W dobie globalizacji i ekspansji nowych technologii, gdy bezpieczeństwo firm jest ściśle powiązane z systemami informatycznymi, problem bezpieczeństwa systemów bezpieczeństwa staje się trudniejszy do rozwiązania niż kiedykolwiek dotąd. Ogólne zasady bezpieczeństwa, oparte na sprawdzonych rozwiązaniach w zakresie bezpieczeństwa informatycznego, stale zyskują na znaczeniu.

 

Można je scharakteryzować jako wymierzony przeciw potencjalnym zagrożeniom zbiór reguł odpowiednio modelujących właściwości systemu i kierujących zachowaniem osób w obrębie firmy. Zasady bezpieczeństwa służą określeniu wymagań, podejmowaniu i wdrażaniu decyzji dotyczących zarówno architektury systemu, jak i wdrożeń, minimalizując potencjalne zagrożenia oraz skutki ich ewentualnej realizacji; identyfikują także słabe punkty w różnego typu systemach (np. narzędziach dostępnych w ramach OWASP). Słowem zasady te są niezwykle przydatnym narzędziem dla osób odpowiedzialnych za bezpieczeństwo na każdy etapie, począwszy od momentu powstania potrzeby wprowadzenia systemu zabezpieczeń. Wymuszają one na osobach odpowiedzialnych za zakup systemu bezpieczeństwa krytyczne spojrzenie i stałe weryfikowanie decyzji dokonywanych na etapie zakupu i wdrażanie środków bezpieczeństwa.

 

2014-01-32-1Systemy bezpieczeństwa postrzega się zazwyczaj jako coś, co firma po prostu musi posiadać – raczej jako konieczny wydatek niż inwestycję. Nie sprzyja to rzetelnej ocenie ich znaczenia i rzeczywistej wartości. W efekcie wiele firm zbyt późno podejmuje decyzję o wprowadzeniu odpowiedniego systemu zabezpieczeń. To samo można powiedzieć o innych aspektach działania firmy, takich jak systemy informatyczne. Aby temu zapobiec i ułatwić zadanie osobom odpowiedzialnym w ramach firmy za podejmowanie stosownych decyzji, a także pracownikom, którzy odpowiadają za wdrażanie nowych rozwiązań, wprowadza się oparte na sprawdzonych wzorcach, specjalne zasady. Wymuszają one niejako na pracownikach różnego szczebla odpowiednio wczesne sformułowanie celów i przygotowanie stosownych projektów. Dzięki temu zasady te służą jako swoisty przewodnik podczas całego procesu zakupu i wdrażania nowych rozwiązań.

NEDAP SECURITY MANAGEMENT
Albert DERCKSEN – dyrektor ds. badań i rozwoju

 

Kiedy system bezpieczeństwa jest naprawdę bezpieczny?

Sprawdzone zasady bezpieczeństwa informatycznego w zastosowaniu do bezpieczeństwa fizycznego

W zależności od rozpatrywanego systemu następujące zasady bezpieczeństwa informatycznego mogą zostać zastosowane do wyboru i wdrożenia środków bezpieczeństwa fizycznego:

 

Zastosowanie ochrony dogłębnej

Do skutecznej ochrony nie wystarczają pojedyncze zabezpieczenia, niezbędny jest ich wielopoziomowy system. Fizyczne i informatyczne środki bezpieczeństwa muszą współdziałać w celu ochrony wyłączonych spod publicznego dostępu obszarów o kluczowym znaczeniu dla firmy.

 

Wykorzystanie pozytywnego modelu bezpieczeństwa

Zamiast czarnej listy należy wprowadzić w celu kontroli dostępu białą listę, a także zaprojektować system w taki sposób, aby w momencie uszkodzenia powracał do domyślnych ustawień z minimalnym poziomem uprawnień. Minimalizuje się również liczbę obszarów podatnych na potencjalny atak, między innymi poprzez użycie wstępnie zdefiniowanych opcji zamiast wolnych pól na wprowadzenie danych.

 

System powinien być wyposażony jedynie w funkcje niezbędne do jego zadań

Dla przykładu, aby zapobiec próbom nieuprawnionego dostępu, każdy komponent powinien umożliwiać dostęp tylko do tych baz danych, które są niezbędne do funkcjonowania tego właśnie komponentu.

 

Przejrzystość reguł i unikanie niejasności

W dobrze zaprojektowanym systemie szyfrowanym tylko klucz podlega tajemnicy, ale już stosowane algorytmy nie mogą zawierać tajemnic. Sprawdzone i przejrzyste mechanizmy ekonomicznie wyraźnie pokazują odpowiedniość między poniesionymi kosztami a uzyskanym poziomem bezpieczeństwa.

 

Wykrywanie sytuacji naruszenia bezpieczeństwa

Należy się upewnić, czy do systemu zostały wprowadzone wszystkie dane oraz procedury konieczne do prawidłowego działania monitoringu oraz reakcji w sytuacji naruszenia zasad bezpieczeństwa.

 

Ostrożność względem infrastruktury i usług

Wszystkie systemy spoza firmy, pochodzące od instytucji świadczącej jej jakiekolwiek usługi, powinny być zweryfikowane i oceniane wedle tych samych, określonych z góry, standardów i traktowane z należytą ostrożnością.

 

Ustawienie bezpiecznych wartości domyślnych

Zwiększanie użyteczności jakichkolwiek rozwiązań kosztem bezpieczeństwa jest błędem. Domyślny poziom zabezpieczeń powinien być jak największy. Można go zmniejszać tylko w szczególnych przypadkach, wobec konkretnych osób, co winno być precyzyjnie regulowane przez system.

 

Zalecana prostota

Chociaż poziomu zabezpieczeń nie można ograniczać, kierując się względami użyteczności, to jednak z drugiej strony nadmierna złożoność także zagraża bezpieczeństwu. W związku z tym bezpieczeństwo i poziom złożoności powinny być w równowadze, co winno znaleźć odzwierciedlenie w łatwości obsługi, a także strukturze i możliwości integracji całego systemu. Operowanie systemem, którego działanie opiera się na zbyt wielu zmiennych nie sprzyja bezpieczeństwu.

 

Ochronie podlega system jako całość

W sytuacji ataku przedmiotem ochrony jest cały system, a nie jego poszczególne komponenty. Takie rozwiązanie sprawia, że system jako całość przetrwa, a to właśnie jest priorytetem.

 

Stosowanie zasad bezpieczeństwa

Aby w pełni wykorzystać zasady bezpieczeństwa przy wyborze i wdrażaniu nowych rozwiązania w zakresie ochrony, należy każdorazowo dokonywać ich oceny i interpretacji w kontekście konkretnych problemów. Dzięki zastosowaniu takiego podejścia do każdej zasady z osobna wiele zagrożeń jest odpowiednio wcześnie wykrywanych, co pozwala skutecznie im zapobiegać. Podejście takie umożliwia sporządzenie pełnej listy wymagań dostosowanych do konkretnego problemu, określanego jako cel ochrony.

 

2014-01-33-1Obecnie systemy zabezpieczeń technicznych w coraz większym stopniu opierają się na mechanizmach wypracowanych przez branżę informatyczną. Technologia IP jest dzisiaj standardem w zabezpieczeniach, a mechanizmy szyfrowania transmisji danych wykorzystywane np. w sektorze bankowości internetowej są również obecne w systemach zabezpieczeń. W związku z tym wzajemnym przenikaniem się sektorów bezpieczeństwa informatycznego i fizycznego wiele zasad sprawdzonych w branży IT, można z powodzeniem wykorzystać w dziedzinie zabezpieczeń budynków. Jedną z takich zasad jest zasada prostoty. Prosty w obsłudze interfejs zintegrowanej platformy zabezpieczeń nie tylko, jak można by sądzić, pozwala na wygodną obsługę, ale również przez eliminowanie błędów obsługi zwiększa bezpieczeństwo obiektu.

NEDAP SECURITY MANAGEMENT
Jakub KOZAK – Country Manager Poland

 

Zasady w służbie rozwoju

Wielkie wyzwanie dla firm oferujących produkty związane z bezpieczeństwem stanowi fakt, że muszą dostosować się do wielu różnorodnych, często biegunowo przeciwnych wymagań klientów. Aby zatem sprostać zapotrzebowaniu na gotowe, komercyjne systemy zarządzania bezpieczeństwem, ich oferta musi być zatem bogata, wielofunkcyjna, użyteczna i elastyczna, aby zapewnić szeroki zakres środków ochrony, które będą ponadto zgodne z ogólnymi przepisami bezpieczeństwa. Jedynym sposobem, aby to osiągnąć jest oferowanie produktów, które można skonfigurować i zaadaptować na wiele sposobów, stosownie do specyficznych wymagań sformułowanych przez klienta. Dlatego jest szczególnie istotne, by producenci sami stosowali się do wyraźnie określonych zasad bezpieczeństwa.

Obecnie oferuje się bezpieczeństwo według projektu, podczas gdy przyszłość należy do systemów zaprojektowanych tak, by dawały bezpieczeństwo.

 

Więcej informacji o tym, jak uczynić system bezpieczeństwa jeszcze bezpieczniejszym: www.nedapsecurity.com

Artykuł firmy NEDAP SECURITY MANAGEMENT

 

Pin It