Ochrona

Ochrona

zasobów

zasobów

informatyczny

informatyczny

ch

ch

Zasób

Zasób

–

–

wszystko to, co jest potrzebne do

wszystko to, co jest potrzebne do

wytworzenia

wytworzenia

wyrobu lub usługi, a czego brak spowodowałby

wyrobu lub usługi, a czego brak spowodowałby

niewykonanie planu

niewykonanie planu

Zabezpieczenie

Zabezpieczenie

zasobów informatycznych

zasobów informatycznych

obejmuje

obejmuje

zarówno ochronę systemów komputerowych, ludzi

zarówno ochronę systemów komputerowych, ludzi

i oprogramowania, jak i informacji przed celowymi

i oprogramowania, jak i informacji przed celowymi

lub przypadkowymi zniszczeniami.

lub przypadkowymi zniszczeniami.

 

 

Zagrożenia

Zagrożenia

są zdarzeniami lub przyczynami

są zdarzeniami lub przyczynami

zdarzeń

zdarzeń

powodującymi straty finansowe podczas budowy

powodującymi straty finansowe podczas budowy

i eksploatacji systemu informacyjnego.

i eksploatacji systemu informacyjnego.

 

 

Pojęcie zabezpieczenia i zagrożenia

Pojęcie zabezpieczenia i zagrożenia

W zależności od czynnika który

W zależności od czynnika który

wywołuje zagrożenia możemy je

wywołuje zagrożenia możemy je

podzielić na:

podzielić na:

 

•

Losowe zewnętrzne

Losowe zewnętrzne

– jak np.: wpływ

– jak np.: wpływ

temperatury, wilgoci, wyładowania

temperatury, wilgoci, wyładowania

atmosferyczne, awarie systemu zasilania,

atmosferyczne, awarie systemu zasilania,

instalacji wodociągowej, katastrofy budowlane,

instalacji wodociągowej, katastrofy budowlane,

kataklizmy, zamieszki zbrojne itp.

kataklizmy, zamieszki zbrojne itp.

•

Losowe wewnętrzne

Losowe wewnętrzne

–

–

jak np.: błędy

jak np.: błędy

użytkowników, przypadkowe zagubienia lub

użytkowników, przypadkowe zagubienia lub

zniszczenia danych spowodowane

zniszczenia danych spowodowane

lekkomyślnością lub przeciążeniem pracą

lekkomyślnością lub przeciążeniem pracą

personelu, błędy administratora, wadliwa

personelu, błędy administratora, wadliwa

konfiguracja systemu, defekty sprzętu i

konfiguracja systemu, defekty sprzętu i

oprogramowania.

oprogramowania.

Intencjonalne:

Intencjonalne:

•

Pasywne

Pasywne

– monitorowanie sieci dla przejęcia haseł,

– monitorowanie sieci dla przejęcia haseł,

danych, prywatnych wiadomości, podgląd, analiza

danych, prywatnych wiadomości, podgląd, analiza

ruchu w sieci.

ruchu w sieci.

•

Aktywne

Aktywne

– bezprawna modyfikacja, ujawnienie i

– bezprawna modyfikacja, ujawnienie i

usuwanie informacji, modyfikacja programów i

usuwanie informacji, modyfikacja programów i

informacji przy pomocy konia trojańskiego, wirusa i

informacji przy pomocy konia trojańskiego, wirusa i

robaka komputerowego itp., oszustwa bankomatowe,

robaka komputerowego itp., oszustwa bankomatowe,

fałszowanie urządzeń wejścia lub wyjścia (np. kart

fałszowanie urządzeń wejścia lub wyjścia (np. kart

magnetycznych lub mikroprocesorowych), oszustwa w

magnetycznych lub mikroprocesorowych), oszustwa w

systemach sprzedaży, powielania programów

systemach sprzedaży, powielania programów

komputerowych.

komputerowych.

•

Zakup i dystrybucja

Zakup i dystrybucja

nielegalnymi kanałami

nielegalnymi kanałami

sprzętu

sprzętu

i oprogramowania, wykorzystanie służbowego sprzętu

i oprogramowania, wykorzystanie służbowego sprzętu

do celów prywatnych, nieraz komercyjnych.

do celów prywatnych, nieraz komercyjnych.

 

Ludzkie błędy

i pomyłki

Bezpieczeństwo fizyczne

Nieuczciwi pracownicy

Niezadowoleni pracownicy

Złośliwe programy

Ataki zewnętrzne

 

Działania komputerowych

Działania komputerowych

włamywaczy w literaturze są

włamywaczy w literaturze są

oceniane jako stosunkowo mało

oceniane jako stosunkowo mało

szkodliwe.

szkodliwe.

Należy jednak pamiętać, że w

Należy jednak pamiętać, że w

przypadku systemów działających w

przypadku systemów działających w

sieci połączonych

sieci połączonych

z Internetem, w związku z jego

z Internetem, w związku z jego

rozmiarami, nawet niewielkie

rozmiarami, nawet niewielkie

prawdopodobieństwo zagrożenia

prawdopodobieństwo zagrożenia

przekładać się może na kilka bądź

przekładać się może na kilka bądź

kilkanaście prób zdalnego ataku

kilkanaście prób zdalnego ataku

dziennie.

dziennie.

 

Wrogie działania przeciwko

Wrogie działania przeciwko

systemom informacyjnym

systemom informacyjnym

określamy następującymi

określamy następującymi

terminami:

terminami:

•

Hacking

Hacking

–

–

przełamywanie systemów ochrony, ale

przełamywanie systemów ochrony, ale

zazwyczaj działanie to nie wyrządza większych szkód,

zazwyczaj działanie to nie wyrządza większych szkód,

•

Cracking

Cracking

–

–

przełamywanie systemów ochrony,

przełamywanie systemów ochrony,

zwykle związane

zwykle związane

z wyrządzeniem szkód,

z wyrządzeniem szkód,

•

Phreaking, dialing

Phreaking, dialing

– podszywanie się pod numer

– podszywanie się pod numer

dostępowy innego użytkownika i wykorzystanie go do

dostępowy innego użytkownika i wykorzystanie go do

własnych celów,

własnych celów,

•

Sniffing

Sniffing

–

–

podsłuchiwanie systemu przesyłania

podsłuchiwanie systemu przesyłania

informacji w celu przechwycenia haseł,

informacji w celu przechwycenia haseł,

•

Phising

Phising

–

–

fałszywe e-maile z żądaniem

fałszywe e-maile z żądaniem

potwierdzenia danych,

potwierdzenia danych,

•

Web.hijacking

Web.hijacking

–

–

przekierowywanie klienta na

przekierowywanie klienta na

strony fałszywych banków, sklepów.

strony fałszywych banków, sklepów.

Do programów destrukcyjnych,

Do programów destrukcyjnych,

które wykorzystują system bez

które wykorzystują system bez

wiedzy i zgody użytkownika

wiedzy i zgody użytkownika

zaliczamy:

zaliczamy:

•

Wirusy

Wirusy

– są to programy ukrywające się przed

– są to programy ukrywające się przed

użytkownikiem

użytkownikiem

i powielające się w systemie komputerowym przy

i powielające się w systemie komputerowym przy

wykorzystaniu mechanizmów systemu operacyjnego,

wykorzystaniu mechanizmów systemu operacyjnego,

bądź oprogramowania użytkowego.

bądź oprogramowania użytkowego.

•

Konie trojańskie

Konie trojańskie

– są to programy podejmujące w

– są to programy podejmujące w

sposób ukryty przed użytkownikiem działania w

sposób ukryty przed użytkownikiem działania w

systemie komputerowym.

systemie komputerowym.

•

Backdoor

Backdoor

– luki w programie bądź systemie

– luki w programie bądź systemie

operacyjnym, pozostawiane celowo przez programistę

operacyjnym, pozostawiane celowo przez programistę

lub wprowadzone przez wirusa bądź konia

lub wprowadzone przez wirusa bądź konia

trojańskiego, umożliwiające uzyskanie niepowołanej

trojańskiego, umożliwiające uzyskanie niepowołanej

osobie dostęp do zasobów komputera.

osobie dostęp do zasobów komputera.

•

Robaki internetowe

Robaki internetowe

– można uznać za szczególny

– można uznać za szczególny

rodzaj wirusów – do namnażania wykorzystują one

rodzaj wirusów – do namnażania wykorzystują one

mechanizmy internetowe rozsyłając się do kolejnych

mechanizmy internetowe rozsyłając się do kolejnych

nosicieli.

nosicieli.

 

Klasyfikacja metod zachowania

Klasyfikacja metod zachowania

bezpieczeństwa systemów

bezpieczeństwa systemów

komputerowych i informacji

komputerowych i informacji

obejmuje:

obejmuje:

zabezpieczenie fizyczne

zabezpieczenie fizyczne

zabezpieczenie techniczne

zabezpieczenie techniczne

zabezpieczenie organizacyjno -

zabezpieczenie organizacyjno -

administracyjne

administracyjne

ochronę prawną

ochronę prawną

zabezpieczenie programowe

zabezpieczenie programowe

 

Na zabezpieczenia fizyczne

Na zabezpieczenia fizyczne

składają się:

składają się:

 

•

ochrona przeciwpożarowa

ochrona przeciwpożarowa

•

ochrona przeciwwłamaniowa

ochrona przeciwwłamaniowa

•

ochrona przeciw innym katastrofom

ochrona przeciw innym katastrofom

(np. zalanie wodą)

(np. zalanie wodą)

•

kontrola dostępu do obiektu i ruchu po

kontrola dostępu do obiektu i ruchu po

nim

nim

•

wybór pomieszczeń dla systemu

wybór pomieszczeń dla systemu

komputerowego

komputerowego

•

dobór materiałów budowlanych

dobór materiałów budowlanych

•

dobór rozmieszczenia drzwi i okien

dobór rozmieszczenia drzwi i okien

w pomieszczeniach komputerowych

w pomieszczeniach komputerowych

Na zabezpieczenie techniczne

Na zabezpieczenie techniczne

systemu komputerowego składają

systemu komputerowego składają

się:

się:

•

dobór właściwej konfiguracji

dobór właściwej konfiguracji

sprzętowej komputera

sprzętowej komputera

•

dublowanie dysków twardych i ich

dublowanie dysków twardych i ich

archiwizacja

archiwizacja

•

blokowanie sprzętowe dostępu do

blokowanie sprzętowe dostępu do

klawiatury,

klawiatury,

napędów, dysków

napędów, dysków

•

urządzenia do podtrzymywania

urządzenia do podtrzymywania

zasilania

zasilania

•

klucze cyfrowe na kartach do

klucze cyfrowe na kartach do

szyfrowania

szyfrowania

i deszyfrowania

i deszyfrowania

Zabezpieczenia organizacyjno –

Zabezpieczenia organizacyjno –

administracyjne tworzą:

administracyjne tworzą:

•

pisemne instrukcje określające tryb

pisemne instrukcje określające tryb

postępowania zarówno w warunkach

postępowania zarówno w warunkach

normalnej pracy, jak

normalnej pracy, jak

i w sytuacjach wyjątkowych

i w sytuacjach wyjątkowych

•

określenie poziomu uprawnień dostępu

określenie poziomu uprawnień dostępu

•

ochrona dokumentacji dotyczącej

ochrona dokumentacji dotyczącej

sprzętu, oprogramowania itp.

sprzętu, oprogramowania itp.

•

nadzór nad pracami serwisowymi

nadzór nad pracami serwisowymi

pracowników zewnętrznych

pracowników zewnętrznych

•

rejestrowanie wszelkich awarii

rejestrowanie wszelkich awarii

•

właściwa polityka kadrowa

właściwa polityka kadrowa

•

szkolenie personelu

szkolenie personelu

 

Ochrona prawna obejmuje:

Ochrona prawna obejmuje:

•

zakaz kopiowania oprogramowania bez

zakaz kopiowania oprogramowania bez

zgody właściciela

zgody właściciela

•

zakaz wynoszenia oprogramowania

zakaz wynoszenia oprogramowania

będącego własnością instytucji

będącego własnością instytucji

•

prowadzenie dokumentacji

prowadzenie dokumentacji

wykorzystania licencjonowanego

wykorzystania licencjonowanego

oprogramowania

oprogramowania

Zabezpieczenia programowe:

Zabezpieczenia programowe:

•

antywirusy

antywirusy

•

odpowiednie poprawki do systemu

odpowiednie poprawki do systemu

operacyjnego – patche, service packi

operacyjnego – patche, service packi

•

Zabezpieczenia typu firewall

Zabezpieczenia typu firewall

Strategia zabezpieczeń zasobów

Strategia zabezpieczeń zasobów

informatycznych

informatycznych

Raport Orange Book opublikowany przez

Raport Orange Book opublikowany przez

Ministerstwo Obrony Stanów Zjednoczonych w

Ministerstwo Obrony Stanów Zjednoczonych w

1985 r. definiuje 4 kategorie zabezpieczeń:

1985 r. definiuje 4 kategorie zabezpieczeń:

 

Kategoria D – minimalna ochrona

Kategoria D – minimalna ochrona

Nie zawiera mechanizmów

Nie zawiera mechanizmów

zabezpieczających

zabezpieczających

i zapewnia minimalną ochronę. Do tej

i zapewnia minimalną ochronę. Do tej

grupy zaliczamy takie systemy jak MS

grupy zaliczamy takie systemy jak MS

Windows.

Windows.

 

Kategoria C – ochrona uznaniowa

Kategoria C – ochrona uznaniowa

Jest to mechanizm ochrony dostępu typu uznaniowego

Jest to mechanizm ochrony dostępu typu uznaniowego

oraz mechanizm ponownego wykorzystania obiektu.

oraz mechanizm ponownego wykorzystania obiektu.

Dostęp uznaniowy

Dostęp uznaniowy

oznacza, że to użytkownik może

oznacza, że to użytkownik może

odebrać lub nadać komuś innemu prawa dostępu do

odebrać lub nadać komuś innemu prawa dostępu do

posiadanej przez niego informacji, np. plików.

posiadanej przez niego informacji, np. plików.

Mechanizm ponownego wykorzystania

Mechanizm ponownego wykorzystania

z kolei zapewnia, że zawartość nośnika pamięci

z kolei zapewnia, że zawartość nośnika pamięci

zostanie wyczyszczona zanim zostanie na nowo

zostanie wyczyszczona zanim zostanie na nowo

przydzielona użytkownikowi. Kategoria C obejmuje

przydzielona użytkownikowi. Kategoria C obejmuje

dwie klasy:

dwie klasy:

•

 

 

Klasa C1 – zawiera mechanizmy pozwalające na nadanie

Klasa C1 – zawiera mechanizmy pozwalające na nadanie

grupie użytkowników, zależnych od gospodarza –

grupie użytkowników, zależnych od gospodarza –

właściciela systemu, uprawnień do korzystania z systemu.

właściciela systemu, uprawnień do korzystania z systemu.

•

Klasa C2 - zawiera mechanizmy identyfikacji tzw. system

Klasa C2 - zawiera mechanizmy identyfikacji tzw. system

logowania

logowania

i haseł.

i haseł.

Klasa ta jest uznawana za najniższą klasę systemów, które

Klasa ta jest uznawana za najniższą klasę systemów, które

mogą być wykorzystane do przetwarzania informacji o

mogą być wykorzystane do przetwarzania informacji o

zwiększonych wymogach bezpieczeństwa.

zwiększonych wymogach bezpieczeństwa.

 

Kategoria B – ochrona narzucona

Kategoria B – ochrona narzucona

Kategoria ta wymaga bezpieczeństwa

Kategoria ta wymaga bezpieczeństwa

wielopoziomowego realizowanego za pomocą dostępu

wielopoziomowego realizowanego za pomocą dostępu

narzuconego. Dostęp narzucony oznacza, że

narzuconego. Dostęp narzucony oznacza, że

nadawanie praw dostępu jest powierzone systemowi

nadawanie praw dostępu jest powierzone systemowi

i wynika z realizowanej przez niego polityki. System

i wynika z realizowanej przez niego polityki. System

przydziela każdemu użytkownikowi etykietę poziomu

przydziela każdemu użytkownikowi etykietę poziomu

zaufania. Etykieta ta określa poziom zaufania, który

zaufania. Etykieta ta określa poziom zaufania, który

musi mieć użytkownik, aby miał dostęp do pliku.

musi mieć użytkownik, aby miał dostęp do pliku.

Wyróżnia się następujące poziomy zaufania: tylko

Wyróżnia się następujące poziomy zaufania: tylko

zarząd, tylko kierownictwo, do użytku w firmie,

zarząd, tylko kierownictwo, do użytku w firmie,

ogólnie dostępne. Kategoria ta obejmuje 3 klasy:

ogólnie dostępne. Kategoria ta obejmuje 3 klasy:

•

Klasa B1 – jest to poziom C1 poszerzony o mechanizmy

Klasa B1 – jest to poziom C1 poszerzony o mechanizmy

dostępu narzuconego

dostępu narzuconego

•

Klasa B2 – jest to poziom C2 poszerzony o mechanizmy

Klasa B2 – jest to poziom C2 poszerzony o mechanizmy

dostępu narzuconego

dostępu narzuconego

•

Klasa B3 – w której wprowadzono warunek monitorowania

Klasa B3 – w której wprowadzono warunek monitorowania

i ostrzegania na bieżąco o wyśledzonych zdarzeniach

i ostrzegania na bieżąco o wyśledzonych zdarzeniach

naruszających bezpieczeństwo.

naruszających bezpieczeństwo.

Kategoria A – ochrona

Kategoria A – ochrona

zweryfikowana

zweryfikowana

Posiada funkcje zbliżone do poziomu B3.

Posiada funkcje zbliżone do poziomu B3.

Wyróżniającą cechą systemów klasy A1

Wyróżniającą cechą systemów klasy A1

jest formalna specyfikacja projektu

jest formalna specyfikacja projektu

zabezpieczeń i formalny model polityki

zabezpieczeń i formalny model polityki

zabezpieczeń. Dla systemów tej klasy

zabezpieczeń. Dla systemów tej klasy

formułuje się wymagania, że formalny

formułuje się wymagania, że formalny

model polityki zabezpieczeń musi być

model polityki zabezpieczeń musi być

wyraźnie określony

wyraźnie określony

i udokumentowany, z podaniem

i udokumentowany, z podaniem

matematycznego dowodu, że taki model

matematycznego dowodu, że taki model

jest zgody ze swoimi założeniami i jest

jest zgody ze swoimi założeniami i jest

zadowalający dla wspomagania polityki

zadowalający dla wspomagania polityki

zabezpieczeń.

zabezpieczeń.

 

Warunkiem uznania systemu

Warunkiem uznania systemu

informacyjnego za bezpieczny jest

informacyjnego za bezpieczny jest

spełnienie poniższych kryteriów:

spełnienie poniższych kryteriów:

•

poufności

poufności

–

–

co oznacza ochronę przed ujawnieniem

co oznacza ochronę przed ujawnieniem

informacji nieuprawnionemu odbiorcy

informacji nieuprawnionemu odbiorcy

•

integralności

integralności

–

–

co określa ochronę przed

co określa ochronę przed

modyfikacją lub zniekształceniem aktywów

modyfikacją lub zniekształceniem aktywów

informacyjnych przez osobę nieuprawnioną.

informacyjnych przez osobę nieuprawnioną.

•

dostępności

dostępności

–

–

co ustala gwarancję uprawnia dostępu

co ustala gwarancję uprawnia dostępu

do informacji przy zachowaniu określonych rygorów

do informacji przy zachowaniu określonych rygorów

czasowych

czasowych

•

rozliczalności

rozliczalności

–

–

co jest właściwością zapewniającą,

co jest właściwością zapewniającą,

że działania podmiotu mogą być przypisane w sposób

że działania podmiotu mogą być przypisane w sposób

jednoznaczny tylko jednemu podmiotowi

jednoznaczny tylko jednemu podmiotowi

•

autentyczności

autentyczności

–

–

co określa weryfikację tożsamości

co określa weryfikację tożsamości

podmiotów

podmiotów

i prawdziwość aktywów systemu informacyjnego

i prawdziwość aktywów systemu informacyjnego

•

niezawodności

niezawodności

–

–

co oznacza gwarancję

co oznacza gwarancję

odpowiedniego zachowania się systemu informacyjnego

odpowiedniego zachowania się systemu informacyjnego

i otrzymanych plików.

i otrzymanych plików.

Organizacje powinny kontrolować

Organizacje powinny kontrolować

dostęp do zasobów w oparciu o

dostęp do zasobów w oparciu o

następujące kryteria dostępu:

następujące kryteria dostępu:

•

tożsamość użytkownika

tożsamość użytkownika

–

–

dostęp w oparciu o

dostęp w oparciu o

identyfikator pojedynczego użytkownika, grupowy lub

identyfikator pojedynczego użytkownika, grupowy lub

anonimowy

anonimowy

•

role użytkowników

role użytkowników

–

–

dostęp do informacji ustalany

dostęp do informacji ustalany

na podstawie przydziału funkcji i zadań poszczególnym

na podstawie przydziału funkcji i zadań poszczególnym

użytkownikom.

użytkownikom.

•

lokalizacja zasobu

lokalizacja zasobu

–

–

np. pracownicy danej komórki

np. pracownicy danej komórki

mają większy dostęp niż osoby z otoczenia tej komórki

mają większy dostęp niż osoby z otoczenia tej komórki

•

czas

czas

–

–

dostęp do zbiorów krytycznych w wyznaczonym

dostęp do zbiorów krytycznych w wyznaczonym

terminie

terminie

i przedziale czasowym

i przedziale czasowym

•

transakcje

transakcje

–

–

dostęp do przydzielonych użytkownikom

dostęp do przydzielonych użytkownikom

zasobów informacji.

zasobów informacji.

 

Polityka zabezpieczeń zasobów

Polityka zabezpieczeń zasobów

Polityka zabezpieczeń zasobów

Polityka zabezpieczeń zasobów

obejmuje zespół reguł, których

obejmuje zespół reguł, których

powinni przestrzegać użytkownicy,

powinni przestrzegać użytkownicy,

aby zachować integralność systemu i

aby zachować integralność systemu i

danych.

danych.

Polityka bezpieczeństwa to plan lub

Polityka bezpieczeństwa to plan lub

sposób działania przyjęty w celu

sposób działania przyjęty w celu

zapewnienia bezpieczeństwa

zapewnienia bezpieczeństwa

systemów i ochrony danych.

systemów i ochrony danych.

 

Zasada racjonalności ochrony określa,

Zasada racjonalności ochrony określa,

że nakłady na ochronę ze względów

że nakłady na ochronę ze względów

ekonomicznych

ekonomicznych

nie powinny znacznie przewyższać

nie powinny znacznie przewyższać

wartości chronionej informacji i

wartości chronionej informacji i

zasobów informatycznych.

zasobów informatycznych.

 

Ochrona informacji i systemu

Ochrona informacji i systemu

informatycznego jest koniecznym

informatycznego jest koniecznym

zadaniem zarówno osób

zadaniem zarówno osób

odpowiedzialnych za jego

odpowiedzialnych za jego

funkcjonowanie,

funkcjonowanie,

jak i menedżerów zarządzających

jak i menedżerów zarządzających

całością przedsiębiorstwa.

całością przedsiębiorstwa.

DZIĘKUJEMY

ZA UWAGĘ

Weronika Bodziak

Tamara Fraj