magazyn_is_numer_12.pdf

system zarządzania

ciągłością działania

E-MAIL PRACOWNIKA

jako DoWÓD

W POSTĘPOWANIU

CYWILNYM

postanowienie

O zasięgnięciu Opinii

Sprawdzanie

ruchu SSL

pendrive JAKO

przyczyna problemów

ISO/IEC 27001

System zarządzania ciągłością działania

Przemysław Bańko

W jednym z poprzednich artyku-

komputerowe. Wszystko zostało zalane

do wysokości 1,6 m. Uruchomiliśmy już

procedury zmierzające do ratowania

tych dokumentów. Jest to jednak bardzo

kosztowne...

- Wasz budynek można było uratować

niewielkimi nakładami - o dciął się wice-

burmistrz Malarczyk. - Straż pożarna w

czwartek wieczorem została poinformo-

wana, że nie potrzebujecie pomocy. Ak-

cja ochrony waszego budynku rozpoczę-

ła się dopiero o 7 rano. Wiceburmistrz

zasugerował, że w przyszłości sąd rejo-

nowy powinien zmienić procedury po-

wiadamiania. - Sąd odniesie się do tego,

co pan mówi

• dorobek życia straciło 40 tysięcy

ludzi,

• straty z tytułu zniszczenia majątku

poniosło 9000 irm.

łów „Magazynu Informatyki

Śledczej” wskazywałem czy-

telnikom, iż norma ISO/IEC 27001 –

w Załączniku A 1 , a dokładniej w punkcie

A.14 pt. „Zarządzanie ciągłością działa-

nia” opisuje wymagania dotyczące funk-

cjonowania organizacji, w wyjątkowo

trudnych, katastrofalnych momentach.

Powołany punkt wskazuje, iż „niezbędne

jest wdrożenie planu działalności organi-

zacji oraz pionu IT w przypadku katastrof

oraz awarii ograniczających korzystanie

z informacji, w tym przede wszystkim

uniemożliwiających korzystanie z syste-

mu informatycznego”. Dzisiejszym ar-

tykułem pragnę przybliżyć korzyści wy-

nikające z wdrożenia Planów Ciągłości

Działania zgodnymi z normą ISO/

IEC 27001:2007, ale także

z ujęciem organizacyjnym

wynikającym

W powodzi tej, uszkodzonych bądź znisz-

czonych zostało:

• 680 000 mieszkań,

• 843 szkoły,

• 4000 mostów,

• 14 400 km dróg,

• 2000 km torów kolejowych,

• 613 km wałów przeciwpowodziowych,

• 665 835 ha ziemi (czyli ponad 2%

kraju).

Zarządzania ciągłością działania

Skuteczne zarządzanie ciągłością działa-

nia wymaga przygotowania efektywnych

procedur i szczegółowego planowania

dla różnych specyicznych sytuacji kry-

zysowych, jak np. powódź, pożar, utrata

kluczowych dostawców. Należy pamię-

tać, że ilość incydentów czy też katastrof

wzrasta. Nie ma już kontynentów a nawet

krajów, które nie musiały się zmierzyć

z katastrofą naturalną, zamieszkami spo-

łecznymi, czy też terroryzmem. W dzi-

siejszym świecie elektronicznej wymiany

informacji kluczowe stają się aspekty ter-

roryzmu informatycznego, które również

mogą rzutować na działalność bizneso-

wą. Kluczowym wydaje się budowanie

baz wiedzy o zagrożeniach, które mogą

dotknąć nasz region, miasto, budynek.

Niezbędne jest prowadzenie swoistej

kontroli zarządczej również w ujęciu bez-

pieczeństwa informacji i ciągłości dzia-

łania. Podstawą takich działań powinna

być analiza ryzyka prowadzona dla ca-

łej organizacji, jak wskazuje BS 25999-

1:2006 lub bezpieczeństwa informacji, co

opisano w normach z serii ISO/IEC 27k.

z brytyjskiego standardu BS

25999:2006 „Zarządzanie Ciągłością

Działania”. Utrzymanie działania w przy-

padku katastrof, incydentów, naruszeń

czy też zakłóceń, jest fundamentalnym

wymogiem dla każdej organizacji. BS

25999 jest podstawą do opracowana

struktur organizacyjnych, polityk, proce-

dur oraz planów, w celu zminimalizowa-

nia ryzyka zaprzestania czy też przerwa-

nia działalności biznesowej.

