dr inż. Grzegorz Bliźniuk

Slides:



Advertisements
Podobne prezentacje
Infrastruktura kluczy publicznych
Advertisements

IDENTYFIKACJA UŻYTKOWNIKA W SIECI INTERNET
1 Regulamin usługi Warsztaty dla użytkowników Usługi Powszechnej Archiwizacji Maciej Brzeźniak, PCSS.
Plan działań eEuropa+ - Wspólne działania na rzecz wdrożenia społeczeństwa informacyjnego w Europie Wskaźniki pomiaru stanu wdrażania Grażyna Omarska p.o.
elektronicznego fakturowania
PKI – standardy i praktyka
PODPIS ELEKTRONICZNY PODSTAWY WIEDZY I ZASTOSOWANIA
Skutki prawne oświadczeń woli opatrzonych podpisem elektronicznym
Ochrona danych osobowych
Projekt współfinansowany przez Unię Europejską Europejski Fundusz Rozwoju Regionalnego Plan Informatyzacji Państwa na lata elektroniczna Platforma.
SSL - protokół bezpiecznych transmisji internetowych
Znany tylko własny klucz; Pęk kluczy zawiera tylko jeden klucz.
Problemy organizacji usług publicznych świadczonych drogą elektroniczną wdrażanych przez MSWiA   współpraca między systemami lokalnymi a platformą ePUAP.
PKI, OPIE Auth Mateusz Jasiak.
PKI (Public Key Infrastructure) Hasła jednorazowe (OPIE, OTP, S\Key)
Metody identyfikacji: podpis elektroniczny, ePUAP, biometryka
Dr Dariusz Adamski Prof. dr hab. Mirosław Kutyłowski
Eksploatacja zasobów informatycznych przedsiębiorstwa
Mirosław BarszczWarszawa, 7 lipca 2005 r. Jerzy Martini Piotr Maksymiuk Marek Wojda Faktura elektroniczna Elektroniczna korespondencja z organami podatkowymi.
Międzynarodowy system normalizacji ISO 2700x jako wsparcie dla zarządzania bezpieczeństwem informacji  w administracji państwowej i samorządowej international.
Audyt wewnętrzny w systemie kontroli zarządczej
Aspekty prawne i techniczne
Podpis elektroniczny przygotował dr Dariusz Szostek
Bezpieczeństwo baz danych
Artur Spulnik, Aleksandra Otremba
Uwierzytelnianie i autoryzacja System Użytkowników Wirtualnych Michał Jankowski Paweł Wolniewicz
Komputery w finansach Wykład I
PKI – a bezpieczna poczta
Adam Walicki - 30 września 2010
Sieci oparte na architekturze Internetu
Urząd Marszałkowski Województwa Warmińsko-Mazurskiego w Olsztynie Cyfrowy Urząd
Mobilny ePodpis już w Plusie Polkomtel i MobiTrust Warszawa, 7 stycznia 2009 – w ofercie Plus dla Firm od 9 stycznia 2009 roku.
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Sieciowe Systemy Operacyjne
Budowa struktur dla właściwego przekazu i odbioru informacji
7-8 listopada 2007 Central European Outsourcing Forum
eDeklaracje – dla podatnika
Świadczenie e-usług publicznych na poziomie centralnym i regionalnym
O projekcie Efektem projektu o nazwie „Przygotowanie Urzędu Miasta Tarnobrzeg do świadczenia usług publicznych drogą elektroniczną za pośrednictwem.
Faktura elektroniczna, podpis elektroniczny – aspekty prawne Witold Chomiczewski, LL.M. radca prawny
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Bezpieczeństwo fizyczne i techniczne systemów i sieci komputerowych
2/13 Portal Podatkowy e-Deklaracje 2.
Zarządzanie Energią i Teleinformatyka ZET 2013 Nałęczów lutego 2013 r.
Podstawy analizy ryzyka
Podpis elektroniczny i jego zastosowanie
Andrzej Majkowski 1 informatyka +. 2 Bezpieczeństwo protokołu HTTP Paweł Perekietka.
Koncepcje zarządzania jakością (prof. nadzw. dr hab. Zofia Zymonik)
Przygotowali: Anna Farion Dariusz Droździel
Rola KDPW w obsłudze walnych zgromadzeń Pierwsze doświadczenia po zmianie KSH.
Aby do danych nie dostała się postronna osoba ( hacker ) stosuje się różne metody kryptograficzne.
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012.
Zintegrowany monitoring infrastruktury IT w Budimex
Bezpieczeństwo informacyjne i informatyczne państwa
Wybór optymalnego rozwiązania podpisu elektronicznego EDM Marcin Pusz CSIOZ, 17.II.2016.
Grupa: administratorzy lokalni JST. Użytkownik systemu CEIDG - materiały szkoleniowe2 Informacje wstępne Zakładanie konta w CEIDG -Wybór sposobu dostępu.
PROBLEMATYKA INFRASTRUKTUR INFORMACJI PRZESTRZENNEJ W POLSCE JERZY GAŹDZICKI POLSKIE TOWARZYSTWO INFORMACJI PRZESTRZENNEJ.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
TRANSPORTOWY DOZÓR TECHNICZNY
Nowe metody podpisywania dokumentów
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
KRYPTOGRAFIA KLUCZA PUBLICZNEGO WIKTOR BOGUSZ. KRYPTOGRAFIA KLUCZA PUBLICZNEGO Stosując metody kryptograficzne można zapewnić pełną poufność danych przechowywanych.
PROGRAMY DO KONTROLI RODZICIELSKIEJ
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Technologie informacyjne w administracji publicznej
Podpis elektroniczny – załóż profil zaufany
Zapis prezentacji:

dr inż. Grzegorz Bliźniuk Zarządzanie systemami informatycznymi w administracji publicznej WYKŁAD 8: Bezpieczeństwo systemów informatycznych Podpis elektroniczny dr inż. Grzegorz Bliźniuk

  Projekt : „Odpowiedź na wyzwania gospodarki opartej na wiedzy: nowy program nauczania na WSHiP”. Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego.

Plan wykładu Bezpieczeństwo systemów informatycznych zagadnienie bezpieczeństwa informacji i danych przykłady zagrożeń bezpieczeństwa systemów teleinformatycznych normy techniczne i przepisy prawa regulujące bezpieczeństwo systemów informatycznych Podpis elektroniczny pojęcia podstawowe przykłady infrastruktury podpisu elektronicznego regulacje prawne w zakresie podpisu elektronicznego Podsumowanie

1. Bezpieczeństwo systemów informatycznych Zagadnienie bezpieczeństwa informacji i danych dotyczy stosowania odpowiednich zabezpieczeń systemów informacyjnych i informatycznych, dzięki czemu nie będzie możliwy niekontrolowany wyciek informacji poza system lub jej uszkodzenie (zabezpieczenia logiczne), a także zniszczenie lub uszkodzenie infrastruktury tego systemu (zabezpieczenia fizyczne). Zagadnienie to jest bardzo ważne w dobie powszechnej internetyzacji technologii informacyjnych (przyp. aut.) Bezpieczeństwo systemów informatycznych jest rozumiane jako niczym niezakłócone funkcjonowanie tych systemów podczas realizacji wyznaczonych dla nich zadań. Bezpieczeństwo teleinformatyczne jest rozumiane jako zespół procesów zmierzających do zdefiniowania, osiągnięcia i utrzymania założonego poziomu ufności, integralności, dostępności autentyczności i niezawodności systemu, czyli tzw. atrybutów bezpieczeństwa w systemach teleinformatycznych. Bezpieczeństwo informacji ma szersze znaczenie niż bezpieczeństwo teleinformatyczne, ponieważ obejmuje również informację znajdującą się poza systemami informatycznymi, w więc występującą np. w postaci dokumentów papierowych, mikrofilmów oraz w postaci zapamiętanej i wymienianej bezpośrednio przez człowieka lub za pomocą środków łączności. Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN 83-204-3155-7

1. Bezpieczeństwo systemów informatycznych Atrybuty bezpieczeństwa według normy PN-13335-1: Na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN 83-204-3155-7 Nazwa Określenie Poufność (confidentiality) Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom Autentyczność (authenticity) Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Dotyczy użytkowników, procesów, systemów lub instytucji. Związana jest z badaniem, czy ktoś lub coś jest tym za co się podaje Dostępność (availability) Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie w założonym czasie przez kogoś lub coś, kto lub co ma do tego prawo Integralność danych (data integrity) Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany Integralność systemu (system integrity) Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Integralność (integrity) Integralność danych i integralność systemu Rozliczalność (accountability) Właściwość zapewniająca, że działania podmiotu (np. użytkownika) mogą być jednoznacznie przypisane tylko temu podmiotowi Niezawodność (reliability) Właściwość oznaczająca spójne, zamierzone zachowanie i skutki

1. Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa (security policy) jest planem lub sposobem działania przyjętym w celu zapewnienia bezpieczeństwa systemów i ochrony danych wrażliwych. Wrażliwość informacji (information sensibility) jest miarą ważności przypisaną informacji przez jej autora lub dysponenta w celu wskazania konieczności jej ochrony. Zasoby lub aktywa (sets), to wszystko, co dla instytucji ma wartość i co dla jej dobra należy chronić, aby mogła funkcjonować w sposób niezakłócony. Zagrożenie (threat), to potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być dla szkoda systemu teleinformatycznego, a w dalszej konsekwencji dla instytucji. Incydent bezpieczeństwa (security incident), to niekorzystne zdarzenie związane z systemem teleinformatycznym, które według obowiązujących reguł lub zaleceń może być uznane za awarię, faktyczne lub domniemane naruszenie zasad ochrony informacji lub prawa własności. Podatność (vulnerability), to słabość lub luka w systemie przetwarzania danych, która może być wykorzystana przez zagrożenia, prowadząc do strat. Ryzyko (risk) to prawdopodobieństwo albo możliwość tego, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować naruszenie lub zniszczenie zasobów. Zabezpieczenie (safegurad), to praktyka, procedura, mechanizm redukujący ryzyko do pewnego akceptowalnego poziomu, zwanego ryzykiem szczątkowym (residual risk). Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN 83-204-3155-7

1. Bezpieczeństwo systemów informatycznych Podstawowe zagrożenia dla bezpieczeństwa systemów i użytkowników pracujących w Internecie: Podsłuch danych transmitowanych w sieci i dostęp osób nieuprawnionych do informacji, Nieuprawnione korzystanie z zasobów komputerów, np. niedozwolone uruchomienie programu (zużycie mocy obliczeniowej procesora), Blokada usług systemu na przykład poprzez sztuczne przeciążenie systemu nadmiarem zlecanych zbędnych zadań, co w konsekwencji blokuje system dla normalnej pracy, Utrata danych na skutek ich złośliwego zniszczenia lub uszkodzenia poprzez na przykład włamanie się do systemu informatycznego (komputera), Fałszowanie informacji i/lub podawanie się za innych użytkowników – na przykład oszukiwanie uczestników czatów, rozsyłanie poczty z cudzego konta, podszywanie się pod inną osobę na forach internetowych, Fizyczne odcięcie źródła informacji od sieci – np. awaria zasilania, kradzież infrastruktury systemowej, Na podstawie: Cieciura M., Podstawy technologii informacyjnych z przykładami zastosowań, wyd. Vizja Press&IT sp. z o.o., Warszawa, 2006, ISBN 13: 978-83-60283-50-9

1. Bezpieczeństwo systemów informatycznych Polskimi aktami prawnymi, regulującymi obszar bezpieczeństwa informacji i danych są szczególności wymienione poniżej ustawy wraz z rozporządzeniami wydawanymi na ich podstawie: Ustawa o ochronie danych osobowych Ustawa o ochronie informacji niejawnych Ustawa o ochronie baz danych Ustawa o świadczeniu usług drogą elektroniczną Ustawa o podpisie elektronicznym Niektóre normy dotyczące bezpieczeństwa informacji i danych ISO/IEC 27001:2005 - międzynarodowy standard tworzenia Systemów Zarządzania Bezpieczeństwem Informacji, ISO/IEC 17799:2005 (BS 779, PN-ISO/IEC 17779) - szczegółowe zalecenia związane z procesem wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w organizacji, ISO/IEC 13335:2000 (PN-I-13335) – zarządzanie bezpieczeństwem informacji w systemach teleinformatycznych

2. Podpis elektroniczny Podpis elektroniczny, to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. Bezpieczny podpis elektroniczny - podpis elektroniczny, który: a) jest przyporządkowany wyłącznie do osoby składającej ten podpis, b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna Urządzenie służące do składania podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych służących do składania podpisu lub poświadczenia elektronicznego. Urządzenie służące do weryfikacji podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający identyfikację osoby fizycznej, która złożyła podpis elektroniczny, przy wykorzystaniu danych służących do weryfikacji podpisu elektronicznego lub w sposób umożliwiający identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne, przy wykorzystaniu danych służących do weryfikacji poświadczenia elektronicznego Źródło: ZSIAP_w8_ustawa_o_podpisie_elektronicznym.pdf

2. Podpis elektroniczny Podpis elektroniczny, oznacza dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące jako metoda uwierzytelnienia. Bezpieczny podpis elektroniczny oznacza podpis elektroniczny spełniający następujące wymogi: a) przyporządkowany jest wyłącznie podpisującemu; b) umożliwia ustalenie tożsamości podpisującego; Urządzenie służące do składania podpisu elektronicznego – oznacza konfigurowane oprogramowanie lub sprzęt używane do wykorzystania danych służących do składania podpisu. Urządzenie służące do weryfikacji podpisów - oznacza skonfigurowane oprogramowanie lub sprzęt używane do wykorzystywania danych służących do weryfikacji podpisu; Źródło: ZSIAP_w8_dyrektywa_o_podpisach_elektronicznych.pdf Od wielu lat postuluje się faktyczne uzgodnienie polskiej ustawy z dyrektywą unijną. Cały czas obowiązuje jednak ustawa z roku 2001. Projekt nowelizacji: ZSIAP_w8_projekt_nowej_ustawa_o_podpisach_elektronicznych.pdf

2. Podpis elektroniczny Infrastruktura klucza publicznego (PKI - Public Key Infrastructure) jest to szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA), urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt. Do podstawowych funkcji PKI należą: Generowanie kluczy kryptograficznych. Weryfikacja tożsamości subskrybentów. Wystawianie certyfikatów. Weryfikacja certyfikatów. Podpisywanie przekazu. Szyfrowanie przekazu. Potwierdzanie tożsamości. Znakowanie czasem. Dodatkowo, w pewnych konfiguracjach, możliwe jest: Odzyskiwanie kluczy prywatnych. Ważniejsze pojęcia: CA - Certification Authority - urząd certyfikacji - wystawia certyfikaty, listy CRL, certyfikuje inne CA. RA - Registration Authority - urząd rejestracji - zbiera wnioski o wydanie certyfikatu, weryfikuje tożsamość subskrybentów. Subskrybent - właściciel certyfikatu. Źródło: Wikipedia

2. Podpis elektroniczny Tzw. bezpieczny podpis elektroniczny w Polsce bazuje na szyfrowaniu asymetrycznym, w którym występuje tzw. klucz prywatny – znany tylko osobie odbierającej np. podpisane dokumenty elektroniczne i klucz publiczny – znany wszystkim wysyłającym te dokumenty do osoby z konkretnym kluczem prywatnym. Znany algorytmem szyfrowania asymetrycznego i tworzenia podpisów elektronicznych jest RSA – 1977 r. opracowany przez Rona Rivesta, Adi Shamira oraz Leonarda Adlemana. X.509 jest stanardem definiującym schemat dla certyfikatów kluczy publicznych, unieważnień certyfikatów oraz certyfikatów atrybutu służących do budowania hierarchicznej struktury PKI. Kluczowym elementem X.509 jest urząd certyfikacji, który pełni rolę zaufanej trzeciej strony w stosunku do podmiotów oraz użytkowników certyfikatów. Koncepcja certyfikatów, ich ważności oraz odwoływania została przedstawiona po raz pierwszy w 1978 roku przez Lorena Kohnfeldra[1]. Pierwsza wersja standardu X.509 została opublikowana w 1988 roku. W Polsce reguluje to norma PN-ISO/IEC 9594-8:2006. Źródło: Wikipedia

Podsumowanie Dziękuję za uwagę i życzę sukcesów na egzaminie… Bezpieczeństwo informacji i danych jest podstawą dla skutecznego funkcjonowania organizacji Ma to ogromne znaczenie w dobie wszechobecnego Internetu i silnej konwergencji cyfrowej Z uwagi na konieczność zapewnienia bezpieczeństwa przesyłania informacji i świadczenia zdalnych usług rozwinięto standardy i technologie kryptograficzne umożliwiające elektroniczne podpisywanie (poświadczanie) naszej autentyczności i naszych dokumentów elektronicznych Złe zaimplementowanie dyrektywy unijnej o podpisach elektronicznych w polskiej ustawie z roku 2001, czyli zastąpienie spójnika „lub” spójnikiem „i” spowodowało de’facto zatrzymanie możliwości rozwoju zastosowań podpisu elektronicznego w Polsce i otwartych standardów z nim związanych, bazujących na XML Złe zjawiska wskazane w punkcie 4 zostały częściowo osłabione nowelizacją ustawy o informatyzacji z roku 2010 (tzw. profil zaufany ePUAP), ale zostaną całkowicie zniesione postulowaną od ponad 5 lat konieczną nowelizacją ustawy o podpisie elektronicznym (o ile kiedykolwiek wejdzie w życie). Dziękuję za uwagę i życzę sukcesów na egzaminie…

  Projekt : „Odpowiedź na wyzwania gospodarki opartej na wiedzy: nowy program nauczania na WSHiP”. Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego.