Kontrola dostępu do zasobów systemu informatycznego

Kontrola dostępu do zasobów systemu informatycznego

Przyjrzyjmy się kwestii właściwego, czyli bezpiecznego, dostępu do zasobów systemu informatycznego firmy lub instytucji. To zagadnienie związane przede wszystkim z odpowiednim zarządzaniem przez administratora. Dzięki odpowiednim praktykom i rozwiązaniom możliwe jest skuteczne chronienie ważnych danych. Istotne w tym wszystkim, aby nie zawiódł tzw. czynnik ludzki. Dobre zabezpieczenia są wówczas dobre, gdy w prawidłowy sposób są użytkowane.

Kluczowe elementy bezpieczeństwa

Dowiedzmy się, jakie są zasadnicze czynniki, decydujące o bezpieczeństwie danych.

Poufność to cecha związana z zachowywaniem autoryzowanych ograniczeń dostępu do informacji. Dla jej utrzymania system powinien zagwarantować każdej osobie prawo do kontrolowania posiadanych na jej temat danych oraz sposobów ich wykorzystania.

Integralność, którą należy rozumieć jako zabezpieczenie przed niepożądanym modyfikowaniem lub niszczeniem danych. Dla jej zachowania wymagane są mechanizmy uwierzytelnienia, które zagwarantują, że użytkownikami są faktycznie osoby, twierdzące, że nimi są.

Dostępność oznaczająca, że wszystkie systemy informacyjne (sprzęt komputerowy, sieci komunikacyjne, aplikacje oraz dane) są dostępne dla użytkowników w czasie, kiedy pojawi się potrzeba ich wykorzystania. Zachowanie bezpieczeństwa wymaga tu wdrożenia polityki kontroli dostępu, tj. zawężenia dotarcia przez użytkowników do informacji, do których mają prawo.

Bezpieczeństwo informacji polegające przede wszystkim na minimalizowaniu zagrożeń w oparciu o zarządzanie ryzykiem we wszystkich obszarach ładu informatycznego. Kompleksowość takich praktyk niweluje niebezpieczeństwo wystąpienia ryzyka na choćby pojedynczej płaszczyźnie, skutkującego szkodami w całej organizacji.

Autentyczność jest cechą, polegającą na faktycznym istnieniu osoby bądź podmiotu oraz możliwości ich wiarygodnego zweryfikowania i potwierdzenia autentyczności komunikatu czy transmisji danych.

Działania kontrolne

Skoro wiemy już, jakie elementy wymagane są dla zachowania bezpiecznego dostępu do danych, dowiedzmy się, jak od strony operacyjnej spełnić te warunki. Są to praktyki wdrażane i nadzorowane przez administratora systemu. Obejmują one:

- użytkowanie odpowiednich interfejsów,

- stosowanie skutecznych sposobów identyfikacji zdalnych użytkowników oraz urządzeń,

- kontrolę dostępu użytkowników do funkcji systemu,

- kontrolę połączeń w sieci.

Rolą administratora systemu jest określenie procedury logowania do systemu informatycznego w taki sposób, aby maksymalnie zniwelować możliwość nieuprawnionego dostępu do zasobów. Procedury te powinny ujawniać minimum niezbędnych informacji dla użytkownika, dotyczących systemu. Zadaniem administratora jest także stosowanie procedur logowania do systemu informatycznego organizacji. Procedury te mają za zadanie:

- niewyświetlanie identyfikatorów systemu lub aplikacji, dopóki cała procedura logowania nie dobiegnie końca,

- wyświetlanie ostrzeżenia, że system może być dostępny tylko dla autoryzowanych użytkowników,

- zapobieganie dostarczaniu informacji pomocniczych, które mogą być użyte do ataku komputerowego,

- akceptację wprowadzonych informacji podczas logowania jedynie w przypadku poprawnego wprowadzenia wszystkich danych, zaś w przypadku błędnych danych niewskazywanie, w której części dane te są nieprawidłowe,

- ograniczanie liczby nieudanych prób logowania do maksymalnie trzech zanim podjęte będą działania prewencyjne,

- określenie maksymalnego i minimalnego dopuszczalnego czasu na realizację procedury logowania (naruszenie czasowe powoduje przerwanie i zakończenie procedury logowania),

- wyświetlenie po pomyślnym zakończeniu procedury logowania daty i czasu poprzedniego poprawnego logowania oraz szczegółowych danych o wszystkich niepomyślnych próbach logowania od ostatniej prawidłowej procedury.

Inne zadania administratora dotyczące nadzoru dostępu

  1. Administrator systemu przydziela każdemu uprawnionemu użytkownikowi unikalny identyfikator do wyłącznego użytku. Ma to na celu możliwość stałego śledzenia działań w systemie pod kątem określenia ewentualnej odpowiedzialności indywidualnej za stwierdzone naruszenia zasad bezpieczeństwa.
  2. Przyznanie użytkownikowi identyfikatora nieposiadającego informacji odnośnie przywilejów użytkownika.
  3. Określenie, dla których elementów systemu informatycznego jedna nieudana próba logowania powoduje natychmiastowe rozłączenie i nie zapewnia żadnej obsługi do czasu wyjaśnienia zdarzenia.

Wszelką pomoc w zakresie ustanowienia bezpiecznego dostępu do danych oraz jego administrowania zapewnia CKZ. Zapraszamy do kontaktu.