BEZPIECZESTWO TELEINFORMATYCZNE system jest bezpieczny jeli jego uytkownik
BEZPIECZEŃSTWO TELEINFORMATYCZNE system jest bezpieczny, jeśli jego użytkownik może na nim polegać i działa zgodnie ze sta-wianymi mu oczekiwaniami JAWNE 1
BEZPIECZEŃSTWEM TELEINFORMATYCZNYM NAZYWAMY WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW I SIECI TELEINFORMATYCZNYCH W KTÓRYCH WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZESYŁANE SĄ INFORMACJE NIEJAWNE 2
WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM TELEINFORMATYCZNYM SĄ WIĘC ŚCIŚLE ZWIĄZANE Z SZEROKO ROZUMIANĄ OCHRONĄ INFORMACJI NIEJAWNYCH 3
BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? ? 4
BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? Informacje w rozwiniętych cywilizacjach stały się zasobami strategicznymi i głównie dlatego muszą być przedmiotem szczególnej ochrony, zwłaszcza, że lista rzeczywistych i potencjalnych zagrożeń jest bardzo długa. 5
BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO OCHRONA INFORMACJI STAŁA SIĘ OBECNIE SZCZEGÓLNIE ISTOTNA ALE RÓWNOCZEŚNIE BARDZIEJ ZŁOŻONA NIŻ KIEDYKOLWIEK ? 6
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ lawinowy rozwój technik i nauk teleinformatycznych 7
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ wyższy poziom znajomości sprzętu i oprogramowania (zwłaszcza wśród dzieci i młodzieży) 8
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ wymuszone przez konkurencję na rynku szybsze wprowadzanie nowego, nie do końca sprawdzonego oprogramowania 9
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ incydent noszący znamiona przestępstwa komputerowego może być spowodowany zupełnie przypadkowo 10
BEZPIECZEŃSTWO TELEINFORMATYCZNE INFORMACJE NIEJAWNE WYMAGAJĄ OCHRONY PRZED: • • Nieuprawnionym dostępem Ujawnieniem Zniszczeniem lub modyfikacją Opóźnieniem lub nieuzasadnioną odmową ich dostarczenia przez system lub sieć teleinformatyczną 11
BEZPIECZEŃSTWO TELEINFORMATYCZNE ZA OCHRONĘ INFORMACJI NIEJAWNYCH W KAŻDEJ JEDNOSTCE ORGANIZACYJNEJ ODPOWIADA JEJ KIEROWNIK !!! 12
BEZPIECZEŃSTWO TELEINFORMATYCZNE KIEROWNIK JEDNOSTKI ORGANIZACYJNEJ POWINIEN OKREŚLIĆ CZY W ZNAJDUJĄCYCH SIĘ W JEGO GESTII SYSTEMACH LUB SIECIACH TELEINFORMATYCZNYCH SĄ LUB BĘDĄ W PRZYSZŁOŚCI PRZETWARZANE INFORMACJE NIEJAWNE !!! 13
BEZPIECZEŃSTWO TELEINFORMATYCZNE DODATKOWO (ZGODNIE Z ART. 22 USTAWY) POWINIEN ON OKREŚLIĆ JAKIE INFORMACJE STANOWIĄ TAJEMNICĘ SŁUŻBOWĄ PAMIĘTAJĄC, ŻE ZBIÓR (AGREGACJA) INFORMACJI NIEJAWNYCH MOŻE MIEĆ WYŻSZĄ KLAUZULĘ NIŻ POJEDYNCZA INFORMACJA. 14
BEZPIECZEŃSTWO TELEINFORMATYCZNE Projektowanie Systemów Zabezpieczeń polega na znalezieniu takiej optymalnej konfiguracji systemu lub sieci teleinformatycznej, która z jednej strony gwarantowałaby dużą skuteczność ochrony, a z drugiej - w minimalnym stopniu komplikowała pracę tego systemu lub sieci. 15
BEZPIECZEŃSTWO TELEINFORMATYCZNE Projektując System Zabezpieczeń należy pamiętać, że celem nadrzędnym jest zabezpieczenie wytwarzanych, przetwarzanych, przechowywanych lub przesyłanych w systemie lub sieci teleinformatycznej informacji niejawnych. 16
BEZPIECZEŃSTWO TELEINFORMATYCZNE Warunki, które muszą być spełnione, aby system lub sieć można uznać za bezpieczny: 4 istnieje ogólna koncepcja ochrony 4 opracowano system ochrony pojedynczego terminala (całej sieci) oraz rezultatów jego działania 4 prowadzone są logi systemowe (kontrola systemu pod kątem wejścia, wyjścia, zakresu działania oraz wystąpienia ewentualnych błędów) 17
