Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
18
Analizaryzykaiochronainformacjiwsystemachkomputerowych
Analogicznie,podatnościskładającesięnazbiórRTpodatności
5systemutelein-
formatycznegoT,należądojednegoznastępującychpodzbiorów:
ñ
RT2–podatnościorganizacyjne/kadrowe(np.brakweryfikacjiwiarygodności
personelu,brakszkoleńzzakresubezpieczeństwateleinformatycznego,braki
wdokumentacji),związanezobiektamizezbioruOPi/lubOL;
ñ
RT)–podatnościwochroniefizycznejitechnicznej(np.źlezlokalizowanysystem
monitoringu,popsutyautomatzamykającydrzwi),związanezobiektamizezbio-
ruOS;
ñ
RTSP–podatnościsprzętowo-programowe(np.źleskonfigurowaneaplikacje,
urządzenialubsystemy,błędywstosowanymoprogramowaniu),związane
zobiektamizezbioruOPi/lubOS.
RT=RT2∪RT)∪RTSP
przyczymnienależypodzbiorówwyróżnionychwBTiRTuważaćzaodpowia-
dającesobie,tzn.uważać,żepodatnościzpodzbiorunp.RT2zabezpieczamy
wyłącznieśrodkamizpodzbioruBT2itd.
Jakjużwspomniano,skutecznysystembezpieczeństwa(ST()powinienbyćkom−
pleksowy,wykorzystywaćzabezpieczenia:
ñ
organizacyjneikadroweBT2,
ñ
fizyczneitechniczneBT),
ñ
sprzętowo-programoweBTSP,
zorganizowanejako„obronawgłąb”.Kompleksowośćnależytutajrozumiećjako
postulat,abypodczastworzeniasystemubezpieczeństwawodniesieniudokażdej
podatnościsprawdzić,czyzabezpieczeniezpodzbiorunp.BT2dlapoprawnejrealiza-
cjiswojejfunkcjiniewymagawsparciazabezpieczeniamizpodzbiorówBT)i/lubBTSP
(inaodwrót),iwraziepotrzebytakiezabezpieczeniezastosować.
Przykład1.1
Jużzpobieżnegoprzeglądupodanychnapoczątkurozdziału1.3grupzabezpieczeń
wynika
6,żepodstawoweznaczeniedlaskutecznejochronybędziemiałakontrola
dostępunapoziomiefizycznymilogicznymdoinformacjiielementówsystemu
teleinformatycznego(obiektów,wtymzabezpieczeń).Takakontroladostępujest
realizowanaprzezprocesyochronne:
5
Jednymzzadańanalizyryzykanapotrzebybezpieczeństwateleinformatycznegojest
identyfikacjaelementówzbioruRT.
6
Por.takżetabelę9.3wrozdz.9.5.2.