- zaznaczyła Adrianna Szewczyk-Kubat. -

Mam odręczne notatki osób, które były

tego dnia na ochronie i są one sprzecz-

ne z tym, co od pana usłyszeliśmy. Straż

była powiadamiana wielokrotnie. Jak

było naprawdę - wyjaśnimy. Nie zmie-

nia to faktu, że przez ostatnie dwa lata

sygnalizowaliśmy w gminie, że ten bu-

dynek jest tykającą bombą...”

„Kto doprowadził do zalania sądu?”

Tomasz Wojciuk w artykule „ Komisja

prawa wsparła powodzian ” 2 , pisze:

„Jednym z budynków, który ucierpiał

podczas zeszłotygodniowej powodzi był

gmach sądu rejonowego w Piasecznie.

- Nasze wstępne straty zaczynają się

od 1-1,5 mln zł. Przez wiele godzin nie

uzyskaliśmy żadnej pomocy. Najcen-

niejsze rzeczy trzymaliśmy w piwni-

cy: księgi wieczyste, archiwa, systemy

Historia się powtarza

O tym, że „Polska nie jest szczęśliwą wy-

spą bez kataklizmów i katastrof” warto

pamiętać zawsze. Dane statystyczne 3

z powodzi tysiąclecia, która nawiedziła

nasz kraj w lipcu 1997 r. wskazują, że

w naszym kraju było:

• 56 oiar śmiertelnych,

• straty materialne około 12 mld

złotych,

• dach nad głową straciło 7000 ludzi,

Analiza ryzyka

Kluczowym elementem dobrze zorga-

nizowanego systemu zarządzania cią-

głością działania jest przeprowadzenie

szczegółowej analizy ryzyka dla możli-

wych sytuacji kryzysowych (np. związa-

Magazyn Informatyki Śledczej i Bezpieczeństwa IT

NR 12 | GRUDZIEŃ 2011

zarządzanie ciągłością działania

nych z utratą dostępu do informacji po-

przez pożar czy powódź, atak terrory-

styczny, utratę kluczowego personelu,

itp.), które mogą wpłynąć na funkcjono-

wanie organizacji. Rozważając przygo-

towanie analizy ryzyka w aspekcie bez-

pieczeństwa informacji warto skorzystać

z normy ISO/IEC 27005:2008 4 . Należy

jednak pamiętać, iż wskazana norma nie

ujmuje pełnego bezpieczeństwa orga-

nizacyjnego, niemniej może służyć jako

wskazówka do pełnej analizy ryzyka.

Każda metodyka analizy ryzyka wymaga,

aby ryzyka sklasyikować według ważno-

ści i prawdopodobieństwa ich wystąpie-

nia. Warto pamiętać, iż musimy rozwa-

żyć nie tylko wartość następstw w ujęciu

„złotówkowym” ale prestiżu i wizerunku

organizacji. Taka klasyikacja wskaże

czym musimy się zająć w pierwszym

kroku. To pozwoli również na weryika-

cję czy stać naszą organizację na „brak

pieniędzy”. Analiza ryzyka daje nam

pełen pogląd na kwestie wartości naszej

organizacji, ale także informacji w niej

przetwarzanej. Elementy analizy ryzy-

ka powinny być wręcz składową budowy

budżetów na lata przyszłe.

i kooperantów. Procedury takie powinny

opisywać co najmniej sposób powiada-

miania, eskalacji i kanały komunikacji

wraz z opisem działań. Doskonalenie

samego systemu poprzez testowanie pla-

nów i procedur pozwala na zmniejszenie

strat w wypadku rzeczywistych katastrof

i incydentów.

i certyikowanie procesów na zgodność

z normami ISO27001 czy BS25999 ma

sens? Przecież narzuca wiele ograniczeń

krępujących swobodę działania w bizne-

sie”. Zawsze wtedy odpowiadam cytatem

z Kubusia Puchatka, a właściwie Kłapo-

uchego: „Bo Wypadek to dziwna rzecz.

Nigdy go nie ma, dopóki się nie wyda-

rzy”. Po tym zdaniu zwykle zalega krótka

cisza.

Business Impact Analisis

Powołany wcześniej standard BS 25999,

wskazuje, iż głównym wymaganiem or-

ganizacji jest opracowanie analizy BIA

(Business Impact Analysis - analiza

wpływu zdarzenia na działalność orga-

nizacji). BIA dostarcza zarządzającym

organizacjami informacje o możliwych

stratach, które mogą powstać na skutek

przerwania ciągłości działania danego

„procesu biznesowego”. Procesem biz-

nesowym w ujęciu instytucji jest nie-

przerwane katastrofami prowadzenie

obsługi klientów i spraw. Gradacja ryzyk

oraz BIA pozwalają przejść do kolejne-

go kroku czyli pisania konkretnych pla-

nów ciągłości działania i szczegółowych

procedur oraz sposobów postępowania.

