dr inż. Grzegorz Bliźniuk Zarządzanie systemami informatycznymi w administracji publicznej WYKŁAD 8: Bezpieczeństwo systemów informatycznych Podpis elektroniczny dr inż. Grzegorz Bliźniuk

  Projekt : „Odpowiedź na wyzwania gospodarki opartej na wiedzy: nowy program nauczania na WSHiP”. Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego.

Plan wykładu Bezpieczeństwo systemów informatycznych zagadnienie bezpieczeństwa informacji i danych przykłady zagrożeń bezpieczeństwa systemów teleinformatycznych normy techniczne i przepisy prawa regulujące bezpieczeństwo systemów informatycznych Podpis elektroniczny pojęcia podstawowe przykłady infrastruktury podpisu elektronicznego regulacje prawne w zakresie podpisu elektronicznego Podsumowanie

1. Bezpieczeństwo systemów informatycznych Zagadnienie bezpieczeństwa informacji i danych dotyczy stosowania odpowiednich zabezpieczeń systemów informacyjnych i informatycznych, dzięki czemu nie będzie możliwy niekontrolowany wyciek informacji poza system lub jej uszkodzenie (zabezpieczenia logiczne), a także zniszczenie lub uszkodzenie infrastruktury tego systemu (zabezpieczenia fizyczne). Zagadnienie to jest bardzo ważne w dobie powszechnej internetyzacji technologii informacyjnych (przyp. aut.) Bezpieczeństwo systemów informatycznych jest rozumiane jako niczym niezakłócone funkcjonowanie tych systemów podczas realizacji wyznaczonych dla nich zadań. Bezpieczeństwo teleinformatyczne jest rozumiane jako zespół procesów zmierzających do zdefiniowania, osiągnięcia i utrzymania założonego poziomu ufności, integralności, dostępności autentyczności i niezawodności systemu, czyli tzw. atrybutów bezpieczeństwa w systemach teleinformatycznych. Bezpieczeństwo informacji ma szersze znaczenie niż bezpieczeństwo teleinformatyczne, ponieważ obejmuje również informację znajdującą się poza systemami informatycznymi, w więc występującą np. w postaci dokumentów papierowych, mikrofilmów oraz w postaci zapamiętanej i wymienianej bezpośrednio przez człowieka lub za pomocą środków łączności. Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN 83-204-3155-7

1. Bezpieczeństwo systemów informatycznych Atrybuty bezpieczeństwa według normy PN-13335-1: Na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN 83-204-3155-7 Nazwa Określenie Poufność (confidentiality) Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom Autentyczność (authenticity) Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Dotyczy użytkowników, procesów, systemów lub instytucji. Związana jest z badaniem, czy ktoś lub coś jest tym za co się podaje Dostępność (availability) Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie w założonym czasie przez kogoś lub coś, kto lub co ma do tego prawo Integralność danych (data integrity) Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany Integralność systemu (system integrity) Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej Integralność (integrity) Integralność danych i integralność systemu Rozliczalność (accountability) Właściwość zapewniająca, że działania podmiotu (np. użytkownika) mogą być jednoznacznie przypisane tylko temu podmiotowi Niezawodność (reliability) Właściwość oznaczająca spójne, zamierzone zachowanie i skutki

1. Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa (security policy) jest planem lub sposobem działania przyjętym w celu zapewnienia bezpieczeństwa systemów i ochrony danych wrażliwych. Wrażliwość informacji (information sensibility) jest miarą ważności przypisaną informacji przez jej autora lub dysponenta w celu wskazania konieczności jej ochrony. Zasoby lub aktywa (sets), to wszystko, co dla instytucji ma wartość i co dla jej dobra należy chronić, aby mogła funkcjonować w sposób niezakłócony. Zagrożenie (threat), to potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być dla szkoda systemu teleinformatycznego, a w dalszej konsekwencji dla instytucji. Incydent bezpieczeństwa (security incident), to niekorzystne zdarzenie związane z systemem teleinformatycznym, które według obowiązujących reguł lub zaleceń może być uznane za awarię, faktyczne lub domniemane naruszenie zasad ochrony informacji lub prawa własności. Podatność (vulnerability), to słabość lub luka w systemie przetwarzania danych, która może być wykorzystana przez zagrożenia, prowadząc do strat. Ryzyko (risk) to prawdopodobieństwo albo możliwość tego, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować naruszenie lub zniszczenie zasobów. Zabezpieczenie (safegurad), to praktyka, procedura, mechanizm redukujący ryzyko do pewnego akceptowalnego poziomu, zwanego ryzykiem szczątkowym (residual risk). Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie, WNT, Warszawa, 2006, ISBN 83-204-3155-7

1. Bezpieczeństwo systemów informatycznych Podstawowe zagrożenia dla bezpieczeństwa systemów i użytkowników pracujących w Internecie: Podsłuch danych transmitowanych w sieci i dostęp osób nieuprawnionych do informacji, Nieuprawnione korzystanie z zasobów komputerów, np. niedozwolone uruchomienie programu (zużycie mocy obliczeniowej procesora), Blokada usług systemu na przykład poprzez sztuczne przeciążenie systemu nadmiarem zlecanych zbędnych zadań, co w konsekwencji blokuje system dla normalnej pracy, Utrata danych na skutek ich złośliwego zniszczenia lub uszkodzenia poprzez na przykład włamanie się do systemu informatycznego (komputera), Fałszowanie informacji i/lub podawanie się za innych użytkowników – na przykład oszukiwanie uczestników czatów, rozsyłanie poczty z cudzego konta, podszywanie się pod inną osobę na forach internetowych, Fizyczne odcięcie źródła informacji od sieci – np. awaria zasilania, kradzież infrastruktury systemowej, Na podstawie: Cieciura M., Podstawy technologii informacyjnych z przykładami zastosowań, wyd. Vizja Press&IT sp. z o.o., Warszawa, 2006, ISBN 13: 978-83-60283-50-9

1. Bezpieczeństwo systemów informatycznych Polskimi aktami prawnymi, regulującymi obszar bezpieczeństwa informacji i danych są szczególności wymienione poniżej ustawy wraz z rozporządzeniami wydawanymi na ich podstawie: Ustawa o ochronie danych osobowych Ustawa o ochronie informacji niejawnych Ustawa o ochronie baz danych Ustawa o świadczeniu usług drogą elektroniczną Ustawa o podpisie elektronicznym Niektóre normy dotyczące bezpieczeństwa informacji i danych ISO/IEC 27001:2005 - międzynarodowy standard tworzenia Systemów Zarządzania Bezpieczeństwem Informacji, ISO/IEC 17799:2005 (BS 779, PN-ISO/IEC 17779) - szczegółowe zalecenia związane z procesem wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji w organizacji, ISO/IEC 13335:2000 (PN-I-13335) – zarządzanie bezpieczeństwem informacji w systemach teleinformatycznych

2. Podpis elektroniczny Podpis elektroniczny, to dane w postaci elektronicznej, które wraz z innymi danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny. Bezpieczny podpis elektroniczny - podpis elektroniczny, który: a) jest przyporządkowany wyłącznie do osoby składającej ten podpis, b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu elektronicznego i danych służących do składania podpisu elektronicznego, jest powiązany z danymi, do których został dołączony, w taki sposób, że jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna Urządzenie służące do składania podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia elektronicznego przy wykorzystaniu danych służących do składania podpisu lub poświadczenia elektronicznego. Urządzenie służące do weryfikacji podpisu elektronicznego - sprzęt i oprogramowanie skonfigurowane w sposób umożliwiający identyfikację osoby fizycznej, która złożyła podpis elektroniczny, przy wykorzystaniu danych służących do weryfikacji podpisu elektronicznego lub w sposób umożliwiający identyfikację podmiotu świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia certyfikacyjne, przy wykorzystaniu danych służących do weryfikacji poświadczenia elektronicznego Źródło: ZSIAP_w8_ustawa_o_podpisie_elektronicznym.pdf

2. Podpis elektroniczny Podpis elektroniczny, oznacza dane w formie elektronicznej dodane do innych danych elektronicznych lub logicznie z nimi powiązane i służące jako metoda uwierzytelnienia. Bezpieczny podpis elektroniczny oznacza podpis elektroniczny spełniający następujące wymogi: a) przyporządkowany jest wyłącznie podpisującemu; b) umożliwia ustalenie tożsamości podpisującego; Urządzenie służące do składania podpisu elektronicznego – oznacza konfigurowane oprogramowanie lub sprzęt używane do wykorzystania danych służących do składania podpisu. Urządzenie służące do weryfikacji podpisów - oznacza skonfigurowane oprogramowanie lub sprzęt używane do wykorzystywania danych służących do weryfikacji podpisu; Źródło: ZSIAP_w8_dyrektywa_o_podpisach_elektronicznych.pdf Od wielu lat postuluje się faktyczne uzgodnienie polskiej ustawy z dyrektywą unijną. Cały czas obowiązuje jednak ustawa z roku 2001. Projekt nowelizacji: ZSIAP_w8_projekt_nowej_ustawa_o_podpisach_elektronicznych.pdf

2. Podpis elektroniczny Infrastruktura klucza publicznego (PKI - Public Key Infrastructure) jest to szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA), urzędy rejestracyjne (RA), subskrybenci certyfikatów (użytkownicy), oprogramowanie i sprzęt. Do podstawowych funkcji PKI należą: Generowanie kluczy kryptograficznych. Weryfikacja tożsamości subskrybentów. Wystawianie certyfikatów. Weryfikacja certyfikatów. Podpisywanie przekazu. Szyfrowanie przekazu. Potwierdzanie tożsamości. Znakowanie czasem. Dodatkowo, w pewnych konfiguracjach, możliwe jest: Odzyskiwanie kluczy prywatnych. Ważniejsze pojęcia: CA - Certification Authority - urząd certyfikacji - wystawia certyfikaty, listy CRL, certyfikuje inne CA. RA - Registration Authority - urząd rejestracji - zbiera wnioski o wydanie certyfikatu, weryfikuje tożsamość subskrybentów. Subskrybent - właściciel certyfikatu. Źródło: Wikipedia

2. Podpis elektroniczny Tzw. bezpieczny podpis elektroniczny w Polsce bazuje na szyfrowaniu asymetrycznym, w którym występuje tzw. klucz prywatny – znany tylko osobie odbierającej np. podpisane dokumenty elektroniczne i klucz publiczny – znany wszystkim wysyłającym te dokumenty do osoby z konkretnym kluczem prywatnym. Znany algorytmem szyfrowania asymetrycznego i tworzenia podpisów elektronicznych jest RSA – 1977 r. opracowany przez Rona Rivesta, Adi Shamira oraz Leonarda Adlemana. X.509 jest stanardem definiującym schemat dla certyfikatów kluczy publicznych, unieważnień certyfikatów oraz certyfikatów atrybutu służących do budowania hierarchicznej struktury PKI. Kluczowym elementem X.509 jest urząd certyfikacji, który pełni rolę zaufanej trzeciej strony w stosunku do podmiotów oraz użytkowników certyfikatów. Koncepcja certyfikatów, ich ważności oraz odwoływania została przedstawiona po raz pierwszy w 1978 roku przez Lorena Kohnfeldra[1]. Pierwsza wersja standardu X.509 została opublikowana w 1988 roku. W Polsce reguluje to norma PN-ISO/IEC 9594-8:2006. Źródło: Wikipedia

Podsumowanie Dziękuję za uwagę i życzę sukcesów na egzaminie… Bezpieczeństwo informacji i danych jest podstawą dla skutecznego funkcjonowania organizacji Ma to ogromne znaczenie w dobie wszechobecnego Internetu i silnej konwergencji cyfrowej Z uwagi na konieczność zapewnienia bezpieczeństwa przesyłania informacji i świadczenia zdalnych usług rozwinięto standardy i technologie kryptograficzne umożliwiające elektroniczne podpisywanie (poświadczanie) naszej autentyczności i naszych dokumentów elektronicznych Złe zaimplementowanie dyrektywy unijnej o podpisach elektronicznych w polskiej ustawie z roku 2001, czyli zastąpienie spójnika „lub” spójnikiem „i” spowodowało de’facto zatrzymanie możliwości rozwoju zastosowań podpisu elektronicznego w Polsce i otwartych standardów z nim związanych, bazujących na XML Złe zjawiska wskazane w punkcie 4 zostały częściowo osłabione nowelizacją ustawy o informatyzacji z roku 2010 (tzw. profil zaufany ePUAP), ale zostaną całkowicie zniesione postulowaną od ponad 5 lat konieczną nowelizacją ustawy o podpisie elektronicznym (o ile kiedykolwiek wejdzie w życie). Dziękuję za uwagę i życzę sukcesów na egzaminie…

  Projekt : „Odpowiedź na wyzwania gospodarki opartej na wiedzy: nowy program nauczania na WSHiP”. Projekt współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego.