roz o enia cz ci procesów pomi dzy wszystkimi dost pnymi elementami infrastruktury. Podsumowuj c, tworzenie i zarz dzanie planami awaryjnymi przy odrobinie finezji przestaje byjedynie fanaberi (kosztem), a staje si platformo wymiernej warto ci biznesowej.



kryzysowej zarówno osoba zast puj ca, jak i zast powana maj jednocze nie realizo-wa okre lone dzia ania.

Przypisanie pracowników do poszcze-gólnych procedur mo e by zadaniem trud-nym do wykonania, zw aszcza przy bar-dziej skomplikowanych planach i mniej-szych organizacjach. Wtedy rozwi zaniem jest skorzystanie ze wsparcia podmiotów lub konsultantów zewn trznych. Przyk ad stanowi organizacja, w której w przypadku uruchomienia planów awaryjnego odtwo-rzenia funkcjonowania infrastruktury informatycznej niezb dne jest skorzystanie z us ug zewn trznych informatyków. Przy normalnej dzia alno ci wszelkie obowi z-ki zwi zane z utrzymaniem systemów IT pe nione s przez zatrudnionych admini-stratorów, jednak e w sytuacji kryzyso-wej zdefiniowane re imy czasowe s zbyt restrykcyjne, aby mog y by dotrzyma-ne przy zaanga owaniu jedynie lokalnych specjalistów. W takim przypadku koniecz-ne jest wsparcie z zewn trz.

OutsourcingKorzystanie z us ug podmiotów zewn trz-nych przy uruchomieniu planów awaryj-nych mo e rozwi za problem alokacji obowi zków, jednak powoduje dodatkowe rodzaje ryzyka, zwi zane przede wszystkim z zagwarantowaniem dost pno ci us ugo-dawcy. St d konieczno zapisania odpo-wiednich klauzul w umowach reguluj -cych wspó prac . Warto równie zastrzec prawo do kontrolowania gotowo ci do reali-zacji procedur kryzysowych. Zagadnieniem, które trzeba wzi pod uwag , jest ochrona poufno ci przetwarzanych informacji. Nasz kontrahent zapewne b dzie mia do cz ciz nich dost p z racji zaanga owania w reali-zacj planu, nale y zatem pami ta przynaj-mniej o umowie o zachowaniu poufno ci,a jeszcze lepiej o weryfikacji mechanizmów stosowanych przez us ugodawc w celu ochrony poufnych danych.

Ryzyko zwi zane z zaanga owaniem osób spoza organizacji rozci ga si równie na praktyczn realizacj procedur awaryjnych. Pami tajmy, e nie s one zaanga owane w codzienn dzia alno firmy, pewne mecha-

nizmy, oczywiste dla pracowników, s im obce. Z tego te wzgl du realizacja powierzo-nych im zada mo e napotyka utrudnienia. Podstawowym remedium b dzie zawarcie w planie awaryjnym jasnych, jednoznacznych i zrozumia ych dla osób spoza firmy opisów post powania. W szczególno ci nale y pami -ta o unikaniu argonu charakterystyczne-go dla danej organizacji, nie zawsze zrozu-mia ego dla osób spoza niej. Przejrzystoplanu nie jest uwarunkowana tylko udzia em zewn trznych konsultantów. Sformu owania, które wydaj si oczywiste dla pracowników w czasie normalnego funkcjonowania firmy, w sytuacji stresu mog zmieni znaczenie.

Odpowiednio przejrzysty opis dzia a nie gwarantuje udanego udzia u osób z zewn trz

w realizacji planu awaryjnego. Konieczne jest ich praktyczne zapoznanie z procedurami poprzez udzia w testach planu awaryjne-go. Dlatego te przy planowaniu i realizacji wicze zwi zanych z uruchomieniem pro-

cedur kryzysowych nie nale y ogranicza sitylko do w asnych pracowników, ale równie ,w miar mo liwo ci i istniej cych ogranicze ,anga owa inne podmioty, które odgrywamog istotn rol w realizacji planu.

Zagadnieniem, które nie mo e by pomi-ni te w planie awaryjnym, jest komunika-cja – zarówno wewn trz organizacji, jak i poza ni . Szczególnie wa na jest efektyw-na wymiana informacji pomi dzy osoba-mi zaanga owanymi w realizacj procedur kryzysowych, co pozwoli na koordynacji kontrol podejmowanych dzia a . Aby

usprawni zarz dzanie dzia aniami kryzy-sowymi, w tym tak e w celu optymalizacjiprzep ywu informacji, budowane s zespo yodpowiedzialne za poszczególne dzia ania w ramach planów awaryjnych. Jednak esamo zdefiniowanie kana ów komunika-cyjnych mo e nie wystarczy , konieczne jest okre lenie mediów, przy których pomo-cy b d przekazywane informacje. Jest to bardzo mocno zwi zane z za o eniami, na których opiera si plan awaryjny. Jak juwspomina em, za o enia te musz by rea-listyczne. Przyj cie strategii komunikacji bazuj cej na stwierdzeniu, e w ka dej sytu-acji kryzysowej ludzie komunikuj si za pomoc poczty elektronicznej, mo e okazasi niew a ciwym krokiem.

Zasady komunikacji nie ograniczaj sijedynie do wymiany informacji pomi dzyosobami zaanga owanymi w realizacj pro-cedur. Niezb dne mo e by przekazanie informacji podmiotom, które ucierpia yw wyniku awarii lub te z innych powodów s zainteresowane rozwojem wydarze .Mo e wyst pi potrzeba poinformowania klientów, dostawców, organów administra-cji, a tak e rodków masowego przekazu. Elementem planu awaryjnego mo e byzatem procedura komunikacji zewn trznej,okre laj ca zakres i sposób przekazywania informacji i wskazuj ca osoby, które suprawnione do wyst powania w imieniu danej organizacji.

W przypadku planów awaryjnych istot-nym czynnikiem jest czas. Z regu y okre la si okres, w którym zasoby niezb dne do realizacji procesów biznesowych powinny zosta przywrócone. Z tego te wzgl du okre la si niekiedy czas, w jakim powinny zosta wykonane poszczególne dzia ania w ramach procedur. Informacje te s szcze-gólnie przydatne podczas testowania planu awaryjnego – na ich podstawie mo liwe jest sprawdzenie, czy spe nia on za o enia biznesowe. Pami tajmy, e niedotrzymanie za o onego czasu nie musi wynika z braku kompetencji osób zaanga owanych w rea-lizacj planu – niekiedy fakt ten wynika z nierealistyczno ci planu i dzia ania opty-malizacyjne musz si gn za o e , na jakich plan jest budowany.


CSO STRATEGIE

WYMAGANIA WOBEC PLANU AWARYJNEGO• Oparty na realistycznych za o eniach• Przejrzyste i jednoznaczne opisy dzia a• Spójne dzia ania bazuj ce na zdefinio-

wanych priorytetach• Szczegó owe opisy niezb dnych zasobów

i sposobu ich pozyskania• Elastyczno – mo liwo zastosowania

planu w ró nych sytuacjach• Okre lenie odpowiedzialno ci za

poszczególne dzia ania• Uwzgl dnienie efektywnej komunikacji

wewn trznej i zewn trznej



Zarz dzanieplanami awaryjnymiSamo opracowanie planu awaryjnego nie gwarantuje, e w sytuacji kryzysowej pozwo-li on na odtworzenie w wymaganym cza-sie zasobów niezb dnych do prawid owe-go funkcjonowania organizacji. Podej cie, w którym wdro enie w przedsi biorstwie mechanizmów zarz dzania kryzysowego ogranicza si do napisania planów awaryj-nych, mo e prowadzi do tego, e w sytuacji kryzysowej plan nie spe nia pok adanych w nim nadziei. Konieczne jest przygotowa-nie organizacji do realizacji zasad zawartych w poszczególnych procedurach.

Przygotowanie do realizacji planu musi uwzgl dnia edukacj osób zaanga owanych w jego wykonanie. B dzie ona uzale niona od roli, jak poszczególne osoby odgrywajprzy uruchamianiu procedur kryzysowych. O ile bowiem omówienie dzia a dotycz -cych wszystkich pracowników lub wi kszych grup mo e by przedmiotem prezentacji albo e-learningu, o tyle podej cie takie mo e bynieskuteczne, a na pewno nieefektywne przy pojedynczych osobach realizuj cych ci le okre lone zadania. Edukacja w ich przypad-ku to przede wszystkim udzia w testach planów awaryjnych, ale tak e aktywne uczestnictwo w opracowywaniu procedur kryzysowych. Warto przy tej okazji poruszyproblem udzia u osób, które b d realizowa-y plan awaryjny, w jego tworzeniu. Udzia

taki jest uzasadniony nie tylko wzgl dami edukacyjnymi. Pami tajmy, e ludzie zaan-ga owani w dzia ania zespo ów realizuj cych procedury kryzysowe posiadaj do wiadcze-nie zwi zane ze specyfik pracy w danej organizacji, jej ograniczeniami i zasadami, w tym równie nieformalnymi. Poza tym osoby delegowane do realizacji okre lonych zada w przypadku awarii musz , si rzeczy, posiada wiedz dotycz c zasobów, których dost pno b d odtwarza . Z tych wzgl -dów ich udzia przy opracowywaniu koncep-cji odtwarzania funkcjonowania organizacji po wyst pieniu awarii b dzie nieodzowny. Plan awaryjny opracowany ca kowicie na zewn trz przedsi biorstwa b dzie zapewne poprawny merytorycznie, ale jego praktycz-na realizacja mo e napotka szereg proble-

mów zwi zanych z kultur organizacyjn .Dodatkowym uzasadnieniem udzia u przy-sz ych wykonawców planu w jego tworzeniu jest fakt, e inaczej odbierana jest koniecz-no realizacji procedur, które sami tworzyli, a inaczej zasad narzuconych odgórnie.

Udzia pracowników przedsi biorstwa w tworzeniu planów awaryjnych wi e sijednak z problemem, z którego powinni my zdawa sobie spraw . Osoby te s na co dziezaanga owane w okre lone dzia ania bizne-sowe. Ich udzia w tworzeniu planu oznacza konieczno po wi cenia czasu na ten cel. Pojawia si tutaj konflikt pomi dzy udzia em w projekcie, którego produkt by mo e nigdy nie b dzie w praktyce zastosowany, a bie -cymi operacjami, których niewykonanie na czas skutkowa b dzie odczuwalnymi konse-kwencjami. Jest to zagadnienie, które musi by wzi te pod uwag przy planowaniu prac i zarz dzaniu projektem.

Dzia ania edukacyjne, o których wspo-mina em, wi si równie z testowaniem planów awaryjnych. Testy pozwalaj nie tylko na weryfikacj poprawno ci realiza-cji opracowanych procedur, ale równie ,a niekiedy przede wszystkim, stanowidoskona metod treningu pozwalaj cna przygotowanie pracowników – zarów-no tych, którzy b d aktywnie bra udziaw realizacji planu, jak i pozosta ych – do wyst pienia sytuacji kryzysowej. W przypad-ku zaanga owania w realizacj planu pod-

miotów zewn trznych dobrze jest zadbao ich udzia równie w testach.

Przeprowadzone testy czasem wska-zuj niedoskona o ci w planie awaryjnym. Pami tajmy, e mog one wynika nie tylko z niedostatecznych kompetencji osób rea-lizuj cych poszczególne zadania, ale tak ez b dnych za o e planu. Bywa, e proce-dury nie nadaj si do realizacji ze wzgl du na zbyt restrykcyjne ramy czasowe lub ogra-niczone zasoby. Z tego te wzgl du dzia ania korekcyjne okre lane jako wniosek z prze-prowadzonych testów obejmowa mog nie tylko dodatkowe szkolenia i treningi dla personelu, ale równie optymalizacj juopisanych procedur.

Realizacja planu awaryjnego jest ci le uzale niona od dost pno ci niezb dnych do jego wykonania zasobów. Okresowe przegl -dy procedur kryzysowych pozwalaj m.in. na weryfikacj obecno ci i lokalizacji materia ów wykorzystywanych do wykonania zdefinio-wanych w planie zada . Równie przypisanie osób do poszczególnych dzia a wymagab dzie weryfikacji. Utrzymanie planu awa-ryjnego powinno by zwi zane z realizacjprocesu zarz dzania zmianami. Wyst pienie zmiany, która mo e wp yn na zapisy planu, powinno by zwi zane z weryfikacj i ewen-tualn aktualizacj jego tre ci. Mimo to nawet przy wdro onym procesie zarz dzania zmianami wyst pi mog sytuacje, w których pewne aktualizacje nie zostan wprowadzo-ne. St d konieczno okresowej weryfikacji zapisów planu, zarówno pod k tem zaso-bów zaanga owanych w jego realizacj , jak i realizowanych w ramach procedur dzia a .Cz stotliwo weryfikacji poszczególnych elementów planu mo e by ró na – zapisy dotycz ce zasobów mog by analizowane relatywnie cz sto (dotyczy to np. przypisa-nia pracowników do poszczególnych zada ,w przypadku organizacji, w której wyst -puje cz sta rotacja personelu), podczas gdy zasady realizacji poszczególnych zada rza-dziej. Cz stotliwo przegl du zale e b dzie od specyfiki danej organizacji. W przypad-ku, gdy w danym przedsi biorstwie zmiany wyst puj cz sto, równie weryfikacja planu awaryjnego musi odbywa si z odpowiednio wi ksz cz stotliwo ci . t

PORADNIK DOTYCZ CY PLANÓW DR1. Zidentyfikowa zagro enia i ryzyka.2. Zgromadzi dane dotycz ce krytycznych

elementów dzia ania firmy.3. Przeanalizowa wp yw poszczególnych zagro e

na dzia alno biznesow firmy.4. Stworzy strategi ci g o ci dzia ania biznesu.5. Wybra dostawców systemów DR.6. Opracowa projekt wdro enia systemu.7. Wdro y systemy ochrony i odzyskiwania

danych.8. Przetestowa stworzony plan dzia a .9. Wnie niezb dne poprawki do planu DR.10. Regularnie testowa i aktualizowa plan DR

wraz z rozwojem firmy.ród o: Symantec

www.magazyncso.pl 21



Do stosowania procedur w ochronie informacji niejawnych, ochronie danych

osobowych czy innych tajemnic nie trzeba nikogo przekonywa . Procedury,

podobnie jak wiedza osób, które je stosuj , to jeden z filarów w a ciwej

ochrony informacji.

Grzegorz Michniewicz

DOKUMENTY,

czyli bez czego pion ochrony nie mo e funkcjonowaPROCEDURY,

22-31_cover_bg.indd 22 2007-11-30 15:11:53

C Cz sto wydaj si zbiurokra-tyzowane, utrudniaj ce ycie tym, którzy musz z nich korzysta b d je egzekwowa , a czasem s wprost nie yciowe. Z drugiej strony s czytelnym opisem dzia a , które nale y wykona , aby informacje czy dobra by y bezpieczne. W wypadku pojawiaj cych si problemów lub zagro e mo liwo ich zweryfikowania nierzadko jest wskazówk , a cz sto jedynym ród em informacji, sk d wzi y si k opoty i kto mo e by ich auto-rem. Pozwalaj te odpowiedzie na pytanie, co zosta o zrobione, aby wyeliminowa nie-bezpiecze stwo, a wykonanie jakich czynno-ci zosta o zaniedbane.

Kiedy jednak przechodzimy do ich zdefi-niowania, opisania w ramach tworzonych na ich podstawie dokumentów, wiele osób ogar-niaj w tpliwo ci – co nale y opisa , jak nale y to zdefiniowa , jakie dokumenty i procedury s niezb dne, a bez jakich ochrona informacji w naszej firmie nie jest mo liwa. Na szcz cie min y ju pionierskie czasy, kiedy w organi-zacjach tworzone by y piony ochrony zgodne z nowo wprowadzon ustaw o ochronie infor-macji niejawnych, która istniej cy dotychczas system ochrony wywraca a do góry nogami. Wtedy od nowa trzeba by o pisa wiele proce-dur, a s u by ochrony pa stwa przyjmowa y postaw recenzenta nieporadnych cz sto kro-ków podejmowanych przez nowo powo anych pe nomocników ochrony. Obecnie, opisuj c kolejne szablony dzia a , mo emy opiera si na bogatej literaturze, a przede wszystkim na do wiadczeniu innych.

Ustawa o ochronie informacji niejawnych, obok przepisów dotycz cych ochrony danych osobowych i przepisów chroni cych tajemni-ce przedsi biorstwa w ustawie o zwalczaniu nieuczciwej konkurencji, z racji najbardziej powszechnego charakteru stanowi podsta-w , z której wyrastaj specyficzne dla ka dej z grup u ytkowników rozwi zania. Prawnie chronionych tajemnic mamy w Polsce kilka-dziesi t, ale modele dokumentów i procedur zastosowane przy jednej z wcze niej wymie-nionych ustaw bardzo cz sto znajduj zasto-sowanie przy nast pnych.

Lata 90., okres gwa townej transformacji ustrojowej, zmian nie tylko w gospodarce, ale i w prawie, czas wst powania Polski do Paktu

Pó nocnoatlantyckiego i szykowania si do wst pienia do Unii Europejskiej, pozwoli y zaabsorbowa wiele rozwi za stosowanych w przepisach krajów zachodnich. Nie obe-sz o si bez problemów, bo cz sto to, co na Zachodzie by o znane i stosowane od lat, w naszej rzeczywisto ci stanowi o rewolu-cj , któr trudno by o zrozumie , a jeszcze trudniej pogodzi si z ni i stosowa . Nowe podej cie do ochrony informacji, inny sposób my lenia o ochronie i id ce za tym nowe prze-pisy tworzy y zupe nie inn rzeczywisto .

Obserwuj c tamten okres, mo na powie-dzie , e wytworzy y si dwa kierunki docho-

dzenia do w a ciwego kszta tu procedur, które dotycz ochrony informacji i które s niezb d-ne w firmie. Model pierwszy, znany g ównie w du ych, zachodnich firmach otwieraj cych swoje filie w Polsce, opiera si na bezkry-tycznym przej ciu i zastosowaniu rozwi za z siedziby firmy-matki, z niewielk ich mody-fikacj do naszych warunków. Ten sposób pojmowania ochrony informacji i tworzenia procedur by jednak, w porównaniu z mode-lem drugim, rzadki i wyj tkowy. To w a -nie drugi sposób dochodzenia do rozwi za , który nazwa mo na „praktycznym”, przewa-a i chyba wci przewa a. Pierwszy model to

budowanie na podstawie polityki bezpiecze -stwa firmy kolejnych polityk – bezpiecze -stwa teleinformatycznego, bezpiecze stwa danych, bezpiecze stwa informacji niejaw-nych, okre lonych planów ochrony, szcze-gó owych wymaga bezpiecze stwa, a wi c niejako schodzenie „w g b” ochrony infor-macji. Dokumenty stanowi ce wzorzec dla cz ci procedur, na których w cz ci mo na si opiera , dotycz przede wszystkim bez-piecze stwa teleinformatycznego, to normy PN-ISO/IEC 7799: 2007 oraz PN-ISO/IEC 2700 : 2007, okre laj ce wytyczne zwi zane z ustanowieniem, wdro eniem, eksploata-cj , monitorowaniem, przegl dem, utrzyma-

niem i doskonaleniem Systemu Zarz dzania Bezpiecze stwem Informacji. Drugi model to tworzenie kolejnych procedur „od do u”, w miar jak pojawia si na nie konkretne zapotrzebowanie, tak aby polityka bezpiecze -stwa firmy stanowi a ukoronowanie ca o ci.

Zamierzeniem tego tekstu nie jest ocena, który model dochodzenia do kompleksowych rozwi za ochrony jest lepszy, ale próba opi-sania, stworzenia ram, które wype nione tre ci pozwol stworzy i po czy ze sob kolejne procedury.

Gdyby wymienia , bez znaczenia dla wa -no ci, poszczególne dokumenty i procedury

niezb dne do prawid owego funkcjonowania pionu ochrony, ale i ochrony informacji w fir-mie, mo na by wskaza na:• regulamin pionu ochrony wraz z okre leniem

zakresów obowi zków osób zatrudnionych;• regulamin kancelarii tajnej i jej czytelni

oraz instrukcj kancelaryjn ;• regulamin pomieszczenia do prowadzenia

rozmów stanowi cych tajemnic pa stwow ;• regulamin udost pniania dokumentów

niejawnych poza kancelari tajn ;• zasady wst pu i wjazdu na teren firmy;• zasady przeprowadzania kontroli;• zasady post powania w wypadku zagro e-

nia ujawnienia informacji chronionych, po ujawnieniu ich, a tak e naruszenia innych przepisów zwi zanych z ochron informacji;

• plan ochrony informacji niejawnych;• plan post powania z materia ami zawie-

raj cymi informacje niejawne stanowi ce tajemnic pa stwow w razie wprowadze-nia stanu nadzwyczajnego;

• plan post powania z materia ami zawiera-j cymi informacje niejawne lub wra liwe w razie pojawienia si zagro e ;

• szczególne wymagania bezpiecze stwa systemu;

• procedury bezpiecznej eksploatacji systemu;• szczególne wymagania bezpiecze stwa

Idealnym rozwi zaniem jest, aby doku-menty niejawne czy wra liwe nie opuszcza y kancelarii tajnej.

www.magazyncso.pl 23FOTO: GETTY IMAGES/FPM

22-31_cover_bg.indd 23 2007-11-30 15:12:33

http://www.FOTO:

ZTEMATOK ADKI

i procedury bezpiecznej eksploatacji systemu dla informacji niejawnych o klauzuli „zastrze one”;

• szczegó owe wymagania w zakre-sie ochrony informacji niejaw-nych oznaczonych klauzul „zastrze one”;

• wykaz stanowisk lub rodzajów prac zleconych, z którymi mo e

czy si dost p do informacji niejawnych;

• baza danych osób, które posiada-j po wiadczenia, osób, w których sprawie post powanie jest prowa-dzone, osób szkolonych oraz tych, którym cofni to po wiadczeniabezpiecze stwa.

Niektóre procedury wydaj si na tyle banalne i proste, e wystarczy jedynie kilka zda opisu. Inne, z racji swojej z o ono ci i stopnia skompli-kowania, wymaga b d szerszego omówienia. Jeszcze innych nie da si umie ci w sztywnych ramach powta-rzalnych procesów, gdy ich specyfika wyma-ga indywidualnego podej cia.

Oczywi cie, przy zastosowaniu ww. proce-dur w ka dej ze stosuj cych je firm potrzebne jest uszczegó owienie, wype nienie tre cizrozumia dla konkretnej organizacji, ale szkielet, na którym maj si opiera , jest taki sam dla wszystkich.

Regulamin pionu ochrony wraz z okre leniem zakresu obowi zków osób zatrudnionychZarówno kszta t, jak i zakres zada pionu ochrony mog si zmienia . Zale y to nie tylko od celów, jakie stoj przed firm b dinstytucj , ale od jej mo liwo ci finanso-wych czy kadrowych. Je li pion ochrony ma zajmowa si tylko sprawami wynika-j cymi z ustawy o ochronie informacji nie-jawnych, to ich zakres wyra nie wskazany jest w ustawie. Jednak nawet ta ustawa umo liwia kierownikowi jednostki nak a-danie na pe nomocnika do spraw ochro-ny informacji niejawnych innych zada– na przyk ad dotycz cych ochrony danych osobowych, reagowania kryzysowego czy spraw obronnych. Katalog tych zada jest

otwarty, ale przy ich zlecaniu warto kie-rowa si zasad , aby by y przynajmniej w jakiej cz ci zbie ne z podstawowymi zadaniami pionu ochrony. Dlatego po pisem-nym wyznaczeniu pe nomocnika do spraw ochrony informacji niejawnych, czy te po pisemnym upowa nieniu wskazanej osoby do wyst powania w imieniu szefa firmy jako administratora danych – zadaniem tej osoby b dzie przygotowanie regulaminu funkcjo-nowania pionu ochrony. Pe nomocnik pisz cregulamin, musi kierowa si z jednej stro-ny znajomo ci przepisów prawa, ustaw i aktów wykonawczych, z drugiej realizowaoczekiwania kierownictwa firmy okre laj ce ramy, w których pion b dzie dzia a , a z trze-ciej – posiada praktyczn wiedz i wyobra -ni pozwalaj c liter prawa i oczekiwania szefów prze o y na konkretne, opisywalne i powtarzalne zadania.

Tu tak e mog znale si zakresy obo-wi zków osób zatrudnionych w pionie. Wprawdzie w momencie tworzenia pionu ochrony nie wszystkie stanowiska musz byod razu zaj te, jednak dok adne zdefiniowa-nie zada na etapie tworzenia pionu u atwi rekrutacj przysz ych pracowników z opisa-nymi kwalifikacjami.

Regulamin kancelarii tajnej i jej czytelni oraz instrukcja kancelaryjnaO ile regulamin pionu ochrony w spo-sób dosy ogólny definiuje zadania ca ego pionu, w tym kancelarii tajnej, opisuj c zadania, pocz wszy od jej szefa, a sko czywszy na wydzia ach zajmuj cych si konkretnym frag-mentem spraw, o tyle regulamin kan-celarii tajnej oraz instrukcja kancela-ryjna zadania te powinny opisywaw sposób dok adny, wraz z podzia em na role, dla poszczególnych kanceli-stów. Oto czynno ci, które powinny zosta dok adnie opisane:• przyjmowanie dokumentów;• rejestrowanie dokumentów;• przechowywanie dokumentów;• terminowe przekazywanie doku-

mentów do uprawnionych adre-satów;

• wysy anie dokumentów do adresa-tów poza jednostk organizacyjn ;

• archiwizowanie dokumentów oraz przygo-towanie do brakowania;

• ci g a ochrona dokumentów przed utratlub ujawnieniem zawartych w nich infor-macji, a tak e:

• prowadzenie:) rejestru dzienników, ksi ek ewidencyj-

nych i teczek,2) dziennika korespondencyjnego,3) dziennika ewidencji wykonanych doku-

mentów, oznaczonych klauzul „ ci le tajne”, „tajne” i „poufne”,

4) kart zapoznania si z dokumentami zawieraj cymi tajemnic pa stwow ,

5) ksi ki dor cze przesy ek miejscowych,6) wykazu przesy ek nadanych.

Regulamin to tak e miejsce na wskazanie, czym zajmuje si kierownik kancelarii tajnej i jaka jest jego odpowiedzialno , a czym zaj-muj si konkretni pracownicy kancelarii i za jaki wycinek spraw odpowiadaj .

Instrukcja kancelaryjna powinna okre lazasady i tryb wykonywania poszczególnych czynno ci kancelaryjnych zwi zanych z wytwa-rzaniem, ewidencjonowaniem oraz obiegiem dokumentów znajduj cych si w kancelarii tajnej. Powinny by w niej opisane:

24 www.magazyncso.pl FOTO: GETTY IMAGES/FPM

ZTEMATOK ADKI

PRAWOGRZEGORZ MICHNIEWICZ

22-31_cover_bg.indd 24 2007-11-30 15:13:21


• zasady przyjmowania oraz wysy ania materia ów;

• zasady oraz rodki ewidencji i kontroli dokumentów;

• zasady kompletowania i niszczenia doku-mentów;

• zasady kopiowania, wykonywania za cz-ników, odpisów, wyci gów, wypisów oraz t umacze ;

• zasady post powania z dokumentami wytworzonymi w firmie oraz przekazany-mi do firmy;

• szczegó owe zasady udost pniania doku-mentów przez kancelari tajn ;

• szczegó owe zasady prowadzenia wszyst-kich wykazów, rejestrów, ksi ek oraz dzienników.

Z kolei regulamin czytelni kancelarii taj-nej musi wskazywa na zadania dla pracow-ników udost pniaj cych dokumenty niejaw-ne oraz osób, które z tymi dokumentami sizapoznaj . W ród najcz ciej wymienianych

zada dla kancelistów jest wydawanie doku-mentów do czytelni osobom upowa nionym do ich otrzymywania oraz nadzorowanie, aby osoby te zapoznawa y si z dokumentami w sposób zgodny z przepisami.

Zapoznaj cy musz wiedzie o zakazie wynoszenia czy kopiowania w jakiejkolwiek formie dokumentów, z którymi si stykaj .Warto pami ta , aby czytelnia by a zorgani-zowana w sposób umo liwiaj cy bezpo red-ni obserwacj osób tam przebywaj cych przez pracowników kancelarii tajnej, a je li jest to niemo liwe, aby odwiedzaj cy pozo-stawiali przed wej ciem wszelkie przedmioty, które mog zagrozi poufno ci dokumentów, z jakimi si stykaj .

Regulamin pomieszczenia do prowa-dzenia rozmów stanowi cych tajem-nic pa stwowTzw. „bezpieczne pomieszczenia” tworzone s w celu prowadzenia rozmów o charakterze

niejawnym, dotycz cym nie tylko tajemnicy pa stwowej, ale i tajemnic przedsi biorstwa. Pocz wszy od momentu decyzji o budowie i lokalizacji takiego pomieszczenia, warto zadba , aby postanowienie to, a potem wyty-powane miejsce podlega y szczególnej ochro-nie. Ze wzgl du na ró norodne techniczne mo liwo ci podgl du i pods uchu regulamin korzystania z „bezpiecznego pomieszczenia” powinien bardzo rygorystycznie okre lawarunki wchodzenia tam, tak e osób wyko-nuj cych czynno ci techniczne, np. sprz -taczy. Ograniczona do minimum powinna by liczba osób mog cych wchodzi tam bez nadzoru, np. wytypowani pracownicy pionu ochrony, a i tak ka de wej cie nale y rejestro-wa . Korzystanie z pomieszczenia powinno by reglamentowane, tak aby jedynie cis ekierownictwo firmy mia o prawo decydo-wa , kto mo e z niego korzysta . Powinien obowi zywa zakaz wnoszenia do pomiesz-czenia wszelkich urz dze rejestruj cych,

22-31_cover_bg.indd 25 2007-12-03 12:10:25

http://cxomedia.pl/

kopiuj cych czy przesy aj cych. Wskazane jest, by ochrona przeprowadza a wyrywkowe kontrole zarówno uczestników spotka , jak i samego pomieszczenia.

Ze wzgl du na specjalne w a ciwo cipomieszczenie mo na tak e wykorzystywajako miejsce, w którym sta b d bezpieczne stanowiska komputerowe. Je li przewidu-jemy tak sytuacj , regulamin powinien to uwzgl dnia .

Regulamin udost pniania dokumen-tów niejawnych poza kancelaritajnIdealnym rozwi zaniem jest, aby dokumen-ty niejawne czy „wra liwe” nie opuszcza ykancelarii tajnej. Tu powinny by udost p-niane, tu powinna odbywa si praca na tych dokumentach. Niestety, rozwi zania idealne najcz ciej s nie do zrealizowania. Dlatego powinny by jasno okre lone regu y, na jakich dokumenty mog opuszcza kancelari tajn ,do jakich osób lub miejsc mog by przeka-zywane oraz jakie warunki musz by spe -nione, aby w wyznaczonych miejscach poza kancelari tajn mog a odbywa si na nich praca. Jednym z proponowanych rozwi zajest wprowadzenie listy osób, zaakceptowanej przez szefa firmy, które maj prawo zapo-znawania si z dokumentami poza kancela-ri tajn . Kolejny, równie wa ny element to wskazanie pomieszcze , do których mog bydostarczane, w tym okre lenie ich umiejsco-wienia i wyposa enia. Oczywi cie, pomiesz-czenia te powinny spe nia wymogi pierwszej strefy bezpiecze stwa, do której wej cie rów-noznaczne jest z mo liwo ci zapoznania size znajduj cymi si materia ami. Poniewado wiadczenie wskazuje, e warunki te nie zawsze udaje si spe ni cznie, ostatniinstancj , która ma prawo decydowa , czy okre lone warunki zosta y spe nione, powi-nien by na przyk ad kierownik kancelarii tajnej lub pe nomocnik, który wydaj c zgod ,staje si równocze nie wspó odpowiedzialny za ewentualne skutki ujawnienia.

Zasady wst pu i wjazdu na teren firmyKa da organizacja, nie tylko posiadaj ca w swoich zasobach informacje niejawne czy

wra liwe, musi okre li warunki, na jakich odbywa si poruszanie na jej terenie. Zasady te powinny w szczególno ci okre li :• dokumenty zezwalaj ce na wst p i wjazd

– wymieni rodzaje dokumentów, cz-nie z uprawnieniami, jakie daj ich posiadaczom;

• podmioty uprawnione do wydawania dokumentów, wraz z dok adn procedurstosowan przy wydawaniu;

• podmioty upowa nione do przeprowadza-nia kontroli, cznie z procedur opisuj c ,jak powinna przebiega kontrola, a czego kontroluj cym nie wolno robi ; powinno to dotyczy zarówno wej cia, jak i opusz-czenia terenu firmy;

• osoby lub grupy osób, które z racji swoich obowi zków czy stanowiska nie podlegajkontroli lub jest to kontrola wyrywkowa, te, które poddawane s bie cej kontroli, i te, które nie mog wchodzi na teren firmy;

• zasady poruszania si po pomieszczeniach firmy ze wskazaniem ci gów komunika-cyjnych i pomieszcze , po których mo na porusza si bez przeszkód, i takie, w któ-rych istniej ograniczenia;

• sposób odpowiedzialno ci za amanie wpro-wadzonych przepisów.

Zasady przeprowadzania kontroliProcedura przeprowadzania kontroli, ze wzgl du na jej szczególn rol , powinna byopisana bardzo dok adnie. Konieczne jest tu rozró nienie:• okresowych kontroli kompleksowych,

w celu zbadania ca okszta tu dzia alno ci kontrolowanej komórki w zakresie ochro-ny informacji, których termin mo e byuzgadniany z kierownikami kontrolowa-nych komórek;

• okresowych kontroli problemowych, w celu zbadania wybranych zagadnie z zakresu ochrony informacji, których termin tak emo e by uzgadniany z kierownikami kon-trolowanych komórek;

• kontroli interwencyjnych, w celu zbadania informacji wskazuj cej na wyst powanie zagro e dla systemu zabezpiecze lub po ujawnieniu informacji chronionych.

Procedura musi opisywa wszystkie obo-wi zki kontrolerów, pocz wszy od konieczno-

ci pisemnego informowania o rozpocz ciu kontroli, poprzez mo liwo wst pu do kon-trolowanych pomieszcze , wgl du do doku-mentów zwi zanych z przedmiotem kontroli, udost pniania szaf i sejfów, w których infor-macje chronione s przechowywane, dania ustnych lub pisemnych wyja nie , mo liwo-ci zabezpieczania materia ów dowodowych,

a do przygotowania protoko u kontroli, który powinien mie z góry ustalon form .

Z kolei na kontrolowanych na o onymusi by obowi zek terminowego udziela-nia wyja nie oraz udost pniania wszelkich miejsc i dokumentów potrzebnych do pra-wid owego przeprowadzenia kontroli.

Zarówno o przebiegu ka dej z kontroli, jak i o jej wynikach musi by informowany szef firmy czy instytucji. Dodatkowo, je li mamy do czynienia z kontrolami z zakresu ochrony informacji niejawnych, naruszenie przepisów dotycz cych klauzuli wy szej ni „zastrze o-na” nak ada na pe nomocnika obowi zek informowania o tym s u b ochrony pa stwa. W takim przypdku wskazane jest okre le-nie sposobu, w jaki ma to nast pi ,aby unikn ewentualnych nacisków, które mog mie miejsce w obliczu takiego incydentu.

Zasady post powania w wypadku zagro enia ujawnienia informacji chronionych, po ich ujawnieniu, a tak e naruszenia innych przepisów zwi zanych z ochron informacjiW wypadku planowanych kontroli procedura polega na sprawdzeniu poprawno ci istniej -cych rozwi za , a kontrola interwencyjna jest wyra nie zwi zana z mo liwo ci ujawnienia chronionych informacji. Wówczas – najkrócej mówi c – procedura powinna polega na:• lokalizacji ród a zagro enia;• identyfikowaniu zagro enia;• jego eliminacji.

Lokalizacja ród a zagro enia to nic innego jak obowi zek informowania pe no-mocnika o naruszeniu, a nawet podejrzeniu naruszenia istniej cych zasad chroni cych wra liwe informacje. Taki obowi zek musi spoczywa na wszystkich pracownikach, bez wzgl du na to, czy posiadaj prawo dost pu do chronionych zasobów firmy.


ZTEMATOK ADKI


22-31_cover_bg.indd 26 2007-12-03 12:12:26


www.itxon.pl


www.itxon.pl

Z kolei identyfikowanie zagro enia nak a-da na pe nomocnika konieczno podj cia dzia a potwierdzaj cych, czy rzeczywi cie ujawnienie mia o lub mo e mie miejsce oraz ustalenie, co lub kto jest tego przyczyn .Wzi wszy pod uwag warto chronionych informacji, nale y podj wszelkie dopusz-czalne prawem dzia ania w celu stwierdze-nia, czy rzeczywi cie sta o si lub mog o sista co z ego z punktu widzenia ochrony naszych tajemnic.

Eliminacja to usuni cie ród a przecieku, czyli doprowadzenie do sytuacji, w której uda si ustali winnych nieprawid owo ci, unie-mo liwi im dalsze dzia anie, a tak e okre liszkody, jakie mog y powsta w zwi zku ze zdarzeniem, oraz spróbowa je zminimali-zowa . W wypadku ujawnienia dokumentu lub informacji, której jeste my jedynie depo-zytariuszem, warto zwróci si do wytwórcy z pytaniem o ewentualne skutki ujawnienia. Pomo e to realnie oceni wyrz dzon szkod .

W takich sytuacjach kierownik jednost-ki powinien by na bie co informowany o wynikach ustale oraz o podejmowanych krokach. Oczywi cie, wszystkie dzia aniapowinny by dokumentowane w formie pisemnej, cho by dlatego e w przysz o-ci mog stanowi one materia dowodowy

– o ile spraw zajm si s u by ochrony pa -stwa lub prokuratura.

Plan ochrony informacji niejawnychO tym, e jest to jeden z najwa niejszych dla ochrony informacji niejawnych dokumentów, nie trzeba nikogo przekonywa . G ówny, ale te sprawiaj cy wiele k opotów i w tpliwo ci interpretacyjnych. Uchwalona w 999 r. usta-wa o ochronie informacji niejawnych nak a-da a na pe nomocników obowi zek stworze-nia planu ochrony. Plany zacz y powstawa ,cho zapewne nie takie, jakich oczekiwa-li ustawodawca i s u by ochrony pa stwa. Okre lenie „plan ochrony” pojawia siw ustawie o ochronie osób i mienia. Wielu pe nomocników, nie posiadaj c wytycznych ze strony s u b oraz opieraj c si na bardziej znanej ustawie dotycz cej osób i mienia, tworzy o plany nie przystaj ce do ochrony informacji niejawnych. Dopiero nowelizacja ustawy z 2005 r. stwierdzi a, e chodzi o plan ochrony informacji niejawnych.

Jak powinien wygl da taki plan i co powinno by jego cz ciami sk adowymi? Do wiadczenie pokazuje, e mamy kilka mo liwo ci wyboru. Po pierwsze, nie musi by to jeden dokument, cho oczywi cie taka mo liwo istnieje. Ze wzgl du na jego zawarto i na ró ne klauzule, którymi cz -ci planu powinny by opatrzone, mog by

to dwa dokumenty. Jeden z nich dotyczyb dzie ochrony kancelarii tajnej i materia ów tam przechowywanych, a drugi informacji niejawnych znajduj cych si poza kancelaritajn . Inne rozwi zanie to zbiór dokumentów stanowi cych pe ny obraz dotycz cy ochrony informacji znajduj cych si w firmie. Taki zbiór powinien:• uwzgl dnia charakter produkcji lub rodzaj

dzia alno ci jednostki;• zawiera analiz potencjalnych zagro e ;• okre li zasady organizacji i wykonywania

ochrony firmy, w tym wskaza stref admi-

nistracyjn oraz I i II stref bezpiecze stwa, wraz z opisaniem ich zabezpiecze ;

• wprowadzi system przepustek lub kontroli ruchu osobowego i materia owego, okre-laj c uprawnienia do wej cia, przebywa-

nia i wyj cia ze stref bezpiecze stwa;• okre li szczegó owe wymagania dotycz ce

warunków, gdy dokumenty niejawne swydawane poza kancelari tajn ;

• ustali instrukcje przechowywania i wydawania kluczy oraz kodów, w tym do pomieszcze chronionych i szaf pancer-nych s u cych do przechowywania infor-macji niejawnych;

• okre la sposób zabezpieczenia niejawnych zasobów informatycznych;

• ustali instrukcje post powania w sytua-cjach nadzwyczajnych;

• wskaza wykaz podmiotów podnajmuj cych pomieszczenia w obiekcie chronionym.

Informacja o charakterze produkcji czy rodzaju dzia alno ci to rodzaj wst pu do planu. Pozwoli wyrobi sobie zdanie m.in. o wielko ci niejawnego zasobu znajduj cego si w gestii firmy.

Z kolei analiza potencjalnych zagro e to bli sze przyjrzenie si temu, co mo e zagrozinaszym informacjom chronionym. Nie wyni-ka ona jedynie z rodzaju dzia alno ci firmy, ale dotyczy np. jej po o enia. Mo na za o y ,e inny b dzie charakter i typ zagro e dla

firmy, która jest wykonawc cz ci uzbroje-nia, a inny dla instytucji, która ma nieszcz -cie mie swoj siedzib w pobli u stadionu,

wokó którego regularnie odbywaj si bija-tyki z chuliganami i które to przenosz sina tereny s siednie. Ale zagro e jest o wiele wi cej, a ró ny stopie prawdopodobie stwa, e si wydarz , powoduje, i jej przepro-

wadzenie wymaga zarówno wyobra ni, jak i sporej wiedzy.

Zasady organizacji ochrony i system prze-pustowy firmy to nic innego ni opisane wcze niej zasady wst pu i wjazdu na teren, tu jednak rozbudowane o szczegó ow czzawieraj c m.in. zadania konkretnych war-towników, plan i opis stref bezpiecze stwa, w tym kancelarii tajnej, wraz z omówieniem zastosowanych zabezpiecze .

Wymagania dotycz ce warunków, gdy dokumenty niejawne mog opu ci kance-

28 www.magazyncso.pl FOTO: GETTY IMAGES/FPM

ZTEMATOK ADKI


22-31_cover_bg.indd 28 2007-12-03 12:07:01



lari tajn , zawarte zosta y w „Regulaminie udost pniania dokumentów poza kancela-ri tajn ”.

Z kolei instrukcja przechowywania klu-czy i kodów to dok adny opis systemu, w jakim klucze do pomieszcze szczególnie chronionych oraz do sejfów z dokumentami musz by przechowywane, kto ma prawo z nich korzysta i w jakich mo e to robisytuacjach.

Podstawowymi dokumentami okre la-j cymi sposób ochrony niejawnych zasobów informatycznych s „Szczegó owe wymaga-nia bezpiecze stwa systemu” i „Procedury bezpiecznej eksploatacji”, i tu powinien zna-le si opis zarówno systemu teleinforma-tycznego, sposobów jego zabezpieczenia, jak i zada stawianych przed u ytkownikami.

Instrukcji post powania w sytuacjach nad-zwyczajnych mo e by kilka, cho w wypadku tego planu, bez wzgl du na rodzaj zagro e– czy to po ar, czy zamach terrorystyczny – podstawowym wymogiem jest taki sposób post powania, aby ochroni nasze wra liwe dane bez nara ania ludzkiego ycia.

W planie warto umie ci tak e wykaz firm, które z nami s siaduj . Wiedza na ten temat pozwoli eliminowa zagro enia, z któ-rymi mo emy si zetkn ze strony naszych s siadów zza ciany.

Plan mo na wzbogaca o inne elemen-ty. Jednak wa ne jest to, aby wszystkie znajduj ce si w nim fragmenty uk ada ysi w logiczn oraz spójn ca o i aby nie by y stosem zapisanych kartek, ale czyteln , zrozumia procedur , wiczoni opanowan .

Plan post powania z materia ami zawieraj cymi informacje niejawne stanowi ce tajemnic pa stwoww razie wprowadzenia stanu nadzwyczajnegoWymóg stworzenia tego planu wynika wprost z ustawy o ochronie informacji niejawnych.

Procedura post powania ze wskazanymi dokumentami powinna zawiera :• wskazanie na konieczno zwrócenia

w takiej sytuacji wszystkich dokumentów „tajnych” i ci le tajnych” do kancelarii tajnej;

• opisany sposób zabezpieczenia wymienio-nych dokumentów, w tym dodatkowego ich zabezpieczenia, oraz sposób dodatkowego zabezpieczenia samej kancelarii tajnej;

• przygotowanie planu ewakuacji – okre-lenie miejsc ewakuacji, wskazanie zasad

pakowania i rozpakowywania dokumen-tów, cznie z kolejno ci , w jakiej doku-menty nale y ewakuowa , ustalenie liczby konwojuj cych samochodów i osób, wraz z ich konkretnymi zadaniami oraz z pla-nem trasy konwoju;

• przygotowanie awaryjnego planu post po-

wania na wypadek, gdyby materia y by yzagro one, a ewakuacja okaza a si nie-mo liwa. Tu wyj ciem mog oby by nisz-czenie, trzeba jednak ustali , w jaki sposób dokumenty maj by niszczone, aby zosta-o to zrobione w sposób skuteczny.Przygotowuj c taki plan, konieczne jest

nie tylko opisanie ca ej procedury, ale i uzgod-nienie ze wszystkimi zainteresowanymi oraz bior cymi udzia w operacji stronami sposo-bu realizacji ka dego z etapów.

Plan post powania z materia ami zawieraj cymi informacje niejawne lub wra liwe w razie pojawienia sizagro eTen plan stanowi pochodn wcze niej opi-sanego planu post powania z materia ami zawieraj cymi tajemnic pa stwow w razie wprowadzenia stanu nadzwyczajnego. O ile podobnego stanu raczej nikt si nie spo-dziewa, o tyle prawdopodobie stwo innych zagro e w naszej firmie lub wokó niej istnieje. Takim niebezpiecze stwem mo eby zarówno gro ba zamieszek (np. pi kar-skich), które je li nie zostan opanowane, mog spowodowa dostanie si do naszej firmy osób niepowo anych, jak i katastrofa budowlana lub drogowa (np. wykolejenie siwagonów przewo cych gro ne dla zdrowia

substancje chemiczne), która zmusi pracow-ników do ewakuacji.

W takich wypadkach zasady post po-wania z materia ami „wra liwymi” powin-ny by analogiczne jak przy poprzednim planie – pocz wszy od konieczno ci wcze -niejszego okre lenia, co nale y chroninajbardziej, poprzez sposób zabezpiecze-nia, tak e dodatkowego, przez sposób ewa-kuacji, o ile zachodzi taka potrzeba, a do zasad niszczenia, gdyby by a to jedyna mo liwo ochrony przed niepowo anym ujawnieniem.

Szczegó owe wymagania bezpiecze -stwa oraz procedury bezpiecznej eksploatacji systemuPrzewrotnie mo na powiedzie , e do napi-sania materia ów na temat szczegó owych wymaga bezpiecze stwa i procedur bez-piecznej eksploatacji niejawnego systemu nie jest potrzebna wyj tkowa wiedza. Wystarczy przeczyta Rozporz dzenie Prezesa Rady Ministrów w sprawie podstawowych wyma-ga bezpiecze stwa teleinformatycznego lub uko czy szkolenie organizowane przez jedn ze s u b ochrony pa stwa i otrzyma„ ci gawk ”, na której podstawie mo na oba te dokumenty napisa . Jednak z dru-giej strony fakt, e ustawodawca po wi cijeden rozdzia ustawy o ochronie informacji niejawnych bezpiecze stwu teleinformatycz-nemu, e zosta o do tego napisane odr b-ne rozporz dzenie oraz e wymaga si do zapewnienia bezpiecze stwa w firmie admi-nistratora systemu i inspektora bezpiecze -stwa, a tak e e obie te osoby obligatoryjnie musz uko czy specjalistyczne szkolenie – wiadczy o wadze, jaka od samego pocz tku funkcjonowania ustawy jest przywi zywana do spraw teleinformatycznych.

Najpro ciej ujmuj c, dokumenty szcze-gólnych wymaga bezpiecze stwa syste-mu lub sieci teleinformatycznej powinny

Ustawa o ochronie informacji niejawnych dokonuje wyra nego podzia u na tajemnicpa stwow i s u bow .

22-31_cover_bg.indd 29 2007-11-30 15:23:17


by kompletnym i wyczerpuj cym opisem ich budowy, zasad dzia ania i eksploatacji. Dokumenty te opracowuje si w fazie pro-jektowania, na bie co uzupe nia w fazie wdra ania i modyfikuje w fazie eksploa-tacji przed dokonaniem zmian w systemie lub sieci teleinformatycznej. Dokumenty dotycz ce szczegó owych wymaga bez-piecze stwa opracowuje si po przepro-wadzeniu analizy ryzyka dla informacji niejawnych, które maj by przetwarzane w danym systemie lub sieci teleinfor-matycznej, z uwzgl dnieniem warunków charakterystycznych dla konkretnej firmy. Przy opracowaniu ww. materia ów nale yw szczególno ci wzi pod uwag dane o budowie systemu lub sieci teleinforma-tycznej oraz ich charakterystyk . Dane te powinny obejmowa informacje dotycz -ce elementów wchodz cych w sk ad tego systemu lub sieci w zakresie:) lokalizacji;

2) typu wykorzystywanych urz dze oraz oprogramowania;

3) sposobu realizowania po cze wewn trz-nych i zewn trznych;

4) konfiguracji sprz towej i ustawie mecha-nizmów zabezpieczaj cych;

5) rodowiska eksploatacji.Charakterystyka systemu lub sieci teleinfor-matycznej powinna okre la :) klauzul tajno ci informacji niejawnych,

które b d przetwarzane;2) kategorie uprawnie osób uprawnionych

do pracy w systemie lub sieci teleinfor-matycznej w zakresie dost pu do prze-twarzanych w nich informacji niejaw-nych, w zale no ci od klauzuli tajno citych informacji;

3) tryb bezpiecze stwa pracy systemu lub sieci teleinformatycznej.

Szczegó owe wymagania bezpiecze stwapowinny okre la :) osoby odpowiedzialne za wdro enie rod-

ków zapewniaj cych bezpiecze stwo tele-informatyczne;

2) zadania osób odpowiedzialnych za bezpie-cze stwo teleinformatyczne;

3) granice i lokalizacj stref kontrolowanego dost pu oraz rodki ich ochrony;

4) rodki ochrony kryptograficznej, elektro-

magnetycznej, technicznej lub organizacyj-nej systemu lub sieci teleinformatycznej;

5) inne zastosowane rodki ochrony zapew-niaj ce bezpiecze stwo teleinformatyczne informacji niejawnych;

6) zasady zarz dzania ryzykiem;7) zasady szkolenia z zakresu bezpiecze stwa

teleinformatycznego osób odpowiedzial-nych za bezpiecze stwo teleinformatyczne oraz osób uprawnionych do pracy w syste-mie lub sieci teleinformatycznej.Z kolei procedury bezpiecznej eksploatacji

opracowuje si i uzupe nia w fazie wdra ania

oraz modyfikuje w fazie eksploatacji przed dokonaniem zmian w systemie lub sieci. Dokument powinien zawiera szczegó owy wykaz czynno ci i dok adn opis sposobu ich wykonania, które musz by realizowane przez osoby odpowiedzialne za bezpiecze -stwo teleinformatyczne i osoby uprawnione do pracy w systemie lub sieci teleinforma-tycznej. Tworz c szczegó owy wykaz czynno-ci, warto uj go w tematycznie wyodr b-

nione procedury bezpiecze stwa dotycz ce:) administrowania systemem lub sieci tele-

informatyczn ;2) bezpiecze stwa osobowego;3) bezpiecze stwa dokumentów i materia ów

niejawnych, w tym procedur sporz dzania kopii dokumentów oraz niszczenia doku-mentów i ich kopii;

4) ochrony kryptograficznej, elektromagne-tycznej, fizycznej, niezawodno ci trans-misji lub kontroli dost pu do urz dzesystemu lub sieci teleinformatycznej;

5) bezpiecze stwa urz dze oraz oprogra-mowania;

6) zapewnienia ci g o ci dzia ania systemu lub sieci teleinformatycznej;

7) zarz dzania konfiguracj ;8) audytu bezpiecze stwa.

W procedurach bezpiecznej eksploatacji trzeba te okre li tryb post powania admi-

nistratora, inspektora bezpiecze stwa oraz u ytkowników w sytuacji wyst pienia incy-dentu bezpiecze stwa teleinformatycznego.

Szczegó owe wymagania bezpiecze -stwa oraz procedury bezpiecznej eksploatacji systemu dla informacji niejawnych o klauzuli „zastrze one”Ustawa o ochronie informacji niejawnych dokonuje wyra nego podzia u na tajemnicpa stwow i s u bow . Ale inaczej traktuje si informacje poufne, a inaczej zastrze one. Dotyczy to cho by ujawnienia tajemnic z tymi

klauzulami – przy poufnych istnieje obowi -zek informowania o zdarzeniu s u by ochrony pa stwa, przy zastrze onych takiego obowi z-ku nie ma. Z kolei urz dzenia i narz dzia kryptograficzne, s u ce do ochrony informacji poufnych (oczywi cie tak e tajnych i ci le tajnych), podlegaj badaniom i certyfikacji prowadzonym przez s u by ochrony pa stwa – podobne systemy przetwarzaj ce informacje zastrze one ju nie.

Zasady tworzenia szczegó owych wyma-ga bezpiecze stwa oraz procedur bez-piecznej eksploatacji dla systemów, w któ-rych przetwarzamy informacje zastrze one i struktura zawarto ci obu dokumentów stakie same jak w przypadku materia ów pisa-nych dla systemów, w których przetwarzamy tajemnic pa stwow . Jedyna ró nica polega na tym, e po zg oszeniu dokumentów do s u b ochrony pa stwa, niewniesienie przez te s u by zastrze e w ci gu 30 dni uprawnia do kolejnej fazy budowy, a w rezultacie do uruchomienia systemu.

Szczegó owe wymagania w zakresie ochrony informacji niejawnych ozna-czonych klauzul „zastrze one”Jak wspomnia em wcze niej, zarówno usta-wodawca, jak i s u by ochrony pa stwa akcep-tuj troch inny sposób ochrony infor-

Regulamin to miejsce na wskazanie, czym zajmuje si kierownik kancelarii tajnej i jaka jest jego odpowiedzialno .


ZTEMATOK ADKI


22-31_cover_bg.indd 30 2007-12-03 12:17:21



macji o klauzuli „zastrze one”, a inny informacji o wy szych klauzulach. St dzapewne pomys , aby informacje zastrze-one, podlegaj ce mniej rygorystycznej

ochronie, mia y swoje uregulowanie. W zwi zku z tym dokument „Szczegó owe wymagania w zakresie ochrony informacji niejawnych oznaczonych klauzul zastrze-one” powinien obejmowa ca okszta t

zagadnie zwi zanych z ochron infor-macji o tej klauzuli w firmie. Powinny siw nim znale :• zasady ochrony fizycznej – czyli sposób

przechowywania zarówno w pomieszcze-niach, jak i w szafach oraz meblach biu-rowych;

• zasady wytwarzania i obiegu – pocz wszy od informacji, kto i w jakich warunkach mo e to robi , przez sposób pakowania i adresowania, a do przekazywania w fir-mie i poza ni ;

• rodki ewidencji dokumentów zastrze o-nych – dzienniki, wykazy i ksi ki dor czepozwalaj ce prowadzi odr bne ewidencje;

• czynno ci kancelaryjne w zakresie obs ugi dokumentów zastrze onych – okre laj ce kto, gdzie i w jakim zakresie ma prawo zaj-mowa si obs ug tych dokumentów;

• zasady sporz dzania kopii, odpisów i wypi-sów dokumentów „zastrze onych” oraz sposób post powania z za cznikami do tych dokumentów;

• zasady dokonywania przegl dów i znosze-nia klauzul;

• zasady archiwizacji i niszczenia dokumen-tów zastrze onych.

Do dokumentu „Szczegó owe wyma-gania w zakresie ochrony informacji nie-jawnych oznaczonych klauzul zastrze one" mo na tak e doda wykaz informacji, którym obligatoryjnie nadaje si w firmie klauzul„zastrze one”.

Wykaz stanowisk lub rodzajów prac zleconych, z którymi mo e czysi dost p do informacji niejawnychDokument ten nie jest opisem procedury post powania, a jedynie informacj dla osób zatrudnionych w firmie i ubiegaj cych sio zatrudnienie, jakie stanowiska lub prace wi za si mog z poddaniem sprawdzeniu

przez s u by ochrony pa stwa. Trudno dysku-towa tu nad wag tego dokumentu – posia-danie go wynika wprost z przepisów ustawy.

Baza danych osób, które posiada-j po wiadczenia bezpiecze stwa, osób, w stosunku do których prowa-dzone jest post powanie sprawdza-j ce, osób przeszkolonych w zakre-sie ochrony informacji oraz osób, którym cofni to po wiadczenie bezpiecze stwaTu tak e mamy do czynienia nie z procedu-r , a z pomocnicz ewidencj , która dobrze przygotowana w znaczny sposób u atwi pra-wid owe dzia anie zarówno kierownikowi jednostki, jak i osobie odpowiadaj cej za ochron informacji.

W takiej bazie powinny by :• dane identyfikuj ce wszystkie osoby w fir-

mie, które posiadaj po wiadczenia bez-piecze stwa, wraz z numerami po wiad-cze , poziomem dopuszcze oraz termi-nem wa no ci;

• dane osób, w stosunku do których pro-cedura sprawdzaj ca si rozpocz a, wraz z informacj na jakim jest etapie;

• dane osób przeszkolonych w zakresie ochro-ny informacji niejawnych, wraz z datprzeszkolenia;

• dane osób, którym odmówiono lub cofni to wydanie po wiadczenia bezpiecze stwa.

Tworz c tak baz , warto zbudowa jw sposób, który automatycznie b dzie przy-pomina u ytkownikowi o up ywaj cych terminach.

Wiele jest dokumentów u atwiaj cych ochron informacji czy po prostu bez-pieczniejsze funkcjonowanie ka dej firmy. Mo emy stworzy :• zasady przydzielania, blokowania i likwida-

cji kont i hase u ytkownikom pracuj cym w niejawnych systemach komputerowych;

• zasady stosowania hase przez u ytkowni-ków systemów komputerowych;

• instrukcj alarmow w przypadku znale-zienia lub informacji o pod o eniu adunku wybuchowego;

• zasady wykonywania i przechowywania kopii materia ów (dokumentów) z punktu widzenia firmy „wra liwych”;

• zasady post powania z kopiami roboczymi dokumentów oraz innymi materia ami nie-archiwalnymi;

• zasady przegl du miejsc uznanych za newralgiczne oraz oceny skuteczno ci zastosowanych zabezpiecze ;

• modelow instrukcj bezpiecze stwa prze-mys owego;

• zasady prowadzenia rozmów telefonicz-nych, spotka i wyjazdów s u bowych, i wiele, wiele innych.

Procedury i dokumenty do nich mo na mno y , ale bez wzgl du na ich licz-b i jako zawsze musimy pami ta ,e nawet najlepsze rozwi zania nie

zast pi my lenia. Najs abszym ogni-wem w ochronie naszych informacji jest zawsze cz owiek i nie ma systemów ochrony ca kowicie bezpiecznych. Ale ist-niej takie, które skutecznie zniech cajpotencjalnego agresora. Dobre procedu-ry s jednym z elementów, który mo ew tym pomóc. t

GETTY IMAGES/ICONICA/FPM

22-31_cover_bg.indd 31 2007-12-03 12:20:53


32 www.cso.cxo.pl

BACKGROUND CHECK

Testy, które przechodz kandydaci na pracowników korporacji, maj na celu wy onienie osób najbardziej

przydatnych dla firmy. Co dla mened erów bezpiecze stwa jest najistotniejsze przy rekrutacji nowych ludzi?

Jacek Wownysz

RAPORTWarto testowania pracowników

czyli prze wietlanie pracownika

32-35_raport_bg.indd 32 2007-11-30 15:34:38

http://www.cso.cxo.pl

P Podczas gdy wi kszo respondentów przeprowadza sprawdzenie pracowników juzatrudnionych b d tych, których zamierza przyj do firmy, tylko po owa czuje, e testy te maj warto przy odsiewie potencjalnie problemowych ludzi. Zapewne dlatego ponad 60% szefów bezpiecze stwa bior cych udziaw badaniu uzna o, e powinno sprawowaci lejsz piecz nad firmow polityk i proce-

durami dotycz cymi przeprowadzania takich sprawdze .

Oczywi cie, pewne firmy bardzo dok ad-nie sprawdzaj yciorysy kandydatów (np. s u by zwi zane z obron kraju etc.). Inne, jak cho by instytucje finansowe, mog to robi czasami, szczególnie w przypadku szczebla mened erskiego lub osób maj cychbezpo redni styczno z pieni dzmi. Przy zatrudnianiu wykwalifikowanego mene-d era, który ma przynie firmie wymierne zyski, ka dy prezes chcia by wiedzie , czy to, co przysz y pracownik napisa w swym rozbudowanym yciorysie, jest zgodne ze stanem faktycznym.

Poni ej przedstawiamy wyniki raportu opracowanego przez ameryka sk edycjmagazynu CSO. Materia powsta na bazie ankiet dotycz cych prze wietlania przy-sz ych pracowników, wys anych do mene-d erów odpowiedzialnych za bezpiecze stwo w firmach.

WYNIKI BADANIA:1. Kto dokonuje sprawdze ?Po owa CSO bior cych udzia w badaniu stwierdza, e dok adnego „prze wietlenia” kandydatów na szczególne stanowiska w firmie dokonuje dzia zarz dzania zasobami ludzkimi (HR), 35% twierdzi, e czyni to CSO lub dzia bezpiecze stwa, a w przypadku 2% dzia prawny. W firmach, w których CSO nie jest bezpo rednio odpowiedzialny za czprocesu rekrutacji, 3 % twierdzi, e w jakisposób w nim uczestniczy. Natomiast 39% jest zaanga owanych w minimalnym stopniu lub nie bierze w tym udzia u.

2. Efektywno45% respondentów uwa a, e sprawdzenia kandydatów na pracowników s efektywne lub wr cz bardzo efektywne we wst pnej

selekcji osób, które nie b d pasowa y do wizerunku firmy. Jednak e nie wszyscy CSO podzielaj ten pogl d. 39% uwa a, etego typu testy s cz ciowo efektywne, a 5% twierdzi, e nie s efektywne.

Interesuj ce jest to, e wi kszo (85%) uwa a, i ledztwa rzadko zawodz przy wykrywaniu czego , co pomo e zapobiec zatrudnieniu nieodpowiedniego pracownika. Tylko 9% twierdzi, e testy te cz sto pomijajwa ne fakty.

3. Sk ad testówsprawdzaj cych

Najwa niejsze sk adniki testów zawierajweryfikacj historii poprzedniego zatrudnie-

nia kandydata (84%), notowania w kartote-kach policyjnych (84%), sprawdzenie refe-rencji personalnych (6 %), edukacji (59%) i u ywania narkotyków (52%). Du o rzadziej sprawdzano przebieg kariery jako kierowcy (38%) – sk onno kandydata do podejmo-wania ryzyka (mo e o tym wiadczy du aliczba wypadków), umiej tno ci koncentracji, histori s u by wojskowej (38%), zaci gni -te zobowi zania kredytowe (36%) i wyniki testów psychologicznych (9%).

Przy obsadzaniu wa nych stanowisk czte-ry najcz ciej wymieniane sprawdzenia sidentyczne jak w przypadku zwyk ych pra-cowników: notowania w kartotekach policyj-nych (84%), weryfikacja historii poprzedniego

ILUSTRACJA: GETTY IMAGES/COLLECTION MIX: SUB/FPM www.magazyncso.pl 33


32-35_raport_bg.indd 33 2007-11-30 15:35:02


zatrudnienia kandydata (84%), sprawdze-nie referencji personalnych (78%), wery-fikacja edukacji (71%), przy czym dwa ostatnie pojawiaj si cz ciej. Dok adniej sprawdzano limity zaci gni tych zobowi zakredytowych (64%), przebieg kariery jako kierowcy (63%), histori s u by wojskowej (47%) oraz przeprowadzano testy psycholo-giczne (17%).

55% respondentów by o zobowi zanych przez ustawodawstwo danego kraju do prze-prowadzenia testów sprawdzaj cych przyjmo-wanego personelu. Testy dotyczy y: notowa-nia w kartotekach policyjnych (70%), u ywa-nia narkotyków (45%), przebiegu kariery jako kierowcy (36%), weryfikacji historii poprzedniego zatrudnienia (35%).

4. Wskazane w czenie CSOTylko 55% respondentów jest zadowolonych z obecnego poziomu zaanga owania w proces sprawdze przeprowadzanych przez ich firmy. Ci z nich, którzy pragn by bardziej zaanga-owani w ten proces, chcieliby mie wi ksz

kontrol nad decyzjami, co nale y spraw-dza (36%), lub mie wi cej do powiedzenia w kwestii polityki firmy dotycz cej tego, kogo zatrudnia nie nale y. Ma y procent (3%) respondentów chce by mniej zaanga oway w proces sprawdze .

Podczas gdy CSO nie s w czani w testy pracowników w takim stopniu, w jakim by sobie yczyli, wskazuj , e s zadowoleni z tego, i ich uwagi s uwzgl dniane w proce-sie zatrudniania nowych osób w firmie. 83% respondentów twierdzi, e ich rekomendacje dotycz ce osób, których nie nale y zatrudni ,uzyskane na podstawie przeprowadzonych sprawdze , nie s nigdy ignorowane. Tylko 12% uwa a, e ich rekomendacje s cz sto lub prawie zawsze ignorowane.

5. Procedury i wyj tkiWi kszo respondentów (77%) ma formaln ,spisan polityk zatrudnienia, która wska-zuje, co mo na zaakceptowa z przesz o ci kandydata. Wielu z nich dopuszcza jednak odst pstwa. 44% posiada formalne procedury dopuszczaj ce odst pstwa i s one ci le prze-strzegane, a kolejne 18% twierdzi, e odst p-stwa nie s sformalizowane. 15% nie pozwala na adne odst pstwa od polityki, ale ju 23% (niepokoj co wysoki procent – prawie jedna czwarta!) ankietowanych nie ma adnej poli-tyki zatrudnienia, a proces rekrutacji nie jest sformalizowany. Co wi cej, respondenci wskazuj , e negatywne informacje wykryte podczas sprawdze czasami nie przyczyniajsi do tego, e dana osoba nie zostanie zatrud-niona. 75% twierdzi, e zdarza si tak w mniej ni w 5% przypadków, a 25% osób, e w wi cej ni w 5% przypadków.

6. Outsourcing i dok adnobadania

Gdy przychodzi do testów, respondenci u ywaj ca ego wachlarza metod, w czaj cw to outsourcing. Wi kszo respondentów twierdzi, e ca o testów wykonuj za nich firmy zewn trzne (41%). 44% dokonuje spraw-dze , w czaj c prócz nich te swoich pracow-ników. Wi kszo pracodawców przeszukuje tak e dane ogólnodost pne w Internecie, który jest ca kiem niez ym i, co wa ne, darmowym ród em informacji.

Szefowie bezpiecze stwa maj teswoje metody, by sprawdzi dok adnobada przeprowadzonych przez zewn trz-ne firmy. G ównym sposobem jest usta-lenie, czy firma potwierdzi a wszystkie negatywne informacje u róde (48%) oraz

sprawdzenie zgodno ci raportu z oryginal-nym ród em (38%).

7. Udost pnianie informacji kandydatom

33% respondentów pozwala kandydatom zapozna si z raportem, zanim zostanie podj ta decyzja o niezatrudnieniu danego pracownika. Kolejne 30% daje kandydatowi szans na wyja nienie w tpliwo ci przed podj ciem decyzji, a 18% twierdzi, e da o-by mo liwo wyt umaczenia si , jednak zatrudnia w tym czasie inn osob .

8. Jak dzia aJak sobie radzi , by uchroni firm od zatrud-nienia kogo , kto mo e narazi j na stra-ty? Pomóc mog w tym wewn trzne dzia yorganizacji, np. HR, interesuj cych informacji dostarczaj te firmy po rednicz ce w zatrud-nieniu lub prywatne agencje detektywistycz-ne, b d ce cz sto w stanie dok adnie prze-wietli kandydata na przysz ego pracownika.

Najwa niejsze jest jednak, by polega na w asnej intuicji oraz opinii dzia u bezpie-cze stwa i ju na wst pie stara si odsianieodpowiednich kandydatów, a szczegó o-wym testom podda tylko te osoby, co których mamy przekonanie, e nadaj si na dane stanowisko. W innym przypadku ponosimy podwójn strat : czas po wi cony na rekruta-cj i szkod , któr przynie mo e zatrudnie-nie nieodpowiedniej osoby. Warto te pami -ta , e nie ka d szkod da si wyceni . t

Na podstawie: www.csooline.com



Metodologia badaniaBadanie zosta o przeprowadzone przez ameryka ski magazyn CSO. Nie wszyscy respondenci odpowiedzieli na ka de pyta-nie. Ankietowani reprezentuj ró ne bran eprzemys u, w czaj c tak e instytucje pa stwowe: rz d ( 5%), opiek zdrowotn( 0%), finanse ( 0%), telekomunikacj (8%).

7% respondentów stanowi dyrektorzy ró nego szczebla „C” w firmach: CSO, CISO, CEO, CFO, CIO czy CTO. Kolejne 22% to dyrektorzy ds. bezpiecze stwa, a 7% – kierownicy takiej komórki w firmie.33% to firmy zatrudniaj ce ponad 30.000 pracowników, 5% zatrudnia od 0.000 do 29.999 osób, a 33% to zakres .000 – 9.999 pracowników. 26% pracuje dla firm zatrudniaj cych mniej ni 999 osób.

Technologia na s u bieGdzie diabe nie mo e, tam… wariograf po le. Urz dzenie to bada puls, ci nienie, oddech czy oporno elektryczn skóry. Pozwala precyzyjnie okre li , jak cz owiek reaguje na poszczególne pytania. Z tego powodu procedura stosowana w wielkich korporacjach na wiecie obejmuje wykorzy-stanie wariografu. W Polsce testom na tym urz dzeniu od lat regularnie poddawani spracownicy s u b mundurowych, np. StraGraniczna czy pracownicy s u b specjal-nych. Bezsensowne jest poddanie testowi wszystkich pracowników (zwa ywszy, e samo badanie do tanich nie nale y),

natomiast dyrektor, który podejmuje stra-tegiczne decyzje, lub magazynier odpow-iedzialny za przedmioty o wielomilionowej warto ci, to ju inna sprawa. Wariograf prawie ze 00-proc. dok adno ci wska emotywacj przysz ego pracownika, u ywanie narkotyków, problemy z prawem. Z jego pomoc szybko ustalimy, czy nasz przysz ypracownik nie jest szpiegiem konkurencji.

32-35_raport_bg.indd 34 2007-11-30 15:35:32

http://www.csooline.com




32-35_raport_bg.indd 35 2007-11-30 15:35:54


PCzy jeste zm czony obron przed hackerami? Je li tak, przejd do ofensywy.

Idea, o której mówimy, zwie si honeypot – system komputerowyzaprojektowany tak, by przyci gn uwag intruza i zarejestrowa

ka dy jego ruch. Simson Garfinkel

36 www.magazyncso.pl ILUSTRACJA: LIQUID LIBRARY

Po my l o sys temach ty pu ho neypot ja ko o in teligentnych bazach da nych. Wie lu hac ke rów prze gl da za soby glo balnej sie ciw po szukiwaniu kiep sko chro nionych sys temów kom puterowych.Honeypot (w do s ownym t umaczeniu „gar niec mio du”) jest, wy dawa-oby si , do sko na ym ce lem dla hac ke ra. S abo chro niony, za wieraj cy

mas da nych kom puter, któ ry umo liwia pe netracj , lecz jed nocze nie wyposa ony jest we wszyst ko, co po zwala za rejestrowa ru chy w amy-wacza, sa memu b d c nie widocznym. Wi c gdy tyl ko hac ker w amie si do ta kiego sys temu, mo esz spraw dzi , jak te go do ko na , prze ledzicie ki, któ rymi pró bowa do sta si do sys te-

mu, tak by za bezpiecza w a ciwe ser wery przed po dobnymi ata ka mi.

Mo esz tak e ze bra cen ne da ne o na rz -dziach, ja kich u ywali hac ke rzy do w amania oraz, za po moc ska nowania ich sys temuko munika cji, stwo rzy ma p ich sie ci da nych.

Zbudowanie sys temu ty pu ho neypot nie jest trud ne. Wszyst ko, cze go po trzebujesz, to pod czony do In ternetu kom puter, dzia a-j cy pod kon trol MS Win dows lub Li nux, bez za instalowanych atek bez piecze stwa. Mimo e hac ke rzy sta raj si za masko waswoje dzia ania, to za po moc od powiednie-go opro gramowania mo esz ledzi ka dy ich ruch. Wy starczy spo koj nie cze ka na atak. Dzia anie sys temu ho neypot nie jest po zbawione ry zyka. Dzie je si tak ze wzgl du na ogrom n ilo za infeko wanych przez hac ke ra sys temów (tzw. zom bie com puters), sta raj cych si w ama do two jego kom putera. Stworzenie sys temu ma o od pornego na atak mo e spo wodowa , e twój system zo stanie u yty do ata ku na in ne, sam sta j c si jed nym z zom bie, a ty zo staniesz oskar ony o za niedbania w za rz dzaniu sys temami in for-matycznymi. Tu do chodzimy ju do te matu sie ci Ho neynet.

Honeynet to nic in nego jak ho neypot z za instalowan tech no-logi s u c re jestracji po czyna hac ke ra i jed nocze nie mi nimali-zuj c lub ca ko wicie eli minuj c ry zyko dla in nych u ytkow ników Internetu ze stro ny two ich kom puterów. Po s u ymy si przy k adem. Instaluj c ho neypot, wy starczy usta wi fi rewall w spo sób umo li-

wiaj cy ca y ruch przy chodz cy z sie ci i jed nocze nie blo ku j cy ruch wychodz cy. Cho ta ki sys tem jest bez pieczny dla u ytkow ników sie-ci, pro blemem jest tu spryt w amywaczy. Wi kszo z nich zo rientuje si szyb ko, e zo stali z apani w pu apk , co zwy kle ko czy si ata kiem polegaj cym na wy ka sowaniu wszyst kich da nych na dys kach ho ney-pota i za przestaniu prób ata ku na ten ser wer (co, nie stety, nie da je adnych in formacji oso bom kon troluj cym ho neypot).

Przez ostat nie la ta Lan ce Spit zer i in ni z Ho neynet Pro ject sta rali si stwo rzy i wdro y sys tem, któ ry po zwoli by na za rz dzanie sie ci

typu ho neynet i na ana lizowanie re zultatów. U ywana przez nich tech nologia jest cie ka wa, lecz efek ty nie za wsze spe niaj ocze kiwania. By roz wi za pro blem szko dzenia in nym u yt-kow nikom In ternetu, Spit zer i je go lu dzie opracowali ró norakie tech niki kon troli prze-p ywu da nych – przy k adowo, in teligentny firewall po zwalaj cy pi ciu z dzie si ciu prób po cze na go dzin na kon takt z In ternetem. To wy starczy, by hac ker nie na bra po dej-rze , ale jed nocze nie zbyt ma o, by za szko-dzi in nym u ytkow nikom sie ci. Ta kie za sady mog zo sta wdro one tak e przy u yciu ko mercyjnych sys temów fi rewall, ta kich jak Check Po int So ftware Tech nologies czy tedzia aj ce dla sys temów Li nux i OpenBSD.

Naturalnie, adna tech nologia kon troli nie jest do sko na a. „Im wi ksza swoboda w dzia aniu hac ke ra, tym wi cej mo esz si do wiedzie i tym wi ksze jest zwi zane z tym ry zyko” – mó wi twór cy sys temu.

Przechwytywanie da nych jest ko lejnym wy zwaniem tech nicznym dla tych, któ rzy zde cyduj si uru chomi ho neypot. Re jestruj c ka dy pa kiet danych, któ re przy chodz i s wy sy ane z sys temu, oso ba kon troluj ca honeypot mo e zdo by cen ne in formacje o tym, co pla nuj in truzi. Pli ki logów za pisywane przez ho neypot sa me w so bie s ju do brym ród em danych. Lo gi mo g zo sta atwo usu ni te przez w amywacza, st d tewa ne jest, by sys tem w okre lonych od st pach cza su wy sy a ich ko pie na log se rver – w tej sa mej sie ci, lecz znacz nie le piej chro niony. (Stan log se rvera na le y sta le mo nitorowa . On rów nie mo e zo sta za atako-

HONEYPOTstrategia przeciw dzia aniom hackerów

nawarsztacie

36-37_honeypot.indd 36 2007-11-30 15:36:52



wany). Re jestracja da nych skom pliko wa a siostatnio ze wzgl du na fakt, e hac ke rzy sta ra-j si u ywa za awansowanych tech nik kryp to-graficznych do za masko wania swych dzia a .W la tach 90. wi kszo in truzów lo gowa a sina za atako wane ser wery, u ywaj c otwar tych protoko ów tek stowych, ta kich jak tel net czy rsh. Obec nie, wie dz c, e po dru giej stro nie sieci mo g na tkn si na pro fesjonalist z dzie-dziny bez piecze stwa lub IT, sto suj pro toko ykryptograficzne, np. ssh, co spra wia, e ich ko munika cja sta je si od porna na mo nitorowa-nie sie ci. Od powiedzi na po dobne dzia ania jest kon figuracja sys temu ho neypot umo li-wiaj ca re jestrowanie wszel kich da nych p yn -cych sie ci (wpro wadzane kla wiatur zna ki, przesy ane pli ki i in ne in formacje po winny by za pisywane przez sys tem mo nitoruj cy na od r bnym ser werze). Ze wzgl du na to, e in truz móg by na trafi na te da ne, pro jekt

przewiduje u ycie ró nych ste nograficznych technik ma sku j cych – np. ukry cie re jestrowa-nych zna ków wpro wadzanych z kla wiatury w prze sy anych sie ci pa kietach Net Bios. Jest to ca kiem do bry i spryt ny po mys , na turalnie do cza su, gdy in truzi prze ami za bezpieczenia i opra cuj mo dyfika cj po dobnych tech nik do w asnych ce lów.

Honeypot po zwala tak e na znacz ne zmniejszenie cza su do tarcia do po trzebnych danych. W ty powym ser werze sie ciowym lub w ser werze pocz ty ata ki mo g by nie zauwa o-ne w rze ce p yn cych da nych. Sys tem wy kry-wania in truzów, na wet je li jest za instalowany, rzadko po maga, gdy ma ten dencj do ge ne-rowania spo rej licz by fa szywych alar mów. Za to ho neypot cha rakteryzuje si nie wiel-kim ru chem sie ciowym lub nie ma go wca le. Wi kszo wy sy anych lub otrzy mywanych danych to, z de finicji, pró by ata ku. W re zulta-cie o wie le atwiej jest zna le i szcze gó owo prze ledzi wszel kie po czynania hac ke ra. Od momentu utwo rzenia, w 999 r., Ho neynet Project do starczy ogrom n ilo cen nych in for-macji, któ re mo esz zna le na stro nie pro jek-tu: www.ho neynet.org lub w opra cowaniuSpitzera „Ho neypots: Trac king Hac kers”. Kil ka cieka wych usta le : licz ba ata ków po dwaja siz ro ku na rok, in truzi sto suj au tomatyczne programy do w ama , u ywaj ce tech nikexploitów ja ko plu giny (co stwa rza mo liwo

szybkiego upgra du pro gramu, gdy tyl ko ko lej-na s abo ja kiego sys temu zo staje wy kryta) oraz to, e co raz mniej hac ke rów sto suje ma owyrafinowane tech niki w ama .

Honeypot to przede wszyst kim na rz dziebadawcze, ale za wiera te kil ka apli ka cji,które mo g przy da si w biz nesie. Ustaw honeypot na ad resie IP przy pisanym do twojego ser wera in ternetowego lub pocz tyi b dziesz mia pod gl d, ja ki jest cel ata ków. Nie na le y przy pisywa tej ma szynie na zwyz ser wera do meny – wi kszo ata ków jest przeprowadzana przez ad res IP. Pod gl dzdarze b dzie naj lepszy, je li ho neypot u ywa te go sa mego sys temu ope racyjnego,

poziomu atek sys temowych i apli ka cji jak serwer, któ ry chcesz chro ni . Naj lepiej stwo-rzy do k adn ko pi ser wera i mo nitorowaca y ruch za po moc sys temu ho neypot.Je li in truz w amie si do niej, b dzieszwiedzia , któ re za bezpieczenia dzia aj nie tak, jak by so bie te go yczy , i co na le yusprawni w chro nionym ser werze. Plu semtego roz wi zania jest fakt, e cho w ama-nie na st pi o, to in truz, nie wie dz c o tym, szpiegowa tyl ko ho neypot, któ ry prze cienie za wiera cen nych dla fir my da nych.

Spitzer pod kre la, e ho neypot i ho ney-net nie s na rz dziami ty pu „uru chom i za pomnij”. We d ug Ho neynet Pro ject, ana-liza te go, co w amywacz uczy ni i ja kieszko dy wy rz dzi w trak cie trzy dziestomi-nutowego ata ku, zaj muje od 30 do 40 godzin. Sys tem wy maga tak e okre sowegoskrupulatnego spraw dzenia funk cjonalno-ci i prze prowadzania te stów. Po siadaj c

honeypot, ci gle to czysz stra tegiczn wal kz in truzem. Ty wy bierasz te ren bi twy, lecz on de cyduje, kie dy ude rzy . Dla tego mu siszprzez ca y czas za chowa kon trol .

Jednym z naj ciekaw szych roz wi za , ja kie mo na stwo rzy przy u yciu sys temów ho ney-pot, jest za projektowanie i uru chomienie wir-

tualnych sie ci ho neynet – wir tualnie sy mulu-j cych ca sie kom puterów, któ re dzia ajpod kon trol sys temów VMwa re lub Li nux. Wir tualny sys tem po zwala na uru chomienie kilku (za zwyczaj do oko o dzie si ciu) wir tual-nych kom puterów na jed nej ma szynie. Wir tu-alne sie ci ho neynet znacz nie ob ni aj kosz ty, wyko rzystuj prze strze na po stawienie ko lej-nych ma szyn, a tak e uprasz czaj za rz dza-nie sys temem. Po niewa wir tualne „dys ki” stak na prawd pli ka mi sys temu ho sta, atwo wykry wszel kie zmia ny do ko nane przez in tru-za i, je li to ko nieczne, za maza ca y plik. Co wi cej, sys temy wir tualne wspie raj opcje „wstrzymania” i „wzno wienia” sys temu, co

daje mo liwo hi bernacji za atako wanego kom-putera, prze wietlenia dzia a hac ke ra i otwar-cie TCP/IP w in nym miej scu sys temu.

Dla CSO za rz dzaj cego du or ganiza-cj jed nym z g ównych po wodów in stalacji systemu ho neypot jest mo liwo wy kry-cia wro gich dzia a we wn trz fir my. Ka da kor poracja na ra ona jest na dzia ania nie-lojalnych pra cowników, któ rzy nie mu sztrudzi si obej ciem fi rewalla, by do sta sido we wn trznej sie ci w ce lu spe netrowania jej s abo ci. Jed nym z naj lepszych spo sobów wytropienia ich dzia a jest w a nie ho ney-net, któ ry, od ci ty od ze wn trznego wiata i usta wiony przy sys temach po dejrzewanych o pró by w ama , szyb ko znaj dzie in truza.

Niestety, mo nitorowanie sys temu ho ney-pot mo e na potka po wa ne ogra niczeniaprawne – mo e na przy k ad ama pra wo do prywatno ci ko respondencji. Usta wodawstwo w tej kwe stii jest ró ne w po szczególnych kra-jach, dla tego te twór cy sys temu przy pomina-j o spraw dzeniu, czy mo esz go le galnie u y-wa . War to tak e po wiedzie pra cownikom, czego mo g si spo dziewa .

Intruzom te go mó wi nie mu sisz ;-)... t

Opracowanie: Ja cek Wow nysz

Po siadaj c ho neypot, ci gle to czyszstra te gicz n wal k z in tru zem. Ty wy bieraszteren bi twy, lecz on de cy du je, kie dy ude rzy .

36-37_honeypot.indd 37 2007-11-30 15:37:14


http://www.ho


R Rok 1943. Wyobra sobie 42 stalowe szafy, 18.800 lamp elektronowych, 6000 komutatorów, 1500 przeka ników, 50.000 oporników. Pó miliona lutowa wykona-nych ca kowicie r cznie. 30 ton wagi, 140 kW mocy. O przep yw powietrza dba y dwa silniki Chryslera. Co to za urz dzenie? Dobre pytanie. To jeden z pierwszych prawdzi-wych komputerów – ENIAC. Cho jego mo liwo ci, na ówczesne czasy niewy-obra alnie wielkie, dorównuj tylko obec-nym skomplikowanym kalkulatorom, mia jedncech , która w przypadku komputerów nie zmieni a si do dzi . By ... zawodny. Faktem jest, edzisiejsza elektronika jest daleko bardziej zaawansowana, a redni czas bezawaryjnej pracy maszyny, który dla ENIAC wynosi oko opó godziny, jest setki tysi cy razy d u szy, awarie i zwi zane z nimi ryzyko utraty danych wci nie zosta y ca kowicie wyeliminowane. Mówi c o danych, zastanówmy si chwil , o co chodzi. W przypadku u ytkownika domowego, cho niew tpliwe dla niego cenne, komputero-we dane nie stanowi wielkiego zasobu finan-sowego. W przypadku firmy sprawa wygl da inaczej. Cz sto warto danych, znajduj cych si na twardych dyskach firmowych kompu-terów i serwerach, jest bardzo du a, chotrudna do oszacowania. Jak bowiem mo na przeliczy na pieni dze np. projekt, który

nie przy-niós ad-nych zysków, bo nie wdro ono go do produkcji? Dlatego te przed utrat danych nale y si chroni . A je li je ju stracimy – próbowa odzyska . Dobr wiadomo ci jest fakt, e operacja ta skutkuje rednio w ponad trzech czwartych przypadków.

CZY WARTOIstotn kwesti w przypadku utraty strategicz-nych danych firmowych jest czas, przez jaki firma nie ma do nich dost pu. W kategorii utraty

danych liczy si

brak mo li-wo ci wyko-

rzystania informacji, co cz sto zak ócafunkcjonowanie przedsi biorstwa. Jak mówi Pawe Odor, g ówny specjalista w firmie Ontrack, „du e firmy w przypad-ku braku dost pu do kluczowych informa-cji mog traci nawet 500 tys. z dziennie”.

CSO WARSZTAT

ODZYSKIWANIE DANYCHJak zapobiega i leczy

FOTO: ONTRACK

Utrata warto ciowych danych nie musi by równoznaczna z katastrof .Pod warunkiem e wiemy, jak je odzyska . Je li wiemy równie , jak temu zapobiec,

mo emy spa ... spokojniej. Jacek Wownysz

38-41- utrata_bg.indd 38 2007-11-30 15:37:44


Wtóruje mu Sebiastan Ma ycha, prezes zarz -du MediaRecovery: „W konkretnych przy-padkach wszystko zale y od warto ci utra-conych informacji. Je li uznamy, e wartointelektualna przedsi biorstwa wynosi 90%, a aktywa materialne 0%, w przypadku utraty danych to proporcja na rzecz warto ci intelek-tualnej – czyli utraconych danych”. Wed ug „US Today”, na rynku ameryka skim straty spowodowane utrat danych zamykaj siogromn kwot 8 mld dolarów rocznie. Jest zatem o co walczy .

TRWA O ROZWI ZAZ czego wynikaj przypadki utraty danych? G ównymi przyczynami s dwa czynniki: awaria sprz tu i/lub b d cz o-wieka. Wa n i coraz rzadziej pomijankwesti jest backup danych. Jak mówi Sebastian Ma ycha: „Zapewnienie bez-piecze stwa informacji to proces wyma-gaj cy systematyczno ci i skrupulatno ci. Nale y wykonywa archiwizacje tak cz sto jak to mo liwe, w sposób przyrostowy, tzn. nie usuwa istniej cych danych”. To znacznie zwi ksza prawdopodobie stwo odzyskania cho cz ci danych, nawet je li ostatnia kopia archiwum jest uszko-dzona. Tym bardziej e wiara w kopie bez-piecze stwa cz sto zawodzi w praktyce. Wed ug Gartnera, 7 % prób odtworzedanych z backupu ta mowego jest nieuda-ne (Gartner Group, www.data-mountain.com). aden system nie daje wi c ca ko-witego poczucia bezpiecze stwa. PaweOdor ujmuje to w nast puj cy sposób: „Nie wystarczy posiadanie systemu backu-powego – nale y regularnie go testowa ,weryfikowa poprawno zapisu, przepro-wadza próbne odtworzenia. Z naszych do wiadcze wynika, e wiele firm tego nie robi. Cz sto polityka bezpiecze stwa nie obejmuje krytycznych sytuacji, w któ-rych zawiod y systemy backupowe, a pra-cownicy nie s na to przygotowani”. Je li chodzi o ochron najwa niejszych infor-macji, firmy powinny wykazywa si ogra-niczonym zaufaniem do oferowanych im rozwi za zabezpieczaj cych. Wi kszoklientów firm zajmuj cych si odzyski-waniem danych stanowi organizacje,

FOTO: APC www.magazyncso.pl 39

ZASILANIE A UTRATA DANYCH

Tomasz Starzec,dyrektor handlowy, APC-MGE

Obok awarii komputerów, ataków wirusów i b dów aplikacji, zanik zasi-lania stanowi jeden z najcz stszych powodów utraty b d uszkodzenia danych. Jest wiele potencjalnych przyczyn d u szych przerw w zasilaniu, pocz wszy od awarii transformatora w wyniku wy adowania atmosferycz-nego, a po wy czenie sieci energety-cznej. Z wieloletniego do wiadczenia APC-MGE wynika, e rednia d ugoprzerw w zasilaniu wynosi oko o

00 minut w ci gu roku. Nag eodci cie od ród a energii prowadzi do natychmiastowego wy czenia sprz tu. Systemy operacyjne komputerów PC i serwerów nie s zaprojektowane z my l o nag ych zanikach zasilania znanych jako „twarde” wy czenie systemu, ale wykorzystuj zestaw wbu-dowanych procedur przygotowuj cych komputer do zamkni cia systemu, takich jak zapisywanie zawarto ci pami ci, zatrzymywanie aplikacji i us ug, itp. Twarde wy czanie mo espowodowa utrat lub uszkodzenie danych i konieczno naprawy po przywróceniu zasilania. Przez ostatnidekad nast pi post p technologi-czny dotycz cy twardych dysków, co umo liwi o zapobieganie awariom,

nie ograniczono prawdopodobie stwa uszkodzenia danych w wyniku odci cia pr du. W przypadku braku zasilania informacje zawarte w pami ci podr cznej s tracone, co mo e spowodowa utrat plików lub ich uszkodzenie. Dotyczy to dokumentów, krytycznych struktur systemu plików (takich jak tablica alokacji plików), a tak e danych aplikacji dynamicznych. W wielu przypadkach mo e to równie prowadzi do konieczno ci d ugotrwa ej naprawy po przywróceniu zasilania, podczas gdy system operacyjny lub aplikacje b d podejmowa próby odtworzenia uszkodzonych tablic itp. W celu unikni cia utraty danych APC-MGE zaleca stosowanie urz dze zaprojektowanych specjalnie do zapewnienia bezpiecze stwa sprz tu IT. Poniewa 90% przerw w zasilaniu trwa krócej ni 5 minut, w wi kszo ci przypadków, nawet w du ych serw-erowniach, u ycie agregatów pr dotwórczych nie jest konieczne. Warto zainwestowa natomiast w zasilacz awaryjny UPS, który pozwala u ytkownikowi zako czy bie c prac , zachowa edytowane dokumenty i wy czy komputer. Zasilacze UPS mo na stosowa w wielu ró nych konfiguracjach, zapewniaj c sta onapi cia pojedynczym komputerom osobistym, a tak e serwerom oraz sieciom lokalnym. Przy systemach korporacyjnych ochrona za pomoc zasilaczy awaryjnych UPS powinna by uzupe niona o oprogramowanie pozwalaj ce na zdalne zako czenie pracy serwerów, umo liwiaj c prawid owe zako czenie pracy wszystkich systemów, zanimwyczerpie si bateria UPS. W przypadku danych o znaczeniu krytycznym nale y zaopatrzysi w UPS z funkcj wyd u onego czasu pracy. Warto pami ta , e prawid owe zako czenie pracy niektórych serwerów poczty elektronicznej mo e zaj nawet 20 minut. W ka dym przypadku APC-MGE zaleca, aby nie lekcewa y zagro e zwi zanych z mo liwo ci utraty lub uszkodzenia danych w wyniku zaniku zasilania i zapewni swojemu sprz towi IT odpowiedni ochron .

38-41- utrata_bg.indd 39 2007-11-30 15:38:09

http://www.data-mountain


w których odtwarzanie danych z kopii bez-piecze stwa zadzia a o niew a ciwie lub nie zadzia a o wcale. Z tego te powodu nie warto kupowa najnowszego sprz tu, który nie zosta jeszcze wypróbowany. Chocia by po to, by si potem nie rozcza-rowa . Kolejn kwesti jest oszcz dzanie na no nikach. Podobnie jak w przypadku kiepskiego backupu mo na by pewnym, e s to oszcz dno ci pozorne.

Niezmiernie wa ne jest te odpowied-nie zabezpieczeniu miejsca, w którym gromadzimy no niki na wypadek zala-nia, po aru lub kradzie y. Nale y zwró-ci uwag na wiele elementów, istot-nych z punktu widzenia bezpiecze stwa, pocz wszy od umiejscowienia serwerowni, przez sprawno systemów klimatyzacji czy rozmieszczenie instalacji technicznych – a w tym instalacji wodnej (wi cej w CSO 2/07 „Bezpieczna serwerownia”).

By nie zosta zaskoczonym, mo na zawczasu podj odpowiednie kroki, a przy zabezpieczeniu strategicznych danych wybiera narz dzia i metody, opieraj c sina dwóch wyznacznikach: RTO – Recovery Time Objective – który opisuje, jak d ugo

zajmie organizacji powrót do normalne-go funkcjonowania po utracie dost pu do danych, oraz RPO – Recovery Point Objective – wskazuj cy, ile i jakie dane organizacja mo e straci .

ZDARZENIE LOSUCzyli – sta o si , dane zawarte na no ni-kach zosta y utracone. Co robi ? Po pierw-sze, nie wpada w panik . Chaotyczne, podejmowane na szybko dzia ania przy-nios z ca pewno ci wiele szkód. Cz sto firmy próbuj si ratowa samodzielnie, z pomoc ogólnodost pnych programów. Faktycznie, czasami dane udaje si w ten sposób odzyska . Jednak e istniej sytu-acje, kiedy nale y bezwzgl dnie uda sido specjalisty, nie ryzykuj c, e po dzia-aniach pracowników mo e nic si ju

nie da zrobi . Pawe Odor mówi, e „zda-rzenia, w których firmy mog poradzisobie same, to niektóre logiczne przypadki utraty danych. Ich przyczyn mo e byb d systemu, dzia anie wirusów lub b daplikacji. Zak adaj c, e firmowi infor-matycy wiedz , jak w a ciwie skorzystaz oprogramowania do samodzielnego

odzyskiwania danych, mog je zastosowaw a nie wtedy”. Zwró my uwag na jedno bardzo wa ne s owo tej wypowiedzi: nie-które. Metody tej bezwzgl dnie nie nale ystosowa , gdy dane s dla nas istotne. Problem bowiem w tym, e „gdy mamy do czynienia z uszkodzeniem logicznym, amatorskie próby odzysku danych w du ej cz ci ko cz si nieodwracaln utratzapisanych informacji” – mówi Sebastian Ma ycha. Zanim wi c zaczniemy jakiekol-wiek dzia ania, odpowiedzmy sobie sami na pytanie, jak bardzo nam na skasowa-nych danych zale y. Dlatego te dodaje: „Je li uznamy, e utracone informacje swa ne lub cenne, nie nale y podejmowaprób odzyskania ich na w asn r k ”. Obaj s zgodni co do jednego: je eli oka e si ,e mamy do czynienia z fizycznym uszko-

dzeniem no ników lub gdy zespó IT nie ma pewno ci co do sposobu odtworzenia danych, jedynym bezpiecznym rozwi za-niem jest zg osi si do specjalistycznego laboratorium. Wed ug statystyk, w przy-padku uszkodze fizycznych rednia wia-towa skuteczno odzyskiwania danych wynosi 76%, natomiast przy uszkodze-niach logicznych rednia skuteczno to ok. 90%.


CSO WARSZTAT

Szkolenia z zakre-su bezpiecze stwa danych s kluczowe dla zarz dzania ci g o ci biznesu. Z naszych do wiadczewynika jednak, ewiadomo dotycz ca

bezpiecze stwa danych w firmach jest jeszcze ci gle bardzo niska – szczególnie w ród pracowników spoza dzia ów IT.Pawe Odor, g ówny specjalista w firmie Ontrack

ZABEZPIECZENIE NO NIKÓWBy uszkodzone no niki dotar y do laboratorium w stanie umo liwiaj cym odzyskanie danych, nale y je odpowiednio zabezpieczy przed usz-kodzeniami mechanicznymi (mo na skorzystaze specjalnych opakowa dost pnych na ofero-wanych przez firmy odzyskuj ce dane) i najlepiej osobi cie dostarczy do laboratorium. Wyra nie opisa , e dany no nik uleg zalaniu lub po arowi, poinformowa o tym równie pracownika firmy.W przypadku spalenia no ników wa n informacjdla laboratorium odzyskiwania danych jest fakt, czy po ar gaszono. Je eli tak – to jak metod .Je li u yto wody, podobnie przy zalaniu, nie nale ydopu ci do wyschni cia no nika ze wzgl du na prawdopodobie stwo korozji. W pozosta ych przypadkach no niki lub ca e urz dzenia nale ydostarczy do specjalistów zabezpieczone w sposób, który uchroni je przed dalszymi uszkodzeniami w transporcie.

FOTO: ONTRACK

38-41- utrata_bg.indd 40 2007-11-30 15:38:35


Pami tajmy, e granic mo liwo-ci odzyskania danych wyznacza sto-

pie uszkodzenia no nika. Zdarza si ,e no nik przetrwa fizyczne uszkodze-

nie, a kolejne niebezpiecze stwo stwarza niefrasobliwo u ytkownika. Za ó my ci kie uszkodzenie fizyczne – po ar czy zalanie wod – uruchomionego sprz tu. Je li ju wydarzy si taka szkoda, nale-y przestrzega kilku regu . Jak mówi

Sebastian Ma ycha: „Zasada podstawowa: nie uruchamia no nika uszkodzonego w ten sposób. Wa ny jest równie czas reakcji, aby uniemo liwi lub zminima-lizowa ewentualn korozj . Nie starasi doczyszcza no nika na w asn r k ”. Pawe Odor dodaje: „W krytycznych przy-padkach najbezpieczniejszym sposobem dostarczenia no nika jest osobista dostawa do profesjonalnego laboratorium odzyski-wania danych, wprost w r ce specjalistów”. Co prawda, krytycznym parametrem jest czas dzia ania, nie nale y jednak popa-da w skrajno ci. Wspomina te , e kiedy kilka lat temu ratowano dane z zalanych komputerów podczas pami tnej powodzi w Pradze, jeden z mieszka ców tego mia-sta przywióz osobi cie zalany no nik w… akwarium pe nym wody. Praktyka wskazu-je, e je li komputery zosta y zalane wod ,z du ym prawdopodobie stwem dane uda si odzyska w ca o ci. Natomiast próby ich osuszenia i uruchomienia cz sto ko -cz si ca kowitym zniszczeniem przecho-wywanych danych.

PREWENCJANiwelowanie skutków utraty danych to proces d ugotrwa y (transport i odzy-skanie) oraz, niestety, kosztowny, chokoszt odzyskania danych cz sto jest wielokrotnie mniejszy od ich warto ci. Warto wi c zapobiega przypadkom utra-ty danych. Awaria sprz tu, to czynnik w du ym stopniu niezale ny od naszych dzia a (zak adaj c w a ciwy dobór rozwi za i sposobu obs ugi), wp yw czynnika ludzkiego mo emy racjonalizo-wa poprzez uczenie w a ciwych zacho-wa . Szkolenia pracowników skutecznie pomagaj w zapobieganiu przypadkom utraty danych. Pracownik, który nie wie, jak zachowa si w danej sytuacji, mo eprzez swoje dzia ania (na przyk ad próby uruchomienia uszkodzonego sprz tu) spowodowa szkody znacznie wi ksze nite, które ju wyst pi y. Wbrew pozorom,

takie przypadki zdarzaj si dosy cz sto. Wynika to z ró nych przyczyn, chocia -by ze strachu pracownika przed tym, co powie szef, gdy zobaczy, e podw adny uszkodzi komputer. Lepiej wi c, eby ów pracownik wiedzia , jak ma post pii e warto urz dzenia ma si nijak do warto ci danych na twardym dysku. Jak mówi Pawe Odor: „Szkolenia z zakresu bezpiecze stwa danych s kluczowe dla zarz dzania ci g o ci biznesu. Z naszych do wiadcze wynika jednak, e wiado-mo dotycz ca bezpiecze stwa danych w firmach jest jeszcze ci gle bardzo niska – szczególnie w ród pracowników spoza dzia ów IT”.

Warto wi c zawczasu podj odpo-wiednie kroki w celu ochrony firmowych danych – stosuj c porz dne, sprawdzo-ne rozwi zania i szkol c pracowników, zamiast liczy na szcz cie. t


Zapewnienie bezpiecze stwa informacji to proces wymagaj cy systematyczno ci i skrupulatno ci. Nale y wykonywa archiwizacje tak cz stojak to mo liwe, w sposób przyrostowy,tzn. nie usuwa istniej cych danych.

Sebastian Ma ycha, prezes zarz du MediaRecovery

STATYSTYKI

93% firmowych dokumentów jest tworzone, przegl dane i przechowywane w postaci elektronicznej.

70% tych dokumentów nigdy nie jest drukowane.

53% firm nie testuje planów cz ciej ni raz na dwa lata.

63% firm nie u wiadamia pracowników o tych planach.

75% nie obejmuje sytuacji: a je li backup nie zadzia a?

FOTO: MEDIARECOVERY

38-41- utrata_bg.indd 41 2007-11-30 15:39:11


WZakres zagro e bezpiecze stwa sieci nieustannie si rozszerza.

Niebezpieczne ataki gro nam w ka dym momencie, a liczba miejsc,z których mog zosta wyprowadzone, jest nie tylko du a, ale wr cz

niemal nie do opanowania. Herb Schneider

42 www.magazyncso.pl ILUSTRACJA: LIQUID LIBRARY

W od powiedzi na t sy tuacj fir myzajmuj ce si bez piecze stwem opra cowa ywiele ró nych urz dze pra cuj cych „in li-ne” oraz roz wi za chro ni cych okre lo-ny punkt sie ci, któ re s im plementowanena szczy cie in frastruktury sie ciowej w ce luzabezpieczenia jej przed za gro eniami, ta ki-mi jak ata ki DOS, kra dzie ami da nych czy wirusami. Nie stety, ar chitektura nie chro niw wy starczaj cym stop niu, gdy jej po jedyn-cze kom ponenty atwo mo g zo sta prze ci -one w na rastaj cym rodowisku za gro e .

Je eli sys temy bez piecze stwa ma j mieprzewag , mu sz by tak sa mo ela stycznei dy namiczne jak nie bezpiecze stwa.

Jednym ze spo sobów osi gni cia te go celu jest po czenie si y sys temu bez piecze -stwa z in frastruktur sie ci, na któ rej jest on oparty.

Systemy bez piecze stwa wy ko rzystujurz dzenia de dyko wane do roz poznania zagro e i uniesz ko dliwiania ich. Nie po tra-fi one na tomiast uru chamia i prze pro-wadza dzia a na prawczych w ska li ca ejsieci. Na przy k ad, ty powy sys tem wy krywa-nia/ochrony przed ata kiem (IDS/IPS) mo etylko mo nitorowa i blo ko wa ruch w po je-dynczym po czeniu sie ciowym.

Infrastruktura LAN, da j ca ca o ciowy wgl d w ruch w sie ci, z jej de dyko wanymi mo liwo ciami prze twarzania, jest naj lep-

szym miej scem ob serwowania i kon trolowa-nia ru chu oraz na turalnym punk tem eg ze-kwowania po lityk bez piecze stwa.

Wi kszo roz wi za za bezpiecze sto-suje si ja ko na k adki, nie wy ko rzystuj cmo liwo ci in frastruktury ota czaj cej sie ci.S one prze wa nie pro jektowane tak, aby

fizycznie chro ni po jedyncze po czenie sie-ciowe, a wi c wy ko rzystuj tyl ko pod stawo-w funk cjonalno ana lizy ru chu we wn trzsystemu.

Zamiast po lega wy cznie na ochro nieruchu prze chodz cego przez urz dzenie, sys-temy bez piecze stwa na st pnej ge neracjimusz mie mo liwo in tegracji z ca in fra-struktur sie ci.

Produkty bez piecze stwa dzia aj ce tylko ja ko stan dardowe ele menty sie ciowemia y za wsze ogra niczone mo liwo ci in te-gracji z p aszczyzn ste rowania in frastruk-tur sie ciow . Zwy kle by y to pro toko ydynamicznego ro utingu IP. Brak bar dziejzaawansowanej in tegracji mo na przy pisaprzeko naniu, e bez piecze stwo sie ci osi -gnie si , in staluj c po pro stu kil ka wy spe-cjalizowanych urz dze , ta kich jak fi rewall,w kil ku kry tycznych punk tach w sie ci.

Klasyczny spo sób my lenia o bez piecze -stwie sta je si po woli nie aktualny, ist nie-je jed nak mo liwo zna lezienia lep szegorozwi zania. Przy cis ej in tegracji te dwa systemy (bez piecze stwa i ste rowania sie ciLAN) mo g bar dziej efek tywnie za pewniaodpowiedni sto pie ana lizy i kon troli ru chu,niezb dny do two rzenia bar dziej dy namicz-nych, opar tych na po litykach za bezpiecze ,które au tomatycznie iden tyfiku j i re agujna za gro enia w sie ci.

INTEGRACJAinfrastruktury sieciowej

z systemami bezpiecze stwa

technologie

42-45_integracja.indd 42 2007-11-30 16:17:57


Aby ta kie po dej cie by o mo liwe, mu sz zo sta spe nionedwa g ówne wy mogi: ko munika cja po mi dzy sie ci i urz dzenia-mi bez piecze stwa oraz za pewnienie, e sys temy po trafi zro zu-mie po jawiaj ce si zda rzenia i re agowa na nie.

Oprócz au tomatycznego uniesz ko dliwiania za gro e po -czone sys temy po zwalaj na wpro wadzanie no wych roz wi za ,które mo g le piej wy ko rzystywa ogra niczon wy dajno pro-duktów bez piecze stwa, za pewnia im wi kszy za si g dzia aniaw sie ci i eli minowa po tencjalne punk ty awa rii.

Po ni ej przed stawione zo stan ró ne po dej cia do in tegracjipomi dzy ty mi sys temami, omó wione zo stan g ówne ele mentyotwartej ar chitektury wraz z przy k adami, w ja ki spo sób do brako munika cja mo e wzmoc ni ochro n i za pewni lep sze wy ko-rzystanie za sobów bez piecze stwa.

Sposoby in tegracjiWi kszo po dej do te matu in tegracji sys temów mo na po dzie-li na dwie gru py: ar chitektur otwar t i ar chitektur za mkni -t . Pro ducenci, któ rzy wy bieraj ar chitektur za mkni t , bu dujintegracj po przez spe cyficzne in terfejsy, któ re mo g ko muni-ko wa si ze sprz tem sie ciowym i za bezpieczaj cym tyl ko od jednego pro ducenta. Nie stety, ta kie po dej cie jest nie zgodnez ogól nym kie runkiem pa nuj cym w rodowiskach sie ciowych,polegaj cym na sto sowaniu otwar tych in terfejsów i stan dardo-wych pro toko ów, ta kich jak TCP/IP czy Ether net, co da je wy sokistopie kom patybilno ci i ofe ruje u ytkow nikom ko rzy ci z szyb-kiego tem pa wpro wadzania in nowacji.

Po dej cie za mkni te sta wia tak e spo ecze stwo pro jektan-tów i pro ducentów sys temów bez piecze stwa w nie zr cznejsytuacji, w któ rej mu sz na dal two rzy ogra niczone roz wi zaniafiltruj ce „in line”, nie integruj ce si z in frastruktur sie ci, dzia-aj ce jak na k adki.

Dla kon trastu – wy ko rzystuj c in terfejsy otwar te i stan-dardowe pro toko y, u ytkow nicy mo g swo bodnie i bar dziejefektywnie wy biera i mie sza ele menty wy posa enia od wie luproducentów. Da je to ad ministratorom nie tyl ko wi ksze mo li-wo ci w za kresie spo sobu bu dowy swo ich sie ci, ale te za ch caspo ecze stwo pro jektantów sys temów bez piecze stwa do wpro-wadzania i roz wijania no wych roz wi za .

W spra wach do tycz cych bez piecze stwa nie ist nieje ar chi-tektura, któ ra za spoka ja aby wszyst kie po trzeby; jest to z o onyproblem, któ rego roz wi zanie po winno opie ra si na stan dar-dach i otwar tych spo sobach. Dzi ki temu no woczesne sie cizyska j ela styczno , zdol no atwego do stosowywania si do zmiennego rodowiska, a pro jektanci b d le piej wy posa enii b d mie li na rz dzia do wpro wadzania dal szych in nowacji.

G ówne ele menty otwar tej ar chitekturyS dwa kluczowe elementy w otwartej architekturze: standar-dy i otwarte interfejsy dla programistów API. Za stosowaniestandardów jest nie zb dne w otwar tym po dej ciu do in tegracji

42-45_integracja.indd 43 2007-12-03 12:14:57

http://cxomedia.pl/


CSO TECHNOLOGIE

bezpiecze stwa i in frastruktury sie ci. Stan-dardowe in terfejsy umo liwiaj twór com systemów bez piecze stwa i pro ducentominfrastruktury sie ciowej kon centrowanie sina za awansowanych me todach wza jemne-go prze ka zywania in formacji o zda rzeniachw sie ci, aby móc le piej eli minowa za gro-enia bez ko nieczno ci two rzenia no wych

specyficznych ka na ów ko munika cji. Po nad-to in terfejsy ta kie uprasz czaj wy mianinformacji po mi dzy sys temami, co ob ni akosz ty in tegracji no wych urz dze i bie -cej ob s ugi.

Jednym z przy k adów jest za stosowaniestandardów otwar tych, ta kich jak 802. xdla kon troli do st pu do sie ci. 802. x jest standardem IE EE, ob s ugiwanym przez wie-le ró nych urz dze sie ciowych, w tym prze-

czniki i ro utery, bez przewodowe ac cesspointy (AP) czy kon centratory VPN.

Standard 802. x by za projektowany i sto sowany po cz tko wo tyl ko do uwie rzy-telniania u ytkow nika. Dzi jest wzbo ga-cany o no we mo liwo ci, któ re po zwala-j na prze ka zywanie in formacji na te matintegralno ci sta cji do sys temów udzie laj -cych do st pu. Dzi ki roz wini ciu ist niej -cego stan dardu 802. x, któ ry mo e spraw-dza za równo to samo , jak i in tegralno ,nowe roz wi zania kon troli do st pu s w sta-nie wy ko rzystywa ist niej c in frastruktursieci i wspó dzia a z ni bez ko nieczno cizastosowania do datko wych urz dze .

Otwarte API s tak e nie zb dne w in te-gracji bez piecze stwa i in frastruktury sie ci.Stosowanie ustan daryzowanych pro toko-ów, ta kich jak XML i SO AP (Sim ple Ob ject

Ac cess Pro tocol), w otwar tych i opu bliko-wanych API za pewnia szkie let ko munika-cji, któ ry wie lu pro ducentów ju zd y owdro y . Ta kie po dej cie uspraw nia pro-ces two rzenia in terfejsu ko munika cyjnegopomi dzy urz dzeniem za bezpieczaj cym a in frastruktur sie ci.

Protoko y te nie s za le ne od plat formyi mo g by ro zumiane przez wie le ró nychsystemów. Pozwalaj na szyb k wy mianinformacji i mo na je atwo roz szerzy , tak aby za wiera y na przy k ad da ne do tycz ceu ytkow nika czy in formacje spe cyficzne dla kon kretnej in stalacji. Oby dwa pro toko y

maj wiel k gru p osób roz wijaj cych je i licz ne na rz dzia do pro gramowania i two-rzenia apli ka cji.

