Add to collection(s) Add to saved
  1. Biznes
  2. Zarządzanie

Zarządzanie Bezpieczeństwem Informacji

Zarządzanie Bezpieczeństwem
Informacji
Dr Tomasz Barbaszewski
Kraków, 2012
Tomasz Barbaszewski@gmail.com
Właściwości informacji
Relewantność
Informacja odpowiada na potrzeby odbiorcy
Informacja ma istotne znaczenie dla odbiorcy
Tomasz Barbaszewski@gmail.com
Właściwości informacji
Dokładność
Informacja jest adekwatna do poziomu wiedzy
odbiorcy
Informacja dokładnie i precyzyjnie określa
temat
Tomasz Barbaszewski@gmail.com
Właściwości informacji
Aktualność
Informacja nie jest „zakurzona”
Informacja jest aktualizowana zgodnie
z naturalnymi potrzebami
Prowadzone jest monitorowanie aktualności
informacji
Tomasz Barbaszewski@gmail.com
Właściwości informacji:
Kompletność
Informacja zawiera optymalną ilość danych
Dane zawarte w informacji mogą być
przetworzone w konkretną i przydatną
odbiorcy wiedzę
Szczegółowość informacji odpowiada
potrzebom odbiorcy
Tomasz Barbaszewski@gmail.com
Właściwości informacji:
Spójność
Poszczególne elementy i dane zawarte
W informacji współgrają ze sobą
Forma informacji jest adekwatna do treści
System aktualizacji danych odpowiada
celom, którym ma służyć
Tomasz Barbaszewski@gmail.com
Właściwości informacji:
Odpowiedniość
Forma prezentacji informacji jest oczywista
i nie prowadzi do błędnej interpretacji
Wszystkie elementy informacji – tekstowe,
graficzne i multimedialne muszą być
możliwe do odczytu przez użytkownika
Dodatkowe opisy odpowiadają treści
informacji
Tomasz Barbaszewski@gmail.com
Właściwości informacji:
Dostępność
Informacja dostępna jest uprawnionym
odbiorcom w każdym momencie oraz
o każdym miejscu kiedy jest im potrzebna
W systemach ICT należy preferować
dostępność 24 godzinną w cyklu 7 dniowym
Dostęp do informacji może podlegać
weryfikacji i kontroli
Tomasz Barbaszewski@gmail.com
Właściwości informacji:
Przystawalność
Informacja nie pozostaje w sprzeczność
z innymi informacjami, którymi dysponuje
odbiorca
Informacja jest zgodna z rzeczywistością
Informacja funkcjonuje w spójnym systemie
wzajemnej komunikacji
Tomasz Barbaszewski@gmail.com
Właściwości informacji:
Wiarygodność
Informacja zawiera prawdziwe dane
Informacja potwierdza prawdziwość danych
Informacja zawiera elementy upewniające
co do rzetelność przekazu
Tomasz Barbaszewski@gmail.com
Brak informacji lub jej niedostateczna
jakość prowadzi do braku możliwości
podjęcia decyzji
Brak przesłanek prowadzi do zakłócenia
procesu decyzyjnego
Tomasz Barbaszewski@gmail.com
Prezentacja informacji może być
nieadekwatna do jej faktycznej
treści.
Godna zaufania forma informacji
może skutkować uznaniu jej za
wiarygodną.
Tomasz Barbaszewski@gmail.com
35
30
25
20
Dane
15
10
5
0
PO
PiS
SLD
PSL
Tomasz Barbaszewski@gmail.com
Tomasz Barbaszewski@gmail.com
Henryk Batuta
Fikcyjna postać, której
życiorys umieszczono
w Wikipedii.
Wystąpiono nawet o zmianę
nazwy ulicy w Warszawie.
Tomasz Barbaszewski@gmail.com
System Zarządzania
Bezpieczeństwem Informacji
Information Security
Management System
Wdrażanie SZBI (ISMS) w praktyce:
Zdefiniowanie celów
● Rozpoznanie zagrożeń i analiza ryzyka
● Wyznaczenie punktów kontrolnych
● Wprowadzenie zmian, procedur i zaleceń
● Monitorowanie rezultatów
●
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Cel podstawowy:
Zapewnienie wysokiej jakości
informacji traktowanej jako ważny
składnik aktywów instytucji lub
przedsiębiorstwa warunkujący
sprawą realizację procesów
biznesowych.
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Ochrona danych osobowych:
USTAWA z dnia 29 sierpnia 1997 r.
o ochronie danych osobowych z późniejszymi
zmianami (Dz.U.2007.176.1238)
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Ochrona własności intelektualnej:
USTAWA z dnia 4 lutego 1994 r.
o Prawie Autorskim i Prawach Pokrewnych
z późniejszymi zmianami (Dz.U.2002.197.1662)
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Ochrona informacji niejawnych:
USTAWA z dnia 5 sierpnia 2010 r.
o Ochronie Informacji Niejawnych
z późniejszymi zmianami (Dz.U.2010.182.1228)
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Dla podmiotów realizujących zadania
publiczne:
USTAWA z dnia 17 lutego 2005 r.
o Informatyzacji Podmiotów Realizujących
Zadania Publiczne
z późniejszymi zmianami (Dz.U.2005.64.565)
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
USTAWA z dnia 17 lutego 2005 r.
o Informatyzacji Podmiotów Realizujących
Zadania Publiczne jest uzupełniana przez
Rozporządzenia Między innymi tzw. Krajowe Ramy Operacyjności
(obecnie w końcowym etapie wprowadzania):
§ 14. 1. Podmiot realizujący zadania publiczne opracowuje
ustanawia, wdraża i eksploatuje, monitoruje i przegląda
oraz utrzymuje i doskonali system zarządzania
bezpieczeństwem informacji...
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Spełnienie wymagań prawa:
Dla podmiotów realizujących zadania
publiczne:
USTAWA z dnia 6 września 2001 r.
o Dostępie do Informacji Publicznej
z późniejszymi zmianami (Dz.U.2001.112.1198)
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Zabezpieczenie realizacji procesów
realizowanych przez organizację:
Informacje
Proces
Informacje
Zasoby
informacji
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Wspomaganie procesu decyzyjnego
dzięki zapewnieniu wysokiej jakości
dostarczanej informacji
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Wspomaganie procesu decyzyjnego
dzięki zapewnieniu wysokiej jakości
dostarczanej informacji
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Zapewnienie wysokiego
poziomu zaufania do Partnera
przy zachowaniu sprawnej
wymiany informacji
Formalizacja SZBI – rodzina
Norm ISO/IEC 27000
Tomasz Barbaszewski@gmail.com
Podstawowe cele
Systemu Zarządzania
Bezpieczeństwem Informacji
Ochrona przed utratą prestiżu
organizacji:
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Bez uświadomienia zagrożenia nie da się
zbudować skutecznego systemu zabezpieczeń!
Celem ustanowienia i prowadzenie SZBI jest
OCHRONA INFORMACJI – a nie ochrona sprzętu
lub oprogramowania komputerowego.
Mechanizmy ochrony sprzętu i oprogramowania
pełnią rolę służebną w stosunku do ochrony
INFORMACJI.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Podstawowe zagrożenie – czynnik ludzki:
●
●
Świadomość kadry zarządzającej o znaczeniu
jakości informacji dla sprawnego działania
organizacji oraz o konieczności jej ochrony
Zrozumienie przez wszystkie osoby
zaangażowane w proces przetwarzania
informacji obowiązków wynikających
konieczności jej ochrony
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Podstawowe zagrożenie – czynnik ludzki:
Zakazy – skuteczne w przypadku,
gdy są znane i respektowane
Wymuszanie określonych zachowań
Jest często odbierane jako szykana
Świadomość zagrożenia i dostosowanie
zachowania do sytuacji... Skuteczne,
lecz trudne w praktyce
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Podstawowe zagrożenie – czynnik ludzki:
„Zarówno kary jak i nagrody stanowią w każdej
sytuacji czynnik silnie zniechęcający do
podejmowania twórczej pracy, gdyż odbierają
człowiekowi jego naturalną wewnętrzną motywację
pozytywnego działania.”