BEZPIECZEŃSTWO TELEINFORMATYCZNE 4 zastosowano bezpieczne systemy operacyjne 4 używane oprogramowanie jest systematycznie modyfikowane pod kątem zapewnienia większego bezpieczeństwa informacji 4 istnieje właściwy podział odpowiedzialności pomiędzy osobami funkcyjnymi pionu ochrony 4 do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa 18
BEZPIECZEŃSTWO TELEINFORMATYCZNE 4 do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa 4 opracowano procedury awaryjne 4 pomieszczenia w których znajdują się terminale są właściwie zabezpieczone 4 istnieje komórka kontroli bezpieczeństwa 4 Jednostka Organizacyjna na potrzeby której zorganizowany został system lub sieć teleinformatyczna jest odpowiednio zabezpieczona 19
BEZPIECZEŃSTWO TELEINFORMATYCZNE Uważa się, że system lub sieć teleinformatyczna jest w pełni zabezpieczona, jeżeli istnieje zabezpieczenie dla każdej znanej „ścieżki penetracji”, czyli każdego zbioru miejsc wrażliwych na atak. 20
BEZPIECZEŃSTWO TELEINFORMATYCZNE NIE ISTNIEJE ŻADEN ALGORYTM, KTÓRY DLA DOWOLNEGO SYSTEMU OCHRONY I UPRAWNIEŃ RODZAJOWYCH MÓGŁBY OKREŚLIĆ, CZY DANA KONFIGURACJA POCZĄTKOWA JEST BEZPIECZNA. 21
BEZPIECZEŃSTWO TELEINFORMATYCZNE ANALIZA RYZYKA POZWALA NA SYSTEMATYCZNE USTALANIE: 4 tego, co w systemie jest wartościowe, 4 wartości chronionych elementów, 4 możliwych zagrożeń oraz prawdopodobieństwa ich wystąpienia, 4 analizy sposobów przeciwdziałania i niezbędnych nakładów (analiza zysków i strat). 22
BEZPIECZEŃSTWO TELEINFORMATYCZNE PONIEWAŻ UZYSKANIE ABSOLUTNEGO BEZPIECZEŃSTWA SYSTEMU LUB SIECI TELEINFORMATYCZNEJ NIE JEST MOŻLIWE, ANALIZA RYZYKA WINNA ZAPEWNIĆ STOPIEŃ BEZPIECZEŃSTWA PROPORCJONALNY ZARÓWNO CO DO WAGI CHRONIONEJ INFORMACJI JAK I ILOŚCI ZASTOSOWANYCH ŚRODKÓW OCHRONY 23
BEZPIECZEŃSTWO TELEINFORMATYCZNE POZIOMY OCHRONY 4 użytkownicy (bierni i aktywni), 4 urządzenia zewnętrzne terminala, 4 nośniki informacji, 4 urządzenia transmisji danych, 4 bazy danych, 4 systemy operacyjne. 24
BEZPIECZEŃSTWO TELEINFORMATYCZNE Metody ochrony systemów informatycznych 4 ORGANIZACYJNO-PROCEDURALNE, 4 FIZYCZNE, 4 TECHNICZNE. 25
BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA ORGANIZACYJNOPROCEDURALNE 1. właściwa struktura organizacyjna, 2. opracowanie strategicznych dokumentów (polityka bezpieczeństwa, SWBS, PB, instrukcje, zarządzenia), 3. bezpieczeństwo osobowe, 4. ochrona dokumentacji, 5. zarządzanie bezpieczeństwem systemu (analiza ryzyka i istniejących zagrożeń, reagowanie na incydenty), 6. prowadzenie szkoleń i akcji uświadamiających. 26
BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA FIZYCZNE 1. strefy administracyjne i strefy bezpieczeństwa, 2. zamykane pomieszczenia, 3. szafy metalowe, 4. przepustki, 5. identyfikatory, 6. strażnicy. 27
BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA TECHNICZNE 1. programowe i sprzętowe (np. metody kryptograficzne), 2. systemy automatycznej identyfikacji i kontroli dostępu (karty identyfikacyjne, klucze, kody), 3. systemy monitoringu, 4. systemy alarmowe, 5. inne metody ochrony (np. zabezpieczenia elektro-magnetyczne, zastosowanie dróg obejściowych w celu zwiększenia bezpieczeństwa transmisji). 28
BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK STWORZENIE SYSTEMU W PEŁNI BEZPIECZNEGO NIE JEST MOŻLIWE !!! 29
BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK DO WŁAŚCIWEGO ZAPROJEKTOWANIA, UTWORZENIA i EKSPLOATACJI KOMPLEKSOWEGO SYSTEMU ZABEZPIECZEŃ, KONIECZNA JEST PEŁNA ZNAJOMOŚĆ OBIEKTU CHRONIONEGO !!! 30
BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK NAJSŁABSZYM OGNIWEM KAŻDEGO SYSTEMU ZABEZPIECZEŃ JEST CZŁOWIEK !!! 31
BEZPIECZEŃSTWO TELEINFORMATYCZNE Zadania specjalisty zajmującego się bezpieczeństwem systemów 1. niesienie pomocy – powinien pomagać podejmować decyzje dotyczące ilości czasu i pieniędzy, jakie powinny zostać poświęcone aby zapewnić bezpieczeństwo 2. zapewnienie strategii, uregulowań i procedur bezpieczeństwa 3. kontrolowanie systemu i zapewnianie odpowiedniego stosowania zaleceń oraz strategii 32
BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność ü jest odpowiedzialny za bezpieczeństwo oraz prawidłowe funkcjonowanie systemu komputerowego ü zapewnia by wszyscy użytkownicy stosowali się do Procedur Bezpieczeństwa ü utrzymuje i aktualizuje listę autoryzowanych użytkowników systemu komputerowego 33
BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność ü upewnia się, czy cały personel posiadający dostęp do systemu komputerowego posiada stosowne dopuszczenia do pracy z informacją niejawną – w przypadku dostępu do systemu komputerowego osób nie posiadających stosownych dopuszczeń, zapewnia odpowiednie zabezpieczenie systemu komputerowego 34
BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność ü prowadzi osobiście lub nadzoruje profilaktykę antywirusową systemu komputerowego ü prowadzi nadzór sprzętu oraz oprogramowania pod kątem kontroli nieuprawnionych zmian ich konfiguracji üzatwierdza oraz akceptuje wszelkie zmiany w konfiguracji sprzętu lub oprogramowania mające wpływ na bezpieczeństwo systemu komputerowego 35
BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność üdokonuje analizy zgłoszonych przypadków incydentów infekcji wirusowych lub innych, wskazujących na nieautoryzowane próby ingerencji w systemie bezpieczeństwa oraz, w zależności od stopnia zagrożenia funkcjonowania systemu bezpieczeństwa, podejmuje odpowiednie kroki zaradcze zapewnienie strategii, uregulowań i procedur bezpieczeństwa 36
BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność üprzeprowadza okresowe kontrole klasyfikowanych mediów magnetycznych, poprawności ich opisu oraz utrzymuje ewidencję tych kontroli üzabezpiecza niszczenie niejawnych odpadów w regularnych odstępach czasu, zgodnie z obowiązującymi procedurami ü doradza użytkownikom systemu komputerowego w zakresie bezpieczeństwa 37
BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność 1. prowadzi szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego lub występuje z wnioskiem o przeprowadzenie szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego 2. wykonuje archiwizację danych systemu komputerowego, zgodnie z obowiązującymi procedurami 38
BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność üdoskonali się z zakresu wiedzy o bezpieczeństwie systemu komputerowego üdokonuje analizy zagrożeń oraz ryzyka i melduje do Pionu Ochrony o wszelkich wykrytych lukach, naruszeniach i zagrożeniach 39
BEZPIECZEŃSTWO TELEINFORMATYCZNE I TO BY BYŁO NA TYLE 40
- Slides: 40