Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

1 BEZPIECZEŃSTWO TELEINFORMATYCZNE system jest bezpieczny, jeśli jego użytkownik może na nim polegać i działa zgodnie ze sta- wianymi mu oczekiwaniami.

Podobne prezentacje


Prezentacja na temat: "1 BEZPIECZEŃSTWO TELEINFORMATYCZNE system jest bezpieczny, jeśli jego użytkownik może na nim polegać i działa zgodnie ze sta- wianymi mu oczekiwaniami."— Zapis prezentacji:

1 1 BEZPIECZEŃSTWO TELEINFORMATYCZNE system jest bezpieczny, jeśli jego użytkownik może na nim polegać i działa zgodnie ze sta- wianymi mu oczekiwaniami JAWNE

2 2 BEZPIECZEŃSTWEM TELEINFORMATYCZNYM NAZYWAMY WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW I SIECI TELEINFORMATYCZNYCH W KTÓRYCH WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZESYŁANE SĄ INFORMACJE NIEJAWNE

3 3 WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM TELEINFORMATYCZNYM SĄ WIĘC ŚCIŚLE ZWIĄZANE Z SZEROKO ROZUMIANĄ OCHRONĄ INFORMACJI NIEJAWNYCH

4 4 BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? ?

5 5 BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? Informacje w rozwiniętych cywilizacjach stały się zasobami strategicznymi i głów- nie dlatego muszą być przedmiotem szczególnej ochrony, zwłaszcza, że lista rzeczywistych i potencjalnych zagrożeń jest bardzo długa.

6 6 BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO OCHRONA INFORMACJI STAŁA SIĘ OBECNIE SZCZEGÓLNIE ISTOTNA ALE RÓWNOCZEŚNIE BAR- DZIEJ ZŁOŻONA NIŻ KIEDYKOLWIEK ?

7 7 Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ lawinowy rozwój technik i nauk tele- informatycznych BEZPIECZEŃSTWO TELEINFORMATYCZNE

8 8 Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ wyższy poziom znajomości sprzętu i oprogramowania (zwłaszcza wśród dzieci i młodzieży) BEZPIECZEŃSTWO TELEINFORMATYCZNE

9 9 Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ wymuszone przez konkurencję na rynku szybsze wprowadzanie nowego, nie do końca sprawdzonego oprogramowania BEZPIECZEŃSTWO TELEINFORMATYCZNE

10 10 Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: þ incydent noszący znamiona przestęp- stwa komputerowego może być spo- wodowany zupełnie przypadkowo BEZPIECZEŃSTWO TELEINFORMATYCZNE

11 11 INFORMACJE NIEJAWNE WYMAGAJĄ OCHRONY PRZED: BEZPIECZEŃSTWO TELEINFORMATYCZNE Nieuprawnionym dostępemNieuprawnionym dostępem UjawnieniemUjawnieniem Zniszczeniem lub modyfikacjąZniszczeniem lub modyfikacją Opóźnieniem lub nieuzasadnioną odmową ich dostarczenia przez system lub sieć teleinformatycznąOpóźnieniem lub nieuzasadnioną odmową ich dostarczenia przez system lub sieć teleinformatyczną

12 12 ZA OCHRONĘ INFORMACJI NIEJAWNYCH W KAŻDEJ JEDNOSTCE ORGANIZACYJNEJ ODPOWIADA JEJ KIEROWNIK !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE

13 13 KIEROWNIK JEDNOSTKI ORGANIZACYJNEJ POWINIEN OKREŚLIĆ CZY W ZNAJDUJĄCYCH SIĘ W JEGO GESTII SYSTEMACH LUB SIECIACH TELEINFORMATYCZNYCH SĄ LUB BĘDĄ W PRZYSZŁOŚCI PRZETWARZANE INFORMACJE NIEJAWNE !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE

14 14 DODATKOWO (ZGODNIE Z ART. 22 USTAWY) POWINIEN ON OKREŚLIĆ JAKIE INFORMACJE STANOWIĄ TAJEMNICĘ SŁUŻBOWĄ PAMIĘTAJĄC, ŻE ZBIÓR (AGREGACJA) INFORMACJI NIEJAWNYCH MOŻE MIEĆ WYŻSZĄ KLAUZULĘ NIŻ POJEDYNCZA INFORMACJA. BEZPIECZEŃSTWO TELEINFORMATYCZNE

