W każdym królestwie obowiązują pewne dekrety i tak samo Władców Sieci powinny obowiązywać pewne prawa. Ale czy faktycznie osobom technicznym mogą przydać się jakieś prawnicze formułki? Nomenklatura bywa złożona, jednak zapoznanie z niniejszymi wytycznymi może być pomocne pod wieloma względami.
Czasem znajomość przepisów przydaje się aby upewnić się czy wszystko zostało odpowiednio skonfigurowane. Gdy rozpoczyna się pracę warto sięgać do sprawdzonych źródeł aby pewniej podejść do tematu i nie popełnić kosztownych błędów. Dla bardziej doświadczonych administratorów wspomniane dokumenty mogą sprzyjać w przekonywaniu zwierzchników do przykładowo zakupienia lepszego sprzętu aby otrzymać certyfikat i być bardziej wiarygodnym dla przyszłych klientów.
NIST – co to?
NIST SP 800-53 to standard bezpieczeństwa informacji, który zapewnia katalog kontroli prywatności i bezpieczeństwa dla systemów informatycznych. Jest uwzględnionych kilka obszarów, na które warto zwrócić uwagę. Administrator powinien ograniczyć dostęp do konfiguracji routerów, firewalli i systemów kluczy kryptograficznych wyłącznie do bezpiecznych trybów serwisowych. W praktyce oznacza to wdrożenie kontroli dostępu RBAC (polega na określeniu ról przypisanych do poszczególnych funkcji w organizacji, z którymi związany jest konkretny zakres obowiązków) i monitorowania działań administracyjnych.
Dodatkowo powinno się stosować zasadę domyślnego blokowania ruchu (deny all) w firewallach i routerach. Zezwolenia należy przyznawać tylko dla uzasadnionych, monitorowanych połączeń, zarówno przy ruchu przychodzącym, jak i wychodzącym.
Każda zmiana konfiguracji urządzeń sieciowych (na przykład reguł ACL, firmware’u, VLAN-ów) powinna być przetestowana w środowisku testowym lub podczas planowanego okna serwisowego. Należy prowadzić dokumentację zmian i ich wpływu na bezpieczeństwo. Należy pamiętać, że środowiska testowe i deweloperskie muszą mieć oddzielną konfigurację i segmentację sieci. Zapobiega to przypadkowemu wpływowi testów lub wdrożeń na infrastrukturę produkcyjną.
Administrator powinien utrzymywać spójny plan reagowania na incydenty, od detekcji po przywrócenie usług. Należy również wymagać od dostawców możliwości weryfikacji integralności firmware’u i sprzętu oraz stosować podpisy kryptograficzne przy aktualizacjach. Komponenty z nieznanego źródła należy izolować.
DORA – co to?
DORA (UE 2022/2554) to rozporządzenie Unii Europejskiej skierowane do podmiotów finansowych, którego celem jest zwiększenie odporności operacyjnej w środowisku cyfrowym. Choć wymogi DORA koncentrują się na sektorze finansowym, wiele z zawartych w nim zaleceń może być cennych również dla innych organizacji, które dążą do podniesienia poziomu bezpieczeństwa IT.
Zgodnie z wytycznymi, administratorzy powinni wdrożyć segmentację sieci, automatyczne mechanizmy izolowania zagrożonych systemów, wieloskładnikowe uwierzytelnianie (multi-factor authentication) oraz ścisłą kontrolę uprawnień użytkowników. Istotne jest także prowadzenie pełnego rejestrowania wszystkich prób dostępu.
W organizacji powinien funkcjonować centralny system zbierania logów (Security Information and Event Management), umożliwiający automatyczne wykrywanie i klasyfikację incydentów bezpieczeństwa. Warto opracować zestaw gotowych procedur reagowania na incydenty.
DORA podkreśla również znaczenie monitorowania bezpieczeństwa dostawców zewnętrznych, w tym usług chmurowych i outsourcingu IT. Zaleca się weryfikację certyfikatów, raportów SOC 2 oraz umów SLA w zakresie bezpieczeństwa i ciągłości działania. Organizacja powinna także posiadać plan komunikacji kryzysowej, obejmujący procedury zgłaszania incydentów właściwym organom oraz komunikację z interesariuszami.
W ramach utrzymania odporności operacyjnej należy regularnie przeprowadzać testy penetracyjne, analizy podatności, testy wydajnościowe oraz ćwiczenia scenariuszy awaryjnych. Program testów powinien być odpowiednio udokumentowany i poddawany corocznemu przeglądowi.
