POLITYKA

POLITYKA

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA

W ROZWIĄZANIACH

W ROZWIĄZANIACH

E-BIZNESOWYCH

E-BIZNESOWYCH

Golec Joanna

Golec Joanna

Musiał Magdalena

Musiał Magdalena

Gr.1, III rok

Gr.1, III rok

POTENCJALNE

POTENCJALNE

ZAGROŻENIA SYSTEMÓW

ZAGROŻENIA SYSTEMÓW

E-BIZNESOWYCH

E-BIZNESOWYCH



Błąd człowieka

Błąd człowieka



Katastrofy naturalne

Katastrofy naturalne



Awarie systemu związane z

Awarie systemu związane z

uszkodzeniami sprzętu, oprogramowania

uszkodzeniami sprzętu, oprogramowania

oraz infrastruktury

oraz infrastruktury



Włamania do systemu

Włamania do systemu



Niebezpieczne oprogramowanie

Niebezpieczne oprogramowanie



Zagrożenia wywołane przez czynniki

Zagrożenia wywołane przez czynniki

pośrednie

pośrednie

GRUPY ZAGROŻEŃ DLA

GRUPY ZAGROŻEŃ DLA

SYSTEMÓW E-

SYSTEMÓW E-

BIZNESOWYCH

BIZNESOWYCH



Brak dostępu do usługi (denial of

Brak dostępu do usługi (denial of

service)

service)



Bezprawne użycie zasobów

Bezprawne użycie zasobów



Usunięcie/utrata danych

Usunięcie/utrata danych



Kradzież danych

Kradzież danych



Ujawnienie danych poufnych

Ujawnienie danych poufnych



Fałszowanie informacji

Fałszowanie informacji



Kradzież oprogramowania

Kradzież oprogramowania



Kradzież sprzętu

Kradzież sprzętu



Uszkodzenia systemów komputerowych

Uszkodzenia systemów komputerowych

OBSZARY ZAGROŻEŃ

OBSZARY ZAGROŻEŃ



Sprzęt

Sprzęt

-

-

uszkodzenia urządzeń, ich nieprawidłowe

uszkodzenia urządzeń, ich nieprawidłowe

działanie, błędy w oprogramowaniu urządzeń, kradzież itp.

działanie, błędy w oprogramowaniu urządzeń, kradzież itp.



Oprogramowanie

Oprogramowanie

-

-

błędy w procesie tworzenia

błędy w procesie tworzenia

programów, w algorytmach, niedostateczna jakość, luki w

programów, w algorytmach, niedostateczna jakość, luki w

systemach zabezpieczeń itp.

systemach zabezpieczeń itp.



Infrastruktura

Infrastruktura

-

-

uszkodzenia sieci energetycznych,

uszkodzenia sieci energetycznych,

telekomunikacyjnych. infrastruktury komunikacyjnej,

telekomunikacyjnych. infrastruktury komunikacyjnej,

systemów ogrzewania/chłodzenia, systemów bezpieczeństwa,

systemów ogrzewania/chłodzenia, systemów bezpieczeństwa,

monitoringu itp.

monitoringu itp.



Procedury bezpieczeństwa

Procedury bezpieczeństwa

-

-

niewłaściwe

niewłaściwe

zaprojektowanie, niedostateczne przetestowanie, zagrożenia

zaprojektowanie, niedostateczne przetestowanie, zagrożenia

„od wewnątrz", luki w procedurach bezpieczeństwa itp.

„od wewnątrz", luki w procedurach bezpieczeństwa itp.

3 POZIOMY ZABEZPIECZEŃ

3 POZIOMY ZABEZPIECZEŃ

SYSTEMÓW

SYSTEMÓW

INFORMATYCZNYCH

INFORMATYCZNYCH



Poziom aplikacji

Poziom aplikacji

– tworzenie bezpiecznych

– tworzenie bezpiecznych

aplikacji jest jednym z postulatów dotyczących

aplikacji jest jednym z postulatów dotyczących

jakości oprogramowania.

jakości oprogramowania.



Poziom warstwy pośredniczącej

Poziom warstwy pośredniczącej

–

–

mechanizmy wbudowane w systemy operacyjne

mechanizmy wbudowane w systemy operacyjne

oraz

programy

komunikacyjne

powinny

oraz

programy

komunikacyjne

powinny

eliminować

ryzyko

ujawnienia

informacji

eliminować

ryzyko

ujawnienia

informacji

poufnych.

poufnych.



Poziom protokołów komunikacyjnych

Poziom protokołów komunikacyjnych

–

–

mechanizmy warstwy komunikacyjnej powinny

mechanizmy warstwy komunikacyjnej powinny

uniemożliwiać podsłuchanie, zdekodowanie i

uniemożliwiać podsłuchanie, zdekodowanie i

odczytanie przesyłanych informacji

odczytanie przesyłanych informacji

SZYFROWANIE DANYCH

SZYFROWANIE DANYCH



SZYFROWANIE SYMETRYCZNE

SZYFROWANIE SYMETRYCZNE



SZYFROWANIE ASYMETRYCZNE

SZYFROWANIE ASYMETRYCZNE



SZYFROWANIE HYBRYDOWE

SZYFROWANIE HYBRYDOWE

SZYFROWANIE

SZYFROWANIE

SYMETRYCZNE

SYMETRYCZNE



Do szyfrowania i deszyfrowania używamy tego

Do szyfrowania i deszyfrowania używamy tego

samego klucza szyfrującego (szyfrowanie z

samego klucza szyfrującego (szyfrowanie z

pojedynczym kluczem)

pojedynczym kluczem)



Najpopularniejsze algorytmy szyfrowania to

Najpopularniejsze algorytmy szyfrowania to

np.

np.

DES (Data Encryption Standard), IDEA

DES (Data Encryption Standard), IDEA

(International Data Encryption Algorithm)

(International Data Encryption Algorithm)



Klucz musi zostać uprzednio dostarczony

Klucz musi zostać uprzednio dostarczony

(najlepiej poza siecią) nadawcy i odbiorcy -

(najlepiej poza siecią) nadawcy i odbiorcy -

jest to utrudnione w przypadku wymiany

jest to utrudnione w przypadku wymiany

informacji z dużą liczbą odbiorców

informacji z dużą liczbą odbiorców



Każdy z odbiorców dodatkowo powinien mieć

Każdy z odbiorców dodatkowo powinien mieć

odmienny klucz, a nadawca powinien

odmienny klucz, a nadawca powinien

pamiętać klucz każdego ze swoich odbiorców.

pamiętać klucz każdego ze swoich odbiorców.

SZYFROWANIE

SZYFROWANIE

SYMETRYCZNE

SYMETRYCZNE

Użytkownicy uczestniczący w komunikacji, na

Użytkownicy uczestniczący w komunikacji, na

tym schemacie - Alicja i Bolek, posługują się

tym schemacie - Alicja i Bolek, posługują się

swoimi kluczami, aby przesłać zaszyfrowaną

swoimi kluczami, aby przesłać zaszyfrowaną

wiadomość od Alicji do Bolka. Alicja poddaje

wiadomość od Alicji do Bolka. Alicja poddaje

szyfrowaniu wiadomość czytelną M z użyciem

szyfrowaniu wiadomość czytelną M z użyciem

klucza szyfrowania K. W ten sposób uzyskuje

klucza szyfrowania K. W ten sposób uzyskuje

szyfrogram S.

szyfrogram S.

Następnie szyfrogram S jest przesyłany do

Następnie szyfrogram S jest przesyłany do

Bolka,

który

poddaje

go

operacji

Bolka,

który

poddaje

go

operacji

rozszyfrowania z kluczem K i otrzymuje

rozszyfrowania z kluczem K i otrzymuje

wiadomość czytelną M.

wiadomość czytelną M.

SZYFROWANIE

SZYFROWANIE

ASYMETRYCZNE

ASYMETRYCZNE



Szyfrowanie metodą klucza publicznego

Szyfrowanie metodą klucza publicznego



Takie szyfrowanie zapewnia poufność

Takie szyfrowanie zapewnia poufność

transmitowanych danych i ich integralność

transmitowanych danych i ich integralność

(podpis elektroniczny)

(podpis elektroniczny)



Najczęściej wykorzystywanymi algorytmami

Najczęściej wykorzystywanymi algorytmami

szyfrowania asymetrycznego są RSA oraz

szyfrowania asymetrycznego są RSA oraz

algorytm szyfrujący Diffie`ego-Hallmana

algorytm szyfrujący Diffie`ego-Hallmana



Szyfrowanie odbywa się z wykorzystaniem

Szyfrowanie odbywa się z wykorzystaniem

dwóch kluczy szyfrujących (klucza prywatnego i

dwóch kluczy szyfrujących (klucza prywatnego i

publicznego)

publicznego)



Zalety: zwiększone w stosunku do szyfrowania

Zalety: zwiększone w stosunku do szyfrowania

symetrycznego bezpieczeństwo, nie ma

symetrycznego bezpieczeństwo, nie ma

konieczności przesyłania klucza prywatnego

konieczności przesyłania klucza prywatnego



Do wad szyfrowania asymetrycznego zalicza się

Do wad szyfrowania asymetrycznego zalicza się

niską wydajność

niską wydajność

SZYFROWANIE

SZYFROWANIE

ASYMETRYCZNE

ASYMETRYCZNE

Istotą

szyfrowania

asymetrycznego

jest

Istotą

szyfrowania

asymetrycznego

jest

wyodrębnienie dwóch kluczy o odmiennych

wyodrębnienie dwóch kluczy o odmiennych

rolach: klucz prywatny i klucz publiczny. I tak

rolach: klucz prywatny i klucz publiczny. I tak

przyjmujemy, że odbiorca Bolek posiada parę

przyjmujemy, że odbiorca Bolek posiada parę

kluczy: prywatny klucz kb oraz publiczny klucz

kluczy: prywatny klucz kb oraz publiczny klucz

KB. Z założenia klucz prywatny jest tajny, znany

KB. Z założenia klucz prywatny jest tajny, znany

wyłącznie

właścicielowi.

Publiczny

klucz,

wyłącznie

właścicielowi.

Publiczny

klucz,

natomiast, może być powszechnie znany. Aby

natomiast, może być powszechnie znany. Aby

Alicja mogła przekazać mu wiadomość musi

Alicja mogła przekazać mu wiadomość musi

zaszyfrować ją jego kluczem publicznym.

zaszyfrować ją jego kluczem publicznym.

Odszyfrowanie jest możliwe tylko przy użyciu

Odszyfrowanie jest możliwe tylko przy użyciu

klucza prywatnego, odpowiadającego użytemu

klucza prywatnego, odpowiadającego użytemu

uprzednio kluczowi publicznemu.

uprzednio kluczowi publicznemu.

SZYFROWANIE

SZYFROWANIE

HYBRYDOWE

HYBRYDOWE



Łączy metodę symetryczną z metodą klucza

Łączy metodę symetryczną z metodą klucza

publicznego

publicznego



Duże bezpieczeństwo i wydajność

Duże bezpieczeństwo i wydajność



Wiadomość szyfruje się kluczem

Wiadomość szyfruje się kluczem

symetrycznym, a jego przekazanie odbywa się

symetrycznym, a jego przekazanie odbywa się

za pomocą szyfrowania asymetrycznego

za pomocą szyfrowania asymetrycznego



Stosowane między innymi w systemach

Stosowane między innymi w systemach

bezpiecznej poczty elektronicznej (PEM -

bezpiecznej poczty elektronicznej (PEM -

Privacy Enhanced Mail, PGP - Pretty Good

Privacy Enhanced Mail, PGP - Pretty Good

Privacy) oraz w protokołach WWW (SSL, PCT,

Privacy) oraz w protokołach WWW (SSL, PCT,

S-HTTP)

S-HTTP)



Szyfrowanie hybrydowe eliminuje wady

Szyfrowanie hybrydowe eliminuje wady

szyfrowania symetrycznego i asymetrycznego,

szyfrowania symetrycznego i asymetrycznego,

równocześnie przejmując ich zalety

równocześnie przejmując ich zalety

TECHNOLOGIE

TECHNOLOGIE

BEZPIECZNEJ TRANSMISJI

BEZPIECZNEJ TRANSMISJI

DANYCH

DANYCH



SSL,

PCT

SSL,

PCT

-

służą

do

ustanawiania

-

służą

do

ustanawiania

bezpiecznego połączenia, poprzez wydzielenie

bezpiecznego połączenia, poprzez wydzielenie

kanału o założonym z góry (wynegocjowanym)

kanału o założonym z góry (wynegocjowanym)

poziomie bezpieczeństwa, przez który dokonuje

poziomie bezpieczeństwa, przez który dokonuje

się

autoryzacji

dostępu

oraz

przesyła

się

autoryzacji

dostępu

oraz

przesyła

dynamicznie klucze do szyfrowania kolejnych

dynamicznie klucze do szyfrowania kolejnych

porcji danych,

porcji danych,



S-HTTP

S-HTTP

- stanowi rozszerzenie standardowego

- stanowi rozszerzenie standardowego

protokołu hipertekstowego HTTP o narzędzia

protokołu hipertekstowego HTTP o narzędzia

kryptograficzne, a w szczególności o certyfikaty

kryptograficzne, a w szczególności o certyfikaty

i cyfrowe sygnatury witryn WWW; dzięki niemu

i cyfrowe sygnatury witryn WWW; dzięki niemu

możliwe jest zweryfikowanie autentyczności

możliwe jest zweryfikowanie autentyczności

pochodzenia stron internetowych,

pochodzenia stron internetowych,

TECHNOLOGIE

TECHNOLOGIE

BEZPIECZNEJ TRANSMISJI

BEZPIECZNEJ TRANSMISJI

DANYCH

DANYCH



SET

SET

- protokół zabezpieczający transakcje

- protokół zabezpieczający transakcje

dokonywane za pomocą kart kredytowych;

dokonywane za pomocą kart kredytowych;

wykorzystuje do tego celu elektroniczne podpisy

wykorzystuje do tego celu elektroniczne podpisy

zapewniające

autoryzację

posiadaczy

kart,

zapewniające

autoryzację

posiadaczy

kart,

sprzedawców i banków,

sprzedawców i banków,



Fortezza

Fortezza

- stosowana jest w instytucjach, gdzie

- stosowana jest w instytucjach, gdzie

poufność informacji ma szczególne znacznie

poufność informacji ma szczególne znacznie

(obronność, wymiar sprawiedliwości, dyplomacja

(obronność, wymiar sprawiedliwości, dyplomacja

itp.), gdzie mechanizmy zabezpieczeń muszą

itp.), gdzie mechanizmy zabezpieczeń muszą

gwarantować w 100% autentyfikację i odpowiedni

gwarantować w 100% autentyfikację i odpowiedni

poziom

szyfrowania,

konta

użytkowników

poziom

szyfrowania,

konta

użytkowników

zabezpieczone są przy użyciu kart chipowych,

zabezpieczone są przy użyciu kart chipowych,

zabezpieczonych kodem PIN, przechowujących

zabezpieczonych kodem PIN, przechowujących

unikalny kod identyfikacyjny użytkownika.

unikalny kod identyfikacyjny użytkownika.

Tworzenie bezpiecznego środowiska musi być

Tworzenie bezpiecznego środowiska musi być

procesem:

procesem:



Ciągłym

Ciągłym

obejmującym ocenę, projektowanie,

obejmującym ocenę, projektowanie,

wdrażanie rozwiązań oraz monitorowanie

wdrażanie rozwiązań oraz monitorowanie



opartym na

opartym na

ludziach, procesach i technologii

ludziach, procesach i technologii

.

.

TWORZENIE DOKUMENTU

TWORZENIE DOKUMENTU

POLITYKI

POLITYKI

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA



Dokument polityki bezpieczeństwa zawiera (określa)

Dokument polityki bezpieczeństwa zawiera (określa)

odpowiednie zasady, wytyczne, nakazy i zakazy, a

odpowiednie zasady, wytyczne, nakazy i zakazy, a

także

stopień

swobody

korzystania

z

sieci

także

stopień

swobody

korzystania

z

sieci

wewnętrznej i zewnętrznej;

wewnętrznej i zewnętrznej;



Ważną

cechą

dokumentu

jest

odpowiednia

Ważną

cechą

dokumentu

jest

odpowiednia

konstrukcja, która ma sprawić, aby był on zrozumiały

konstrukcja, która ma sprawić, aby był on zrozumiały

dla każdego pracownika - napisany językiem

dla każdego pracownika - napisany językiem

potocznym, zawierał słownik pojęć technicznych,

potocznym, zawierał słownik pojęć technicznych,

prawnych, a także użytych zwrotów i sformułowali;

prawnych, a także użytych zwrotów i sformułowali;



Pisemne zobligowanie się każdego użytkownika do

Pisemne zobligowanie się każdego użytkownika do

postępowania zgodnie z ujętymi w dokumencie

postępowania zgodnie z ujętymi w dokumencie

polityki bezpieczeństwa danych wytycznymi;

polityki bezpieczeństwa danych wytycznymi;



Wprowadzenie polityki bezpieczeństwa powinno być

Wprowadzenie polityki bezpieczeństwa powinno być

wsparte odpowiednimi szkoleniami.

wsparte odpowiednimi szkoleniami.

Pisemny wymiar polityki

Pisemny wymiar polityki

bezpieczeństwa ma

bezpieczeństwa ma

uzasadnienie:

uzasadnienie:



wytyczne stosowane standardowo mają

wytyczne stosowane standardowo mają

głównie charakter informacyjny,

głównie charakter informacyjny,



każdy użytkownik musi wiedzieć, jakie

każdy użytkownik musi wiedzieć, jakie

informacje mogą być wykorzystane

informacje mogą być wykorzystane

przez

osoby

trzecie

oraz

mieć

przez

osoby

trzecie

oraz

mieć

świadomość odpowiedzialności,

świadomość odpowiedzialności,



formalizowanie działań ma na celu

formalizowanie działań ma na celu

zmniejszenie stopnia niepewności w

zmniejszenie stopnia niepewności w

działalności organizacji.

działalności organizacji.

ETAPY TWORZENIA

ETAPY TWORZENIA

POLITYKI

POLITYKI

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA



Pierwszy etap: zdefiniowanie zagrożeń

Pierwszy etap: zdefiniowanie zagrożeń



Drugi etap: konstruowanie

Drugi etap: konstruowanie

zabezpieczeń organizacyjnych

zabezpieczeń organizacyjnych



Trzeci etap: formowanie treści

Trzeci etap: formowanie treści

dokumentu polityki bezpieczeństwa

dokumentu polityki bezpieczeństwa

ELEMENTY SKŁADOWE

ELEMENTY SKŁADOWE

POLITYKI

POLITYKI

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA



Wyjaśnienia

Wyjaśnienia



Jasne sformułowania

Jasne sformułowania



Podział odpowiedzialności

Podział odpowiedzialności



Opis mechanizmów realizacji

Opis mechanizmów realizacji

polityki bezpieczeństwa

polityki bezpieczeństwa

10 PRZYKAZAŃ Z

10 PRZYKAZAŃ Z

ZAKRESU

ZAKRESU

BEZPIECZEŃSTWA

BEZPIECZEŃSTWA

INFORMACJI I

INFORMACJI I

SYSTEMÓW

SYSTEMÓW

INFORMATYCZNYCH

INFORMATYCZNYCH

1.

1.

Zainstaluj i dbaj w poprawną konfigurację zapory

Zainstaluj i dbaj w poprawną konfigurację zapory

ogniowej sieci, aby chronić dane dostępne przez

ogniowej sieci, aby chronić dane dostępne przez

Internet.

Internet.

2.

2.

Zadbaj o bieżące uaktualnienia zabezpieczeń.

Zadbaj o bieżące uaktualnienia zabezpieczeń.

3.

3.

Szyfruj przechowywane dane, udostępniane przez

Szyfruj przechowywane dane, udostępniane przez

Internet.

Internet.

4.

4.

Szyfruj dane przesyłane w sieci.

Szyfruj dane przesyłane w sieci.

5.

5.

Korzystaj regularnie z aktualizacji oprogramowania

Korzystaj regularnie z aktualizacji oprogramowania

antywirusowego.

antywirusowego.

6.

6.

Ogranicz dostęp do danych „koniecznie dostępnych".

Ogranicz dostęp do danych „koniecznie dostępnych".

7.

7.

Przypisz

jednoznaczne

identyfikatory

osobom

Przypisz

jednoznaczne

identyfikatory

osobom

uprawnionym do dostępu do danych.

uprawnionym do dostępu do danych.

8.

8.

Monitoruj dostęp do danych według jednoznacznych

Monitoruj dostęp do danych według jednoznacznych

identyfikatorów.

identyfikatorów.

9.

9.

Nie korzystaj z dostarczonych przez dostawcę

Nie korzystaj z dostarczonych przez dostawcę

systemu domyślnych ustawień haseł systemu i

systemu domyślnych ustawień haseł systemu i

innych parametrów bezpieczeństwa.

innych parametrów bezpieczeństwa.

10.

10.

Regularnie testuj systemy i procesy bezpieczeństwa.

Regularnie testuj systemy i procesy bezpieczeństwa.

DZIĘKUJEMY ZA

DZIĘKUJEMY ZA

UWAGĘ

UWAGĘ