Prof. A.J.Blikle w „Doktryna Jakości”
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Dostęp do informacji:
Zbiór
partnera
Kierownictwo
Pracownicy
Własny zbiór
informacji
Zbiór
partnera
Reszta Świata
Zbiór
partnera
Klienci
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Wprowadzanie informacji (KAŻDEJ!!!)
●
●
Niekontrolowane wprowadzenie informacji
do systemu jest poważnym zagrożeniem,
Dopuszczenie do braku kontroli nad
wprowadzanymi informacjami może
doprowadzić do zagrożenia dla całego
systemu!
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Wprowadzanie informacji (KAŻDEJ!!!)
Remedia:
●
●
Ciągłe uświadamianie użytkowników systemu,
Ustanowienie skutecznego system kontroli jakości
(uwierzytelnienie, integralność, niezaprzeczalność...)
informacji wprowadzanej do systemu.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Kopiowanie informacji (w dowolnej formie)
Kopia cyfrowa (plik) nie jest odróżnialna od
oryginału!
●
Konieczne jest ustanowienie procedur związanych
z wykonywaniem kopii (także „papierowych”) oraz
systemu zarządzania kopiami (kontrola zgodności
z oryginałem, ilości, przechowywania oraz usuwania
lub fizycznego niszczenia kopii.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Korzystanie z informacji bez jej modyfikowania
Dostęp do informacji zawsze wiąże się z zagrożeniem
jej upublicznienia.
Co najmniej połowa
naruszeń poufności
informacji następuje
przypadkowo, bez złej
woli (a nawet świadomości)
naruszającego.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Modyfikowanie informacji
Możliwość niekontrolowanego modyfikowania
informacji jest bardzo poważnym zagrożeniem
Konieczne jest ustanowienie systemu zarządzania
modyfikowaniem informacji uwzględniającego
każdorazowe i bezsporne odnotowanie tego faktu
oraz towarzyszących mu okoliczności (tożsamości
osoby, która modyfikacji dokonała)
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Analiza zagrożeń
Przechowywanie informacji
Podczas przechowywania informacji nieuchronnie
występuje zagrożenie jej utraty
Utrata wielu informacji (know-how, dokumentacje
techniczne i finansowe, archiwa wydanych decyzji)
może mieć katastrofalne skutki dla realizacji zadań
organizacji
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Klasyfikacja informacji jest niezbędnym składnikiem
Systemu Zarządzania Bezpieczeństwem Informacji
Sposób klasyfikacji informacji powinien zostać
precyzyjnie opisany w odpowiednim dokumencie
oraz być zintegrowany z system zarządzania jakością
wykorzystywanym przez organizację (podejście
procesowe)
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
W najprostszym przypadku klasyfikacja informacji
powinna uwzględniać następujące atrybuty:
1) Wartość aktywu informacji dla organizacji
2) Poziom zagrożenia
3) Poziom podatności
Poszczególnym atrybutom możemy przyporządkować
liczby naturalne – miarą zagrożenia jest ich suma
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Wartość aktywu informacji - wynika przede wszystkim z analizy skutków utraty
informacji dla realizacji zadań organizacji.
- przyjęta wartość aktywu powinna wynikać
z powiązania aktywu informacji z realizowanymi
procesami biznesowymi oraz ich znaczenia dla
organizacji i powinna uwzględniać uwarunkowania
prawne
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Poziom zagrożenia - określa się w zależności od niezbędnego stopnia
udostępniania informacji (im szerzej jest udostępniana
informacja tym zagrożenie jest większe), konieczności
jej kopiowania itp...
- Ocena poziomu zagrożenia jest subiektywna i może
być określana w ramach organizacji, lecz powinna
ją charakteryzować konsekwencja
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Podatność - jest zależna od rodzaju udostępnianej informacji
oraz technicznego sposobu jej udostępniania
- Podatność jest miarą określającą możliwość
jakiegokolwiek zakłócenia dostępu do inorformacji,
jej zniekształcenia (celowego lub przypadkowego),
nieuprawnionego rozpowszechnienia itp.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji – macierz ryzyka
Z
0
0
0
1
1
1
2
2
2
P
0
1
2
0
1
2
0
1
2
0
0
1
2
1
2
3
2
3
4
1
1
2
3
2
3
4
3
4
5
5
6
2
3
4
5
Wartość aktywu
9
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji
Jest wprowadzana przez organizację według
przyjętego przez nią schematu.
Klasyfikacja informacji nie podlegających
zewnętrznym przepisom prawa może być
dowolna, jednakże stosowany system musi
być odpowiednio udokumentowany
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji – niezbędne elementy:
1) Inwentaryzacja informacji objętych SZBI
2) Opis wartości informacji dla organizacji
3) Opis sposobu postępowania z informacjami
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Klasyfikacja informacji – w praktyce
1) Nie powinna pokrywać wymagań prawnych
(np. wymagań GIODO)
2) Powinna być przejrzysta i ograniczona do
kilku (3-5 grup) informacji
3) Musi pozwolić użytkownikom na szybkie
i jednoznaczne zakwalifikowanie dokumentu
do odpowiedniej grupy
4) Informować użytkowników o sposobie
postępowania z informacjami
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Dostęp do informacji
1) Uwierzytelnienie potwierdzenie tożsamości osoby lub
urządzenia żądających dostępu do systemu
informacyjnego
2) Autoryzacja Sprawdzenie, czy osoba lub urządzenie są
uprawnione do korzystania z określonej
funkcji systemu (np. dostępu do informacji)
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Najprostszy system: Login / password
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Karta chipowa lub token:
ę
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Metody biometryczne
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie
Czy dane są
prawidłowe
NIE
Akcja bezpieczeństwa
TAK
Dostęp do systemu
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie – akcje bezpieczeństwa
Zablokowanie możliwości powtórnej autoryzacji na
określony czas – np. 30 sekund
Zablokowanie konta w systemie np. po 3-5 nieudanych
próbach uwierzytelnienia
Zanotowanie zdarzenia w dzienniku systemowym
Włączenie alarmu bezpieczeństwa
Awaryjne wyłączenie systemu
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Uwierzytelnienie urządzeń
Jednostronne – klient przekazuje informacje uwierzytelniające
Serwerowi
Dwustronne – uwierzytelniają się obie strony
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie informacjami uwierzytelniającymi
Informacje uwierzytelniające identyfikują użytkownika
lub urządzenie w systemie – muszą być więc
skutecznie chronione!
Należy opracować i wdrożyć odpowiednie procedury
zarządzania informacjami uwierzytelniającymi oraz
przeszkolić użytkowników w korzystaniu z nich
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Reguły nadawania nazwy użytkownika (LOGIN NAME)
- muszą być jednakowe dla w ramach organizacji,
- nazwa użytkownika powinna być zrozumiała dla ludzi,
- hasło dostępu powinno być znane jedynie użytkownikowi,
- użytkownik powinien mieć możliwość zmiany hasła,
- „trudność” hasła powinna być kontrolowana,
- należy określić warunki obowiązkowej zmiany haseł,
- w przypadku stosowania zaawansowanych metod
uwierzytelnienia (karty, biometria) należy opracować
odpowiednie procedury.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie dostępem użytkowników do systemu:
- udzielanie dostępu do systemu (wydanie danych
uwierzytelniających musi następować w zgodnie
z wdrożoną procedur, które muszą uwzględniać aktualny
status użytkownika (stosunek pracy, wykonywanie
zlecenia itp.),
- Należy opracować i wdrożyć procedury związane
z czasowymi nieobecnościami użytkownika (urlop,
wyjazd służbowy, choroba) oraz postępowaniem
w przypadku zakończenia pracy z systemem (odejście,
zakończenie zlecenia itp.).
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie dostępem użytkowników do systemu:
- procedury związane z uzyskiwaniem dostępu do systemu
muszą być skorelowane z klasyfikacją informacji oraz
stanowiskiem służbowym użytkownika
- wszelkie informacje utworzone, przetworzone lub
pozostające w dyspozycji użytkownika w przypadku
ustania stosunku służbowego nie są usuwane, lecz
podlegają archiwizacji na okres przewidziany procedurą.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Zarządzanie dostępem użytkowników do systemu:
- udzielanie dostępu do systemu (wydanie danych
uwierzytelniających musi następować w zgodnie
z wdrożoną procedur, które muszą uwzględniać aktualny
status użytkownika (stosunek pracy, wykonywanie
zlecenia itp.),
- Należy opracować i wdrożyć procedury związane
z czasowymi nieobecnościami użytkownika (urlop,
wyjazd służbowy, choroba) oraz postępowaniem
w przypadku zakończenia pracy z systemem (odejście,
zakończenie zlecenia itp.).
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Zestawienie zastosowanych środków:
Opracowana Polityka Bezpieczeństwa
Informacji – dział „Zarządzanie dostępem
do systemu” wraz z odpowiednimi
załącznikami (wzory rejestrów itp.).
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Cel:
zapewnienie w siedzibie podmiotu ochrony
przetwarzanych informacji przed nieautoryzowanym
dostępem fizycznym, uszkodzeniami lub
zakłóceniami
Środki:
Wprowadzenie obszarów chronionych fizycznie,
w których są przechowywane lub przetwarzane
Informacje (np. dane osobowe).
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Środki (cd.):
➔ Zabezpieczenie serwerowni,
➔ Zabezpieczenie stacji roboczych,
➔ Kontrola dostępu i wykorzystywania
urządzeń peryferyjnych,
➔ Przechowywanie kopii papierowych
(hard copies) oraz zarządzanie nimi.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Zestawienie zastosowanych środków:
Opracowana Polityka Bezpieczeństwa
Informacji – dział „Bezpieczeństwo
Fizyczne”
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Udział „stron trzecich”:
Rozbudowa lub modernizacja systemu,
➔ Serwisowanie systemu,
➔ Wykorzystywanie zewnętrznych usług
informatycznych (outsourcing,
przetwarzanie w chmurze),
➔ Postępowanie z wycofywanymi urządzeniami.
➔
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Udział „stron trzecich”:
Wzory umów z dostawcami i usługodawcami
uwzględniające zachowanie bezpieczeństwa
informacji
➔ Wykorzystywanie zewnętrznych usług
informatycznych (outsourcing,
przetwarzanie w chmurze),
➔ Postępowanie z wycofywanymi urządzeniami.
➔
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Zestawienie zastosowanych środków:
Opracowana Polityka Bezpieczeństwa
Informacji – wymagania wobec dostawców
sprzętu, oprogramowania oraz usług.
W uzasadnionych przypadkach należy
Wymagać certyfikacji ISO 20000
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Cel:
Minimalizacja ryzyka awarii systemów oraz
zapewnienie ciągłości ich działania.
Środki:
Procedury serwisowania sprzętu,
Kontrola integralności oprogramowania oraz
plików systemowych, instalacji poprawek
i uzupełnień.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Cel:
Ochrona informacji transmitowanych przez
sieci komputerowe
Środki:
Ochrona fizyczna okablowania i urządzeń,
Filtracja przesyłanych informacji,
Ochrona kryptograficzna.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Norma TEMPEST
Ochrona przed
ujawniającą
emisją
elektromagnetyczną
Informacje niejawne
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Realizacja bezpiecznych
transmisji sieciowych
wymaga stosowania
specjalnych urządzeń
oraz ekranowanego
okablowania
Niezbędne do ochrony
Informacji niejawnych
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Szyfrowanie transmisji - metoda ochrony transmisji w sieciach
niechronionych fizycznie.
- w warstwie fizycznej (sieci militarne),
- w warstwie połączenia (rzadko),
- w warstwie sieci,
- w warstwie aplikacji (niebezpieczne!)
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Ochrona kryptograficzna transmisji wymaga
ustanowienia procedur zarządzania kluczami
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Działania organizacyjne:
Precyzyjna delegacja zadań związanych
obsługą systemu informatycznego:
●
Administrator Systemu Informatycznego (ASI),
●
Administrator Bezpieczeństwa Informacji (ABI).
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
ASI:
Sprawuje nadzór nad pracą systemu
informatycznego,
● Odpowiada za instalację oraz konfigurację
oprogramowania, wprowadzanie aktualizacji
oraz poprawek i uzupełnień,
● Realizuje wszelkie zadania związane z bieżącą
eksploatacją i serwisem systemu,
● Świadczy pomoc dla użytkowników.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Prowadzi nadzór nad bezpieczeństwem
informacji w organizacji,
● Zarządza kwalifikacją informacji,
● Prowadzi ewidencję osób uprawnionych
do wykorzystywania oraz przetwarzania
informacji kwalifikowanych,
● Wydaje odpowiednie zalecenia dla ASI
związane z ochroną informacji.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Podejmuje odpowiednie działania w razie
stwierdzenie naruszenia bezpieczeństwa
informacji lub podejrzenia takich naruszeń,
● Prowadzi nadzór nad serwisowaniem,
naprawami oraz likwidacją urządzeń, na
których składowane są informacje
kwalifikowane.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Sprawuje nadzór nad obiegiem dokumentów
zawierających informacje kwalifikowane,
● Opracowuje oraz nadzoruje procedury
archiwizacji danych kwalifikowanych,
● Opracowuje procedury obowiązujące
w przypadku awarii systemu informacyjnego
oraz organizuje przeszkolenie pracowników
w tym zakresie.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
ABI:
Monitoruje na bieżąco i w razie potrzeby
wprowadza modyfikacje SZBI,
● Organizuje oraz nadzoruje działania
związane z prowadzeniem audytów SZBI
(zarówno wewnętrznych, jak i zewnętrznych),
● Składa okresowe raporty z działania SZBI
zarządowi organizacji.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Cel: Ochrona informacji – nie komputerów!
Ochrona fizyczna:
Urządzenia techniczne, które umożliwiają składowanie
danych powinny być chronione fizycznie.
Polityka bezpieczeństwa powinna definiować obszary
przetwarzania danych, mechanizmy kontroli dostępu
do tych obszarów oraz warunki, które powinny
spełniać osoby z nich korzystające.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Lp. Adres - budynek
Nr pomieszczenia
1
33-222 Kraków,
ul. Kowalskiego 10
12, 201, 203, 210
2
01-333 Warszawa,
ul. Batuty 2
401, 403
3
00-212 Lublin,
ul. Hoża 12
11, 12, 13, 14
Kopie zapasowe danych są przechowywane w szafie ogniotrwałej
w pomieszczeniu nr.12 w Krakowie, ul.Kowalskiego 10.
Klucze awaryjne są dostępne:
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Środki ochrony fizycznej:
- dostęp do pomieszczeń (zamki patentowe,
szyfrowe, systemy kontroli dostępu),
- Monitorowanie dostępu do pomieszczeń,
- Przechowywanie kopii „papierowych”,
- Niszczenie zbędnych kopii dokumentów,
- Procedury wykorzystywania komputerów
przenośnych i przenośnych nośników
danych.
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
Bezpieczeństwo dostępu sieciowego:
Systemy klient-serwer,
● Systemy scentralizowane,
● VDI – Virtual Desktop Infrastructure,
● Cloud Computing.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Mechanizmy i praktyki
System Klient – Serwer:
Użytkownicy korzystają z komputerów PC,
● Serwery udostępniają użytkownikom
zasoby niezbędne do przetwarzania danych,
● Przetwarzanie danych odbywa się lokalnie
z wykorzystaniem oprogramowania pracującego
na komputerach osobistych użytkowników.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
System Klient-Serwer
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
System Klient-Serwer
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
System Klient-Serwer
Technologia terminalowa (cienkiego klienta):
- przetwarzanie centralne,
- brak składowania danych na stanowiskach
pracy,
- przetwarzanie danych odbywa się na
komputerach centralnych w bezpiecznej
serwerowni.
