BEZPIECZEŃSTWO TELEINFORMATYCZNE

Slides:



Advertisements
Podobne prezentacje
ZARZĄDZANIE ZAPASAMI.
Advertisements

ŚRODKI BEZPIECZEŃSTWA FIZYCZNEGO DO ZABEZPIECZENIA IN
Kompleksowe zarządzanie bezpieczeństwem informacji
Rola komputera w przetwarzaniu informacji.
1 mgr inż. Sylwester Laskowski Opiekun Naukowy: prof. dr hab. inż. Andrzej P. Wierzbicki.
Zarys formalno – prawnych aspektów przetwarzania informacji niejawnych w systemach teleinformatycznych Autor: Adam ZIĘBA JAWNE.
Platforma A2A PA2A.
Ocena ryzyka zawodowego Narzędzie do poprawy warunków pracy
Administracja zintegrowanych systemów zarządzania
Eksploatacja zasobów informatycznych przedsiębiorstwa
Jakość systemów informacyjnych (aspekt eksploatacyjny)
Poznańskie Centrum Superkomputerowo-Sieciowe Cezary Mazurek
Polityka bezpieczeństwa
Praca Inżynierska „Analiza i projekt aplikacji informatycznej do wspomagania wybranych zadań ośrodków sportowych” Dyplomant: Marcin Iwanicki Promotor:
Formalna definicja systemu informatycznego
Jakość i niezawodność systemu informacyjnego
Bezpieczeństwo baz danych
Szkolenie w zakresie ochrony danych osobowych
Wykonawcy:Magdalena Bęczkowska Łukasz Maliszewski Piotr Kwiatek Piotr Litwiniuk Paweł Głębocki.
Środki bezpieczeństwa
Twoje narzędzie do pracy grupowej
AKREDYTACJA LABORATORIUM Czy warto
Dotcom Projektowanie systemów CCTV Projektowanie sieci LAN
Digitalizacja obiektów muzealnych
Zadania gospodarki smarowniczej w przedsiębiorstwie przemysłowym
SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE
Metodyki zarządzania projektami
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Podstawy działania wybranych usług sieciowych
Maszyna wirtualna ang. virtual machine, VM.
POŚREDNIK Jak reprezentowana jest informacja w komputerze? liczby – komputer został wymyślony jako zaawansowane urządzenie służące do wykonywania.
Bezpieczeństwo IT w polskich firmach raport z badań
Usługi BDO - odpowiedź na realne potrzeby rynku
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Bezpieczeństwo fizyczne i techniczne systemów i sieci komputerowych
Obliczalność czyli co da się policzyć i jak Model obliczeń sieci liczące dr Kamila Barylska.
Ochrona danych osobowych i informacji niejawnych
KONTROLA ZARZĄDCZA - 1 Kontrolę zarządczą stanowi ogół
Ochrona danych osobowych i informacji niejawnych
Bezpieczeństwo systemów informatycznych
Systemy informatyczne wprowadzenie
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
Ergonomia procesów informacyjnych
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Oprogramowaniem (software) nazywa się wszystkie informacje w postaci zestawu instrukcji i programów wykonywanych przez komputer oraz zintegrowanych danych.
Moduł e-Kontroli Grzegorz Dziurla.
Zainwestujmy razem w środowisko Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej Z a i n w e s t u j m y r a z e m w ś r o d o w i s k o Kontrole.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
1 © copyright by Piotr Bigosiński DOKUMENTACJA SYSTEMU HACCP. USTANOWIENIE, PROWADZENIE I UTRZYMANIE DOKUMENTACJI. Piotr Bigosiński 1 czerwiec 2004 r.
Bezpieczne korzystanie z internetu Bezpieczne korzystanie z internetu.
Bezpieczeństwo informacyjne i informatyczne państwa
Paweł i Robert r. szk. 2012/2013. Czym zajmuje si ę Administrator Baz Danych? Zadania administratora polegają na zarządzaniu bazą danych, określaniu uprawnień.
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
OCHRONA INFORMACJI NIEJAWNYCH podstawowe pojęcia i wymagania Warszawa, 15 marca 2016 r. mgr inż. Zbysław Antoni KUCZA.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Praktyczne aspekty procesu opracowywania dokumentów
Problematykę ochrony osób, mienia i informacji niejawnych normują:
BIURO OCHRONY INFORMACJI NIEJAWNYCH Temat:Wybrane zagadnienia z kontroli prowadzonych przez NIK w zakresie prawidłowości przestrzegania przepisów dotyczących.
Służby informatyczne wspomagające bezpośrednio użytkowników w TPSA
J A W N E ODDZIAŁ POMORSKI
„Bezpieczeństwo informacji w IPN.
Zapis prezentacji:

BEZPIECZEŃSTWO TELEINFORMATYCZNE system jest bezpieczny, jeśli jego użytkownik może na nim polegać i działa zgodnie ze sta-wianymi mu oczekiwaniami JAWNE

BEZPIECZEŃSTWEM TELEINFORMATYCZNYM NAZYWAMY WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW I SIECI TELEINFORMATYCZNYCH W KTÓRYCH WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZESYŁANE SĄ INFORMACJE NIEJAWNE

WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM TELEINFORMATYCZNYM SĄ WIĘC ŚCIŚLE ZWIĄZANE Z SZEROKO ROZUMIANĄ OCHRONĄ INFORMACJI NIEJAWNYCH

DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? ?

DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO ZAJMUJEMY SIĘ OCHRONĄ INFORMACJI ? Informacje w rozwiniętych cywilizacjach stały się zasobami strategicznymi i głów-nie dlatego muszą być przedmiotem szczególnej ochrony, zwłaszcza, że lista rzeczywistych i potencjalnych zagrożeń jest bardzo długa.

BEZPIECZEŃSTWO TELEINFORMATYCZNE DLACZEGO OCHRONA INFORMACJI STAŁA SIĘ OBECNIE SZCZEGÓLNIE ISTOTNA ALE RÓWNOCZEŚNIE BAR-DZIEJ ZŁOŻONA NIŻ KIEDYKOLWIEK ?

BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: lawinowy rozwój technik i nauk tele-informatycznych

BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: wyższy poziom znajomości sprzętu i oprogramowania (zwłaszcza wśród dzieci i młodzieży)

BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: wymuszone przez konkurencję na rynku szybsze wprowadzanie nowego, nie do końca sprawdzonego oprogramowania

BEZPIECZEŃSTWO TELEINFORMATYCZNE Obecnie notuje się znaczący wzrost liczby przestępstw komputerowych (również transgranicznych). Spowodowane jest to m. in. przez: incydent noszący znamiona przestęp-stwa komputerowego może być spo-wodowany zupełnie przypadkowo

INFORMACJE NIEJAWNE WYMAGAJĄ OCHRONY PRZED: BEZPIECZEŃSTWO TELEINFORMATYCZNE INFORMACJE NIEJAWNE WYMAGAJĄ OCHRONY PRZED: Nieuprawnionym dostępem Ujawnieniem Zniszczeniem lub modyfikacją Opóźnieniem lub nieuzasadnioną odmową ich dostarczenia przez system lub sieć teleinformatyczną

BEZPIECZEŃSTWO TELEINFORMATYCZNE ZA OCHRONĘ INFORMACJI NIEJAWNYCH W KAŻDEJ JEDNOSTCE ORGANIZACYJNEJ ODPOWIADA JEJ KIEROWNIK !!!

BEZPIECZEŃSTWO TELEINFORMATYCZNE KIEROWNIK JEDNOSTKI ORGANIZACYJNEJ POWINIEN OKREŚLIĆ CZY W ZNAJDUJĄCYCH SIĘ W JEGO GESTII SYSTEMACH LUB SIECIACH TELEINFORMATYCZNYCH SĄ LUB BĘDĄ W PRZYSZŁOŚCI PRZETWARZANE INFORMACJE NIEJAWNE !!!

BEZPIECZEŃSTWO TELEINFORMATYCZNE DODATKOWO (ZGODNIE Z ART. 22 USTAWY) POWINIEN ON OKREŚLIĆ JAKIE INFORMACJE STANOWIĄ TAJEMNICĘ SŁUŻBOWĄ PAMIĘTAJĄC, ŻE ZBIÓR (AGREGACJA) INFORMACJI NIEJAWNYCH MOŻE MIEĆ WYŻSZĄ KLAUZULĘ NIŻ POJEDYNCZA INFORMACJA.

Projektowanie Systemów Zabezpieczeń BEZPIECZEŃSTWO TELEINFORMATYCZNE Projektowanie Systemów Zabezpieczeń polega na znalezieniu takiej optymalnej konfiguracji systemu lub sieci teleinformatycznej, która z jednej strony gwarantowałaby dużą skuteczność ochrony, a z drugiej - w minimalnym stopniu komplikowała pracę tego systemu lub sieci.

Projektując System Zabezpieczeń BEZPIECZEŃSTWO TELEINFORMATYCZNE Projektując System Zabezpieczeń należy pamiętać, że celem nadrzędnym jest zabezpieczenie wytwarzanych, przetwarzanych, przechowywanych lub przesyłanych w systemie lub sieci teleinformatycznej informacji niejawnych.

BEZPIECZEŃSTWO TELEINFORMATYCZNE Warunki, które muszą być spełnione, aby system lub sieć można uznać za bezpieczny: istnieje ogólna koncepcja ochrony opracowano system ochrony pojedynczego terminala (całej sieci) oraz rezultatów jego działania prowadzone są logi systemowe (kontrola systemu pod kątem wejścia, wyjścia, zakresu działania oraz wystąpienia ewentualnych błędów)

zastosowano bezpieczne systemy operacyjne BEZPIECZEŃSTWO TELEINFORMATYCZNE zastosowano bezpieczne systemy operacyjne używane oprogramowanie jest systematycznie modyfikowane pod kątem zapewnienia większego bezpieczeństwa informacji istnieje właściwy podział odpowiedzialności pomiędzy osobami funkcyjnymi pionu ochrony do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa

opracowano procedury awaryjne BEZPIECZEŃSTWO TELEINFORMATYCZNE do pracy w systemie dopuszczane są tylko osoby posiadające odpowiednie poświadczenia bezpieczeństwa opracowano procedury awaryjne pomieszczenia w których znajdują się terminale są właściwie zabezpieczone istnieje komórka kontroli bezpieczeństwa Jednostka Organizacyjna na potrzeby której zorganizowany został system lub sieć teleinformatyczna jest odpowiednio zabezpieczona

BEZPIECZEŃSTWO TELEINFORMATYCZNE Uważa się, że system lub sieć teleinformatyczna jest w pełni zabezpieczona, jeżeli istnieje zabezpieczenie dla każdej znanej „ścieżki penetracji”, czyli każdego zbioru miejsc wrażliwych na atak.

BEZPIECZEŃSTWO TELEINFORMATYCZNE NIE ISTNIEJE ŻADEN ALGORYTM, KTÓRY DLA DOWOLNEGO SYSTEMU OCHRONY I UPRAWNIEŃ RODZAJOWYCH MÓGŁBY OKREŚLIĆ, CZY DANA KONFIGURACJA POCZĄTKOWA JEST BEZPIECZNA.

ANALIZA RYZYKA POZWALA NA SYSTEMATYCZNE USTALANIE: BEZPIECZEŃSTWO TELEINFORMATYCZNE ANALIZA RYZYKA POZWALA NA SYSTEMATYCZNE USTALANIE: tego, co w systemie jest wartościowe, wartości chronionych elementów, możliwych zagrożeń oraz prawdopodobieństwa ich wystąpienia, analizy sposobów przeciwdziałania i niezbędnych nakładów (analiza zysków i strat).

BEZPIECZEŃSTWO TELEINFORMATYCZNE PONIEWAŻ UZYSKANIE ABSOLUTNEGO BEZPIECZEŃSTWA SYSTEMU LUB SIECI TELEINFORMATYCZNEJ NIE JEST MOŻLIWE, ANALIZA RYZYKA WINNA ZAPEWNIĆ STOPIEŃ BEZPIECZEŃSTWA PROPORCJONALNY ZARÓWNO CO DO WAGI CHRONIONEJ INFORMACJI JAK I ILOŚCI ZASTOSOWANYCH ŚRODKÓW OCHRONY

POZIOMY OCHRONY użytkownicy (bierni i aktywni), BEZPIECZEŃSTWO TELEINFORMATYCZNE POZIOMY OCHRONY użytkownicy (bierni i aktywni), urządzenia zewnętrzne terminala, nośniki informacji, urządzenia transmisji danych, bazy danych, systemy operacyjne.

Metody ochrony systemów informatycznych BEZPIECZEŃSTWO TELEINFORMATYCZNE Metody ochrony systemów informatycznych ORGANIZACYJNO-PROCEDURALNE, FIZYCZNE, TECHNICZNE.

ZABEZPIECZENIA ORGANIZACYJNO-PROCEDURALNE BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA ORGANIZACYJNO-PROCEDURALNE właściwa struktura organizacyjna, opracowanie strategicznych dokumentów (polityka bezpieczeństwa, SWBS, PB, instrukcje, zarządzenia), bezpieczeństwo osobowe, ochrona dokumentacji, zarządzanie bezpieczeństwem systemu (analiza ryzyka i istniejących zagrożeń, reagowanie na incydenty), prowadzenie szkoleń i akcji uświadamiających.

ZABEZPIECZENIA FIZYCZNE BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA FIZYCZNE strefy administracyjne i strefy bezpieczeństwa, zamykane pomieszczenia, szafy metalowe, przepustki, identyfikatory, strażnicy.

ZABEZPIECZENIA TECHNICZNE BEZPIECZEŃSTWO TELEINFORMATYCZNE ZABEZPIECZENIA TECHNICZNE programowe i sprzętowe (np. metody kryptograficzne), systemy automatycznej identyfikacji i kontroli dostępu (karty identyfikacyjne, klucze, kody), systemy monitoringu, systemy alarmowe, inne metody ochrony (np. zabezpieczenia elektro-magnetyczne, zastosowanie dróg obejściowych w celu zwiększenia bezpieczeństwa transmisji) .

STWORZENIE SYSTEMU W PEŁNI BEZPIECZNEGO NIE JEST MOŻLIWE !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK STWORZENIE SYSTEMU W PEŁNI BEZPIECZNEGO NIE JEST MOŻLIWE !!!

PEŁNA ZNAJOMOŚĆ OBIEKTU CHRONIONEGO !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK DO WŁAŚCIWEGO ZAPROJEKTOWANIA, UTWORZENIA i EKSPLOATACJI KOMPLEKSOWEGO SYSTEMU ZABEZPIECZEŃ, KONIECZNA JEST PEŁNA ZNAJOMOŚĆ OBIEKTU CHRONIONEGO !!!

NAJSŁABSZYM OGNIWEM KAŻDEGO SYSTEMU ZABEZPIECZEŃ JEST CZŁOWIEK !!! BEZPIECZEŃSTWO TELEINFORMATYCZNE WNIOSEK NAJSŁABSZYM OGNIWEM KAŻDEGO SYSTEMU ZABEZPIECZEŃ JEST CZŁOWIEK !!!

Zadania specjalisty zajmującego się bezpieczeństwem systemów BEZPIECZEŃSTWO TELEINFORMATYCZNE Zadania specjalisty zajmującego się bezpieczeństwem systemów niesienie pomocy – powinien pomagać podejmować decyzje dotyczące ilości czasu i pieniędzy, jakie powinny zostać poświęcone aby zapewnić bezpieczeństwo zapewnienie strategii, uregulowań i procedur bezpieczeństwa kontrolowanie systemu i zapewnianie odpowiedniego stosowania zaleceń oraz strategii

Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność jest odpowiedzialny za bezpieczeństwo oraz prawidłowe funkcjonowanie systemu komputerowego zapewnia by wszyscy użytkownicy stosowali się do Procedur Bezpieczeństwa utrzymuje i aktualizuje listę autoryzowanych użytkowników systemu komputerowego

Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność upewnia się, czy cały personel posiadający dostęp do systemu komputerowego posiada stosowne dopuszczenia do pracy z informacją niejawną – w przypadku dostępu do systemu komputerowego osób nie posiadających stosownych dopuszczeń, zapewnia odpowiednie zabezpieczenie systemu komputerowego

Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność prowadzi osobiście lub nadzoruje profilaktykę antywirusową systemu komputerowego prowadzi nadzór sprzętu oraz oprogramowania pod kątem kontroli nieuprawnionych zmian ich konfiguracji zatwierdza oraz akceptuje wszelkie zmiany w konfiguracji sprzętu lub oprogramowania mające wpływ na bezpieczeństwo systemu komputerowego

Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność dokonuje analizy zgłoszonych przypadków incydentów infekcji wirusowych lub innych, wskazujących na nieautoryzowane próby ingerencji w systemie bezpieczeństwa oraz, w zależności od stopnia zagrożenia funkcjonowania systemu bezpieczeństwa, podejmuje odpowiednie kroki zaradcze zapewnienie strategii, uregulowań i procedur bezpieczeństwa

Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność przeprowadza okresowe kontrole klasyfikowanych mediów magnetycznych, poprawności ich opisu oraz utrzymuje ewidencję tych kontroli zabezpiecza niszczenie niejawnych odpadów w regularnych odstępach czasu, zgodnie z obowiązującymi procedurami doradza użytkownikom systemu komputerowego w zakresie bezpieczeństwa

Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność prowadzi szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego lub występuje z wnioskiem o przeprowadzenie szkolenia użytkowników z zakresu bezpieczeństwa systemu komputerowego wykonuje archiwizację danych systemu komputerowego, zgodnie z obowiązującymi procedurami

Administrator – obowiązki i odpowiedzialność BEZPIECZEŃSTWO TELEINFORMATYCZNE Administrator – obowiązki i odpowiedzialność doskonali się z zakresu wiedzy o bezpieczeństwie systemu komputerowego dokonuje analizy zagrożeń oraz ryzyka i melduje do Pionu Ochrony o wszelkich wykrytych lukach, naruszeniach i zagrożeniach

BEZPIECZEŃSTWO TELEINFORMATYCZNE I TO BY BYŁO NA TYLE