ISO – co to?
ISO 27001 to norma międzynarodowa, standaryzująca system zarządzania bezpieczeństwem informacji.
W przeciwieństwie do wcześniej omawianych dokumentów, dostęp do pełnej treści normy ISO 27001 jest płatny (wyjątek stanowią zastosowania edukacyjne). Wynika to z faktu, iż norma stanowi podstawę do przeprowadzania audytów i wydawania certyfikatów zgodności, co wiąże się z działalnością komercyjną jednostek certyfikujących. Dostępne są jedynie fragmenty lub opracowania przygotowywane przez firmy konsultingowe, jednak ich wiarygodność powinna być zawsze weryfikowana ze względu na ograniczony publiczny dostęp do pełnego tekstu normy.
Skuteczne zarządzanie bezpieczeństwem informacji wymaga wdrożenia zestawu kontrolnych mechanizmów technicznych i organizacyjnych, które minimalizują ryzyko utraty poufności, integralności oraz dostępności danych.
Przede wszystkim należy ograniczyć i kontrolować nadawanie uprzywilejowanych praw dostępu, w szczególności kont administracyjnych. Dostęp do zasobów i informacji powinien być przyznawany zgodnie z zasadami określonymi w polityce kontroli dostępu, uwzględniającej zasadę minimalnych uprawnień (least privilege).
Ważnym elementem jest bezpieczne uwierzytelnianie użytkowników, oparte na nowoczesnych technologiach, takich jak wieloskładnikowe uwierzytelnianie, oraz procedurach zgodnych z polityką dostępu.
Aby chronić poufne dane, należy stosować środki zapobiegające wyciekom informacji (Data Loss Prevention) we wszystkich systemach, sieciach i urządzeniach przetwarzających dane wrażliwe. Dodatkowo, kluczowe dane, oprogramowanie oraz konfiguracje systemów powinny być regularnie archiwizowane i testowane zgodnie z przyjętą polityką tworzenia kopii zapasowych.
W celu zapewnienia ciągłości działania, systemy przetwarzania informacji muszą być wyposażone w mechanizmy redundancji, które gwarantują dostępność usług w przypadku awarii.
Każda organizacja powinna prowadzić rejestrowanie zdarzeń, obejmujące informacje o działaniach użytkowników, błędach, awariach i incydentach. Dane te należy odpowiednio chronić i analizować w celu wykrywania anomalii oraz potencjalnych naruszeń bezpieczeństwa.
Dodatkowo, monitorowanie sieci, systemów i aplikacji powinno być prowadzone w sposób ciągły, z możliwością natychmiastowego reagowania na nietypowe zdarzenia i incydenty. Dla zachowania spójności analiz i korelacji zdarzeń, zegary wszystkich systemów w organizacji muszą być synchronizowane z zatwierdzonymi, wiarygodnymi źródłami czasu.
Podsumowanie
Podsumowując, przedstawione dokumenty opisują jedynie wybrane obszary zarządzania bezpieczeństwem informacji oraz administrowaniem sieci i nie wyczerpują pełnego zakresu dobrych praktyk.
Warto jednak zauważyć, że wiele z nich opiera się na wspólnych zasadach, takich jak kontrola dostępu czy ciągłe doskonalenie procesów.
Władcy nie wpuszczają każdego na swój dwór i podobnie należy postępować z ruchem w sieci. Omówione regulacje i normy pokrywają się w kluczowych aspektach, m.in. w zakresie prowadzenia i aktualizacji dokumentacji bezpieczeństwa, przypisywania ról oraz ograniczania dostępu do zasobów zewnętrznych.
Należy sprawdzić wiarygodność dostawców usług oraz uzgodnić plan postępowania w przypadku incydentu. Do tego tworzenie niezależnych kopii zapasowych w celu przywracania systemu w razie nie przewidzianych problemów jest wymagane.
Przedstawione dokumenty są swego rodzaju drogowskazem, który pokazuje kierunek w jakim należało by się kierować przy administrowaniu siecią. Nie zawierają jednak dokładnych wytycznych takich jak polecani producenci sprzętu czy jak bezpiecznie skonfigurować router. Spełnianie konkretnych wytycznych i uzyskiwanie certyfikatów jest potrzebne wielu firmom w przetargach i mogą być wyznacznikiem zwracania uwagi organizacji na cyberbezpieczeństwo.
Zostaw komentarz
Musisz się zalogować lub zarejestrować aby dodać nowy komentarz.