magazyn_is_numer_12.pdf
(
4315 KB
)
Pobierz
system zarządzania
ciągłością działania
E-MAIL PRACOWNIKA
jako DoWÓD
W POSTĘPOWANIU
CYWILNYM
postanowienie
O zasięgnięciu Opinii
Sprawdzanie
ruchu SSL
pendrive JAKO
przyczyna problemów
ISO/IEC 27001
System zarządzania ciągłością działania
Przemysław Bańko
W
jednym z poprzednich artyku-
komputerowe. Wszystko zostało zalane
do wysokości 1,6 m. Uruchomiliśmy już
procedury zmierzające do ratowania
tych dokumentów. Jest to jednak bardzo
kosztowne...
- Wasz budynek można było uratować
niewielkimi nakładami - o
dciął się wice-
burmistrz Malarczyk.
- Straż pożarna w
czwartek wieczorem została poinformo-
wana, że nie potrzebujecie pomocy. Ak-
cja ochrony waszego budynku rozpoczę-
ła się dopiero o 7 rano.
Wiceburmistrz
zasugerował, że w przyszłości sąd rejo-
nowy powinien zmienić procedury po-
wiadamiania. -
Sąd odniesie się do tego,
co pan mówi
• dorobek życia straciło 40 tysięcy
ludzi,
• straty z tytułu zniszczenia majątku
poniosło 9000 irm.
łów „Magazynu Informatyki
Śledczej” wskazywałem czy-
telnikom, iż norma ISO/IEC 27001 –
w Załączniku A
1
, a dokładniej w punkcie
A.14 pt. „Zarządzanie ciągłością działa-
nia” opisuje wymagania dotyczące funk-
cjonowania organizacji, w wyjątkowo
trudnych, katastrofalnych momentach.
Powołany punkt wskazuje, iż „niezbędne
jest wdrożenie planu działalności organi-
zacji oraz pionu IT w przypadku katastrof
oraz awarii ograniczających korzystanie
z informacji, w tym przede wszystkim
uniemożliwiających korzystanie z syste-
mu informatycznego”. Dzisiejszym ar-
tykułem pragnę przybliżyć korzyści wy-
nikające z wdrożenia Planów Ciągłości
Działania zgodnymi z normą ISO/
IEC 27001:2007, ale także
z ujęciem organizacyjnym
wynikającym
W powodzi tej, uszkodzonych bądź znisz-
czonych zostało:
• 680 000 mieszkań,
• 843 szkoły,
• 4000 mostów,
• 14 400 km dróg,
• 2000 km torów kolejowych,
• 613 km wałów przeciwpowodziowych,
• 665 835 ha ziemi (czyli ponad 2%
kraju).
Zarządzania ciągłością działania
Skuteczne zarządzanie ciągłością działa-
nia wymaga przygotowania efektywnych
procedur i szczegółowego planowania
dla różnych specyicznych sytuacji kry-
zysowych, jak np. powódź, pożar, utrata
kluczowych dostawców. Należy pamię-
tać, że ilość incydentów czy też katastrof
wzrasta. Nie ma już kontynentów a nawet
krajów, które nie musiały się zmierzyć
z katastrofą naturalną, zamieszkami spo-
łecznymi, czy też terroryzmem. W dzi-
siejszym świecie elektronicznej wymiany
informacji kluczowe stają się aspekty ter-
roryzmu informatycznego, które również
mogą rzutować na działalność bizneso-
wą. Kluczowym wydaje się budowanie
baz wiedzy o zagrożeniach, które mogą
dotknąć nasz region, miasto, budynek.
Niezbędne jest prowadzenie swoistej
kontroli zarządczej również w ujęciu bez-
pieczeństwa informacji i ciągłości dzia-
łania. Podstawą takich działań powinna
być analiza ryzyka prowadzona dla ca-
łej organizacji, jak wskazuje BS 25999-
1:2006 lub bezpieczeństwa informacji, co
opisano w normach z serii ISO/IEC 27k.
z brytyjskiego standardu BS
25999:2006 „Zarządzanie Ciągłością
Działania”. Utrzymanie działania w przy-
padku katastrof, incydentów, naruszeń
czy też zakłóceń, jest fundamentalnym
wymogiem dla każdej organizacji. BS
25999 jest podstawą do opracowana
struktur organizacyjnych, polityk, proce-
dur oraz planów, w celu zminimalizowa-
nia ryzyka zaprzestania czy też przerwa-
nia działalności biznesowej.
-
zaznaczyła Adrianna Szewczyk-Kubat.
-
Mam odręczne notatki osób, które były
tego dnia na ochronie i są one sprzecz-
ne z tym, co od pana usłyszeliśmy. Straż
była powiadamiana wielokrotnie. Jak
było naprawdę - wyjaśnimy. Nie zmie-
nia to faktu, że przez ostatnie dwa lata
sygnalizowaliśmy w gminie, że ten bu-
dynek jest tykającą bombą...”
„Kto doprowadził do zalania sądu?”
Tomasz Wojciuk w artykule „
Komisja
prawa wsparła powodzian
”
2
, pisze:
„Jednym z budynków, który ucierpiał
podczas zeszłotygodniowej powodzi był
gmach sądu rejonowego w Piasecznie.
- Nasze wstępne straty zaczynają się
od 1-1,5 mln zł. Przez wiele godzin nie
uzyskaliśmy żadnej pomocy. Najcen-
niejsze rzeczy trzymaliśmy w piwni-
cy: księgi wieczyste, archiwa, systemy
Historia się powtarza
O tym, że „Polska nie jest szczęśliwą wy-
spą bez kataklizmów i katastrof” warto
pamiętać zawsze. Dane statystyczne
3
z powodzi tysiąclecia, która nawiedziła
nasz kraj w lipcu 1997 r. wskazują, że
w naszym kraju było:
• 56 oiar śmiertelnych,
• straty materialne około 12 mld
złotych,
• dach nad głową straciło 7000 ludzi,
Analiza ryzyka
Kluczowym elementem dobrze zorga-
nizowanego systemu zarządzania cią-
głością działania jest przeprowadzenie
szczegółowej analizy ryzyka dla możli-
wych sytuacji kryzysowych (np. związa-
2
Magazyn Informatyki Śledczej i Bezpieczeństwa IT
NR 12 | GRUDZIEŃ 2011
zarządzanie ciągłością działania
nych z utratą dostępu do informacji po-
przez pożar czy powódź, atak terrory-
styczny, utratę kluczowego personelu,
itp.), które mogą wpłynąć na funkcjono-
wanie organizacji. Rozważając przygo-
towanie analizy ryzyka w aspekcie bez-
pieczeństwa informacji warto skorzystać
z normy ISO/IEC 27005:2008
4
. Należy
jednak pamiętać, iż wskazana norma nie
ujmuje pełnego bezpieczeństwa orga-
nizacyjnego, niemniej może służyć jako
wskazówka do pełnej analizy ryzyka.
Każda metodyka analizy ryzyka wymaga,
aby ryzyka sklasyikować według ważno-
ści i prawdopodobieństwa ich wystąpie-
nia. Warto pamiętać, iż musimy rozwa-
żyć nie tylko wartość następstw w ujęciu
„złotówkowym” ale prestiżu i wizerunku
organizacji. Taka klasyikacja wskaże
czym musimy się zająć w pierwszym
kroku. To pozwoli również na weryika-
cję czy stać naszą organizację na „brak
pieniędzy”. Analiza ryzyka daje nam
pełen pogląd na kwestie wartości naszej
organizacji, ale także informacji w niej
przetwarzanej. Elementy analizy ryzy-
ka powinny być wręcz składową budowy
budżetów na lata przyszłe.
i kooperantów. Procedury takie powinny
opisywać co najmniej sposób powiada-
miania, eskalacji i kanały komunikacji
wraz z opisem działań. Doskonalenie
samego systemu poprzez testowanie pla-
nów i procedur pozwala na zmniejszenie
strat w wypadku rzeczywistych katastrof
i incydentów.
i certyikowanie procesów na zgodność
z normami ISO27001 czy BS25999 ma
sens? Przecież narzuca wiele ograniczeń
krępujących swobodę działania w bizne-
sie”. Zawsze wtedy odpowiadam cytatem
z Kubusia Puchatka, a właściwie Kłapo-
uchego: „Bo Wypadek to dziwna rzecz.
Nigdy go nie ma, dopóki się nie wyda-
rzy”. Po tym zdaniu zwykle zalega krótka
cisza.
Business Impact Analisis
Powołany wcześniej standard BS 25999,
wskazuje, iż głównym wymaganiem or-
ganizacji jest opracowanie analizy BIA
(Business Impact Analysis - analiza
wpływu zdarzenia na działalność orga-
nizacji). BIA dostarcza zarządzającym
organizacjami informacje o możliwych
stratach, które mogą powstać na skutek
przerwania ciągłości działania danego
„procesu biznesowego”. Procesem biz-
nesowym w ujęciu instytucji jest nie-
przerwane katastrofami prowadzenie
obsługi klientów i spraw. Gradacja ryzyk
oraz BIA pozwalają przejść do kolejne-
go kroku czyli pisania konkretnych pla-
nów ciągłości działania i szczegółowych
procedur oraz sposobów postępowania.
W dokumentach szczegółowych wska-
zujemy kiedy powołać sztab kryzyso-
wy, jakie służby i kiedy zaangażować w
zażegnanie kryzysu, kogo powiadomić
w samej organizacji, wśród klientów
Wdrożenie zarządzania ciągłości dzia-
łania - skuteczne ograniczenie ryzyka
Jest oczywiste, że samo wdrożenie pro-
cedur zgodnych z normą BS25999 czy
ISO27001 nie da pełnych gwarancji
bezpieczeństwa. W ostatecznym rozra-
chunku znaczenie będzie miało jeszcze
wiele innych elementów. Zadaniem dla
zarządzających organizacjami jest mi-
nimalizowanie ryzyka. Przewidywanie
na etapie, kiedy wszystko jeszcze można
zaplanować i zmienić. W sytuacji kryzy-
sowej zwykle na takie działania jest po
prostu za późno. Potwierdzić to mogą
tzw. organizacje „po przejściach”. Sku-
teczne wdrożenie systemu zarządzania
ciągłością działania pozwoli nam na
minimalizację skutków poważnych ka-
tastrof, takich jak opisywana sytuacja
w Sądzie Rejonowym w Piasecznie.
Wśród wielu rozmów prowadzonych
z zarządami w czasie wdrożeń, czę-
sto słyszę pytanie: „Czy wprowadzenie
Autor jest Dyrektorem ds. Bezpieczeństwa
irmy 2Business Consulting Group, Trene-
rem CIS – Certiication & Information Secu-
rity Services, ekspertem ds. bezpieczeństwa
Okręgowej Rady Adwokackiej w Katowi-
cach, audytorem wiodącym norm ISO 27001
oraz BS 25999, Koordynatorem Projektu
„Godny zaufania”. Kierował projektami
w zakresie systemów zarządzania bezpie-
czeństwem informacji oraz systemów za-
rządzania ciągłością działania w ponad 200
projektach realizowanych na terenie całego
kraju.
Napisz do nas
redakcja@mediarecovery.pl
1
ISO/IEC 27001: 2007 „Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji Wymagania”
2
http://www.kurierpoludniowy.pl/?page=artykul&id=5646 „Komisja prawa wsparła powodzian” Kurier Południowy, z dnia 11-06-2010r
3
Jadwiga Janota – Bańko „Zarządzanie ciągłością działania w aspekcie bezpieczeństwa żywności (ISO 22000)” http://www.centrum.jakosci.pl/standard,zarzadza-
nie-ciagloscia-dzialania-w-aspekcie-bezpieczenstwa-zywnosci-iso-22000.html
4
ISO/IEC 27005:2008 Technika informatyczna Techniki bezpieczeństwa Zarządzanie ryzykiem w bezpieczeństwie informacji
3
jak pytać biegłego?
Postanowienie o zasięgnięciu opinii
Marcin Kulawik
Przykłady podobnych pytań:
• Proszę wkopiować wszystkie pliki
tekstowe.
• Proszę odzyskać usunięte dane.
• Proszę odzyskać nieistniejące dane.
• Proszę wyodrębnić inne informacje
mogące mieć charakter przestępczy
związany z zarzucanym czynem.
Na początku było pytanie …
W każdym procesie badania danych
elektronicznych przychodzi czas na ich
szczegółową analizę. Musimy zdawać
sobie sprawę, iż analiza całości zgroma-
dzonych informacji, pod każdym moż-
liwym kątem jest nie tyle niewykonalna
co praco i czasochłonna. Dlatego też naj-
bardziej pomocnym narzędziem podczas
wykonywania powyższych czynności są
pytania postawione przez prowadzą-
cych śledztwo - funkcjonariusza policji,
prokuratora, sędziego, szefa irmy po-
dejrzewającego pracownika o nielojal-
ne zachowanie, którymi zawężamy cały
proces do interesujących nas wątków.
W każdym przypadku postawienie
pytań powinno być poprzedzone sta-
ranną analizą zgromadzonych faktów,
zeznań, dowodów itd. Niestety dość
często w swojej pracy spotykam się
z przypadkiem pytań skonstruowanych
w taki sposób, iż nie jest możliwe jed-
noznaczne ich interpretowanie. Spowo-
dowane to jest prawdopodobnie tym, iż
biegły nie ma możliwości wychodzenia
poza zakres opinii, czego skutkiem jest
zbytnie uogólnieniem pytania lub, nawet
paradoksalnie, jego uszczegółowienie.
