1. Co to są "zabezpieczenia dostępu logicznego"?

"Zabezpieczenia dostępu logicznego" jest to system kontroli, uniemożliwiający niepowołanym osobom uzyskanie dostępu do programów i danych wykorzystywanych w jednostce. Zabezpieczenia te mają bronić dostępu do programów i danych osobom z zewnątrz, jak również nieuprawnionym pracownikom jednostki. (Np. mają one uniemożliwić pracownikom spoza pionu finansowo-księgowego korzystanie z systemu płacowego).

Pełne zabezpieczenie programów i danych nie jest możliwe, jeżeli zabezpieczenia mechaniczne komputerów, stosowane w jednostce, są nieodpowiednie, a pracownicy nie są świadomi znaczenia bezpieczeństwa informatycznego.

Rysunek 1 ilustruje powiązania elementów systemu komputerowego. Do schematu tego autorzy wskazówek wielokrotnie odwołują się dla zobrazowania różnych wariantów zabezpieczeń dostępu logicznego.

Rysunek 1

???????????????????????????????????????????????

Każdy system komputerowy obejmuje:

ˇ sprzęt komputerowy - komputer, klawiaturę, monitor itp.,

ˇ system operacyjny - oprogramowanie pozwalające użytkownikowi korzystać ze sprzętu komputerowego (np. Windows),

ˇ systemy aplikacji - programy wykonujące określone zadania związane z działalnością gospodarczą, np. przetwarzające dane płacowe lub służące wystawianiu faktur,

ˇ dane przetwarzane przez systemy aplikacji, czyli pojedyncze jednostki informacji. Informacje te mogą mieć charakter trwały (np. łączna kwota wynagrodzeń brutto) bądź przejściowy (np. podatek dochodowy od wynagrodzenia danego pracownika w danym miesiącu).

Aby osiągać i zachować właściwy poziom zabezpieczeń oprogramowania i danych, jednostka powinna wprowadzić:

- solidny system zabezpieczeń mechanicznych, chroniących sprzęt komputerowy,

- wielopoziomowy system ochrony bezpieczeństwa,

- program ustawicznego szkolenia i podnoszenia świadomości pracowników w zakresie zabezpieczeń,

- odpowiedni system klasyfikowania danych, uwzględniający ich wrażliwość i istotność,

- skuteczne zabezpieczenia systemu operacyjnego ograniczające dostęp do wrażliwych opcji tego systemu,

- sprawną administrację zabezpieczeń systemów (kontrola zabezpieczeń, ich utrzymywanie i obsługa, kontrola konfiguracji),

- właściwy podział obowiązków w odniesieniu do każdej aplikacji.

Chociaż osiągnięcie 100% bezpieczeństwa informatycznego nie jest możliwe, to jednak ryzyko da się ograniczyć do możliwego do zaakceptowania poziomu.

2. Co zabezpieczać?

Jednostki powinny zabezpieczyć:

1) dane potrzebne do prowadzenia działalności gospodarczej,

2) oprogramowanie i procedury, w których dane te są wykorzystywane.

Warto zauważyć, że niemal we wszystkich jednostkach ekonomiczna wartość danych i programów przewyższa cenę sprzętu. Obecnie nawet małe jednostki stosują coraz bardziej skomplikowane systemy komputerowe. Chociaż zakres niniejszego opracowania nie pozwala na szczegółowe omówienie wszystkich nowych technologii komputerowych, to jednak przedstawia ono podstawowe zasady bezpieczeństwa informatycznego umożliwiające rozpoznanie obszarów ryzyka i w razie potrzeby skorzystanie z usług informatyków.

3. Jak chronić środowisko komputerowe?

Kontrole dostępu logicznego mają za zadanie:

- uniemożliwienie dostępu użytkownikom nieuprawnionym,

- umożliwienie dostępu jedynie uprawnionym użytkownikom,

- ograniczenie dostępu uprawnionym użytkownikom,

- kontrolowanie czynności uprawnionych użytkowników.

Dla właściwej realizacji zabezpieczeń dostępu logicznego potrzebne są:

- zabezpieczenia sprzętowe, chroniące przed uzyskaniem dostępu do systemu i wynikające z ustawień sprzętu a nie oprogramowania, np. hasła wymagane przy uruchamianiu komputera,

- zabezpieczenia w systemie operacyjnym, określające, do jakich danych i oprogramowania użytkownik ma dostęp już po uruchomieniu komputera, np. nazwa użytkownika i hasło,

- zabezpieczenia aplikacyjne określające, co użytkownik może zrobić z daną aplikacją, np. nazwa użytkownika, której podanie wymagane jest przed uruchomieniem aplikacji księgi głównej i która pozwala danemu użytkownikowi na przeglądanie danych, ale bez możliwości wprowadzania zmian,

- zabezpieczenia sieciowe chroniące przed nieuprawnionym dostępem do sieci komputerowej w danej jednostce, np. ściany ogniowe (ang. firewalls).

