BEZPIECZEŃSTWO TELEINFORMATYCZNE system jest bezpieczny, jeśli jego użytkownik może na nim polegać i działa zgodnie ze sta-wianymi mu oczekiwaniami JAWNE
BEZPIECZEŃSTWEM TELEINFORMATYCZNYM NAZYWAMY WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW I SIECI TELEINFORMATYCZNYCH W KTÓRYCH WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZESYŁANE SĄ INFORMACJE NIEJAWNE
WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM TELEINFORMATYCZNYM SĄ WIĘC ŚCIŚLE ZWIĄZANE Z SZEROKO ROZUMIANĄ OCHRONĄ INFORMACJI NIEJAWNYCH
DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? ?
DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? Informacje w rozwiniętych cywilizacjach stały się zasobami strategicznymi i głów-nie dlatego muszą być przedmiotem szczególnej ochrony, zwłaszcza, że lista rzeczywistych i potencjalnych zagrożeń jest bardzo długa.
BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO OCHRONA INFORMACJI STAŁA SIĘ OBECNIE SZCZEGÓLNIE ISTOTNA ALE RÓWNOCZEŚNIE BAR-DZIEJ ZŁOŻONA NIŻ KIEDYKOLWIEK ?
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: lawinowy rozwój technik i nauk tele-informatycznych
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: wyższy poziom znajomości sprzętu i oprogramowania (zwłaszcza wśród dzieci i młodzieży)
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: wymuszone przez konkurencję na rynku szybsze wprowadzanie nowego, nie do końca sprawdzonego oprogramowania
BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: incydent noszący znamiona przestęp-stwa komputerowego może być spo-wodowany zupełnie przypadkowo
INFORMACJE NIEJAWNE WYMAGAJĄ OCHRONY PRZED: BEZPIECZEŃSTWO TELEINFORMATYCZNE INFORMACJE NIEJAWNE WYMAGAJĄ OCHRONY PRZED: Nieuprawnionym dostępem Ujawnieniem Zniszczeniem lub modyfikacją Opóźnieniem lub nieuzasadnioną odmową ich dostarczenia przez system lub sieć teleinformatyczną
BEZPIECZEŃSTWO TELEINFORMATYCZNE ZA OCHRONĘ INFORMACJI NIEJAWNYCH W KAŻDEJ JEDNOSTCE ORGANIZACYJNEJ ODPOWIADA JEJ KIEROWNIK !!!
BEZPIECZEŃSTWO TELEINFORMATYCZNE KIEROWNIK JEDNOSTKI ORGANIZACYJNEJ POWINIEN OKREŚLIĆ CZY W ZNAJDUJĄCYCH SIĘ W JEGO GESTII SYSTEMACH LUB SIECIACH TELEINFORMATYCZNYCH SĄ LUB BĘDĄ W PRZYSZŁOŚCI PRZETWARZANE INFORMACJE NIEJAWNE !!!
BEZPIECZEŃSTWO TELEINFORMATYCZNE DODATKOWO (ZGODNIE Z ART. 22 USTAWY) POWINIEN ON OKREŚLIĆ JAKIE INFORMACJE STANOWIĄ TAJEMNICĘ SŁUŻBOWĄ PAMIĘTAJĄC, ŻE ZBIÓR (AGREGACJA) INFORMACJI NIEJAWNYCH MOŻE MIEĆ WYŻSZĄ KLAUZULĘ NIŻ POJEDYNCZA INFORMACJA.
Projektowanie Systemów Zabezpieczeń BEZPIECZEŃSTWO TELEINFORMATYCZNE Projektowanie Systemów Zabezpieczeń polega na znalezieniu takiej optymalnej konfiguracji systemu lub sieci teleinformatycznej, która z jednej strony gwarantowałaby dużą skuteczność ochrony, a z drugiej - w minimalnym stopniu komplikowała pracę tego systemu lub sieci.
Projektując System Zabezpieczeń BEZPIECZEŃSTWO TELEINFORMATYCZNE Projektując System Zabezpieczeń należy pamiętać, że celem nadrzędnym jest zabezpieczenie wytwarzanych, przetwarzanych, przechowywanych lub przesyłanych w systemie lub sieci teleinformatycznej informacji niejawnych.
BEZPIECZEŃSTWO TELEINFORMATYCZNE Warunki, które muszą być spełnione, aby system lub sieć można uznać za bezpieczny: istnieje ogólna koncepcja ochrony opracowano system ochrony pojedynczego terminala (całej sieci) oraz rezultatów jego działania prowadzone są logi systemowe (kontrola systemu pod kątem wejścia, wyjścia, zakresu działania oraz wystąpienia ewentualnych błędów)
zastosowano bezpieczne systemy operacyjne BEZPIECZEŃSTWO TELEINFORMATYCZNE zastosowano bezpieczne systemy operacyjne używane oprogramowanie jest systematycznie modyfikowane pod kątem zapewnienia większego bezpieczeństwa informacji istnieje właściwy podział odpowiedzialności pomiędzy osobami funkcyjnymi pionu ochrony do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa
opracowano procedury awaryjne BEZPIECZEŃSTWO TELEINFORMATYCZNE do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa opracowano procedury awaryjne pomieszczenia w których znajdują się terminale są właściwie zabezpieczone istnieje komórka kontroli bezpieczeństwa Jednostka Organizacyjna na potrzeby której zorganizowany został system lub sieć teleinformatyczna jest odpowiednio zabezpieczona
BEZPIECZEŃSTWO TELEINFORMATYCZNE Uważa się, że system lub sieć teleinformatyczna jest w pełni zabezpieczona, jeżeli istnieje zabezpieczenie dla każdej znanej „ścieżki penetracji”, czyli każdego zbioru miejsc wrażliwych na atak.
BEZPIECZEŃSTWO TELEINFORMATYCZNE NIE ISTNIEJE ŻADEN ALGORYTM, KTÓRY DLA DOWOLNEGO SYSTEMU OCHRONY I UPRAWNIEŃ RODZAJOWYCH MÓGŁBY OKREŚLIĆ, CZY DANA KONFIGURACJA POCZĄTKOWA JEST BEZPIECZNA.
ANALIZA RYZYKA POZWALA NA SYSTEMATYCZNE USTALANIE: BEZPIECZEŃSTWO TELEINFORMATYCZNE ANALIZA RYZYKA POZWALA NA SYSTEMATYCZNE USTALANIE: tego, co w systemie jest wartościowe, wartości chronionych elementów, możliwych zagrożeń oraz prawdopodobieństwa ich wystąpienia, analizy sposobów przeciwdziałania i niezbędnych nakładów (analiza zysków i strat).
BEZPIECZEŃSTWO TELEINFORMATYCZNE PONIEWAŻ UZYSKANIE ABSOLUTNEGO BEZPIECZEŃSTWA SYSTEMU LUB SIECI TELEINFORMATYCZNEJ NIE JEST MOŻLIWE, ANALIZA RYZYKA WINNA ZAPEWNIĆ STOPIEŃ BEZPIECZEŃSTWA PROPORCJONALNY ZARÓWNO CO DO WAGI CHRONIONEJ INFORMACJI JAK I ILOŚCI ZASTOSOWANYCH ŚRODKÓW OCHRONY
POZIOMY OCHRONY użytkownicy (bierni i aktywni), BEZPIECZEŃSTWO TELEINFORMATYCZNE POZIOMY OCHRONY użytkownicy (bierni i aktywni), urządzenia zewnętrzne terminala, nośniki informacji, urządzenia transmisji danych, bazy danych, systemy operacyjne.
Metody ochrony systemów informatycznych BEZPIECZEŃSTWO TELEINFORMATYCZNE Metody ochrony systemów informatycznych ORGANIZACYJNO-PROCEDURALNE, FIZYCZNE, TECHNICZNE.
ZABEZPIECZENIA ORGANIZACYJNO-PROCEDURALNE BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA ORGANIZACYJNO-PROCEDURALNE właściwa struktura organizacyjna, opracowanie strategicznych dokumentów (polityka bezpieczeństwa, SWBS, PB, instrukcje, zarządzenia), bezpieczeństwo osobowe, ochrona dokumentacji, zarządzanie bezpieczeństwem systemu (analiza ryzyka i istniejących zagrożeń, reagowanie na incydenty), prowadzenie szkoleń i akcji uświadamiających.
ZABEZPIECZENIA FIZYCZNE BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA FIZYCZNE strefy administracyjne i strefy bezpieczeństwa, zamykane pomieszczenia, szafy metalowe, przepustki, identyfikatory, strażnicy.
ZABEZPIECZENIA TECHNICZNE BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA TECHNICZNE programowe i sprzętowe (np. metody kryptograficzne), systemy automatycznej identyfikacji i kontroli dostępu (karty identyfikacyjne, klucze, kody), systemy monitoringu, systemy alarmowe, inne metody ochrony (np. zabezpieczenia elektro-magnetyczne, zastosowanie dróg obejściowych w celu zwiększenia bezpieczeństwa transmisji) .
STWORZENIE SYSTEMU W PEŁNI BEZPIECZNEGO NIE JEST MOŻLIWE !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK STWORZENIE SYSTEMU W PEŁNI BEZPIECZNEGO NIE JEST MOŻLIWE !!!
PEŁNA ZNAJOMOŚĆ OBIEKTU CHRONIONEGO !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK DO WŁAŚCIWEGO ZAPROJEKTOWANIA, UTWORZENIA i EKSPLOATACJI KOMPLEKSOWEGO SYSTEMU ZABEZPIECZEŃ, KONIECZNA JEST PEŁNA ZNAJOMOŚĆ OBIEKTU CHRONIONEGO !!!
NAJSŁABSZYM OGNIWEM KAŻDEGO SYSTEMU ZABEZPIECZEŃ JEST CZŁOWIEK !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK NAJSŁABSZYM OGNIWEM KAŻDEGO SYSTEMU ZABEZPIECZEŃ JEST CZŁOWIEK !!!
Zadania specjalisty zajmującego się bezpieczeństwem systemów BEZPIECZEŃSTWO TELEINFORMATYCZNE Zadania specjalisty zajmującego się bezpieczeństwem systemów niesienie pomocy – powinien pomagać podejmować decyzje dotyczące ilości czasu i pieniędzy, jakie powinny zostać poświęcone aby zapewnić bezpieczeństwo zapewnienie strategii, uregulowań i procedur bezpieczeństwa kontrolowanie systemu i zapewnianie odpowiedniego stosowania zaleceń oraz strategii
Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność jest odpowiedzialny za bezpieczeństwo oraz prawidłowe funkcjonowanie systemu komputerowego zapewnia by wszyscy użytkownicy stosowali się do Procedur Bezpieczeństwa utrzymuje i aktualizuje listę autoryzowanych użytkowników systemu komputerowego
Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność upewnia się, czy cały personel posiadający dostęp do systemu komputerowego posiada stosowne dopuszczenia do pracy z informacją niejawną – w przypadku dostępu do systemu komputerowego osób nie posiadających stosownych dopuszczeń, zapewnia odpowiednie zabezpieczenie systemu komputerowego
Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność prowadzi osobiście lub nadzoruje profilaktykę antywirusową systemu komputerowego prowadzi nadzór sprzętu oraz oprogramowania pod kątem kontroli nieuprawnionych zmian ich konfiguracji zatwierdza oraz akceptuje wszelkie zmiany w konfiguracji sprzętu lub oprogramowania mające wpływ na bezpieczeństwo systemu komputerowego
Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność dokonuje analizy zgłoszonych przypadków incydentów infekcji wirusowych lub innych, wskazujących na nieautoryzowane próby ingerencji w systemie bezpieczeństwa oraz, w zależności od stopnia zagrożenia funkcjonowania systemu bezpieczeństwa, podejmuje odpowiednie kroki zaradcze zapewnienie strategii, uregulowań i procedur bezpieczeństwa
Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność przeprowadza okresowe kontrole klasyfikowanych mediów magnetycznych, poprawności ich opisu oraz utrzymuje ewidencję tych kontroli zabezpiecza niszczenie niejawnych odpadów w regularnych odstępach czasu, zgodnie z obowiązującymi procedurami doradza użytkownikom systemu komputerowego w zakresie bezpieczeństwa
Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność prowadzi szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego lub występuje z wnioskiem o przeprowadzenie szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego wykonuje archiwizację danych systemu komputerowego, zgodnie z obowiązującymi procedurami
Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność doskonali się z zakresu wiedzy o bezpieczeństwie systemu komputerowego dokonuje analizy zagrożeń oraz ryzyka i melduje do Pionu Ochrony o wszelkich wykrytych lukach, naruszeniach i zagrożeniach
BEZPIECZEŃSTWO TELEINFORMATYCZNE I TO BY BYŁO NA TYLE