Zapewne, w ocenie stawiających pyta-
nia, takie podejście ma ułatwić pracę
biegłemu lecz często jest odwrotnie.
Przykłady można by mnożyć lecz
intencją piszącego niniejszy artykuł
jest uświadomienie jak fundamentalne
znaczenie dla analizy elektroniczne-
go materiału dowodowego ma sposób
i forma zadawanych pytań. Osoby po-
wołujące biegłego czy instytycuję spe-
cjalistyczną powinny unikać uogólnień,
bacząc zarazem by uszczegółowienie po-
zwalało biegłemu na przedstawienie peł-
nej wiedzy płynącej z badanych informacji
w formie cyfrowej.
Resumując najlepszą praktyką
byłoby skontaktowanie się z biegłym/
specjalistą celem konsultacji zadawa-
nych w postanowieniu pytań oraz moż-
liwości dowodowych zgromadzonego
materiału. Taka współpraca polepszy
jakość wydawanych opinii, a już na pew-
no wpłynie na ich przejrzystość.
Osoba wydająca postanowienie
o powołaniu biegłego, zasięgnięciu opi-
nii powinna dodać od siebie kilka do-
datkowych informacji ujednolicających
pytanie np.:
• Proszę wyodrębnić wszystkie pliki
graiczne/dokumenty/pliki/ z pomi-
nięciem danych związanych z zain-
stalowanym oprogramowaniem.
• Proszę odzyskać wszystkie pliki
graiczne, których charakter może
świadczyć o tym iż zostały wykonane
przez użytkownika.
Przykład 2.
Proszę wyodrębni informacje mogące
mieć charakter przestępczy.
Zbytnie uogólnienie tego „pytania”
powoduje, iż bez ewentualnej konsultacji
z prowadzącym, biegły nie jest w stanie
jednoznacznie na nie odpowiedzieć. Zo-
staje zmuszony do analizy zgromadzo-
nych materiałów dowodowych począw-
szy od nielegalności skończywszy na
pedoilii. Jeśli takie pytanie musi zostać
zadane należałoby choć trochę je uściślić
np.:
Autor jest specjalistą w laboratorium in-
formatyki śledczej Mediarecovery, samo-
dzielnie wykonywał lub współuczestniczył
w wykonaniu prawie 350 ekspertyz sądo-
wych, specjalizuje się w przestępstwach
przeciwko obrotowi gospodarczemu, licen-
cjonowania oprogramowania komputero-
wego i własności intelektualnej.
Przykład 1.
Proszę wyodrębnić wszystkie pliki gra-
iczne (zdjęcia)
Z jednej strony tak postawione
pytanie może wyglądać poprawnie,
lecz z punktu widzenia osoby prowa-
dzącej śledztwo uzyskane wyniki mogą
spowodować sporą frustracje. Wyod-
rębnione zostaną zarówno dane które
rzeczywiście są związane z prowadzo-
nym śledztwem, jak i pliki powiązane
z zainstalowanym oprogramowaniem,
historią internetową etc., co w znacz-
ny sposób „zaciemni” uzyskane wyniki.
REKLAMA
EnCase Forensic
Najpopularniejsze narzędzie do informartyki śledczej
Pełna oferta na
:
Tel. 801 80 80 99
4
Magazyn Informatyki Śledczej i Bezpieczeństwa IT
NR 12 | GRUDZIEŃ 2011
zagrożenia bezpieczeństwa
Pendrive jako przyczyna problemów
Tadeusz Harla
O
d zarania dziejów człowiek gro-
nego zniszczenia, co często oznacza
utratę zapisanych danych.
„Yomiuri Shimbun”.
madził i przekazywał zebraną
informację innym członkom
swojej społeczności. Posługiwał się
w tym celu różnego rodzaju materia-
łami, na których informacje te mógł
zapisywać. Przez cały ten czas udosko-
nalał również metody gromadzenia
i przekazywania zdobytej wiedzy. Wraz
z nastaniem ery komputerów osobistych
ilość gromadzonej, przetwarzanej i prze-
kazywanej informacji zaczęła narastać
lawinowo. Człowiek stanął więc przed
koniecznością opracowania nośników,
na których mógłby zapisać możliwie jak
najwięcej informacji przy równoczesnym
zachowaniu możliwie małych wymiarów
urządzenia. Opracowanie nowe-
go złącza typu USB pozwoliło na
stworzenie informatycznych no-
śników danych typu
plug & play
,
które w potocznej mowie zaczęto
nazywać „penami” lub „gwizdka-
mi”.
