BAZY DANYCH  

dr inż. Teresa M. Ostrowska 

 

Materiały

 

do

 

użytku

 

wewnętrznego - 2011 

Bezpieczeństwo  i ochrona zasobów informacyjnych 

PROGRAM WYKŁADU  

Wprowadzenie 

Zagrożenia 

Standardy bezpieczeństwa 

Polityka bezpieczeństwa informacji   

Kategorie zabezpieczeń w systemach informacyjnych 

Przykłady zabezpieczeń 

Pytania do wykładu  

1 

2 

3 

4 

5 

6 

7 

WPROWADZENIE 

  Informacja (zasoby informacyjne?) 

(PN-ISO/IEC 17799. Technika informatyczna. Praktyczne zasady 
zarządzania bezpieczeństwem informacji) 

  

Bezpieczeństwo informacji to zachowanie: 



  

integralności

 

– zapewnienie dokładności i kompletności 

informacji (

autentyczność)

 

oraz metod jej przetwarzania 



  

poufności

 - 

zapewnienie dostępu do informacji tylko osobom 

upoważnionym 



  

dostępności

 - 

zapewnienie, że osoby upoważnione mają 

dostęp do informacji  wtedy, gdy jest to potrzebne 

Informacja jest aktywem,  
który, podobnie jak inne ważne aktywa biznesowe 
ma dla instytucji wartość  
i dlatego musi być odpowiednio chroniona. 

ZAGROŻENIA – kategoryzacja 1 

  

zamierzone

 (

zagrożeniem jest czynnik ludzki):  



  

zewnętrzne

 

(włamania  poprzez  sieć,  podsłuch  łączy 

telekomunikacyjnych, 

kradzież  lub  zniszczenie  nośników 

informacji, atak terrorystyczny) 



  

wewnętrzne

 

(kradzież  lub  zniszczenie  nośników  informacji, 

modyfikacja lub zniszczenie zapisu, przekazanie informacji. . .) 

  

losowe 



  

zewnętrzne

 

(powódź, 

trzęsienie 

ziemi, 

wyładowania 

atmosferyczne, awarie zasilania, 

…) 



  

wewnętrzne

 

(pożar,  wibracje,  kurz,  wilgoć,  awarie  instalacji 

wewnętrznych, śmierć lub choroba osób odpowiedzialnych  za 
informację) 

ZAGROŻENIA – kategoryzacja 2 

  

zagrożenia ludzkie 

popełnione błędy, choroba, utrata kluczowych pracowników, 
manipulacja danymi wejściowymi lub wynikami, fałszerstwo 
dokumentów, haking, sabotaż i niszczenie danych, szpiegostwo 
przemysłowe, atak terrorystyczny 

  

zagrożenia środowiskowe 

woda, 

ogień,  kurz  i  brud,  wibracje,  różnice  temperatur,  fale 

elektromagnetyczne, 

wyładowania  atmosferyczne,  wilgoć, 

insekty  i  gryzonie,  eksplozje,  dym, 

zakłócenia  elektryczne  i 

awarie  zasilania, 

długotrwała  utrata  mediów,  awaria  łączy 

telekomunikacyjnych 

  

zagrożenia ze strony programów komputerowych 

manipulacja 

programem, 

bomba 

pocztowa, 

programy 

skanujące,  wirusy,  robaki,  spam  (65%-70%  przesyłanych 
wiadomości) 

EWOLUCJA STANDARDÓW 

BEZPIECZEŃSTWA 

Doradztwo Gospodarcze DGA S.A., Bezpieczeństwo informacji – Biuletyn tematyczny 1/2005 

SERIA STANDARDÓW ISO/IEC 27000

  



  ISO/IEC 27000 - terminologia, podstawowe modele  



  ISO/IEC 27001 (BS 7799-2) specyfikacja 

systemów zarządzania 

bezpieczeństwem informacji na zgodność z którą będą wydawane 
certyfikaty 



  

ISO/IEC 27002 (BS 7799-1, PN-ISO 17799) - praktyczne zasady 

zarządzania bezpieczeństwem informacji 



  ISO/IEC 27003 - 

porady i wskazówki dotyczące implementacji 

systemu zarządzania bezpieczeństwem informacji 



  ISO/IEC 27004 - 

system zarządzania bezpieczeństwem 

informacji, wskaźniki i pomiar  



  ISO/IEC 27005 (obecnie BS 7799-3) - 

zarządzanie ryzykiem 

bezpieczeństwa informacji  

WYJAŚNIENIA 



   

ISO - International Organization for Standarization  



  IEC 

– International Electrotechnical Commision 

–   

Międzynarodowa Organizacja Normalizacyjna

  

STANDARD ISO/IEC 17799 

   

Technika Informatyczna. Praktyczne zasady 

Zarządzania Bezpieczeństwem Informacji - zawartość: 



  

polityka bezpieczeństwa 



  

organizacja bezpieczeństwa 



  

klasyfikacja i kontrola aktywów 



  

bezpieczeństwo osobowe 



  

bezpieczeństwo fizyczne i środowiskowe 



  

kontrola dostępu do systemu 



  

rozwój i utrzymanie systemu 



  

zarządzanie ciągłością działania  



  

zgodność z przepisami prawa, polityką bezpieczeństwa, 

audyty 

POLITYKA BEZPIECZEŃSTWA

 

INFORMACJI 



   

cel polityki bezpieczeństwa informacji  

stworzenie podstaw dla określenia metod zarządzania, procedur i 
wymagań niezbędnych dla zapewnienia ochrony informacji 

 



  Dokument Polityki

 

Bezpieczeństwa

 

Informacji

  

podstawowy dokument w organizacji zawierający: 

   

definicje podstawowych celów bezpieczeństwa 

   

specyfikację zasad bezpieczeństwa informacyjnego 

   

definicje infrastruktury organizacyjnej bezpieczeństwa 

 

   

dokument powinien zostać zatwierdzony przez kierownictwo, 

opublikowany i udostępniony pracownikom oraz stanowić podstawę 
do budowy systemu bezpieczeństwa informacji, jego wdrożenia, 
eksploatacji i modyfikacji 
 
   

Polityka Bezpieczeństwa Informacji musi uwzględniać specyfikę 

organizacji, odnoszące się do niej standardy i 

akty prawne w 

zakresie bezpieczeństwa informacji  

PRZYKŁADOWE AKTY PRAWNE 



   Konstytucja RP 



   ustawa o ochronie danych osobowych 

(Dz.U. 2002 Nr 101, poz. 926) 



   

rozporządzenie w sprawie dokumentacji przetwarzania danych 

osobowych oraz warunków technicznych i organizacyjnych, jakim 
powinny odpowiadać urządzenia i systemy informatyczne służące do 
przetwarzania danych osobowych 

(Dz.U. 2004 Nr 100, poz. 1024) 



   

rozporządzenie w sprawie podstawowych wymagań bezpieczeństwa 

teleinformatycznego 

(Dz.U. 2005 Nr 171, poz. 1433) 



   

ustawa o informatyzacji działalności podmiotów realizujących 

zadania publiczne 

(Dz.U. 2005 Nr 64, poz. 565) 



   

ustawa o dostępie do informacji publicznej 

(Dz.U. 2002 Nr 130, poz. 1450) 



   ustawa o podpisie elektronicznym 

(Dz.U. 2001 Nr 112, poz. 1198) 



   

rozporządzenie w sprawie warunków organizacyjno-technicznych 

doręczania dokumentów elektronicznych podmiotom publicznym 

(Dz.U. 

2005 Nr 200, poz. 1651) 

BEZPIECZEŃSTWO FIZYCZNE I 

ŚRODOWISKOWE 

KATEGORIE  ZABEZPIECZEŃ 

w SYSTEMACH INFORMACYJNYCH 

a)    zabezpieczenia organizacyjne 

b)    zabezpieczenia administracyjne  

c)    zabezpieczenia fizyczne 

d)    zabezpieczenia prawne 

e)    zabezpieczenia programowe  

f)    zabezpieczenia w sieciach  

g)    

zabezpieczenia w systemach zarządzania 

bazami danych 

 

PRZYKŁADY ZABEZPIECZEŃ 



   

zatrudnianie zaufanych ludzi 



  

wydzielenie obszarów chronionych 



  

ograniczenie wymiany dokumentów 



  regulaminy i procedury pracy 



  

ograniczenie ryzyka błędu ludzkiego 



  

zapewnienie ciągłości działania systemów informacyjnych 



  

właściwa jakość cyklu życia oprogramowania 



  sterowanie procesami  



  

zarządzanie dostępem do pomieszczeń i obiektów 



  administrowanie systemem informatycznym  (kopie, dzienniki  

    

zdarzeń, zarządzanie hasłami) 



  kontrola zainstalowanego i wykorzystywanego oprogramowania 



  audyty,   certyfikaty 

a)  

zabezpieczenia organizacyjne

  

b)

 

zabezpieczenia

 

administracyjne 

 PRZYKŁADY ZABEZPIECZEŃ 



  

zabezpieczanie pomieszczeń 



  

właściwe przygotowanie obszarów chronionych 



  wydzielenie stref ochronnych, monitoring 



  alarmy 



  

wycofywanie i niszczenie podzespołów komputerowych 



  

zabezpieczenie źródeł zasilania (UPS - 

Uninterraptible Power Supply

 

) 



  

sprzęt zapasowy 



  zabezpieczenia zintegrowane: zasilacze awaryjne, systemy 

chłodzenia, monitoring parametrów środowiska, oprogramowanie 
do planowania i zarządzania centrum danych i/oraz generatory 
prądu 



  zabezpieczenie sieci transmisyjnych 



  

zabezpieczenie źródeł emisji elektromagnetycznej , . . .  

c)   

zabezpieczenia fizyczne

 

(bezpieczeństwo fizyczne  

     

i środowiskowe)  

d)   

zabezpieczenia prawne 

PRZYKŁADY ZABEZPIECZEŃ 



  

kontrola dostępu  

–   

identyfikacja użytkownika, logowanie 

–     uwierzytelnianie: hasło, procedury  uwierzytelniające, zadawanie 
osobistych pytań, identyfikacja fizycznych atrybutów (klucz, karta 
identyfikacyjna, żetony), 

metody biometryczne (oparte są na odczycie 

osobistych cech użytkownika: głos, linie papilarne, obraz źrenicy oka, 
podpis, itp. i ich uwierzytelnieniu przez porównanie z wcześniej 
zapisanym wzorcem)

, 



  zabezpieczenia antywirusowe 



  firewall 



  

kopiowanie danych (backup), archiwizacja (większość na 

streamerach) 



  

monitorowanie zasobów teleinformatycznych , zastosowanie 

narzędzi kryptograficznych  



  elektroniczny podpis 

 

e)   

zabezpieczenia programowe

   

PRZYKŁADY ZABEZPIECZEŃ 

  

weryfikacja uprawnień 

projekt uprawnień:   



  

lista wszystkich działań podejmowanych w bazie danych, które 

mają być kontrolowane przez zabezpieczenia, 



  

lista użytkowników indywidualnych, lista grup użytkowników 



  

zdefiniowanie uprawnień użytkowników  -  do których danych 

użytkownicy mają dostęp i jakie działania mogą na nich wykonywać 

  

użycie hasła 

  

szyfrowanie danych 

  

ukrywanie obiektów 

  

użycie właściwych opcji startowych i formularzy 

komunikacyjnych 

g)

  

zabezpieczenia  w  systemach zarządzania bazami  danych 

PRZYKŁADY ZABEZPIECZEŃ 

  

usunięcie kodu źródłowego 

  

mechanizm transakcji 

  

tworzenie kopii bazy danych 



 

przy tworzeniu kopii należy uwzględnić: 

-  

częstotliwość wykonywania kopii  

-  

rodzaj nośnika i miejsce jego przechowywania  

-  liczba ostatnio wykonanych kopii 



 rodzaj kopii

  

-  

pełna kopia zapasowa bazy danych  

-  

kopia różnicowa  

-  kopia rejestru transakcji 

g)

  

zabezpieczenia  w  systemach zarządzania bazami danych, 

 cd. 

PYTANIA

  

DO

  

WYKŁADU  



Jak rozumiane jest bezpieczeństwo informacji 



Klasyfikacja zagrożeń i przykłady zagrożeń 



Czym jest polityka bezpieczeństwa informacji, 
jakie są jej elementy 



Kategorie i przykłady zabezpieczeń zasobów 
informacyjnych w systemach informacyjnych  



Wymień i scharakteryzuj przykładowe 
zabezpieczenia w systemach zarządzania 
bazami danych