Bezpieczeństwo systemów informatycznych, wykład 1, slajd 1

Wprowadzenie do systemów bezpieczeństwa informacji

dr inż. Grzegorz Bliźniuk

Bezpieczeństwo systemów informatycznych

wykład 1

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 2

Literatura podstawowa przedmiotu

1. Białas A., Bezpieczeństwo informacji i usług w

nowoczesnej instytucji i firmie, WNT, 2006

2. Hope P., Walther B., Testowanie bezpieczeństwa

aplikacji internetowych, Helion, 2010

3. Rutkowski J., Żebrowski K., Matuszewski J.,

Szybki start. Firewall, Helion, 2005

4. Stawowski M., Projektowanie i praktyczne

implementacje sieci VPN, ArsKom, 2004

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 3

Plan wykładu 1

1. Pojęcia podstawowe
2. Atrybuty bezpieczeństwa
3. Ryzyko, wrażliwość, krytyczność informacji i usług
4. Trójpoziomowy model odniesienia
5. System bezpieczeństwa instytucji; Architektura

bezpieczeństwa instytucji

6. Znaczenie legislacji i normatywów w zapewnieniu

bezpieczeństwa informacji

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 4

Pojęcia podstawowe

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 5

Pojęcia podstawowe

Bezpieczeństwo systemów, to niczym niezakłócone ich
funkcjonowanie podczas realizacji wyznaczonych dla nich

zadań.

Bezpieczeństwo teleinformatyczne dotyczy niczym

niezakłóconego

funkcjonowania

systemów

teleinformatycznych,

przetwarzających dane i informacje

przechowywane na informatycznych

nośnikach danych.

Bezpieczeństwo

informacji

=

bezpieczeństwo

teleinformatyczne

+

bezpieczeństwo

informacji

składowanych poza nośnikami danych (papier, zapisy
analogowe)

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 6

Pojęcia podstawowe

Źródła złożoności zagadnienia zapewnienia bezpieczeństwa:

Bezpieczeństwo

informacji

Złożoność

systemów

ICT

Nieprzerwane

zmiany w

systemach ICT

Trudne

środowisko

zagrożeń

Skomplikowane

procesy

zarządzania

Nieprzewidywalny

czynnik ludzki

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 7

Pojęcia podstawowe

Dwa odmienne

podejścia do zapewnienia bezpieczeństwa

informacji:

1.

Podejście heurystyczne - uczenie się na podstawie
najlepszych praktyk (best practices)

2.

Podejście formalne – w projektowaniu i ocenie

zabezpieczeń teleinformatycznych i organizacyjnych

Na naszych

zajęciach bardziej skoncentrujemy się na

podejściu nr 1, ale czasami skorzystamy w wybranych

pomysłów zgodnych z podejściem nr 2.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 8

Pojęcia podstawowe - definicje

Bezpieczeństwo teleinformatyczne /IT, ICT security/ jest
to

zespół procesów zmierzających do zdefiniowania,

osiągnięcia i utrzymywania założonego poziomu atrybutów

bezpieczeństwa systemów teleinformatycznych

System

teleinformatyczny

/ICT/,

to

zespół

współpracujących ze sobą urządzeń informatycznych i
oprogramowania

zapewniający

przetwarzanie,

przechowywanie, a

także wysyłanie i odbieranie danych

przez sieci telekomunikacyjne za

pomocą właściwego dla

danego rodzaju sieci telekomunikacyjnego

urządzenia

końcowego w rozumieniu przepisów ustawy z dnia 16 lipca
2004 r.

– Prawo telekomunikacyjne (Dz. U. Nr 171,

poz.1800, z

późn. zm.3 (z ustawy o informatyzacji)

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 9

Pojęcia podstawowe - definicje

Informatyczny

nośnik danych, to materiał lub urządzenie

służące do zapisywania, przechowywania i odczytywania
danych w postaci cyfrowej (z ustawy o informatyzacji)

Polityka

bezpieczeństwa /security policy/, to plan lub

sposób

działania

przyjęty

w

celu

zapewnienia

bezpieczeństwa systemów i ochrony danych

Informacja

/information/,

to

dana,

która podlega

interpretacji (posiada

ustaloną semantykę)

Usługa krytyczna /critical service/, ma zasadnicze
znaczenie dla instytucji i podlega

szczególnej ochronie

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 10

Pojęcia podstawowe - definicje

Zasoby (aktywa) /assets/, to wszystkie byty

mające dla

instytucji

wartość, ponieważ zapewniają niezakłócone jej

funkcjonowanie, wobec czego

podlegają one ochronie

Incydent

bezpieczeństwa /security incident/ - każde

zdarzenie

naruszające bezpieczeństwo teleinformatyczne

spowodowane w

szczególności awarią systemu lub sieci

teleinformatycznej,

działaniem osób uprawnionych lub

nieuprawnionych do pracy w tym systemie lub sieci albo
zaniechaniem

osób uprawnionych (z rozporządzenia)

Zagrożenie

/threat/,

to

przyczyna

incydentu

bezpieczeństwa, którego skutkiem może być szkoda dla
systemu teleinformatycznego i dla instytucji

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 11

Pojęcia podstawowe - definicje

Podatność /vulnerability/, to słabość w systemie
przetwarzania danych,

która może być wykorzystana przez

zagrożenia, prowadząc do strat.

Następstwa /impacts/, to wszelkie negatywne skutki
incydentu dla instytucji i jej

systemów teleinformatycznych

Ryzyko /risk/, to

prawdopodobieństwo wykorzystania przez

zagrożenie podatności zasobu (zasobów) w celu ich
naruszenia lub zniszczenia.

Zabezpieczenie (safeguard), to praktyka, procedura,
mechanizm

redukujące ryzyko do akceptowalnego

poziomu, zwanego ryzykiem

szczątkowym (residual risk)

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 12

Pojęcia podstawowe - definicje

Zarządzanie bezpieczeństwem /security administration/,
to

czynności kontrolowania i zarządzania wszystkimi

istotnymi problemami

związanymi z bezpieczeństwem w

systemie.

Może być wykonywane przez jednego lub więcej

specjalnie

upoważnionych użytkowników, którym zostały

przydzielone prawa

dostępu stosowne ze względu na

bezpieczeństwo praw dostępu

Uwaga: Tacy

użytkownicy są nazywani administratorami

bezpieczeństwa.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 13

Pojęcia podstawowe - definicje

Procedura

realizacji

zabezpieczenia

/security

enforcement procedure/, to zgodny i kompletny pakiet
organizacyjnych, fizycznych albo technicznych

reguł

przeznaczonych

do

sprawdzania

poprawności

przestrzegania odpowiednich organizacyjnych, fizycznych i
technicznych polityk

bezpieczeństwa.

Funkcje

bezpieczeństwa /security functions/ jest

niepodzielna

(również

quasi-formalne

funkcje

bezpieczeństwa).

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 14

Pojęcia podstawowe - definicje

Mechanizm zabezpieczenia /security mechanism/, to
formalna specyfikacja

opisująca metodologię wykonywania

zestawu funkcji

bezpieczeństwa.

Obiekt zabezpieczany /security object/

Obiekt - pasywna jednostka,

która zawiera lub otrzymuje

informacje [ITSEC].

Uwaga:

Dostęp do obiektu potencjalnie oznacza dostęp do

informacji,

które on zawiera.

Przykład: Typowe obiekty w dziedzinie ochrony zdrowia to
dokumenty

medyczne

lub

pliki

zawierające dane

medyczne.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 15

Pojęcia podstawowe - definicje

Usługa

zapewnienia

bezpieczeństwa

/security

procurement service/, to

spójny i kompletny pakiet

zgodnych

protokołów

(lub

wyszczególnionych

bezpośrednio wdrażalnych funkcji) przeznaczonych do
bezpośredniego

realizowania

wymaganej

polityki

bezpieczeństwa.

Protokół zabezpieczeń /Security protocol/, to formalna,
szczegółowa specyfikacja opisująca wykonanie zestawu
funkcji

bezpieczeństwa.

[prENV 13608 1]

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 16

Pojęcia podstawowe - definicje

Usługa ochrony informacji /security service/, to usługa,
dostarczana przez

warstwę komunikowania systemów

otwartych,

która zapewnia odpowiednie bezpieczeństwo

systemów albo przesyłania danych.
[ISO 7498 2]

Przedmiot

bezpieczeństwa /security subject/, to aktywna

jednostka w formie osoby, procesu albo

urządzenia, która

powoduje,

że informacje przepływają pomiędzy obiektami

albo

zmieniają stan systemu. Jest to w rzeczywistości para

proces/dziedzina. [TCSEC]

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 17

Atrybuty bezpieczeństwa

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 18

Atrybuty bezpieczeństwa

Bezpieczeństwo teleinformatyczne jest związane ze

spełnianiem pewnych jego własności, zwanych atrybutami

bezpieczeństwa. Są to:

1.

Integralność

2.

Poufność

3.

Dostępność

4.

Autentyczność

5.

Rozliczalność

6.

Niezawodność

Posiadanie tych

własności nazywane jest aspektem

bezpieczeństwa.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 19

Atrybuty bezpieczeństwa

Poufność /confidentiality/ oznacza, że informacja nie jest
udostępniana lub ujawniana nieautoryzowanym osobom,
podmiotom lub procesom.

Autentyczność /authenticity/ oznacza, że tożsamość
podmiotu lub zasobu jest taka, jak deklarowana. Dotyczy to
użytkowników, procesów, systemów, instytucji.

Dostępność /availability/ oznacza, że ktoś lub coś, co ma
do tego prawo jest

dostępne i możliwe do wykorzystania na

żądanie w założonym czasie

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 20

Atrybuty bezpieczeństwa

Integralność danych /data integrity/ oznacza, że dane w
systemie nie

zostały zmienione lub zniszczone w sposób

nieautoryzowany.

Integralność systemu /system integrity/ oznacza, że
system realizuje

swoją zamierzoną funkcję w nienaruszony

sposób, wolny od nieautoryzowanej – celowej lub
przypadkowej

– manipulacji.

Integralność /integrity/ - integralność danych &
integralność systemu

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 21

Atrybuty bezpieczeństwa

Rozliczalność /accountability/ oznacza, że działania
podmiotu

(np.

użytkownika

systemu)

mogą być

jednoznacznie przypisane tylko temu podmiotowi

Niezawodność /reliability/ oznacza spójne, zamierzone
zachowanie i skutki

działania systemu

Pamiętaj o tym, że bezpieczeństwo teleinformatyczne jest
warunkiem koniecznym, ale nie

wystarczającym dla

bezpieczeństwa informacji i usług. Integralność odnosi się
zarówno do informacji, usług, sprzętu i oprogramowania.
Dla

informacji

najważniejsze

są

integralność

autentyczność, poufność i dostępność. Dla usług:
dostępność, integralność i rozliczalność.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 22

Ryzyko, wrażliwość,

krytyczność informacji i

usług

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 23

Ryzyko, wrażliwość, krytyczność informacji i usług

Relacje elementów bezpieczeństwa:

RYZYKO

ZABEZPIECZENIA

WYMAGANIA

WARTOŚĆ

ZASOBY

PODATNOŚCI

ZAGROŻENIA

wykorzystuj

ą

zwiększają

zwiększają

chronią przed

narażają

posiadają

zwiększają

analiza

wskazuje

realizowane
przez

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 24

Ryzyko, wrażliwość, krytyczność informacji i usług

Ryzyko /risk/, to

prawdopodobieństwo wykorzystania przez

zagrożenie podatności zasobu (zasobów) w celu ich
naruszenia lub zniszczenia

.

Analiza ryzyka /risk analysis/, to proces identyfikacji
ryzyka,

określania jego źródeł, wyodrębniania i ustalania

wielkości obszarów wymagających zabezpieczeń.

Scenariusz ryzyka /risk scenario/ przedstawia

sposób

wykorzystania przez

zagrożenie (grupę zagrożeń) jakiejś

podatności (grupy podatności).

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 25

Ryzyko, wrażliwość, krytyczność informacji i usług

Ocena ryzyka /risk evaluation/ polega na

porównaniu

szacowanego ryzyka z

założonymi kryteriami ryzyka w celu

wyznaczenia powagi ryzyka

.

Oszacowanie ryzyka /risk assesment/, to proces oceny
znanych i postulowanych

zagrożeń oraz podatności,

przeprowadzony w celu

określenia spodziewanych strat i

ustalenia stopnia

akceptowalności działania systemu

(źródła

zagrożeń,

ich

listy

rankingowe,

koszty

zabezpieczeń, redukcja kosztów ryzyka itd.).

Zarządzanie ryzykiem /risk management/, całościowy
proces identyfikacji, monitorowania oraz eliminowania lub
minimalizowania

prawdopodobieństwa

zaistnienia

niepewnych

zdarzeń, które mogą mieć negatywny wpływ

na zasoby systemu informatycznego.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 26

Ryzyko, wrażliwość, krytyczność informacji i usług

Postępowanie z ryzykiem (traktowanie ryzyka) /risk
treatment/ polega na wyborze i

wdrożeniu środków

wpływających na zmianę wielkości ryzyka

.

Akceptacja ryzyka /risk acceptance/, to decyzja

zarządu

instytucji,

dopuszczająca pewien zidentyfikowany stopień

ryzyka,

podejmowana

zazwyczaj

z

przyczyn

ekonomicznych

(brak

środków

finansowych)

lub

technicznych (brak

możliwości technicznych).

Zarządzanie bezpieczeństwem systemów ICT /ICT
security management/, to

zespół procesów zmierzających

do

osiągnięcia i utrzymywania w systemach ICT

ustalonego

poziomu

bezpieczeństwa

(poufności,

integralności,

dostępności,

autentyczności

i

niezawodności).

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 27

Ryzyko, wrażliwość, krytyczność informacji i usług

Krzywa redukcji ryzyka:

P

oz

iom

b

ez

piec

ze

ńs

tw

a

nakłady

100 %

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 28

Ryzyko, wrażliwość, krytyczność informacji i usług

Procesy

zarządzania bezpieczeństwem systemów:

1.

Zarządzanie

konfiguracją

–

śledzenie

zmian

konfiguracji

systemu,

aby

nie

obniżały

one

bezpieczeństwa

2.

Zarządzanie zmianami – identyfikacja nowych

wymagań

i

ich

uwzględniania

w

systemie

bezpieczeństwa,

3.

Zarządzanie ryzykiem

1.

Monitorowanie

zagrożeń

2.

Uświadamianie i szkolenia,

3.

Analiza ryzyka

4.

Inne

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 29

Trójpoziomowy model

odniesienia

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 30

Trójpoziomowy model odniesienia

Trójpoziomowy model odniesienia celów, strategii i
polityki

bezpieczeństwa informacji i usług w instytucji jest

kluczowy

dla

kompleksowego

ujęcia

zagadnień

bezpieczeństwa.

Model jest istotny dla przedstawienia

ogólnej koncepcji

architektury

bezpieczeństwa w instytucji. Wychodzi się w

nim od potrzeb

wynikających z zadań biznesowych lub

społecznych, realizowanych przez instytucję, dochodząc do

szczegółów jej teleinformatyki i zasad organizacyjnych.

Wychodząc od takiego modelu można uporządkować w

podejściu hierarchicznym kwestie prawne, organizacyjne,
osobowe,

technologiczne,

fizyczne,

socjologiczne,

kulturowe, psychologiczne

– wszystko to, co istotnie

wpływa na poziom bezpieczeństwa informacji i usług w
instytucji.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 31

Trójpoziomowy model odniesienia

W

trójpoziomowy, modelu odniesienia bazuje się na

trzech kluczowych

pojęciach:



Cel

– identyfikuje co ma być osiągnięte



Strategia

– określa, w jaki sposób osiągać

zamierzony cel (zamierzone cele)



Polityka

– określa, co konkretnie ma być

realizowane, aby

osiągać założenia strategii i jakie

przy tym

mają być przestrzegane zasady

Polityka

bezpieczeństwa stanowi szczegółową

podstawę działań instytucji w zakresie osiągania

pożądanego poziomu bezpieczeństwa informacji i

usług.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 32

Trójpoziomowy model odniesienia

Poziomy

szczegółowości modelu trójpoziomowego:

Instytucja

CELE

– STRATEGIA - POLITYKA

Bezpieczeństwo w instytucji

CELE

– STRATEGIA - POLITYKA

Bezpieczeństwo systemów

teleinformatycznych w instytucji

CELE

– STRATEGIA - POLITYKA

Bezpieczeństwo systemu

teleinformatycznego nr 1

CELE

– STRATEGIA - POLITYKA

Bezpieczeństwo systemu

teleinformatycznego nr 2

CELE

– STRATEGIA - POLITYKA

Inne obszary strategiczne instytucji

CELE

– STRATEGIA - POLITYKA

Inne obszary polityk w instytucji

CELE

– STRATEGIA - POLITYKA

I

II

III

Nr poziomu:

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 33

Trójpoziomowy model odniesienia

Poziom I

– Bezpieczeństwo w instytucji:

1.

Sprecyzowanie podstawowych zasad

bezpieczeństwa i wytycznych dla

całej instytucji

2.

Wyrażamy je w postaci celów, strategii i polityk bezpieczeństwa dla całej
instytucji

3.

Bardzo istotne na pierwszym poziomie jest zapewnienie

legalności zasad

bezpieczeństwa - ich zgodności z prawem zewnętrznym w stosunku do
instytucji i jej

wewnętrznymi regulacjami

4.

Zasady

bezpieczeństwa na pierwszym poziomie dotyczą kluczowych

zasobów instytucji, tj.:

•

Ciągłości działania instytucji, w tym jej procesów biznesowych,

•

Zdolności produkowania swoich wyrobów lub świadczenia usług,

•

Pozytywnego wizerunku instytucji

5.

Identyfikowane

są relacje zadań statutowych i reguł bezpieczeństwa

instytucji

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 34

Trójpoziomowy model odniesienia

Poziom II

– Bezpieczeństwo teleinformatyczne instytucji:

1.

Polityka

bezpieczeństwa jest rozumiana jako zbiór praw,

zasad

postępowania i praktyk w jaki sposób wrażliwe i

krytyczne informacje w zasobach teleinformatycznych

są

dystrybuowane,

zarządzane i chronione w instytucji i jej

systemach teleinformatycznych

2.

Mówiąc inaczej, są to zasady bezpiecznej eksploatacji

aktywów teleinformatycznych instytucji

3.

Dotyczą całości procesu wytwarzania, przetwarzania,

przesyłania i przechowywania informacji

4.

Bierze

się również pod uwagę istotne dla bezpieczeństwa

zagadnienia z otoczenia teleinformatyki instytucji (np. zakres
istotnej informacji, jej

postać, jej wpływ na teleinformatykę

instytucji)

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 35

Trójpoziomowy model odniesienia

Poziom III

– Bezpieczeństwo poszczególnych systemów

teleinformatycznych instytucji:

1.

Działa tutaj zasada najsłabszego ogniwa – najsłabiej
chroniony system

będzie potencjalną furtką dla incydentów

bezpieczeństwa

2.

Polityka

bezpieczeństwa na tym poziomie dotyczy zbioru

reguł, zasad i najlepszych praktyk zastosowanych dla ochrony
konkretnego systemu teleinformatycznego instytucji

3.

Bierze

się tutaj pod uwagę indywidualne właściwości

chronionego systemu (technologie, architektura,

własności

urządzeń, świadomość użytkowników, reguły prawne)

4.

Zbiór polityk bezpieczeństwa dla poszczególnych systemów
wynika ze strategii

bezpieczeństwa teleinformatycznego

instytucji z poziomu II

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 36

Trójpoziomowy model odniesienia

CELE

STRATEGIE

POLITYKA

CELE

STRATEGIE

POLITYKA

CELE

STRATEGIE

POLITYKA

CELE

STRATEGIE

POLITYKA

Funkcjonowanie instytucji

Bezpieczeństwo instytucji

Bezpieczeństwo teleinformatyczne instytucji

Bezpieczeństwo systemów instytucji

POZIOM I

POZIOM II

POZIOM III

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 37

Trójpoziomowy model odniesienia

Polityka

bezpieczeństwa instytucji:

1.

Wynika z polityki

działania instytucji i jej różnych aspektów w

wymiarze biznesowym

2.

Wymiar biznesowy to m.in. polityka marketingowa, finansowa,
PR, informatyzacji, kadrowa itp.

3.

Trójpoziomowy model odniesienia powinien być stosowany
racjonalnie co oznacza,

że trzeba dobierać poziom

szczegółowości,

rozmiar,

strukturę

poszczególnych

elementów rzeczywistego modelu systemu bezpieczeństwa
do faktycznych potrzeb

4.

Powyższe spostrzeżenie oznacza, że najczęściej dla małej
instytucji dokumentacja polityki

bezpieczeństwa jest mniejsza,

a dla

dużej instytucji jest ona bardziej obszerna

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 38

Trójpoziomowy model odniesienia

Hierarchiczna struktura dokumentacji

bezpieczeństwa:

POLITYKA DZIAŁANIA (MISJA) INSTYTUCJI

POLITYKA BEZPIECZEŃSTWA INSTYTUCJI

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW

TELEINFORMATYCZNYCH INSTYTUCJI

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW

TELEINFORM. ODDZIAŁU INSTYTUCJI

POLITYKA BEZPIECZEŃSTWA

SYSTEMU NR 1

POLITYKA BEZPIECZEŃSTWA

SYSTEMU NR n

INNE POLITYKI

INSTYTUCJI

POZIOM I

POZIOM II

POZIOM IIa
opcjonalny

POZIOM III

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 39

Trójpoziomowy model odniesienia

Hierarchiczna struktura

zarządzania:

1.

Wynika z

trójpoziomowego modelu odniesienia i hierarchii

dokumentacji

bezpieczeństwa co oznacza, że poszczególne

elementy struktury

zarządzania odnoszą się do poziomów I, II

(IIa) i III

2.

Zespoły są powoływane w relacji do koncepcji modelu

bezpieczeństwa instytucji – na tej bazie opracowywana jest

całość struktury zarządczej systemu bezpieczeństwa

3.

Kluczową rolę w nadaniu odpowiedniego impetu w tym

względzie ma zarząd instytucji

4.

Istotne

są precyzyjny rozdział i określenie obowiązków

poszczególnych elementów składowych struktury zarządzania

bezpieczeństwem w instytucji

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 40

Trójpoziomowy model odniesienia

Hierarchiczna struktura

zarządzania bezpieczeństwem:

ZARZĄD INSTYTUCJI

INSPEKTOR

BEZPIECZEŃSTWA INSTYTUCJI

INSPEKTOR BEZPIECZEŃSTWA

TELEINFORMATYCZNEGO

ODDZIAŁOWI INSPEKTORZY

BEZPIECZEŃSTWA TELEINFORM

INSPEKTORZY BEZPIECZEŃSTWA

SYSTEMÓW LUB PROJEKTÓW

POZIOM I

POZIOM II

POZIOM IIa
opcjonalny

POZIOM III

Polityka

bezpieczeństwa

instytucji

Polityka

bezpieczeństwa

teleinform.

Polityka

bezpieczeństwa

systemu

Polityka

bezpieczeństwa

teleinform.

oddziału

RI

RB

pion TI

przedstawiciel

systemów

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 41

System

bezpieczeństwa instytucji

Architektura

bezpieczeństwa instytucji

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 42

System bezpieczeństwa instytucji

Architektura bezpieczeństwa instytucji

System

bezpieczeństwa instytucji, to ogół

spójnych środków i skoordynowanych przedsięwzięć
w

celu

zapewnienia

jej

niezakłóconego

funkcjonowania.

System

bezpieczeństwa teleinformatycznego

instytucji,

to

ogół

spójnych

środków

i

skoordynowanych

przedsięwzięć, zastosowanych w

celu zapewnienia

właściwego poziomu atrybutów

bezpieczeństwa w systemach teleinformatycznych
instytucji traktowanych jako jedna

całość

System

bezpieczeństwa

autonomicznego

systemu teleinformatycznego, to

ogół spójnych

środków

i

skoordynowanych

przedsięwzięć,

zastosowanych w celu zapewnienia

właściwego

poziomu

atrybutów bezpieczeństwa w danych

systemie teleinformatycznym

POZIOM I

POZIOM II

POZIOM III

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 43

System bezpieczeństwa instytucji

Architektura bezpieczeństwa instytucji

Architektura systemu informatycznego, to podstawowa
organizacja

systemu

wraz

z

jego

komponentami,

wzajemnymi

powiązaniami, środowiskiem pracy i regułami

ustanawiającymi sposób jej budowy i rozwoju [ISO/IEC
42010:2007]

(łac.

architectura

„budowanie”

grec.

aρχιτεκτονική „budowniczy, stolarz”).

Według Kotarbińskiego organizacja to takie współdziałanie

części, które przyczynia się do powodzenia całości. Taka

całość nazywana jest strukturą.

Struktura

(łac. structura "budowa, sposób budowania"), to

rozmieszczenie

elementów składowych danego układu i

zespół relacji (między tymi elementami, charakterystyczny
dla tego

układu. Struktura jest tym, co nadaje całości jedność

i jest ona constantem zorganizowanej

całości.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 44

System bezpieczeństwa instytucji

Architektura bezpieczeństwa instytucji

Architektura systemu

bezpieczeństwa, to podstawowa

organizacja tego systemu wraz z jego komponentami,
wzajemnymi

powiązaniami, środowiskiem pracy i regułami

ustanawiającymi sposób jego budowy i rozwoju w celu
zapewnienia dotrzymania

pożądanego poziomu atrybutów

bezpieczeństwa, tj. wymaganego poziomu bezpieczeństwa.

Takie zdefiniowanie architektury systemu

bezpieczeństwa

jest

pochodną

definicji

architektury

systemu

informatycznego.

Należy nadmienić, że obecnie autorzy nie

wypracowali

jednej,

przyjętej

powszechnie

definicji

architektury systemu informatycznego, a

także definicji

architektury systemu

bezpieczeństwa. Zaproponowana

definicja

będzie obowiązywała na naszym wykładzie.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 45

System bezpieczeństwa instytucji

Architektura bezpieczeństwa instytucji

Pętla poprawy systemu bezpieczeństwa instytucji:

Instytucja stosująca

technologie

teleinformatyczne

Przystosowanie do zmian w instytucji,

jej systemach i otoczeniu

Zarządzanie zmianami i monitorowanie

Trójpoziomowy

system bezpieczeństwa

instytucji

Podatności

Zagrożenia

Reakcja na zmiany czynników ryzyka

ocena

ryzyka

Reakcja
na zmianę

Wykryto

zmianę

Decyzje
korygujące

Bieżący poziom bezpieczeństwa

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 46

System bezpieczeństwa instytucji

Architektura bezpieczeństwa instytucji

Fazy realizacji systemu

bezpieczeństwa:

1.

Projekt i planowanie

– poczynając od określenia potrzeb

po

selekcję zabezpieczeń,

2.

Weryfikacja, walidacja i

wdrożenie projektu

– od instalacji

zabezpieczeń po testy ich skuteczności, potwierdzające

osiągnięcie zakładanego poziomu bezpieczeństwa

3.

Bezpieczna eksploatacja

– utrzymywanie zakładanego

poziomu

bezpieczeństwa przy zmianach zachodzących w

instytucji i jej systemach oraz w

środowisku zagrożeń, w

tym

zakończenie jego eksploatacji lub utylizacji systemu.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 47

System bezpieczeństwa instytucji

Architektura bezpieczeństwa instytucji

Struktura systemu

bezpieczeństwa instytucji:

Polityka bezpieczeństwa instytucji -

POZIOM I

Polityka bezpieczeństwa teleinformatycznego -

POZIOM II

Polityka bezpieczeństwa systemu -

POZIOM III

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 48

Znaczenie legislacji i

normatywów w zapewnieniu

bezpieczeństwa informacji

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 49

Znaczenie legislacji i normatywów

w zapewnieniu bezpieczeństwa informacji

Dla definiowania polityk

bezpieczeństwa instytucji kluczowe

znaczenie ma tzw. otoczenie prawne i normy.

Otoczenie

prawne,

to

ogół przepisów prawnych,

statutowych, regulacji kontraktowych,

które instytucja, jej

partnerzy i

usługodawcy muszą spełniać. Przepisy te

nakazują prowadzenie działań zgodnych z prawem oraz

ochronę wyspecyfikowanych w przepisach rodzajów
informacji

wrażliwych.

Wobec instytucji mamy dwa rodzaje

przepisów prawa:

1.

Zewnętrzne regulacje prawne

– prawo powszechnie

obowiązujące i uchwalane niezależnie od instytucji

2.

Regulacje

wewnętrzne

–zależne od instytucji

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 50

Znaczenie legislacji i normatywów

w zapewnieniu bezpieczeństwa informacji

Źródła prawa w Polsce (regulacje zewnętrzne):

Zgodnie z

artykułem 87 Konstytucji Rzeczypospolitej Polskiej źródłami

powszechnie

obowiązującego prawa Rzeczypospolitej Polskiej są:

Konstytucja, ratyfikowane umowy

międzynarodowe, ustawy,

rozporządzenia, akty prawa miejscowego (na obszarze działania
organów, które je ustanowiły).
Dla

źródeł prawa krajowego charakterystyczne jest ich hierarchiczne

uporządkowanie. Konstytucja ma zawsze pierwszeństwo przed
ustawami, potem

są ratyfikowane umowy międzynarodowe, a te

zawsze

mają pierwszeństwo przed rozporządzeniami. Te natomiast

mają pierwszeństwo przed aktami prawa miejscowego - działają one na
obszarze

działania organów, które je ustanowiły.

Ponadto

źródłem prawa w Polsce są decyzje na poziomie Unii

Europejskiej

(bezpośrednio) i dyrektywy (wymagają implementacji w

prawie krajowym w postaci ustaw).

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 51

Znaczenie legislacji i normatywów

w zapewnieniu bezpieczeństwa informacji

Normy,

według polskiego prawa, tj. ustawy z dnia 12

września 2002 r. o normalizacji nie są aktami prawnymi.

Oznacza to,

że normy należy traktować jako zalecenia,

których stosowanie jest potencjalnie pożyteczne i celowe.

Należy jednak pamiętać o tym, że niestosowanie się do
norm,

które nie zostały wprowadzone do stosowania w

polskim prawie, nie jest naruszeniem prawa.

Jeżeli jakieś normy mają być sankcjonowane prawnie, to
ich stosowanie musi

być nakazane w dowolnym źródle

prawa powszechnie

obowiązującego w Polsce.

Instytucje

mogą – i powinny – nakazywać stosowanie

odpowiednich norm w swoich regulacjach

wewnętrznych.

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 52

Znaczenie legislacji i normatywów

w zapewnieniu bezpieczeństwa informacji

Kontekst prawy i normatywny instytucji

INSTYTUCJA

REGULACJE

WEWNĘTRZNE

ŹRÓDŁA

PRAWA

NORMY

wpływ bezpośredni

wpływ bezpośredni

wpływ
pośredni

wpływ
pośredni

więcej o tym na kolejnym wykładzie

Bezpieczeństwo systemów informatycznych, wykład 1, slajd 53

Podsumowanie

1. Bezpieczeństwo informacji w instytucji jest zagadnieniem

wielodyscyplinarnym

2. Bezpieczeństwo teleinformatyczne jest składową bezpie-

czeństwa instytucji

3. Składowymi bezpieczeństwa teleinformatycznego są

bezpieczeństwa poszczególnych systemów teleinforma-

tycznych instytucji

4. Kluczowy dla właściwego określenia architektury systemu

bezpieczeństwa i poszczególnych dokumentów polityk

bezpieczeństwa jest trójpoziomowy model odniesienia

dziękuję za uwagę