TÖLVUMÁL sýslulýsingar) 6. Birgðir (t.d. pappír, form, segulbönd) Þegar þessi atriði eru skráð þarf að meta hættuna sem steðjar að hverju fyrir sig. Svo sem áhættu vegna óheimils aðgangs að búnaði, upplýsingastulds eða hindrunar á eðlilegri þjónustu fyrirtækisins. Stefnuatriði Atriði sem taka þarf afstöðu til og skrá við mótun öryggisstefnu geta verið: 1. Hverjir hafa heimild til að nota tilteknar auðlindir. 2. Hver eru eðlileg not á þessum auðlindum. 3. Hverjir mega veita heimildir til aðgangs og notkunar. 4. Hverjirfáréttinditil kerfisum- sjónar, hversu ítarleg og upp- skipt þau eru. 5. Hver er réttur notenda og skyld- ur. 6. Hver eru réttindi og skyldur kerfisstjóra umfram almenna notendur. 7. Hvemig eru viðkvæmar upp- lýsingar meðhöndlaðar. Leiðir tii að raungera öryggisstefnu Þar sem öryggisstefnan sjálf kveður almennt á um HVAÐ skuli gera þarf í framhaldinu að koma á lýsingum á því HVERNIG í við- eigandi smáatriðum á að fram- kvæma öryggisstefnuna í einstök- um liðum. Framkvæmdin þarf að taka mið af því hvað er hagkvæmt kostnaðarlega miðað við þau verð- mæti sem eru í hættu. Það þarf að skilgreina aðgerðir sem gripið er til ef óheimilla aðgerða verður vart. Einn mikil- vægasti þátturinn til að koma í veg fyrir óeðlilegt ástand er að öllum sé ljóst innihald öryggisstefnunnai'. Þetta verður að gera með mark- vissri kynningu stefnunnar, bæði fyrir almennum notendum og þeim sem sinna kerfishluta tölvuum- hverfisins. Öryggismarkmið Þótt e.t.v. væri göfugt markmið að reyna að ná fullkomnu öryggi í tölvuumhverfi samtímans þá er það engan vegin raunhæft. Virk vitund um hætturnar, forvarnar- aðgerðir og fyrstu fyrirbyggjandi viðbrögð eru áhrifamest og kosta minnst. Þegar kröfur um öryggi aukast vex jaðarkostnaður marg- falt við hvert viðbótar öryggisstig, auk þess sem algerlega öruggur búnaður verður að öllum líkindum ekki nothæfur með góðu móti vegna hafta og reglna sem þarf að framfylgja. Tæknin til að verjast og byggja upp öryggi verður æ fullkomnari, en jafnframt þróast ört tæknin og þekkingin til að brjóta öryggið. Þekking á öryggismálum krefst æ meiri sérhæfingar og byggir bæði á þekkingu á mannlegri hegðun og sértækri þekkingu á innstu eigind- um tölvusamskipta og nettenginga. Reyndin er sú að mikið af til- raunum til innbrota eru gerðar þegar unglingar eru að fikta með aðfengnum hugbúnaðartólum. Þetta má gjarnan merkja af því hversu viðvaningslegar aðgerð- irnar eru, t.d. er oft reynt að gefa dæmigerðar PC skipanir þótt brot- ist sé inn á Unix vél. í umhverfi þar sem öryggis- varnir eru þokkalegar er oft mun fyrirhafnarminna að brjótast inn á tölvukerfi með því að beita félags- legum brellum en tæknilegum. Þetta á einkum við um fyrirtæki þar sem fræðslu hefur verið lítt sinnt og þekking og ábyrgð starfs- fólks hefur ekki verið vakin eða viðhaldið. Dæmi um notkun fél- agslegra tengsla er þegar tölvu- þrjótur notar kunningsskap til að komast að nafnareglum á tölvu- búnaði einhvers fyrirtækis og styttir sér þannig leið til að nálgast lykilorð löglegs notanda. Önnur dæmi eru um tölvuþrjóta sem senda eins konar ‘Tróju hesta’ í tölvupósti til valins eða valinna starfsmanna fyrirtækis sem þeir sækjast eftir gögnum frá. Þessi „falski“ tölvupóstur gæti innihald- ið skjal sem keyrir forrit, þegar farið er eftir saklausum leiðbein- ingum og smellt á viðeigandi íkon þannig að inn á einhverja tölvu laumast t.d. netsnuðrarabúnaður sem er sérlega ætlað að safna nöfnum og lykilorðum af staðar- netum og senda svo út úr húsi með tölvupósti. Tölvubúnaður afhentur án varna Tölvubúnaður er enn fram- leiddur og afhentur notendum op- inn og óvarinn, tilbúinn að tengjast öllum á sem auðveldastan hátt. Eðlilegra er að lokað sé fyrir sem flesta möguleika, og þeir sérstak- lega opnaðir fyrir þær tengingar sem formlega er ákveðið að nota og þörf er fyrir. Þetta ástand stafar líklega af því að tæknin á sér gjarnan uppruna í fílabeinstumum stórfyrirtækja og háskóla, þar sem þessi öryggisvitund hefur ekki fest rætur. Það er mikilvægt strax í upp- hafi við hönnun og uppsetningu á tölvubúnaði á hverjum vinnustað að hafa það sem meginreglu að allar tengingar og þjónustur séu lokaðar nema þær séu sérstaklega opnaðar. Með slíkum vinnubrögð- um ætti að liggja fyrir meðvituð ákvörðun um allar þjónustur og tengingar sem komið er á. Það er hins vegar staðreynd að hverri JÚNÍ1997 - 19

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36