Ochrona antywirusowa
Jednym ze środków ochrony teleinformatycznych jest ochrona antywirusowa. System TI, w którym przetwarzane są informacje niejawne należy wyposażyć w ochronę przed złośliwym oprogramowaniem. Oprogramowanie musi być sprawdzonego i uznanego producenta. Przy wyborze programu antywirusowego pomocne są rankingi tworzone przez laboratoria badające skuteczność takich programów. Skuteczność badana jest, przede wszystkim, poprzez sprawdzenie wykrywalności wirusów, zarówno tych których sygnatury są znane jak i tych, których nie ma w bazach sygnatur. Wtedy silniki antywirusowe używają algorytmów heurystycznych. Sposób użytkowania programu antywirusowego, jego aktualizacje należy opisać w „procedurach bezpiecznej eksploatacji” PBE.
Kopie bezpieczeństwa i ciągłość działania
Jedna z cech informacji niejawnych to jest dostępność tych informacji. Dostępność zapewnia się między innymi przez kopie zapasowe. Tworzy się kopie systemu operacyjnego, kopie danych. Opis sposobu tworzenia należy ująć w procedurach PBE, dodatkowo określa się cykliczność wykonywania kopii, rodzaj nośnika na którym ma być przechowywana kopia, zakres czasowy. Za utworzenie kopii „odpowiada administrator systemu”, dopuszcza się możliwość tworzenie kopii danych przez użytkowników systemu, np. na płytach CD/DVD. Kopie należy oznaczyć odpowiednią klauzulą tajności i zarejestrować jako materiał niejawny. Należy także sprawdzać poprawność odtworzenia kopii.
Zasilanie awaryjne
Zasilanie awaryjne ma duże znaczenie w przypadku systemów serwerowych. Zasilanie awaryjne umożliwia zapewnienie dostępności informacji niejawnych. Dla pojedynczych stanowisk komputerowych zasilanie awaryjne nie ma istotnego znaczenia, jednak zaleca się stosować urządzenia UPS lub zasilanie gwarantowane. Zastosowanie zasilaczy ma także wpływ na stopień ochrony elektromagnetycznej.
Redundante urządzenia i łącza
W przypadku rozbudowanych systemów teleinformatycznych, dla których istotne znaczenie ma dostępność informacji niejawnych, stosuje się dodatkowe urządzenia i łącza, które w razie awarii podstawowych elementów przejmują ich rolę.
Serwis
Istotnym czynnikiem utrzymania dostępności systemu jest zapewnienie właściwego serwisu urządzeń i oprogramowania. Najczęściej mamy do czynienia z serwisem producenta, który dokonuje napraw i rekonfiguracji sprzętu i oprogramowania. Serwis może polegać na naprawach na miejscu funkcjonowania systemu lub przekazaniu sprzętu na zewnątrz jednostki. Osoby dokonujące napraw na miejscu z firmy zewnętrznej muszą posiadać odpowiednie poświadczenia bezpieczeństwa i pracować pod nadzorem administratora systemu lub inspektora bezpieczeństwa teleinformatycznego. Należy pamiętać, że sprzęt przekazywany do naprawy poza jednostkę musi być przekazany bez żadnych nośników informacji.
Personel
Dobrą praktyką jest powołanie na stanowiska administratora systemu i inspektora bezpieczeństwa teleinformatycznego co najmniej po dwie osoby do pełnienie każdej funkcji. Zdarzają się różne przypadki losowe, w wyniku których jedna z osób funkcyjnych nie będzie mogła wykonywać swoich zadań, np. choroba pracownika. Nieobecność osoby funkcyjne, w przypadku braku jej zastępcy może spowodować unieruchomienie systemu teleinformatycznego w najlepszym razie, a w najgorszym utratę danych z systemu.
Monitorowanie systemu
Ważnym aspektem bezpieczeństwa systemu TI jest monitorowanie systemu, czyli zmian w mechanizmach bezpieczeństwa, zmian w ilości zasobów, np. użytkowników, danych, analiza zagrożeń, podatności.
Logi bezpieczeństwa
System TI musi być wyposażony w mechanizmy umożliwiające prowadzenie rozliczalności pracy użytkowników w systemie TI. Najważniejszym sposobem monitorowania i kontroli pracy użytkowników są logi bezpieczeństwa (np. dziennik zdarzeń, ewidencja elektroniczna). Logi można podzielić na logi bezpieczeństwa i logi systemowe. Logi bezpieczeństwa analizuje inspektor bezpieczeństwa teleinformatycznego, natomiast logi systemowe administrator systemu. W celu zapewnienia niezaprzeczalności działań użytkowników w systemie informatycznym wdraża się np. podpis elektroniczny, znakowanie itp. Logów nie zaleca się usuwać, a archiwizować, po to aby zachować historię działań użytkowników w systemie przez cały okres funkcjonowania systemu TI.
Zmiany w systemie
Zmian w systemie T takich jak zmiana konfiguracji sprzętowej, oprogramowania może dokonywać wyłącznie administrator systemu, nikt inny nie może ingerować w konfigurację systemu TI. Ustawa o ochronie informacji niejawnych wskazuje jednoznacznie na administratora systemu jako osobę odpowiedzialną za konfigurację systemu teleinformatycznego.
Incydenty bezpieczeństwa teleinformatycznego
Opis sposobu reagowania na incydenty należy zamieścić w formie procedury w dokumencie procedur bezpiecznej eksploatacji. Wszyscy użytkownicy systemu TI i osoby odpowiedzialne za bezpieczeństwo zobowiązane są do informowania inspektora bezpieczeństwa teleinformatycznego o zaistniałych incydentach. Inspektor zobowiązany jest do prowadzenia rejestru incydentów. Dodatkowo inspektor zobowiązany jest do prowadzenia kontroli i audytów wewnętrznych. Każdy incydent należy szczegółowo wyjaśnić i podjąć środki naprawcze. Jednym z najważniejszych środków prewencyjnych są szkolenia i ciągłe uświadamianie użytkowników w kwestii bezpieczeństwa.
Zabezpieczenie BIOS
Podstawowe środki ochrony BIOS to:
- oplombowany komputer ewidencjonowanymi plombami
- hasło na BIOS ma być silne, jeżeli to możliwe to 12 znaków
- należy wyłączyć automatyczne wykrywanie podłączonych urządzeń np. dysków zewnętrznych, CD/DVD, Pendrive. Uruchamianie tylko z podłączonego dysku twardego
- należy wyłączyć w BIOS wszystkie zbędne porty komputera (np. szeregowy, równoległy, port pendrive, esata, hdmi itp.)
- należy wyłączyć zbędne karty sieciowe, modemy itp.
- należy zablokować uruchamianie komputera z bootowalnej karty sieciowe itp.
- należy zabezpieczyć plombą baterię podtrzymującą BIOS
Zasady haseł
Hasła powinny spełniać wymagania:
- nie stanowią nazwy użytkownika ani nazwy konta
- hasła muszą być złożone, czyli zawierać: wielkie i małe litery, cyfry, znaki specjalne
- 12 znaków
- hasła mogą być używane przez maksymalnie 30 dni, następnie należy wymusić zmianę
- po 3 nieudanych próbach zalogowania, konto jest blokowane i może zostać odblokowane dopiero przez administratora systemu
Inspekcja zdarzeń
W systemie informatycznym należy rejestrować różne typy zdarzeń w celu monitorowania działań użytkowników, programów, usług, najważniejsze to logowania na konto użytkownika, nieudane próby logowania, zmiana praw użytkowników, dostęp do katalogów, plików.
Mechanizmy bezpieczeństwa
Każdy system teleinformatyczny powinien umożliwiać:
- identyfikację (dopuszcza się na podstawie nazwy użytkownika, tokenu itp.)
- uwierzytelnienie (dopuszcza się na podstawie hasła, piny, biometryka, tokeny, karty)
- autoryzację – kontrola dostępu do obiektów, definiowanie praw na listach kontroli dostępu
- audyt i rozliczalność – inspekcja zdarzeń i ewidencjonowanie zdarzeń