Innym przykładem może być
znalezienie tajnych dokumentów
szwedzkiej armii oraz innych krajów
w bibliotece publicznej w Sztokholmie,
o czym poinformował rzecznik szwedz-
kiego ministerstwa obrony. Pamięć USB
wetkniętą w komputer znajdujący się na
terenie biblioteki znalazła przypadkowa
i nieupoważniona osoba, która przekaza-
ła go szwedzkiemu dziennikowi „Afton-
bladet”, który z kolei przekazał go wojsku.
W Polsce swego czasu dość głośną była
sprawa zagubionego pendrive, któ-
rego właścicielem był znany proku-
rator, a który zawierał dorobek pracy
śledczej kilku innych prokuratorów.
Powyższe cechy stanowią poważne
zagrożenie dla bezpieczeństwa irm oraz
instytucji państwowych oraz samych
użytkowników.
Kilka przykładów z życia
Z badań przeprowadzonych przez
Ponemon Institute wynika, iż po-
nad 700 organizacji, które podda-
no badaniom poniosło straty na po-
nad 2,5 miliona dolarów w wyniku
zagubienia przez ich pracowników no-
śników USB. Poza aspektem inanso-
wym dochodzi również kwestia
bezpieczeństwa irm
i instytucji. Oka-
zało się, że
Powyższe przykłady można mno-
żyć. Pokazują one szereg zagrożeń
i konsekwencji wynikających
z beztroskiego podejścia
użytkowników do pamię-
ci USB, wykorzystywania
informacji służbowych do
celów prywatnych czy wy-
noszenia danych z irmy.
Po co nam pendrive?
Ogólnie rzecz ujmując pendrive są wyko-
rzystywane głównie do:
1. szybkiego, wielokrotnego zapisu pli-
ków,
2. magazynowania i przenoszenia plików
wszystkich formatów,
3. wykonywania szybkich kopii bezpie-
czeństwa dokumentów ze względu na
dostateczną pojemność i stosunkowo
wysoką wytrzymałość i długowiecz-
ność.
w 70%
procentach przypadków
zagubione pamięci przenośne zawierały
informacje poufne.
Autorun ułatwieniem dla cyberprze-
stępców
Kiedy Microsoft wprowadził do swo-
jego systemu Windows 95 udogodnie-
nie w postaci funkcji
Autorun
, która
została również zaimplementowana
w następnych systemach twórcy złośli-
wego oprogramowania błyskawicznie to
wykorzystali. Pendrive, jako urządzenie
typu
plug & play
, stał się idealnym no-
śnikiem do jego propagowania. W tym
przypadku wystarczy jedynie włożyć
w gniazdo USB nośnik danych,
a złośliwe oprogramowanie, bez
udziału użytkownika, samoistnie
infekowało system operacyjny kom-
putera, do którego podpięto pendrive.
Paradoksalnie to nie samo urzą-
dzenie decyduje o skali zagrożenia.
Pendrive, czy inne pamięci masowe
stają się groźnym narzędziem dopiero
w połączeniu z ludzką pomysłowością
lub brakiem przewidywania konsekwen-
cji beztroskiego wykorzystywania tych
urządzeń do celów prywatnych i służbo-
wych.
Łatwość obsługi, niska cena oraz
małe rozmiary powodują, że osoby wy-
korzystujące w pracy komputery często
posiadają wiele urządzeń tego typu.
Przykład? W Japonii wyciekły do
wiadomości publicznej ściśle tajne ma-
teriały wojskowe, dotyczące m.in. nowo-
czesnych systemów bojowych marynarki
wojennej Aegis. Stało się tak dlatego, po-
nieważ były one dołączone do pornogra-
icznych zdjęć, którymi wymieniali się
marynarze, co ujawnił japoński dziennik
Mimo swoich bezspornych zalet urzą-
dzenie to ma niestety dwie zasadnicze
wady:
1. łatwość przenoszenia oprogramowa-
nia złośliwego, w tym także dedyko-
wanego pod pamięci przenośne,
2. możliwość zagubienia lub mechanicz-
W 2008 roku zastępca amerykań-
skiego sekretarza obrony - William J.
Lynn ujawnił informacje na temat naru-
5
Magazyn Informatyki Śledczej i Bezpieczeństwa IT
Plik z chomika:
nahum777
Inne pliki z tego folderu:
magazyn_is_numer_14.pdf
(6978 KB)
magazyn_is_numer_13.pdf
(4173 KB)
magazyn_is_numer_12.pdf
(4315 KB)
magazyn_is_numer_11.pdf
(9939 KB)
magazyn_is_numer_10.pdf
(13182 KB)
Inne foldery tego chomika:
Narzedzia HDD
Zgłoś jeśli
naruszono regulamin