Ochrona
Ochrona
zasobów
zasobów
informatyczny
informatyczny
ch
ch
Ochrona
Ochrona
zasobów
zasobów
informatyczny
informatyczny
ch
ch
Zasób
Zasób
–
–
wszystko to, co jest potrzebne do
wszystko to, co jest potrzebne do
wytworzenia
wytworzenia
wyrobu lub usługi, a czego brak spowodowałby
wyrobu lub usługi, a czego brak spowodowałby
niewykonanie planu
niewykonanie planu
Zabezpieczenie
Zabezpieczenie
zasobów informatycznych
zasobów informatycznych
obejmuje
obejmuje
zarówno ochronę systemów komputerowych, ludzi
zarówno ochronę systemów komputerowych, ludzi
i oprogramowania, jak i informacji przed celowymi
i oprogramowania, jak i informacji przed celowymi
lub przypadkowymi zniszczeniami.
lub przypadkowymi zniszczeniami.
Zagrożenia
Zagrożenia
są zdarzeniami lub przyczynami
są zdarzeniami lub przyczynami
zdarzeń
zdarzeń
powodującymi straty finansowe podczas budowy
powodującymi straty finansowe podczas budowy
i eksploatacji systemu informacyjnego.
i eksploatacji systemu informacyjnego.
Pojęcie zabezpieczenia i zagrożenia
Pojęcie zabezpieczenia i zagrożenia
W zależności od czynnika który
W zależności od czynnika który
wywołuje zagrożenia możemy je
wywołuje zagrożenia możemy je
podzielić na:
podzielić na:
•
Losowe zewnętrzne
Losowe zewnętrzne
– jak np.: wpływ
– jak np.: wpływ
temperatury, wilgoci, wyładowania
temperatury, wilgoci, wyładowania
atmosferyczne, awarie systemu zasilania,
atmosferyczne, awarie systemu zasilania,
instalacji wodociągowej, katastrofy budowlane,
instalacji wodociągowej, katastrofy budowlane,
kataklizmy, zamieszki zbrojne itp.
kataklizmy, zamieszki zbrojne itp.
•
Losowe wewnętrzne
Losowe wewnętrzne
–
–
jak np.: błędy
jak np.: błędy
użytkowników, przypadkowe zagubienia lub
użytkowników, przypadkowe zagubienia lub
zniszczenia danych spowodowane
zniszczenia danych spowodowane
lekkomyślnością lub przeciążeniem pracą
lekkomyślnością lub przeciążeniem pracą
personelu, błędy administratora, wadliwa
personelu, błędy administratora, wadliwa
konfiguracja systemu, defekty sprzętu i
konfiguracja systemu, defekty sprzętu i
oprogramowania.
oprogramowania.
Intencjonalne:
Intencjonalne:
•
Pasywne
Pasywne
– monitorowanie sieci dla przejęcia haseł,
– monitorowanie sieci dla przejęcia haseł,
danych, prywatnych wiadomości, podgląd, analiza
danych, prywatnych wiadomości, podgląd, analiza
ruchu w sieci.
ruchu w sieci.
•
Aktywne
Aktywne
– bezprawna modyfikacja, ujawnienie i
– bezprawna modyfikacja, ujawnienie i
usuwanie informacji, modyfikacja programów i
usuwanie informacji, modyfikacja programów i
informacji przy pomocy konia trojańskiego, wirusa i
informacji przy pomocy konia trojańskiego, wirusa i
robaka komputerowego itp., oszustwa bankomatowe,
robaka komputerowego itp., oszustwa bankomatowe,
fałszowanie urządzeń wejścia lub wyjścia (np. kart
fałszowanie urządzeń wejścia lub wyjścia (np. kart
magnetycznych lub mikroprocesorowych), oszustwa w
magnetycznych lub mikroprocesorowych), oszustwa w
systemach sprzedaży, powielania programów
systemach sprzedaży, powielania programów
komputerowych.
komputerowych.
•
Zakup i dystrybucja
Zakup i dystrybucja
nielegalnymi kanałami
nielegalnymi kanałami
sprzętu
sprzętu
i oprogramowania, wykorzystanie służbowego sprzętu
i oprogramowania, wykorzystanie służbowego sprzętu
do celów prywatnych, nieraz komercyjnych.
do celów prywatnych, nieraz komercyjnych.
Ludzkie błędy
i pomyłki
Bezpieczeństwo fizyczne
Nieuczciwi pracownicy
Niezadowoleni pracownicy
Złośliwe programy
Ataki zewnętrzne
Działania komputerowych
Działania komputerowych
włamywaczy w literaturze są
włamywaczy w literaturze są
oceniane jako stosunkowo mało
oceniane jako stosunkowo mało
szkodliwe.
szkodliwe.
Należy jednak pamiętać, że w
Należy jednak pamiętać, że w
przypadku systemów działających w
przypadku systemów działających w
sieci połączonych
sieci połączonych
z Internetem, w związku z jego
z Internetem, w związku z jego
rozmiarami, nawet niewielkie
rozmiarami, nawet niewielkie
prawdopodobieństwo zagrożenia
prawdopodobieństwo zagrożenia
przekładać się może na kilka bądź
przekładać się może na kilka bądź
kilkanaście prób zdalnego ataku
kilkanaście prób zdalnego ataku
dziennie.
dziennie.
Wrogie działania przeciwko
Wrogie działania przeciwko
systemom informacyjnym
systemom informacyjnym
określamy następującymi
określamy następującymi
terminami:
terminami:
•
Hacking
Hacking
–
–
przełamywanie systemów ochrony, ale
przełamywanie systemów ochrony, ale
zazwyczaj działanie to nie wyrządza większych szkód,
zazwyczaj działanie to nie wyrządza większych szkód,
•
Cracking
Cracking
–
–
przełamywanie systemów ochrony,
przełamywanie systemów ochrony,
zwykle związane
zwykle związane
z wyrządzeniem szkód,
z wyrządzeniem szkód,
•
Phreaking, dialing
Phreaking, dialing
– podszywanie się pod numer
– podszywanie się pod numer
dostępowy innego użytkownika i wykorzystanie go do
dostępowy innego użytkownika i wykorzystanie go do
własnych celów,
własnych celów,
•
Sniffing
Sniffing
–
–
podsłuchiwanie systemu przesyłania
podsłuchiwanie systemu przesyłania
informacji w celu przechwycenia haseł,
informacji w celu przechwycenia haseł,
•
Phising
Phising
–
–
fałszywe e-maile z żądaniem
fałszywe e-maile z żądaniem
potwierdzenia danych,
potwierdzenia danych,
•
Web.hijacking
Web.hijacking
–
–
przekierowywanie klienta na
przekierowywanie klienta na
strony fałszywych banków, sklepów.
strony fałszywych banków, sklepów.
Do programów destrukcyjnych,
Do programów destrukcyjnych,
które wykorzystują system bez
które wykorzystują system bez
wiedzy i zgody użytkownika
wiedzy i zgody użytkownika
zaliczamy:
zaliczamy:
•
Wirusy
Wirusy
– są to programy ukrywające się przed
– są to programy ukrywające się przed
użytkownikiem
użytkownikiem
i powielające się w systemie komputerowym przy
i powielające się w systemie komputerowym przy
wykorzystaniu mechanizmów systemu operacyjnego,
wykorzystaniu mechanizmów systemu operacyjnego,
bądź oprogramowania użytkowego.
bądź oprogramowania użytkowego.
•
Konie trojańskie
Konie trojańskie
– są to programy podejmujące w
– są to programy podejmujące w
sposób ukryty przed użytkownikiem działania w
sposób ukryty przed użytkownikiem działania w
systemie komputerowym.
systemie komputerowym.
•
Backdoor
Backdoor
– luki w programie bądź systemie
– luki w programie bądź systemie
operacyjnym, pozostawiane celowo przez programistę
operacyjnym, pozostawiane celowo przez programistę
lub wprowadzone przez wirusa bądź konia
lub wprowadzone przez wirusa bądź konia
trojańskiego, umożliwiające uzyskanie niepowołanej
trojańskiego, umożliwiające uzyskanie niepowołanej
osobie dostęp do zasobów komputera.
osobie dostęp do zasobów komputera.
•
Robaki internetowe
Robaki internetowe
– można uznać za szczególny
– można uznać za szczególny
rodzaj wirusów – do namnażania wykorzystują one
rodzaj wirusów – do namnażania wykorzystują one
mechanizmy internetowe rozsyłając się do kolejnych
mechanizmy internetowe rozsyłając się do kolejnych
nosicieli.
nosicieli.
Klasyfikacja metod zachowania
Klasyfikacja metod zachowania
bezpieczeństwa systemów
bezpieczeństwa systemów
komputerowych i informacji
komputerowych i informacji
obejmuje:
obejmuje:
zabezpieczenie fizyczne
zabezpieczenie fizyczne
zabezpieczenie techniczne
zabezpieczenie techniczne
zabezpieczenie organizacyjno -
zabezpieczenie organizacyjno -
administracyjne
administracyjne
ochronę prawną
ochronę prawną
zabezpieczenie programowe
zabezpieczenie programowe
Na zabezpieczenia fizyczne
Na zabezpieczenia fizyczne
składają się:
składają się:
•
ochrona przeciwpożarowa
ochrona przeciwpożarowa
•
ochrona przeciwwłamaniowa
ochrona przeciwwłamaniowa
•
ochrona przeciw innym katastrofom
ochrona przeciw innym katastrofom
(np. zalanie wodą)
(np. zalanie wodą)
•
kontrola dostępu do obiektu i ruchu po
kontrola dostępu do obiektu i ruchu po
nim
nim
•
wybór pomieszczeń dla systemu
wybór pomieszczeń dla systemu
komputerowego
komputerowego
•
dobór materiałów budowlanych
dobór materiałów budowlanych
•
dobór rozmieszczenia drzwi i okien
dobór rozmieszczenia drzwi i okien
w pomieszczeniach komputerowych
w pomieszczeniach komputerowych
Na zabezpieczenie techniczne
Na zabezpieczenie techniczne
systemu komputerowego składają
systemu komputerowego składają
się:
się:
•
dobór właściwej konfiguracji
dobór właściwej konfiguracji
sprzętowej komputera
sprzętowej komputera
•
dublowanie dysków twardych i ich
dublowanie dysków twardych i ich
archiwizacja
archiwizacja
•
blokowanie sprzętowe dostępu do
blokowanie sprzętowe dostępu do
klawiatury,
klawiatury,
napędów, dysków
napędów, dysków
•
urządzenia do podtrzymywania
urządzenia do podtrzymywania
zasilania
zasilania
•
klucze cyfrowe na kartach do
klucze cyfrowe na kartach do
szyfrowania
szyfrowania
i deszyfrowania
i deszyfrowania
Zabezpieczenia organizacyjno –
Zabezpieczenia organizacyjno –
administracyjne tworzą:
administracyjne tworzą:
•
pisemne instrukcje określające tryb
pisemne instrukcje określające tryb
postępowania zarówno w warunkach
postępowania zarówno w warunkach
normalnej pracy, jak
normalnej pracy, jak
i w sytuacjach wyjątkowych
i w sytuacjach wyjątkowych
•
określenie poziomu uprawnień dostępu
określenie poziomu uprawnień dostępu
•
ochrona dokumentacji dotyczącej
ochrona dokumentacji dotyczącej
sprzętu, oprogramowania itp.
sprzętu, oprogramowania itp.
•
nadzór nad pracami serwisowymi
nadzór nad pracami serwisowymi
pracowników zewnętrznych
pracowników zewnętrznych
•
rejestrowanie wszelkich awarii
rejestrowanie wszelkich awarii
•
właściwa polityka kadrowa
właściwa polityka kadrowa
•
szkolenie personelu
szkolenie personelu
Ochrona prawna obejmuje:
Ochrona prawna obejmuje:
•
zakaz kopiowania oprogramowania bez
zakaz kopiowania oprogramowania bez
zgody właściciela
zgody właściciela
•
zakaz wynoszenia oprogramowania
zakaz wynoszenia oprogramowania
będącego własnością instytucji
będącego własnością instytucji
•
prowadzenie dokumentacji
prowadzenie dokumentacji
wykorzystania licencjonowanego
wykorzystania licencjonowanego
oprogramowania
oprogramowania
Zabezpieczenia programowe:
Zabezpieczenia programowe:
•
antywirusy
antywirusy
•
odpowiednie poprawki do systemu
odpowiednie poprawki do systemu
operacyjnego – patche, service packi
operacyjnego – patche, service packi
•
Zabezpieczenia typu firewall
Zabezpieczenia typu firewall
Strategia zabezpieczeń zasobów
Strategia zabezpieczeń zasobów
informatycznych
informatycznych
Raport Orange Book opublikowany przez
Raport Orange Book opublikowany przez
Ministerstwo Obrony Stanów Zjednoczonych w
Ministerstwo Obrony Stanów Zjednoczonych w
1985 r. definiuje 4 kategorie zabezpieczeń:
1985 r. definiuje 4 kategorie zabezpieczeń:
Kategoria D – minimalna ochrona
Kategoria D – minimalna ochrona
Nie zawiera mechanizmów
Nie zawiera mechanizmów
zabezpieczających
zabezpieczających
i zapewnia minimalną ochronę. Do tej
i zapewnia minimalną ochronę. Do tej
grupy zaliczamy takie systemy jak MS
grupy zaliczamy takie systemy jak MS
Windows.
Windows.
Kategoria C – ochrona uznaniowa
Kategoria C – ochrona uznaniowa
Jest to mechanizm ochrony dostępu typu uznaniowego
Jest to mechanizm ochrony dostępu typu uznaniowego
oraz mechanizm ponownego wykorzystania obiektu.
oraz mechanizm ponownego wykorzystania obiektu.
Dostęp uznaniowy
Dostęp uznaniowy
oznacza, że to użytkownik może
oznacza, że to użytkownik może
odebrać lub nadać komuś innemu prawa dostępu do
odebrać lub nadać komuś innemu prawa dostępu do
posiadanej przez niego informacji, np. plików.
posiadanej przez niego informacji, np. plików.
Mechanizm ponownego wykorzystania
Mechanizm ponownego wykorzystania
z kolei zapewnia, że zawartość nośnika pamięci
z kolei zapewnia, że zawartość nośnika pamięci
zostanie wyczyszczona zanim zostanie na nowo
zostanie wyczyszczona zanim zostanie na nowo
przydzielona użytkownikowi. Kategoria C obejmuje
przydzielona użytkownikowi. Kategoria C obejmuje
dwie klasy:
dwie klasy:
•
Klasa C1 – zawiera mechanizmy pozwalające na nadanie
Klasa C1 – zawiera mechanizmy pozwalające na nadanie
grupie użytkowników, zależnych od gospodarza –
grupie użytkowników, zależnych od gospodarza –
właściciela systemu, uprawnień do korzystania z systemu.
właściciela systemu, uprawnień do korzystania z systemu.
•
Klasa C2 - zawiera mechanizmy identyfikacji tzw. system
Klasa C2 - zawiera mechanizmy identyfikacji tzw. system
logowania
logowania
i haseł.
i haseł.
Klasa ta jest uznawana za najniższą klasę systemów, które
Klasa ta jest uznawana za najniższą klasę systemów, które
mogą być wykorzystane do przetwarzania informacji o
mogą być wykorzystane do przetwarzania informacji o
zwiększonych wymogach bezpieczeństwa.
zwiększonych wymogach bezpieczeństwa.
Kategoria B – ochrona narzucona
Kategoria B – ochrona narzucona
Kategoria ta wymaga bezpieczeństwa
Kategoria ta wymaga bezpieczeństwa
wielopoziomowego realizowanego za pomocą dostępu
wielopoziomowego realizowanego za pomocą dostępu
narzuconego. Dostęp narzucony oznacza, że
narzuconego. Dostęp narzucony oznacza, że
nadawanie praw dostępu jest powierzone systemowi
nadawanie praw dostępu jest powierzone systemowi
i wynika z realizowanej przez niego polityki. System
i wynika z realizowanej przez niego polityki. System
przydziela każdemu użytkownikowi etykietę poziomu
przydziela każdemu użytkownikowi etykietę poziomu
zaufania. Etykieta ta określa poziom zaufania, który
zaufania. Etykieta ta określa poziom zaufania, który
musi mieć użytkownik, aby miał dostęp do pliku.
musi mieć użytkownik, aby miał dostęp do pliku.
Wyróżnia się następujące poziomy zaufania: tylko
Wyróżnia się następujące poziomy zaufania: tylko
zarząd, tylko kierownictwo, do użytku w firmie,
zarząd, tylko kierownictwo, do użytku w firmie,
ogólnie dostępne. Kategoria ta obejmuje 3 klasy:
ogólnie dostępne. Kategoria ta obejmuje 3 klasy:
•
Klasa B1 – jest to poziom C1 poszerzony o mechanizmy
Klasa B1 – jest to poziom C1 poszerzony o mechanizmy
dostępu narzuconego
dostępu narzuconego
•
Klasa B2 – jest to poziom C2 poszerzony o mechanizmy
Klasa B2 – jest to poziom C2 poszerzony o mechanizmy
dostępu narzuconego
dostępu narzuconego
•
Klasa B3 – w której wprowadzono warunek monitorowania
Klasa B3 – w której wprowadzono warunek monitorowania
i ostrzegania na bieżąco o wyśledzonych zdarzeniach
i ostrzegania na bieżąco o wyśledzonych zdarzeniach
naruszających bezpieczeństwo.
naruszających bezpieczeństwo.
Kategoria A – ochrona
Kategoria A – ochrona
zweryfikowana
zweryfikowana
Posiada funkcje zbliżone do poziomu B3.
Posiada funkcje zbliżone do poziomu B3.
Wyróżniającą cechą systemów klasy A1
Wyróżniającą cechą systemów klasy A1
jest formalna specyfikacja projektu
jest formalna specyfikacja projektu
zabezpieczeń i formalny model polityki
zabezpieczeń i formalny model polityki
zabezpieczeń. Dla systemów tej klasy
zabezpieczeń. Dla systemów tej klasy
formułuje się wymagania, że formalny
formułuje się wymagania, że formalny
model polityki zabezpieczeń musi być
model polityki zabezpieczeń musi być
wyraźnie określony
wyraźnie określony
i udokumentowany, z podaniem
i udokumentowany, z podaniem
matematycznego dowodu, że taki model
matematycznego dowodu, że taki model
jest zgody ze swoimi założeniami i jest
jest zgody ze swoimi założeniami i jest
zadowalający dla wspomagania polityki
zadowalający dla wspomagania polityki
zabezpieczeń.
zabezpieczeń.
Warunkiem uznania systemu
Warunkiem uznania systemu
informacyjnego za bezpieczny jest
informacyjnego za bezpieczny jest
spełnienie poniższych kryteriów:
spełnienie poniższych kryteriów:
•
poufności
poufności
–
–
co oznacza ochronę przed ujawnieniem
co oznacza ochronę przed ujawnieniem
informacji nieuprawnionemu odbiorcy
informacji nieuprawnionemu odbiorcy
•
integralności
integralności
–
–
co określa ochronę przed
co określa ochronę przed
modyfikacją lub zniekształceniem aktywów
modyfikacją lub zniekształceniem aktywów
informacyjnych przez osobę nieuprawnioną.
informacyjnych przez osobę nieuprawnioną.
•
dostępności
dostępności
–
–
co ustala gwarancję uprawnia dostępu
co ustala gwarancję uprawnia dostępu
do informacji przy zachowaniu określonych rygorów
do informacji przy zachowaniu określonych rygorów
czasowych
czasowych
•
rozliczalności
rozliczalności
–
–
co jest właściwością zapewniającą,
co jest właściwością zapewniającą,
że działania podmiotu mogą być przypisane w sposób
że działania podmiotu mogą być przypisane w sposób
jednoznaczny tylko jednemu podmiotowi
jednoznaczny tylko jednemu podmiotowi
•
autentyczności
autentyczności
–
–
co określa weryfikację tożsamości
co określa weryfikację tożsamości
podmiotów
podmiotów
i prawdziwość aktywów systemu informacyjnego
i prawdziwość aktywów systemu informacyjnego
•
niezawodności
niezawodności
–
–
co oznacza gwarancję
co oznacza gwarancję
odpowiedniego zachowania się systemu informacyjnego
odpowiedniego zachowania się systemu informacyjnego
i otrzymanych plików.
i otrzymanych plików.
Organizacje powinny kontrolować
Organizacje powinny kontrolować
dostęp do zasobów w oparciu o
dostęp do zasobów w oparciu o
następujące kryteria dostępu:
następujące kryteria dostępu:
•
tożsamość użytkownika
tożsamość użytkownika
–
–
dostęp w oparciu o
dostęp w oparciu o
identyfikator pojedynczego użytkownika, grupowy lub
identyfikator pojedynczego użytkownika, grupowy lub
anonimowy
anonimowy
•
role użytkowników
role użytkowników
–
–
dostęp do informacji ustalany
dostęp do informacji ustalany
na podstawie przydziału funkcji i zadań poszczególnym
na podstawie przydziału funkcji i zadań poszczególnym
użytkownikom.
użytkownikom.
•
lokalizacja zasobu
lokalizacja zasobu
–
–
np. pracownicy danej komórki
np. pracownicy danej komórki
mają większy dostęp niż osoby z otoczenia tej komórki
mają większy dostęp niż osoby z otoczenia tej komórki
•
czas
czas
–
–
dostęp do zbiorów krytycznych w wyznaczonym
dostęp do zbiorów krytycznych w wyznaczonym
terminie
terminie
i przedziale czasowym
i przedziale czasowym
•
transakcje
transakcje
–
–
dostęp do przydzielonych użytkownikom
dostęp do przydzielonych użytkownikom
zasobów informacji.
zasobów informacji.
Polityka zabezpieczeń zasobów
Polityka zabezpieczeń zasobów
Polityka zabezpieczeń zasobów
Polityka zabezpieczeń zasobów
obejmuje zespół reguł, których
obejmuje zespół reguł, których
powinni przestrzegać użytkownicy,
powinni przestrzegać użytkownicy,
aby zachować integralność systemu i
aby zachować integralność systemu i
danych.
danych.
Polityka bezpieczeństwa to plan lub
Polityka bezpieczeństwa to plan lub
sposób działania przyjęty w celu
sposób działania przyjęty w celu
zapewnienia bezpieczeństwa
zapewnienia bezpieczeństwa
systemów i ochrony danych.
systemów i ochrony danych.
Zasada racjonalności ochrony określa,
Zasada racjonalności ochrony określa,
że nakłady na ochronę ze względów
że nakłady na ochronę ze względów
ekonomicznych
ekonomicznych
nie powinny znacznie przewyższać
nie powinny znacznie przewyższać
wartości chronionej informacji i
wartości chronionej informacji i
zasobów informatycznych.
zasobów informatycznych.
Ochrona informacji i systemu
Ochrona informacji i systemu
informatycznego jest koniecznym
informatycznego jest koniecznym
zadaniem zarówno osób
zadaniem zarówno osób
odpowiedzialnych za jego
odpowiedzialnych za jego
funkcjonowanie,
funkcjonowanie,
jak i menedżerów zarządzających
jak i menedżerów zarządzających
całością przedsiębiorstwa.
całością przedsiębiorstwa.
DZIĘKUJEMY
ZA UWAGĘ
Weronika Bodziak
Tamara Fraj