WYŻSZA SZKOŁA MENEDŻERSKA
w WARSZAWIE
Grupa 31 DR-A-2
Problemy społeczne i zawodowe informatyki
Autorzy:
BEZPIECZEŃSTWO
TELEINFORMATYCZNE
*
zdjęcie pochodzi z serwisu http://gb.pl/informacja-gospodarcza/
WYŻSZA SZKOŁA MENEDŻERSKA
w WARSZAWIE
Grupa 31 DR-A-2
Problemy społeczne i zawodowe informatyki
Autorzy:
BEZPIECZEŃSTWO
TELEINFORMATYCZNE
*
zdjęcie pochodzi z serwisu http://gb.pl/informacja-gospodarcza/
Tym terminem określa się społeczeństwo,
w którym towarem staje się informacja
traktowana jako szczególne dobro
niematerialne, równoważne lub cenniejsze
nawet od dóbr materialnych.
• Internet: http.//
http.//
pl.wikipedia.org/wiki/Spo%C5%82ecze
pl.wikipedia.org/wiki/Spo%C5%82ecze
%C5%84stwo_informacyjne
%C5%84stwo_informacyjne
Społeczeństwo informacyjne
BEZPIECZEŃSTWO
TELEINFORMATYCZNE
Zbiór zagadnień z dziedziny
telekomunikacji i informatyki, związany
z szacowaniem i kontrolą ryzyka,
wynikającego z korzystania z
komputerów, sieci komputerowych i
przesyłania danych do zdalnych
lokalizacji.
INFORMACJA GWARANCJĄ SUKCESU
W systemach teleinformatycznych informacje są
przechowywane i przetwarzane, a ich ochrona
jest ochroną interesów firmy.
Zagadnienie bezpieczeństwa teleinformatycznego
jest jednym z najważniejszych aspektów interesów
firm.
* zdjęcie pochodząi z serwisu http://bslubniany.pl/bank
Podział informacji.
§ 1. 3. Wprowadza się następujące oznaczenia
klauzul tajności:
1) "00" - dla klauzuli
"ściśle tajne";
2) "0" - dla klauzuli
"tajne";
3) "Pf" - dla klauzuli
"poufne";
4) "Z" - dla klauzuli
"zastrzeżone".
Art. 23 ust. 3 ustawy z dnia 22 stycznia 1999 r. o ochronie
informacji niejawnych (Dz. U. z 2005 r. Nr 196, poz. 1631, z
późn. zm)
Informacja jawna?
Czy informacje nieoznaczone żadną z
powyższych klauzul możemy
traktować jako informacje jawne,
czyli niechronione przed
ujawnieniem.
Cokolwiek bym podczas leczenia, czy
poza nim, z życia ludzkiego ujrzał,
czy usłyszał, czego nie należy na
zewnątrz rozgłaszać, będę milczał,
zachowując to
w tajemnicy.
Hipokrates
Obowiązek zachowania tajemnicy
obejmuje informacje związane z
pacjentem, a uzyskane w związku
z wykonywaniem zawodu.
Art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. o
zawodzie
lekarza
Tajemnica zawodowa
dotyczy każdego z wykonywanych
zawodów.
• Spowiednik i tajemnica spowiedzi.
Tajemnica zawodowa
dotyczy każdego z wykonywanych
zawodów.
• Spowiednik.
• Żołnierz i tajemnica państwowa.
Tajemnica zawodowa
dotyczy każdego z wykonywanych
zawodów.
• Spowiednik.
• Żołnierz.
• Adwokat i tajemnica adwokacka.
Tajemnica zawodowa
dotyczy każdego z wykonywanych
zawodów.
• Spowiednik.
• Żołnierz.
• Adwokat.
• Policjant i tajemnica śledztwa.
Tajemnica zawodowa
dotyczy każdego z wykonywanych
zawodów.
• Spowiednik.
• Żołnierz.
• Adwokat.
• Policjant.
• Bankier i tajemnica bankowa.
• Nawiązując do przytoczonych faktów
wynika, że informacje związane z
wykonywanym zawodem z etycznego
punktu widzenia nie mogą zostać
ujawniane osobom postronnym.
* zdjęcie pochodzi z serwisu http://www.artua.com
Informacje szczególnie
chronione:
• plany działalności i rozwoju firmy,
• sprawozdania dotyczące działalności,
• sprawozdania finansowe,
• raporty,
• informacje o pracownikach,
• korespondencja.
Formy informacji
:
• dźwięk,
• dokumenty zapisane na nośnikach danych,
• wydruki,
• informacje na ekranach monitorów,
• informacja zawarta w promieniowaniu
elektromagnetycznym emitowanym przez
stanowiska pracy.
Rodzaje informatycznych
nośników danych.
• nośniki magnetyczne (dyski twarde,
dyskietki, taśmy i karty magnetyczne),
• nośniki optyczne – (CD, DVD, BD – R lub RW),
• nośniki oparte o układy pamięci - np.
urządzenia magazynujące Flash – USB, karty
pamięci.
* zdjęcie pochodzi z serwisu http://www.artua.com
Do układów pamięciowych zalicza
się:
• pamięci ulotne (RAM — wykorzystywane w
komputerach i kartach graficznych),
• pamięci nieulotne jednokrotnego zapisu
(ROM),
• pamięci programowalne (np. PROM, EPROM),
• pamięci Flash,
• pamięci SD,
• inne.
*
zdjęcie pochodzi z serwisu http://www.artua.com
Klasyfikacja
informatycznych nośników danych.
• Informatyczne nośniki danych
przechowujące informacje niejawne
traktuje się jak dokumenty.
• Niejawne nośniki danych podlegają
rejestracji zgodnie z obowiązującymi
przepisami.
Bezpieczny system
teleinformatyczny.
Według powszechnie przytaczanej definicji,
prawdziwie bezpieczny system
teleinformatyczny jest wyidealizowanym
urządzeniem, które poprawnie i w całości
realizuje tylko i wyłącznie cele zgodne z
intencjami właściciela.
* zdjęcie pochodzi z serwisu http://www.artua.com
Dokumentacja bezpieczeństwa
teleinformatycznego.
Określa jak jest zarządzane, monitorowane i
osiągane bezpieczeństwo systemu.
Dokumentację bezpieczeństwa sporządza się
dla:
• autonomicznych systemów
teleinformatycznych;
• lokalnych i rozległych sieci
teleinformatycznych;
• połączeń międzysystemowych.
Środki ochrony.
• podział obszarów chronionych na strefy
bezpieczeństwa,
* zdjęcie pochodzi z serwisu http://www.solarnavigator.net
Środki ochrony.
• podział obszarów chronionych na strefy
ograniczonego dostępu.
Środki ochrony.
• podział obszarów chronionych na strefy
bezpieczeństwa,
• systemy kontroli dostępu,
Środki ochrony.
• podział obszarów chronionych na strefy
bezpieczeństwa,
• systemy kontroli dostępu,
• ochronę prowadzoną przez służby ochronne,
* zdjęcie pochodzi z serwisu http://www.artua.com
Środki ochrony.
• podział obszarów chronionych na strefy
bezpieczeństwa,
• systemy kontroli dostępu,
• ochronę prowadzoną przez służby
ochronne,
• zabezpieczenia typu budowlanego,
Środki ochrony.
• podział obszarów chronionych na strefy
bezpieczeństwa,
• systemy kontroli dostępu,
• ochronę prowadzoną przez służby
ochronne,
• zabezpieczenia typu budowlanego,
• zabezpieczenia typu mechanicznego,
• * zdjęcie pochodzi z serwisu http://www.artua.com
Środki ochrony.
• podział obszarów chronionych na strefy
bezpieczeństwa,
• systemy kontroli dostępu,
• ochronę prowadzoną przez służby
ochronne,
• zabezpieczenia typu budowlanego,
• zabezpieczenia typu mechanicznego,
• systemy alarmowe.
Środki ochrony.
• podział obszarów chronionych na strefy
bezpieczeństwa,
• systemy kontroli dostępu,
• ochronę prowadzoną przez służby
ochronne,
• zabezpieczenia typu budowlanego,
• zabezpieczenia typu mechanicznego,
• systemy alarmowe,
• zabezpieczenie nośników informacji i
dokumentów,
• zabezpieczenia przed podglądem i
podsłuchem.
Bezpieczeństwo oprogramowania.
Dylemat złodzieja i strażnika.
• Zasada #1 Strażnik musi pilnować wszystkiego;
złodziej może wybrać najsłabszy punkt według
uznania.
• Zasada #2 Strażnik musi czuwać bez przerwy; złodziej
podejmie próbę kradzieży w dogodnym dla siebie
momencie.
• Zasada #3 Strażnik pilnuje tych zasobów, o których
wie - złodziej będzie starał się znaleźć ukryte furtki i
słabe miejsca w systemie.
* zdjęcie pochodzi z serwisu http://www.humorpage.pl
Oprogramowanie.
• Przed instalacją oprogramowanie
należy uprzednio przetestować pod
względem poprawności, stabilności i
obecności kodów złośliwych.
• Procedury oraz wyniki testowania
powinny zostać ujęte w dokumentacji
bezpieczeństwa systemu;
Bezpieczeństwo
elektromagnetyczne.
• Utrata poufności następuje na skutek emisji
ujawniającej pochodzącej z urządzeń systemu.
• Ochronę elektromagnetyczną zapewnia się
przez umieszczanie urządzeń systemu w
strefach tłumienności elektromagnetycznej lub
przez zastosowanie tzw. bezpiecznych
stanowisk komputerowych, które spełniają
normę TEMPEST (Temporary Emanation and
Spurious Transmission).
Bezpieczeństwo transmisji.
• Bezpieczeństwem transmisji jest
możliwość wysłania wiadomości
elektronicznej pomiędzy dwoma lub więcej
komputerami tak, aby tylko adresat mógł
odebrać i odczytać wiadomość,
a informacja w niej zawarta była
identyczna z informacją wysłaną.
Ochrona kryptograficzna.
• Polega na zastosowaniu mechanizmów
gwarantujących poufność informacji.
• Siła mechanizmów kryptograficznych musi być
odpowiednia do klauzuli informacji niejawnych.
• Ochronę kryptograficzną stosuje się w przypadku
przekazywania informacji niejawnych poza strefę
kontrolowanego dostępu.
* zdjęcie pochodzi z serwisu http://www.heveliusforum.org
Konserwacja i naprawa sprzętu.
• Każde urządzenie Systemu, podlega
rutynowym czynnościom konserwacyjnym
(czyszczenie monitora, klawiatury itp.)
oraz przeglądom wykonywanym przez
Administratora lub wyznaczony personel
techniczny.
Konserwacja i naprawa sprzętu.
• W przypadku konieczności przekazania
sprzętu do naprawy należy wymontować
wszelkie komputerowe nośniki danych,
oraz wymazać dane z wszelkich układów
pamięci wchodzących w skład
naprawianych urządzeń.
Zasilanie.
• W przypadku nie stosowania urządzeń
podtrzymania UPS z filtracją elektromagnetyczną,
instalację zasilania z sieci energetycznej należy
wykonywać jako sieć odseparowaną
(dedykowaną) z uziemieniem.
• Należy unikać współużytkowania gniazd
zasilających elementy systemu z odbiornikami
o dużym poborze prądu (grzejniki, czajniki,
klimatyzatory, itp.).
Sytuacje specjalne.
• Projektując bezpieczny system należy
przewidzieć wpływ czynników
zewnętrznych na bezpieczeństwo i
niezawodność systemu.
Procedury działania w sytuacjach
specjalnych.
• Włamanie.
Procedura powinna obejmować włamania, napad,
włączenie sygnalizacji alarmowej w ŚBL, jak również
sytuacje związane z działaniami terrorystycznymi
oraz stwierdzeniem naruszenia środków ochrony
fizycznej.
* zdjęcie pochodzi z serwisu
http://www.tapeciarnia.pl
Procedury działania w sytuacjach
specjalnych.
• Procedura na wypadek włamania.
• Pożar.
Procedura powinna zawierać informację o
sposobie reagowania w przypadku
wystąpienia pożaru, włączenia sygnalizacji
przeciwpożarowej.
Procedury działania w sytuacjach
specjalnych.
• Procedura na wypadek włamania.
• Procedura na wypadek pożaru.
• Zagrożenia środowiskowe.
Procedura powinna zawierać informację
o sposobie reagowania w przypadku
zaistnienia zagrożeń środowiskowych.
Procedury działania w sytuacjach
specjalnych.
• Procedura na wypadek włamania.
• Procedura na wypadek pożaru.
• Procedura na wypadek zaistnienia zagrożeń
środowiskowych.
• Odtworzenie działania systemu.
Procedura powinna zawierać informację o
sposobie postępowania mającego na celu
odtworzenie działania systemu po
wystąpieniu sytuacji specjalnych.
Cykl życia systemów
teleinformatycznych.
Na cykl życia systemu teleinformatycznego
składają się następujące etapy:
•
ustalenie potrzeb systemu oraz ogólnych wymagań
bezpieczeństwa;
•
projektowanie i pozyskanie systemu, obejmujące:
•
określenie wymagań wobec sprzętu,
oprogramowania oraz niezbędnych środków
zabezpieczających;
•
zakup gotowych produktów lub zaprojektowanie i
stworzenie własnych rozwiązań;
•
stworzenie dokumentacji, bezpieczeństwa systemu;
• akredytacją i wdrożenie systemu, polegające
na:
–
integracji elementów składowych i wstępnym
uruchomieniu systemu teleinformatycznego;
–
ocenie przez BBT SKW dokumentacji
bezpieczeństwa;
–
przeprowadzeniu audytu bezpieczeństwa
teleinformatycznego i wydaniu certyfikatu
akredytacji bezpieczeństwa teleinformatycznego
(w przypadku systemów przeznaczonych do
przetwarzania informacji niejawnych stanowiących
tajemnicę państwową);
• eksploatacja i udoskonalanie systemu,
obejmujące:
- wykorzystanie systemu
teleinformatycznego do wytwarzania,
przetwarzania, przechowywania lub
przesyłania informacji;
-wykonywanie niezbędnych przeglądów,
napraw i modernizacji elementów systemu;
-utrzymywanie zaakceptowanej przez SKW
konfiguracji sprzętowo-programowej oraz
systemu ochrony.
Wycofanie z eksploatacji.
• Przeklasyfikowanie, niszczenie
(złomowanie).
Świadomość i obowiązki
użytkownika.
• Przed załączeniem Systemu dokonać
zewnętrznych oględzin stanowiska
komputerowego (komputer, monitor,
klawiatura, mysz, drukarka), ze
zwróceniem szczególnej uwagi na próby
modyfikacji stanowiska (zerwanie plomb,
odkręcenie obudowy, instalacja urządzeń
szpiegujących).
W przypadku stwierdzenia naruszenia
plomb lub manipulacji przy urządzeniach
stanowiska komputerowego natychmiast
powiadomić inspektora bezpieczeństwa
teleinformatycznego.
Świadomość i obowiązki
użytkownika.
• Włączyć urządzenie podtrzymujące
zasilanie, monitor, drukarkę, komputer.
• Zalogować się do Systemu poprzez
wpisanie identyfikatora i hasła.
• Wykorzystywać tylko autoryzowane
oprogramowanie zgodne ze spisem
zawartym w „Szczególnych warunkach
bezpieczeństwa systemu
teleinformatycznego”.
Świadomość i obowiązki
użytkownika.
• Przed importowaniem danych do
systemu z nośników zewnętrznych
upewnić się czy nośniki pochodzą z
autoryzowanych źródeł i są
zabezpieczone przed zapisem.
• Przed otwarciem nośnika zewnętrznego
należy go przeskandować programem
antywirusowym.
Świadomość i obowiązki
użytkownika.
• W czasie pracy w Systemie nie
dopuszczać do ujawnienia informacji
wyświetlanej na ekranie monitora oraz
będącej w formie wydruków osobom
nieupoważnionym zgodnie z zasadą
wiedzy koniecznej.
Świadomość i obowiązki
użytkownika.
• Rejestrować wszystkie wydrukowane
dokumenty w „Dzienniku ewidencji
dokumentów wykonanych techniką
komputerową” (w przypadku wydruków
próbnych lub zawierających błędy
niezwłocznie je niszczyć zgodnie
z obowiązującymi dokumentami
normatywnymi).
• Nie pozostawiać stanowiska komputerowego
z załączonym Systemem bez nadzoru.
Świadomość i obowiązki
użytkownika.
• Informować administratorowi systemu o
wszelkich nieprawidłowościach wynikłych
podczas pracy Systemu oraz wykrytych
wirusach i programach szpiegujących.
• Zmieniać hasło dostępu do systemu w
przedziale czasowym określonym
w „Procedurach bezpiecznej eksploatacji”
lub, jeśli zachodzi taka potrzeba i nikomu
go nie ujawniać.
Świadomość i obowiązki
użytkownika.
• Przed zakończeniem pracy w systemie
upewnić się czy w napędach (dyskietki, płyty
CD/DVD) nie znajdują się nośniki danych.
• Wyłączyć komputer, drukarkę, monitor i
urządzenie podtrzymujące zasilanie.
•
* zdjęcie pochodzi z serwisu http://www.artua.com
Świadomość i obowiązki
użytkownika.
• Przed opuszczeniem pomieszczenia,
w którym znajduje się system
upewnić się czy zasilanie stanowiska
komputerowego jest wyłączone
w pomieszczeniu i w koszu nie
pozostały wydruki lub nośniki
danych, sprawdzić zamknięcie okien,
zgasić światło poczym zamknąć
i zaplombować pomieszczenie.
Dziękuję za uwagę
*
zdjęcie pochodzi z serwisu http://www.tapeciarnia.pl