Podstawowymi kontrolami dostępu logicznego są: nazwy użytkownika, hasła, numery PIN, certyfikaty cyfrowe, tokeny sprzętowe zapewniające poprawne ustalenie tożsamości użytkownika oraz urządzenia biometryczne (skanery odcisków palców lub siatkówki oka). Mechanizmy te, niestety, nie gwarantują pełnego zabezpieczenia przed ryzykiem. Hasła mogą zostać złamane bądź też może zostać znaleziony sposób ich obejścia. Niepowołane osoby mogą także uzyskać dostęp do komputera z powodu niewystarczających zabezpieczeń mechanicznych. Dlatego ważne jest, aby wszystkie rodzaje zabezpieczeń (zabezpieczenia sprzętowe, systemowe, aplikacyjne, sieciowe) dobrze ze sobą współdziałały. Jeden słaby punkt w systemie zabezpieczeń może prowadzić do załamania całego systemu. Może się przecież zdarzyć, że nieskuteczne kontrole dostępu do systemu operacyjnego mogą nie zapobiec uzyskaniu dostępu do plików wykorzystywanych przez istotną aplikację, mimo że sama aplikacja jest chroniona hasłem. Niewystarczająca ochrona poszczególnych aplikacji może też umożliwić uzyskanie szerokiego dostępu do systemu operacyjnego.

Rysunek 2 ilustruje prawidłowo ustaloną ścieżkę dostępu użytkownika do aplikacji płacowej przy dobrze zorganizowanym systemie zabezpieczeń.

Rysunek 2

????????????????????????????????????/

Legenda:

1) użytkownik włącza komputer, a system operacyjny żąda podania nazwy użytkownika i hasła. Po "zalogowaniu się" (uzyskaniu dostępu do systemu operacyjnego) użytkownik widzi listę (menu) lub ikony aplikacji, spośród których może wybrać aplikacje, do których posiada uprawnienia dostępu;

2) użytkownik wybiera z menu aplikację płacową, która po uruchomieniu żąda od użytkownika podania (kolejnej) nazwy użytkownika i hasła;

3) w aplikacji płacowej uprawniony użytkownik (rozpoznany przez system, np. jako specjalista ds. płac) może aktualizować dane płacowe zgodnie z posiadanymi uprawnieniami.

Rysunek 3 obrazuje niepoprawną konfigurację zabezpieczeń systemu operacyjnego, kiedy to użytkownik może uzyskać dostęp do danych płacowych, mimo że nie posiada uprawnień do uruchomienia samej aplikacji płacowej.

Rysunek 3

????????????????????????????????????????

Legenda:

1) użytkownik X uzyskał dostęp do komputera w taki sam sposób jak poprzednio - podając nazwę użytkownika i hasło do systemu operacyjnego. Nie ma jednak uprawnień dostępu do aplikacji płacowej, ponieważ jest np. specjalistą ds. sprzedaży. Ponieważ jednak zabezpieczenia systemu operacyjnego nie były odpowiednio skonfigurowane, ochrona danych płacowych jest niewystarczająca;

2) przy wykorzystaniu standardowych aplikacji dostępnych w systemie operacyjnym (np. przeglądarka, edytor tekstu) użytkownik ten odnajduje dane płacowe, może się z nimi szczegółowo zapoznać, a nawet zmienić kwotę swojego wynagrodzenia. Ponieważ X do zmiany kwoty swojego wynagrodzenia nie korzysta z aplikacji płacowej, po jego działaniu nie pozostaje żadna ścieżka rewizyjna, a zmiana może pozostać niezauważona przez długi czas.

Warto podkreślić, że opisane słabości systemu zabezpieczeń są rzadko spotykane, a do ich wyeliminowania wystarczą nawet niewielkie umiejętności w zakresie komputeryzacji.

Generalnie zagrożenia informacji elektronicznych przechowywanych w systemie komputerowym jednostki polegają na:

- ujawnieniu - informacje wydostają się poza krąg uprawnionych osób,

- zmianie - dane ulegają nieuprawnionej zmianie,

- zniszczeniu - dane ulegają zniszczeniu przed upływem terminu ich użyteczności,

- niedostępności - dostęp do danych zostaje zlikwidowany, mimo że są one nadal potrzebne.

4. Analiza korzyści i kosztów (...)
5. Ryzyko (...)

B. Jak podejmować decyzje - praktyczne wskazówki (...)
1. Zabezpieczenia mechaniczne (...)
2. Zasady i procedury bezpieczeństwa informatycznego (...)
3. Identyfikacja systemów (...)
4. Kontrole dostępu do sprzętu komputerowego (...)
5. Zabezpieczenia systemu operacyjnego (...)
6. Zabezpieczenia systemu aplikacji (...)
7. Zarządzanie konfiguracją (...)
8. Zabezpieczenia sieci (...)
9. Zabezpieczenia internetu i zdalnego dostępu (...)
10. Administrowanie systemem zabezpieczeń (...)
11. Szkolenie użytkowników (...)
12. Wirusy komputerowe (...)
13. Pozostałe zagadnienia (...)
Kwestionariusz (...)