Po przez za stosowanie stan dardów i otwar-tych API pro ducenci sys temów bez pie-cze stwa i in frastruktury sie ciowej mo gszybko two rzy in terfejsy, któ re u atwiajko munika cj po mi dzy dwo ma sys tema-mi. Ta ka ko munika cja nie tyl ko umo li-wia szyb sze wy krywanie i li kwidowanie

zagro e , ale tak e po zwala na two rze-nie no wych ar chitektur bez piecze stwa, lepiej wy ko rzystuj cych za soby zwi zane z bez piecze stwem.

Nowe zauto matyzowanearchitektury bez piecze stwaInterfejsy opar te na stan dardach u ywanew rodowisku otwar tym umo liwiaj sto so-wanie no wych ar chitektur, któ re po zwala-

42-45_integracja.indd 44 2007-11-30 16:18:30



j au tomatycznie wy krywa i uniesz ko dli-wia za gro enia oraz le piej wy ko rzystywazasoby bez piecze stwa. Po ni ej znaj duje si kil ka przy k adów:

PRZYK ADZautomatyzowane wy krywanierobaków w ca ej sie ciAPI opar te na XML wbu dowane s w urz -dzenie IDS/IPS (str. 44, schemat górny), które po trafi w in teligentny spo sób ko mu-niko wa si z prze cznikiem przy u yciu zdefiniowanych XML-API w ce lu wy kry-wania i li kwidacji za gro e , u ywaj c po li-tyki bez piecze stwa wspól nej dla urz dze-nia za bezpieczaj cego i g ównego prze cz-nika sie ciowego (prze czniki war stwy 3 zast pi y ro utery w szkie letach wi kszo ci sieci fir mowych).

W prze ciwie stwie do urz dze IDS/IPS po przedniej ge neracji, ta kie „wir tual-nie pod czone” IDS/IPS nie jest za insta-lowane „in line”; umo liwia ana liz ru chu w wie lu prze cznikach w sie ci, po zwala na szer sze za stosowanie te go roz wi zania i uprasz cza roz mieszczenie w sie ciach o ar chitekturach re dundantnych i kla stro-wych, któ re wy st puj po wszechnie w sie-ciach wie lu przed si biorstw.

Na schemacie urz dzenie IDS/IPS wyko rzystuje XML do po brania bie cej kon figuracji prze cznika g ównego (np. VLAN-y, por ty, QOS itp.). Na st pnie IDS/IPS sam au tomatycznie kreu je po lityki bezpiecze stwa, opie raj c si na ci gni -tej kon figuracji, i in staluje od powiednie regu y w prze czniku.

Je eli klient pod czy si do sie ci i za cznie roz przestrzenia ro baka, prze cz-nik g ówny na tychmiast wy kryje po dejrza-ny ruch w opar ciu o re gu y za instalowane w prze czniku. Po dejrzany ruch zo stanie wtedy prze kierowany do IDS/IPS, do dal-szej ana lizy.

Wy krywaj c ro baka, IDS/IPS wy sy-a ko mend XML w ce lu za bloko wania

problemu ju na prze czniku. IDS/IPS równocze nie wy czy port lub ogra niczy pasmo klien towi, w za le no ci od re guskon figurowanych przez ad ministratora systemu.

PRZYK AD 2Selektywne szy frowaniedanych w lo cieInnym przy k adem opar tej na stan dardach, otwartej in tegracji jest za stosowanie szy fro-wania lo cie (str. 44, schemat rodkowy):

Szyfrator jest pod czony do prze czni-ka „of fline”. Urz dzenie szy fruj ce wy ko-rzystuje XML, aby wy s a do prze cznika regu y okre laj ce ty py ru chu sie ciowego, które mu sz zo sta za szyfrowane. Kie dy dane prze p ywaj ce przez prze cznik spe -niaj re gu , zo staj one au tomatycznie przekierowane do urz dzenia, gdzie zo sta-

n za szyfrowane i ode s ane z po wrotem do prze cznika, w ce lu bez piecznego do star-czenia do od biorcy w sie ci.

Zastosowanie en krypcji opar tej na re gu-ach umo liwia szy frowanie ru chu bez

wp ywu na wy dajno prze twarzania i prze-czania nie szyfrowanych da nych. Po zwala

to zmak symalizowa wy dajno , ob ni yliczb wy maganego sprz tu, a tak e znacz-nie u atwia wdra anie.

PRZYK AD 3Kontrola do st pu do sie ciKlient prze ka zuje in formacj o to samo ci u ytkow nika i in tegralno ci sta cji przez EAP (Exten sible Au thentication Pro tocol – roz szerzalny pro tokó au toryzacji) do prze cznika, któ ry prze ka zuje t in forma-cj da lej do cen tralnego ser wera re gu– RA DIUS (str. 44, schemat dolny). Je eli uwierzytelnianie u ytkow nika po wiedzie si , a sta cja b dzie zgod na ze zde finiowanpolityk bez piecze stwa, ser wer przy pisze u ytkow niko wi zwi zany z nim pro fil bez-piecze stwa w prze czniku.

Ten pro fil bez piecze stwa da je okre lo-ne przy wileje do st pu dla se sji u ytkow ni-ka, w tym okre lone us ugi sie ciowe oraz zasoby, do któ rych u ytkow nik ma do st p.

Je eli uwie rzytelnianie si nie po wiedzie lub gdy oka e si , e sta cja nie spe nia wymaga , ser wer po lityk po informuje prze-

cznik, e na le y sko jarzy u ytkow nika z pro filem bez piecze stwa, któ ry da je je dy-nie ogra niczony do st p. Na przy k ad, u yt-kow nik go do stanie tyl ko do st p do In ter-netu z ogra niczon sze roko ci pa sma, a sta cja, któ ra nie ma naj nowszych uak-tualnie lub opro gramowania an tywiruso-wego, b dzie pod dana kwa rantannie, aby mog a ko muniko wa si tyl ko z lo kal nym serwerem ak tualizacji. W prze ciwie stwie do in stalacji, któ re wy ko rzystuj je dynie

zamkni te roz wi zania, ta kie po dej cie do bezpiecze stwa po zwala zin tegrowa wie le ró nych urz dze sie ciowych od ró nych producentów.

WniosekW dzi siejszym rodowisku za gro e ochro-na za sobów fir my wy maga cis ej in tegra-cji sys temów bez piecze stwa i in frastruk-tury sie ci. Klu czem jest in tegracja tych systemów po przez otwar te, opar te na stan-dardach in terfejsy ko munika cyjne. Ta kie podej cie po zwala zin tegrowa po szczegól-ne ele menty i u atwia ad ministratorom wybór oraz wdro enie od powiednich kom-ponentów bez piecze stwa. Po zwala ono równie na two rzenie no wych ar chitektur, które le piej wy ko rzystuj za soby bez pie-cze stwa w ca ej sie ci.

Kluczem do suk cesu s roz wi zania otwarte. Le one u pod staw suk cesu Ethernetu oraz TCP/IP, s tak e nie zb dne w no woczesnych sys temach zin tegrowane-go bez piecze stwa. Nad szed czas na otwar-to w bez piecze stwie. t

Autor jest wspó za o ycielem i wiceprezesem dzia u bada i rozwoju w Extreme Networks.

W dzi siejszym rodowisku za gro eochro na za so bów fir my wy ma ga ci s ej in te gra cji sys te mów bez pie cze stwa i in fra struk tu ry sie ci.

42-45_integracja.indd 45 2007-11-30 16:18:48



CSO WARSZTAT

FOTO: MPR

CSO: Jak postrzega Pani polski rynek zwi zany z bezpiecze stwem – polityk bezpiecze stwa firm, popyt na rozwi zania zabezpieczaj ce?Elinor Nissensohn: Wed ug naszych obser-wacji polski rynek ró ni si od zachodniego, szczególnie w zakresie poziomu wiadomo ci zagro e , jakie mog przyj z sieci. Nie chcprzez to powiedzie , e polscy mened erowie snie wiadomi ryzyka. Raczej to, e nie s a tak wiadomi, jak by powinni. Specyfika Internetu

powoduje, e wszyscy stali my si cz onka-mi globalnej spo eczno ci. Wcze niej, kiedy Internet dopiero si rozwija , ataki realizowane by y g ównie przez hakerów-amatorów. Istotne jest to, e nie kierowa a nimi dza zysku, lecz jakie im znane idee, ch zdobycia s awy. Obecnie w cyberprzestrzeni jest coraz wi cej dobrze zorganizowanych grup, które nakiero-wane s wy cznie na atwy zysk – a raczej up, bo s to dzia ania kryminalistyczne.

wiadomo zagro e jest istotna, ponie-wa jest ona punktem wyj cia do opracowywa-nia planów awaryjnych, systemów obronnych.CSO: Czy zagro enia w Polsce s takie same jak na wiecie?– S dz , e wiadomo w tym wzgl dzie tak ei w Polsce szybko si zwi kszy. Jest to funkcja edukacyjna, któr musz wykona ró ne insty-tucje, firmy i media. Niestety, edukacja b dzie prowadzona tak e na podstawie wykrytych przypadków ataków i analizy studiów przypad-ków rzeczywistych ofiar przest pców. W uj ciu statystycznym Polska nie nale y do krajów, w których dokonuje si wielu ataków, pami -tajmy jednak, e dla przest pców sieciowych celem jest zysk. Mówi c o zyskach, mam tu na my li zarówno pieni dz elektroniczny, jak i wszelkiego rodzaju informacje, poufne dane, które mo na zamieni na pieni dze.

CSO: Jaki jest potencja polskiego rynku rozwi -za dotycz cych zapewnienia bezpiecze stwa?– Polska jest rynkiem o wielkim potencja-le, najwi kszym w tej cz ci Europy. Jest on obecny tak e na rynku zabezpiecze zasobów informacyjnych. Dynamiczny rozwój, nap yw inwestycji oznaczaj wzrost przedsi biorstw, z którym idzie w parze wzrost konkurencyjno-ci. Wiadomo, e minimalizacja ryzyka, ochrona

przed zagro eniami, jest jednym z elementów budowania przewagi konkurencyjnej. Cytuj cprzys owie: szcz cie sprzyja lepszym, mo na powiedzie , e firmy, które bardziej zatroszczsi o w asn ochron , ju zdobywaj przewag .Jestem pewna, e w Polsce przez najbli sze kilka lat b dzie rós popyt na rodki zaradcze, zabezpieczenia infrastruktury informatycznej.

Popyt b dzie rós tak e z innego powodu. Rozwi zania, które s dobre dzi , nie b d sku-teczne jutro, co oznacza, e systemy ochrony nale y rozwija i nieustannie w nie inwestowa .CSO: W dobie internetowych ataków, rosn cej liczby hakerów, agresywnego oprogramowania szpieguj cego, jak mo e Pani okre li najwa -niejsze trendy w zarz dzaniu bezpiecze stwem? – S dz , e wypada podzieli zagro enia na dwa rodzaje. Pierwszy to ró nego rodzaju wiru-sy, robaki i trojany, które rozprzestrzeniaj siprzez sie . Do tej grupy zd yli my si ju przy-zwyczai i w tym obszarze jest bardzo wysoka wiadomo zagro e . Ka dy z nas cz c si

z Internetem, korzysta z jakiego systemu anty-wirusowego i oprogramowania typu firewall. I tu sielanka si ko czy, bowiem tego rodzaju ochrona nie zabezpieczy nas przed drugkategori zagro e – aktywnych, przemy la-nych i zaplanowanych ataków, wymierzonych w konkretny cel. Popularne antywirusy i fire-walle s oczywi cie niezb dne do naszej ochro-

ny, ale chroni nas w sposób bierny. Do ochrony przed wyrafinowanymi atakami potrzebujemy bardziej wyrafinowanych rozwi za . Przede wszystkim musz mie one zdolno aktywne-go monitorowania przep ywu informacji, które przychodz do nas z sieci – mam na my li prze-de wszystkim port nr 80. Taki system ochrony musi samodzielnie analizowa dane pod k tem potencjalnie zawartych w nich fragmentów z o-liwego kodu. Dobrze, je li jest tak e wyposa-ony w mechanizmy behawioralne, które poza

informacjami analizuj zachowania u ytkow-ników sieci. Je li zachowania te s nietypowe, system otrzymuje dodatkow przes ank do wykrycia ataku.CSO: Jaka jest recepta dla przedsi biorców?– Uwa am, e dobra ochrona przed atakami powinna by organizowana na kilku p aszczy-znach. Po pierwsze, u ywajmy rozwi za typu antywirus i firewall, dbajmy o aktualizacjich bibliotek. Po drugie, pami tajmy, e warto mie dwa poziomy zabezpiecze , np. jedno na bramie, drugie na komputerach u ytkowników – nawet je li pierwsze zawiedzie, drugie mo ewykryje atak. Po trzecie, starajmy si wdra asystemy proaktywnej ochrony, które monitorujprzep yw danych same tworz listy zakaza-nych kodów i programów. Po czwarte, zdajmy sobie spraw , e nasze zasoby mog by tak enara one przez atak od rodka. Postarajmy siprzeanalizowa mo liwe scenariusze naruszenia danych przez pracowników lub osoby odwie-dzaj ce firm i pomy lmy o uprzedzeniu tego rodzaju ataków. t

Dzi kuj za rozmow .

RYNEK ZDOBYWA WIADOMO

CSO WYWIAD

Przez fakt uczestnictwa w globalnej sieci ka dy z nas sta sinara ony na ataki w równym stopniu. Na ten temat z Elinor Nissensohn, wiceprezesem Aladdin Knowledge Systems, rozmawia Wanda ó ci ska.

Elinor Nissensohn

46_wywiad_bg.indd 46 2007-11-30 15:39:53


CNPEP RADWAR SA, GRUPA BUMARul. Poligonowa 30, 04-051 Warszawa

tel.: 022 8130715, faks: 022 8134884www.radwar.com.pl, [email protected]

Kontenerowa kancelaria kryptograficzna i kancelaria tajna• Przeznaczona do kompleksowej ochrony informacji w warunkach polowych: na poligonach i o rodkach szkolenia poligonowego, w jednostkach narodowych pe ni cych zadania misji pokojowych, na polowych stanowiskach dowodzenia. Mo na j te eksploatowapoza warunkami poligonowymi.

• Mo e pe ni funkcj kancelarii kryptograficznej i kancelarii tajnej w zakresie przyjmowania, rejestrowania, przechowy-wania i udost pniania materia ów niejawnych.• Zbudowana jest na bazie kontenera typu C X podzielonego na trzy przedzia y: kancelari kryptograficzn , kancelaritajn i przedzia techniczny. Posiada wyj cia awaryjne.• Wyposa ona jest w sejfy, niszczarki dokumentów, sprz tkomputerowy, telefony i faksy utajnione.• Posiada niezale ny system kontroli dost pu, sygnalizator w amania i napadu, niezale ny alarmowy system przeciwpo-arowy.

• Spe nia wymagania norm: NO-06-A20 kat. B ,BTPO-70 A i DBBT-30 B.

Zapewniamybezpiecze stwo Twoich informacji

Kabina ekranuj ca promieniowanie elektromagnetyczne• Ma zastosowanie wsz dzie tam, gdzie niezb dna jest ochrona infor-macji: w obiektach rz dowych i wojskowych, bankach i instytucjach finansowych, ambasadach i biurach radców handlowych, przedsi -biorstwach telekomunikacyjnych, instytucjach badawczo-rozwojo-wych, siedzibach zarz dów du ych firm. Jest niezb dna w szpitalach i laboratoriach, gdzie przed zak óceniami musi by chroniona czu a

aparatura diagnostyczna.• Posiada konstrukcj modu ow , montowan z elementów roz cznych lub w technologii spawanej. Mo e by wykona-na w wersji jednokomorowej, wielokomorowej lub ze luzumo liwiaj c wchodzenie i wychodzenie bez rozszczelnia-nia elektromagnetycznego. Posiada wyj cia awaryjne.• Wyposa ona jest w system klimatyzacji i wentylacji. Wy-ko czenie cian i pod óg - zgodnie z wymaganiami klienta.• Posiada zamek szyfrowy i uk ad sygnalizacji niedomkni -cia drzwi oraz system sygnalizacji po aru.• Spe nia wymagania norm: NO-06-A20 kat. B i BTPO-70 A.

http://www.radwar.com.pl


www.volkswagen.pl

Skuteczne PROCEDURY - files.idg.plfiles.idg.pl/pdf/cso/20071204_03_cso.pdfkszta towaniu i wdra Qaniu...

Documents

Transcript of Skuteczne PROCEDURY - files.idg.plfiles.idg.pl/pdf/cso/20071204_03_cso.pdfkszta towaniu i wdra Qaniu...