15 15 Projektowanie Systemów Zabezpieczeń polega na znalezieniu takiej optymalnej konfiguracji systemu lub sieci teleinformatycznej, która z jednej strony gwarantowałaby dużą skuteczność ochrony, a z drugiej - w minimalnym stopniu komplikowała pracę tego systemu lub sieci. BEZPIECZEŃSTWO TELEINFORMATYCZNE

16 16 Projektując System Zabezpieczeń należy pamiętać, że celem nadrzędnym jest zabezpieczenie wytwarzanych, przetwarzanych, przechowywanych lub przesyłanych w systemie lub sieci teleinformatycznej informacji niejawnych. BEZPIECZEŃSTWO TELEINFORMATYCZNE

17 17 Warunki, które muszą być spełnione, aby system lub sieć można uznać za bezpieczny: 4 istnieje ogólna koncepcja ochrony 4 opracowano system ochrony pojedynczego terminala (całej sieci) oraz rezultatów jego działania 4 prowadzone są logi systemowe (kontrola systemu pod kątem wejścia, wyjścia, zakresu działania oraz wystąpienia ewentualnych błędów) BEZPIECZEŃSTWO TELEINFORMATYCZNE

18 18 4 zastosowano bezpieczne systemy operacyjne 4 używane oprogramowanie jest systematycznie modyfikowane pod kątem zapewnienia większego bezpieczeństwa informacji 4 istnieje właściwy podział odpowiedzialności pomiędzy osobami funkcyjnymi pionu ochrony 4 do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa BEZPIECZEŃSTWO TELEINFORMATYCZNE

19 19 4 do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa 4 opracowano procedury awaryjne 4 pomieszczenia w których znajdują się terminale są właściwie zabezpieczone 4 istnieje komórka kontroli bezpieczeństwa 4 Jednostka Organizacyjna na potrzeby której zorganizowany został system lub sieć teleinformatyczna jest odpowiednio zabezpieczona BEZPIECZEŃSTWO TELEINFORMATYCZNE

20 20 Uważa się, że system lub sieć teleinformatyczna jest w pełni zabezpieczona, jeżeli istnieje zabezpieczenie dla każdej znanej ścieżki penetracji, czyli każdego zbioru miejsc wrażliwych na atak. BEZPIECZEŃSTWO TELEINFORMATYCZNE

21 21 BEZPIECZEŃSTWO TELEINFORMATYCZNE NIE ISTNIEJE ŻADEN ALGORYTM, KTÓRY DLA DOWOLNEGO SYSTEMU OCHRONY I UPRAWNIEŃ RODZAJOWYCH MÓGŁBY OKREŚLIĆ, CZY DANA KONFIGURACJA POCZĄTKOWA JEST BEZPIECZNA.

22 22 ANALIZA RYZYKA POZWALA NA SYSTEMATYCZNE USTALANIE: 4 tego, co w systemie jest wartościowe, 4 wartości chronionych elementów, 4 możliwych zagrożeń oraz prawdopodobieństwa ich wystąpienia, 4 analizy sposobów przeciwdziałania i niezbędnych nakładów (analiza zysków i strat). BEZPIECZEŃSTWO TELEINFORMATYCZNE

23 23 PONIEWAŻ UZYSKANIE ABSOLUTNEGO BEZPIECZEŃSTWA SYSTEMU LUB SIECI TELEINFORMATYCZNEJ NIE JEST MOŻLIWE, ANALIZA RYZYKA WINNA ZAPEWNIĆ STOPIEŃ BEZPIECZEŃSTWA PROPORCJONALNY ZARÓWNO CO DO WAGI CHRONIONEJ INFORMACJI JAK I ILOŚCI ZASTOSOWANYCH ŚRODKÓW OCHRONY BEZPIECZEŃSTWO TELEINFORMATYCZNE

24 24 POZIOMY OCHRONY 4 użytkownicy (bierni i aktywni), 4 urządzenia zewnętrzne terminala, 4 nośniki informacji, 4 urządzenia transmisji danych, 4 bazy danych, 4 systemy operacyjne. BEZPIECZEŃSTWO TELEINFORMATYCZNE

25 25 Metody ochrony systemów informatycznych 4 ORGANIZACYJNO-PROCEDURALNE, 4 FIZYCZNE, 4 TECHNICZNE. BEZPIECZEŃSTWO TELEINFORMATYCZNE

26 26 ZABEZPIECZENIA ORGANIZACYJNO- PROCEDURALNE 4 właściwa struktura organizacyjna, 4 opracowanie strategicznych dokumentów (polityka bezpieczeństwa, SWBS, PB, instrukcje, zarządzenia), 4 bezpieczeństwo osobowe, 4 ochrona dokumentacji, 4 zarządzanie bezpieczeństwem systemu (analiza ryzyka i istniejących zagrożeń, reagowanie na incydenty), 4 prowadzenie szkoleń i akcji uświadamiających. BEZPIECZEŃSTWO TELEINFORMATYCZNE

27 27 ZABEZPIECZENIA FIZYCZNE 4 strefy administracyjne i strefy bezpieczeństwa, 4 zamykane pomieszczenia, 4 szafy metalowe, 4 przepustki, 4 identyfikatory, 4 strażnicy. BEZPIECZEŃSTWO TELEINFORMATYCZNE

28 28 ZABEZPIECZENIA TECHNICZNE 4 programowe i sprzętowe (np. metody kryptograficzne), 4 systemy automatycznej identyfikacji i kontroli dostępu (karty identyfikacyjne, klucze, kody), 4 systemy monitoringu, 4 systemy alarmowe, 4 inne metody ochrony (np. zabezpieczenia elektro-magnetyczne, zastosowanie dróg obejściowych w celu zwiększenia bezpieczeństwa transmisji). BEZPIECZEŃSTWO TELEINFORMATYCZNE

29 29 WNIOSEK STWORZENIE SYSTEMU W PEŁNI BEZPIECZNEGO NIE JEST MOŻLIWE !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE

30 30 WNIOSEK DO WŁAŚCIWEGO ZAPROJEKTOWANIA, UTWORZENIA i EKSPLOATACJI KOMPLEKSOWEGO SYSTEMU ZABEZPIECZEŃ, KONIECZNA JEST PEŁNA ZNAJOMOŚĆ OBIEKTU CHRONIONEGO !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE

31 31 WNIOSEK NAJSŁABSZYM OGNIWEM KAŻDEGO SYSTEMU ZABEZPIECZEŃ JEST CZŁOWIEK !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE

32 32 Zadania specjalisty zajmującego się bezpieczeństwem systemów niesienie pomocy – powinien pomagać podejmować decyzje dotyczące ilości czasu i pieniędzy, jakie powinny zostać poświęcone aby zapewnić bezpieczeństwo niesienie pomocy – powinien pomagać podejmować decyzje dotyczące ilości czasu i pieniędzy, jakie powinny zostać poświęcone aby zapewnić bezpieczeństwo zapewnienie strategii, uregulowań i procedur bezpieczeństwa zapewnienie strategii, uregulowań i procedur bezpieczeństwa kontrolowanie systemu i zapewnianie odpowiedniego stosowania zaleceń oraz strategii kontrolowanie systemu i zapewnianie odpowiedniego stosowania zaleceń oraz strategii BEZPIECZEŃSTWO TELEINFORMATYCZNE

33 33 Administrator – obowiązki i odpowiedzialność jest odpowiedzialny za bezpieczeństwo oraz prawidłowe funkcjonowanie systemu komputerowego jest odpowiedzialny za bezpieczeństwo oraz prawidłowe funkcjonowanie systemu komputerowego zapewnia by wszyscy użytkownicy stosowali się do Procedur Bezpieczeństwa zapewnia by wszyscy użytkownicy stosowali się do Procedur Bezpieczeństwa utrzymuje i aktualizuje listę autoryzowanych użytkowników systemu komputerowego utrzymuje i aktualizuje listę autoryzowanych użytkowników systemu komputerowego BEZPIECZEŃSTWO TELEINFORMATYCZNE

34 34 Administrator – obowiązki i odpowiedzialność upewnia się, czy cały personel posiadający dostęp do systemu komputerowego posiada stosowne dopuszczenia do pracy z informacją niejawną – w przypadku dostępu do systemu komputerowego osób nie posiadających stosownych dopuszczeń, zapewnia odpowiednie zabezpieczenie systemu komputerowego upewnia się, czy cały personel posiadający dostęp do systemu komputerowego posiada stosowne dopuszczenia do pracy z informacją niejawną – w przypadku dostępu do systemu komputerowego osób nie posiadających stosownych dopuszczeń, zapewnia odpowiednie zabezpieczenie systemu komputerowego BEZPIECZEŃSTWO TELEINFORMATYCZNE

35 35 Administrator – obowiązki i odpowiedzialność prowadzi osobiście lub nadzoruje profilaktykę antywirusową systemu komputerowego prowadzi osobiście lub nadzoruje profilaktykę antywirusową systemu komputerowego prowadzi nadzór sprzętu oraz oprogramowania pod kątem kontroli nieuprawnionych zmian ich konfiguracji prowadzi nadzór sprzętu oraz oprogramowania pod kątem kontroli nieuprawnionych zmian ich konfiguracji zatwierdza oraz akceptuje wszelkie zmiany w konfiguracji sprzętu lub oprogramowania mające wpływ na bezpieczeństwo systemu komputerowego zatwierdza oraz akceptuje wszelkie zmiany w konfiguracji sprzętu lub oprogramowania mające wpływ na bezpieczeństwo systemu komputerowego BEZPIECZEŃSTWO TELEINFORMATYCZNE

36 36 Administrator – obowiązki i odpowiedzialność dokonuje analizy zgłoszonych przypadków incydentów infekcji wirusowych lub innych, wskazujących na nieautoryzowane próby ingerencji w systemie bezpieczeństwa oraz, w zależności od stopnia zagrożenia funkcjonowania systemu bezpieczeństwa, podejmuje odpowiednie kroki zaradcze zapewnienie strategii, uregulowań i procedur bezpieczeństwa dokonuje analizy zgłoszonych przypadków incydentów infekcji wirusowych lub innych, wskazujących na nieautoryzowane próby ingerencji w systemie bezpieczeństwa oraz, w zależności od stopnia zagrożenia funkcjonowania systemu bezpieczeństwa, podejmuje odpowiednie kroki zaradcze zapewnienie strategii, uregulowań i procedur bezpieczeństwa BEZPIECZEŃSTWO TELEINFORMATYCZNE

37 37 Administrator – obowiązki i odpowiedzialność przeprowadza okresowe kontrole klasyfikowanych mediów magnetycznych, poprawności ich opisu oraz utrzymuje ewidencję tych kontroli przeprowadza okresowe kontrole klasyfikowanych mediów magnetycznych, poprawności ich opisu oraz utrzymuje ewidencję tych kontroli zabezpiecza niszczenie niejawnych odpadów w regularnych odstępach czasu, zgodnie z obowiązującymi procedurami zabezpiecza niszczenie niejawnych odpadów w regularnych odstępach czasu, zgodnie z obowiązującymi procedurami doradza użytkownikom systemu komputerowego w zakresie bezpieczeństwa doradza użytkownikom systemu komputerowego w zakresie bezpieczeństwa BEZPIECZEŃSTWO TELEINFORMATYCZNE

38 38 Administrator – obowiązki i odpowiedzialność prowadzi szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego lub występuje z wnioskiem o przeprowadzenie szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego prowadzi szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego lub występuje z wnioskiem o przeprowadzenie szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego wykonuje archiwizację danych systemu komputerowego, zgodnie z obowiązującymi procedurami wykonuje archiwizację danych systemu komputerowego, zgodnie z obowiązującymi procedurami BEZPIECZEŃSTWO TELEINFORMATYCZNE

39 39 Administrator – obowiązki i odpowiedzialność doskonali się z zakresu wiedzy o bezpieczeństwie systemu komputerowego doskonali się z zakresu wiedzy o bezpieczeństwie systemu komputerowego dokonuje analizy zagrożeń oraz ryzyka i melduje do Pionu Ochrony o wszelkich wykrytych lukach, naruszeniach i zagrożeniach dokonuje analizy zagrożeń oraz ryzyka i melduje do Pionu Ochrony o wszelkich wykrytych lukach, naruszeniach i zagrożeniach BEZPIECZEŃSTWO TELEINFORMATYCZNE

40 40 I TO BY BYŁO NA TYLE BEZPIECZEŃSTWO TELEINFORMATYCZNE


Pobierz ppt "1 BEZPIECZEŃSTWO TELEINFORMATYCZNE system jest bezpieczny, jeśli jego użytkownik może na nim polegać i działa zgodnie ze sta- wianymi mu oczekiwaniami."

Podobne prezentacje


Reklamy Google