Ułatwia opracowywanie Polityki Bezpieczeństwa
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
System terminalowy
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
System terminalowy
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
System terminalowy
Wirtualizacja pulpitu:
Użytkownik posiada przydzielony odrębny
komputer PC (fizyczny lub wirtualny), katóry
jest zlokalizowany w zabezpieczonetj strefie,
● Użytkownik korzysta z przydzielonego mu
komputera za pomocą końcówki (terminala)
graficznego.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Wirtualny pulpit - VDI
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Wirtualny pulpit - VDI
Tomasz Barbaszewski@gmail.com
VDI w sieci rozległej
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Cloud Computing
Użytkownicy korzystają z uniwersalnego
interfejsu – najczęściej przeglądarki,
● Wszelkie zasoby – moc obliczeniowa,
oprogramowanie, pamięć dyskowa itp.
są udostępniane w sieci,
● Użytkownicy nie korzystają z tych zasbów
na zasadach usługi.
●
Tomasz Barbaszewski@gmail.com
Ustanawianie SZBI
Cloud Computing
Tomasz Barbaszewski@gmail.com
Tomasz Barbaszewski@gmail.com
Network Security
Tomasz Barbaszewski@gmail.com
Network Security
Filtracja ruchu (Firewalls),
● Ochrona przed złośliwymi programami,
● Filtracja niechcianych informacji (SPAM),
● Uwierzytelnienie stron,
● Uwierzytelnienie użytkownika,
● Niezaprzeczalność i integralność,
● Poufność.
ABI powinien wybrać określić poziomy
ochrony oraz wykorzystywane mechanizmy.
●
Tomasz Barbaszewski@gmail.com
Network Security
Tomasz Barbaszewski@gmail.com
Network Security
Złośliwe programy (wirusy):
Wykorzystywanie terminali,
● Zdalne przeglądanie poczty elektronicznej,
● Praca w środowisku chmury (cloud
Computing),
● Wykorzystywanie odpowiedniego oraz
● Aktualnego oprogramowania antywirusowego.
●
Tomasz Barbaszewski@gmail.com
Network Security
Mechanizmy kryptograficzne:
Uwierzytelnianie stron – szyfry niesymetryczne,
klucze prywatno / publiczne,
● Niezaprzeczalność i integralność – funkcje
skrótu i podpis cyfrowy,
● Poufność – szybkie szyfry symetryczne.
●
Tomasz Barbaszewski@gmail.com
Network Security
Tomasz Barbaszewski@gmail.com
Podstawowe czynniki
sukcesu:
Przejrzysty i konsekwentny projekt
systemu,
Starannie opracowana Polityka
Bezpieczeństwa,
Właściwy dobór mechanizmów
zabezpieczejących.
Tomasz Barbaszewski@gmail.com
Related documents
STOWARZYSZENIE POMOCY RODZINIE I DZIECIOM „SZANSA
STOWARZYSZENIE POMOCY RODZINIE I DZIECIOM „SZANSA
Stowarzyszenie Aktywne Kobiety nie zalega z płatnościami na rzecz
Stowarzyszenie Aktywne Kobiety nie zalega z płatnościami na rzecz
WARSZTATY: Pod Strzechą z Gwiazd Gwiazdy, planety, meteory
WARSZTATY: Pod Strzechą z Gwiazd Gwiazdy, planety, meteory
problemy ochrony roślin na terenach zurbanizowanych
problemy ochrony roślin na terenach zurbanizowanych
strategie budowania e-gospodarki i e
strategie budowania e-gospodarki i e
Formularz zgłoszeniowy Droga do efektywnej zmiany
Formularz zgłoszeniowy Droga do efektywnej zmiany
Sekcja 1.
Sekcja 1.
Polityka bezpieczeństwa
Polityka bezpieczeństwa
Norma PN-I-07799-2
Norma PN-I-07799-2
Document
Document
Download