W dokumentach szczegółowych wska-

zujemy kiedy powołać sztab kryzyso-

wy, jakie służby i kiedy zaangażować w

zażegnanie kryzysu, kogo powiadomić

w samej organizacji, wśród klientów

Wdrożenie zarządzania ciągłości dzia-

łania - skuteczne ograniczenie ryzyka

Jest oczywiste, że samo wdrożenie pro-

cedur zgodnych z normą BS25999 czy

ISO27001 nie da pełnych gwarancji

bezpieczeństwa. W ostatecznym rozra-

chunku znaczenie będzie miało jeszcze

wiele innych elementów. Zadaniem dla

zarządzających organizacjami jest mi-

nimalizowanie ryzyka. Przewidywanie

na etapie, kiedy wszystko jeszcze można

zaplanować i zmienić. W sytuacji kryzy-

sowej zwykle na takie działania jest po

prostu za późno. Potwierdzić to mogą

tzw. organizacje „po przejściach”. Sku-

teczne wdrożenie systemu zarządzania

ciągłością działania pozwoli nam na

minimalizację skutków poważnych ka-

tastrof, takich jak opisywana sytuacja

w Sądzie Rejonowym w Piasecznie.

Wśród wielu rozmów prowadzonych

z zarządami w czasie wdrożeń, czę-

sto słyszę pytanie: „Czy wprowadzenie

Autor jest Dyrektorem ds. Bezpieczeństwa

irmy 2Business Consulting Group, Trene-

rem CIS – Certiication & Information Secu-

rity Services, ekspertem ds. bezpieczeństwa

Okręgowej Rady Adwokackiej w Katowi-

cach, audytorem wiodącym norm ISO 27001

oraz BS 25999, Koordynatorem Projektu

„Godny zaufania”. Kierował projektami

w zakresie systemów zarządzania bezpie-

czeństwem informacji oraz systemów za-

rządzania ciągłością działania w ponad 200

projektach realizowanych na terenie całego

kraju.

Napisz do nas

redakcja@mediarecovery.pl

1 ISO/IEC 27001: 2007 „Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania”

2 http://www.kurierpoludniowy.pl/?page=artykul&id=5646 „Komisja prawa wsparła powodzian” Kurier Południowy, z dnia 11-06-2010r

3 Jadwiga Janota – Bańko „Zarządzanie ciągłością działania w aspekcie bezpieczeństwa żywności (ISO 22000)” http://www.centrum.jakosci.pl/standard,zarzadza-

nie-ciagloscia-dzialania-w-aspekcie-bezpieczenstwa-zywnosci-iso-22000.html

4 ISO/IEC 27005:2008 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji

jak pytać biegłego?

Postanowienie o zasięgnięciu opinii

Marcin Kulawik

Przykłady podobnych pytań:

• Proszę wkopiować wszystkie pliki

tekstowe.

• Proszę odzyskać usunięte dane.

• Proszę odzyskać nieistniejące dane.

• Proszę wyodrębnić inne informacje

mogące mieć charakter przestępczy

związany z zarzucanym czynem.

Na początku było pytanie …

W każdym procesie badania danych

elektronicznych przychodzi czas na ich

szczegółową analizę. Musimy zdawać

sobie sprawę, iż analiza całości zgroma-

dzonych informacji, pod każdym moż-

liwym kątem jest nie tyle niewykonalna

co praco i czasochłonna. Dlatego też naj-

bardziej pomocnym narzędziem podczas

wykonywania powyższych czynności są

pytania postawione przez prowadzą-

cych śledztwo - funkcjonariusza policji,

prokuratora, sędziego, szefa irmy po-

dejrzewającego pracownika o nielojal-

ne zachowanie, którymi zawężamy cały

proces do interesujących nas wątków.

W każdym przypadku postawienie

pytań powinno być poprzedzone sta-

ranną analizą zgromadzonych faktów,

zeznań, dowodów itd. Niestety dość

często w swojej pracy spotykam się

z przypadkiem pytań skonstruowanych

w taki sposób, iż nie jest możliwe jed-

noznaczne ich interpretowanie. Spowo-

dowane to jest prawdopodobnie tym, iż

biegły nie ma możliwości wychodzenia

poza zakres opinii, czego skutkiem jest

zbytnie uogólnieniem pytania lub, nawet

paradoksalnie, jego uszczegółowienie.

Zapewne, w ocenie stawiających pyta-

nia, takie podejście ma ułatwić pracę

biegłemu lecz często jest odwrotnie.

Przykłady można by mnożyć lecz

intencją piszącego niniejszy artykuł

jest uświadomienie jak fundamentalne

znaczenie dla analizy elektroniczne-

go materiału dowodowego ma sposób

i forma zadawanych pytań. Osoby po-

wołujące biegłego czy instytycuję spe-

cjalistyczną powinny unikać uogólnień,

bacząc zarazem by uszczegółowienie po-

zwalało biegłemu na przedstawienie peł-

nej wiedzy płynącej z badanych informacji

w formie cyfrowej.

Resumując najlepszą praktyką

byłoby skontaktowanie się z biegłym/

specjalistą celem konsultacji zadawa-

nych w postanowieniu pytań oraz moż-

liwości dowodowych zgromadzonego

materiału. Taka współpraca polepszy

jakość wydawanych opinii, a już na pew-

no wpłynie na ich przejrzystość.

Osoba wydająca postanowienie

o powołaniu biegłego, zasięgnięciu opi-

nii powinna dodać od siebie kilka do-

datkowych informacji ujednolicających

pytanie np.:

• Proszę wyodrębnić wszystkie pliki

graiczne/dokumenty/pliki/ z pomi-

nięciem danych związanych z zain-

stalowanym oprogramowaniem.

• Proszę odzyskać wszystkie pliki

graiczne, których charakter może

świadczyć o tym iż zostały wykonane

przez użytkownika.

Przykład 2.

Proszę wyodrębni informacje mogące

mieć charakter przestępczy.

Zbytnie uogólnienie tego „pytania”

powoduje, iż bez ewentualnej konsultacji

z prowadzącym, biegły nie jest w stanie

jednoznacznie na nie odpowiedzieć. Zo-

staje zmuszony do analizy zgromadzo-

nych materiałów dowodowych począw-

szy od nielegalności skończywszy na

pedoilii. Jeśli takie pytanie musi zostać

zadane należałoby choć trochę je uściślić

np.:

Autor jest specjalistą w laboratorium in-

formatyki śledczej Mediarecovery, samo-

dzielnie wykonywał lub współuczestniczył

w wykonaniu prawie 350 ekspertyz sądo-

wych, specjalizuje się w przestępstwach

przeciwko obrotowi gospodarczemu, licen-

cjonowania oprogramowania komputero-

wego i własności intelektualnej.

Przykład 1.

Proszę wyodrębnić wszystkie pliki gra-

iczne (zdjęcia)

Z jednej strony tak postawione

pytanie może wyglądać poprawnie,

lecz z punktu widzenia osoby prowa-

dzącej śledztwo uzyskane wyniki mogą

spowodować sporą frustracje. Wyod-

rębnione zostaną zarówno dane które

rzeczywiście są związane z prowadzo-

nym śledztwem, jak i pliki powiązane

z zainstalowanym oprogramowaniem,

historią internetową etc., co w znacz-

ny sposób „zaciemni” uzyskane wyniki.

REKLAMA

EnCase Forensic

Najpopularniejsze narzędzie do informartyki śledczej

Pełna oferta na :

Tel. 801 80 80 99

Magazyn Informatyki Śledczej i Bezpieczeństwa IT

NR 12 | GRUDZIEŃ 2011

zagrożenia bezpieczeństwa

Pendrive jako przyczyna problemów

Tadeusz Harla

O d zarania dziejów człowiek gro-

nego zniszczenia, co często oznacza

utratę zapisanych danych.

„Yomiuri Shimbun”.

madził i przekazywał zebraną

informację innym członkom

swojej społeczności. Posługiwał się

w tym celu różnego rodzaju materia-

łami, na których informacje te mógł

zapisywać. Przez cały ten czas udosko-

nalał również metody gromadzenia

i przekazywania zdobytej wiedzy. Wraz

z nastaniem ery komputerów osobistych

ilość gromadzonej, przetwarzanej i prze-

kazywanej informacji zaczęła narastać

lawinowo. Człowiek stanął więc przed

koniecznością opracowania nośników,

na których mógłby zapisać możliwie jak

najwięcej informacji przy równoczesnym

zachowaniu możliwie małych wymiarów

urządzenia. Opracowanie nowe-

go złącza typu USB pozwoliło na

stworzenie informatycznych no-

śników danych typu plug & play ,

które w potocznej mowie zaczęto

nazywać „penami” lub „gwizdka-

mi”.

Innym przykładem może być

znalezienie tajnych dokumentów

szwedzkiej armii oraz innych krajów

w bibliotece publicznej w Sztokholmie,

o czym poinformował rzecznik szwedz-

kiego ministerstwa obrony. Pamięć USB

wetkniętą w komputer znajdujący się na

terenie biblioteki znalazła przypadkowa

i nieupoważniona osoba, która przekaza-

ła go szwedzkiemu dziennikowi „Afton-

bladet”, który z kolei przekazał go wojsku.

W Polsce swego czasu dość głośną była

sprawa zagubionego pendrive, któ-

rego właścicielem był znany proku-

rator, a który zawierał dorobek pracy

śledczej kilku innych prokuratorów.

Powyższe cechy stanowią poważne

zagrożenie dla bezpieczeństwa irm oraz

instytucji państwowych oraz samych

użytkowników.

Kilka przykładów z życia

Z badań przeprowadzonych przez

Ponemon Institute wynika, iż po-

nad 700 organizacji, które podda-

no badaniom poniosło straty na po-

nad 2,5 miliona dolarów w wyniku

zagubienia przez ich pracowników no-

śników USB. Poza aspektem inanso-

wym dochodzi również kwestia

bezpieczeństwa irm

i instytucji. Oka-

zało się, że

Powyższe przykłady można mno-

żyć. Pokazują one szereg zagrożeń

i konsekwencji wynikających

z beztroskiego podejścia

użytkowników do pamię-

ci USB, wykorzystywania

informacji służbowych do

celów prywatnych czy wy-

noszenia danych z irmy.

Po co nam pendrive?

Ogólnie rzecz ujmując pendrive są wyko-

rzystywane głównie do:

1. szybkiego, wielokrotnego zapisu pli-

ków,

2. magazynowania i przenoszenia plików

wszystkich formatów,

3. wykonywania szybkich kopii bezpie-

czeństwa dokumentów ze względu na

dostateczną pojemność i stosunkowo

wysoką wytrzymałość i długowiecz-

ność.

w 70%

procentach przypadków

zagubione pamięci przenośne zawierały

informacje poufne.

Autorun ułatwieniem dla cyberprze-

stępców

Kiedy Microsoft wprowadził do swo-

jego systemu Windows 95 udogodnie-

nie w postaci funkcji Autorun , która

została również zaimplementowana

w następnych systemach twórcy złośli-

wego oprogramowania błyskawicznie to

wykorzystali. Pendrive, jako urządzenie

typu plug & play , stał się idealnym no-

śnikiem do jego propagowania. W tym

przypadku wystarczy jedynie włożyć

w gniazdo USB nośnik danych,

a złośliwe oprogramowanie, bez

udziału użytkownika, samoistnie

infekowało system operacyjny kom-

putera, do którego podpięto pendrive.

Paradoksalnie to nie samo urzą-

dzenie decyduje o skali zagrożenia.

Pendrive, czy inne pamięci masowe

stają się groźnym narzędziem dopiero

w połączeniu z ludzką pomysłowością

lub brakiem przewidywania konsekwen-

cji beztroskiego wykorzystywania tych

urządzeń do celów prywatnych i służbo-

wych.

Łatwość obsługi, niska cena oraz

małe rozmiary powodują, że osoby wy-

korzystujące w pracy komputery często

posiadają wiele urządzeń tego typu.

Przykład? W Japonii wyciekły do

wiadomości publicznej ściśle tajne ma-

teriały wojskowe, dotyczące m.in. nowo-

czesnych systemów bojowych marynarki

wojennej Aegis. Stało się tak dlatego, po-

nieważ były one dołączone do pornogra-

icznych zdjęć, którymi wymieniali się

marynarze, co ujawnił japoński dziennik

Mimo swoich bezspornych zalet urzą-

dzenie to ma niestety dwie zasadnicze

wady:

1. łatwość przenoszenia oprogramowa-

nia złośliwego, w tym także dedyko-

wanego pod pamięci przenośne,

2. możliwość zagubienia lub mechanicz-

W 2008 roku zastępca amerykań-

skiego sekretarza obrony - William J.

Lynn ujawnił informacje na temat naru-

Magazyn Informatyki Śledczej i Bezpieczeństwa IT

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: