WYŻSZA SZKOŁA MENEDŻERSKA

w WARSZAWIE

Grupa 31 DR-A-2

Problemy społeczne i zawodowe informatyki

Autorzy:

BEZPIECZEŃSTWO

TELEINFORMATYCZNE

*

zdjęcie pochodzi z serwisu http://gb.pl/informacja-gospodarcza/

Tym terminem określa się społeczeństwo,

w którym towarem staje się informacja
traktowana jako szczególne dobro
niematerialne, równoważne lub cenniejsze
nawet od dóbr materialnych.

• Internet: http.//

http.//

pl.wikipedia.org/wiki/Spo%C5%82ecze

pl.wikipedia.org/wiki/Spo%C5%82ecze

%C5%84stwo_informacyjne

%C5%84stwo_informacyjne

Społeczeństwo informacyjne

 

BEZPIECZEŃSTWO

TELEINFORMATYCZNE

Zbiór zagadnień z dziedziny

telekomunikacji i informatyki, związany
z szacowaniem i kontrolą ryzyka,
wynikającego z korzystania z
komputerów, sieci komputerowych i
przesyłania danych do zdalnych
lokalizacji.

INFORMACJA GWARANCJĄ SUKCESU

W systemach teleinformatycznych informacje są

przechowywane i przetwarzane, a ich ochrona

jest ochroną interesów firmy.

Zagadnienie bezpieczeństwa teleinformatycznego

jest jednym z najważniejszych aspektów interesów
firm.

* zdjęcie pochodząi z serwisu http://bslubniany.pl/bank

Podział informacji.

§ 1. 3. Wprowadza się następujące oznaczenia

klauzul tajności:
1) "00" - dla klauzuli

"ściśle tajne";

2) "0" - dla klauzuli

"tajne";

3) "Pf" - dla klauzuli

"poufne";

4) "Z" - dla klauzuli

"zastrzeżone".

Art. 23 ust. 3 ustawy z dnia 22 stycznia 1999 r. o ochronie

informacji niejawnych (Dz. U. z 2005 r. Nr 196, poz. 1631, z

późn. zm)

Informacja jawna?

Czy informacje nieoznaczone żadną z

powyższych klauzul możemy
traktować jako informacje jawne,
czyli niechronione przed
ujawnieniem.

Cokolwiek bym podczas leczenia, czy

poza nim, z życia ludzkiego ujrzał,
czy usłyszał, czego nie należy na
zewnątrz rozgłaszać, będę milczał,
zachowując to

w tajemnicy.

Hipokrates

Obowiązek zachowania tajemnicy

obejmuje informacje związane z
pacjentem, a uzyskane w związku
z wykonywaniem zawodu.

Art. 40 ust. 1 ustawy z dnia 5 grudnia 1996 r. o

zawodzie

lekarza

Tajemnica zawodowa

dotyczy każdego z wykonywanych

zawodów.

• Spowiednik i tajemnica spowiedzi.

Tajemnica zawodowa

dotyczy każdego z wykonywanych

zawodów.

• Spowiednik.

• Żołnierz i tajemnica państwowa.

Tajemnica zawodowa

dotyczy każdego z wykonywanych

zawodów.

• Spowiednik.

• Żołnierz.

• Adwokat i tajemnica adwokacka.

Tajemnica zawodowa

dotyczy każdego z wykonywanych

zawodów.

• Spowiednik.

• Żołnierz.

• Adwokat.

• Policjant i tajemnica śledztwa.

Tajemnica zawodowa

dotyczy każdego z wykonywanych

zawodów.

• Spowiednik.

• Żołnierz.

• Adwokat.

• Policjant.

• Bankier i tajemnica bankowa.

• Nawiązując do przytoczonych faktów

wynika, że informacje związane z

wykonywanym zawodem z etycznego

punktu widzenia nie mogą zostać

ujawniane osobom postronnym.

* zdjęcie pochodzi z serwisu http://www.artua.com

Informacje szczególnie

chronione:

• plany działalności i rozwoju firmy,
• sprawozdania dotyczące działalności,
• sprawozdania finansowe,
• raporty,
• informacje o pracownikach,
• korespondencja.

Formy informacji

:

• dźwięk,
• dokumenty zapisane na nośnikach danych,
• wydruki,
• informacje na ekranach monitorów,
• informacja zawarta w promieniowaniu

elektromagnetycznym emitowanym przez
stanowiska pracy.

Rodzaje informatycznych

nośników danych.

• nośniki magnetyczne (dyski twarde,

dyskietki, taśmy i karty magnetyczne),

• nośniki optyczne – (CD, DVD, BD – R lub RW),
• nośniki oparte o układy pamięci - np.

urządzenia magazynujące Flash – USB, karty
pamięci.

* zdjęcie pochodzi z serwisu http://www.artua.com

Do układów pamięciowych zalicza

się:

• pamięci ulotne (RAM — wykorzystywane w

komputerach i kartach graficznych),

• pamięci nieulotne jednokrotnego zapisu

(ROM),

• pamięci programowalne (np. PROM, EPROM),

• pamięci Flash,

• pamięci SD,

• inne.

*

zdjęcie pochodzi z serwisu http://www.artua.com

Klasyfikacja
informatycznych nośników danych.

• Informatyczne nośniki danych

przechowujące informacje niejawne
traktuje się jak dokumenty.

• Niejawne nośniki danych podlegają

rejestracji zgodnie z obowiązującymi
przepisami.

Bezpieczny system

teleinformatyczny.

Według powszechnie przytaczanej definicji,

prawdziwie bezpieczny system
teleinformatyczny jest wyidealizowanym
urządzeniem, które poprawnie i w całości
realizuje tylko i wyłącznie cele zgodne z
intencjami właściciela.

* zdjęcie pochodzi z serwisu http://www.artua.com

Dokumentacja bezpieczeństwa

teleinformatycznego.

Określa jak jest zarządzane, monitorowane i

osiągane bezpieczeństwo systemu.

Dokumentację bezpieczeństwa sporządza się

dla:

• autonomicznych systemów

teleinformatycznych;

• lokalnych i rozległych sieci

teleinformatycznych;

• połączeń międzysystemowych.

Środki ochrony.

• podział obszarów chronionych na strefy

bezpieczeństwa,

* zdjęcie pochodzi z serwisu http://www.solarnavigator.net

Środki ochrony.

• podział obszarów chronionych na strefy

ograniczonego dostępu.

Środki ochrony.

• podział obszarów chronionych na strefy

bezpieczeństwa,

• systemy kontroli dostępu,

Środki ochrony.

• podział obszarów chronionych na strefy

bezpieczeństwa,

• systemy kontroli dostępu,

• ochronę prowadzoną przez służby ochronne,

* zdjęcie pochodzi z serwisu http://www.artua.com

Środki ochrony.

• podział obszarów chronionych na strefy

bezpieczeństwa,

• systemy kontroli dostępu,
• ochronę prowadzoną przez służby

ochronne,

• zabezpieczenia typu budowlanego,

Środki ochrony.

• podział obszarów chronionych na strefy

bezpieczeństwa,

• systemy kontroli dostępu,
• ochronę prowadzoną przez służby

ochronne,

• zabezpieczenia typu budowlanego,

• zabezpieczenia typu mechanicznego,

• * zdjęcie pochodzi z serwisu http://www.artua.com

Środki ochrony.

• podział obszarów chronionych na strefy

bezpieczeństwa,

• systemy kontroli dostępu,
• ochronę prowadzoną przez służby

ochronne,

• zabezpieczenia typu budowlanego,
• zabezpieczenia typu mechanicznego,

• systemy alarmowe.

Środki ochrony.

• podział obszarów chronionych na strefy

bezpieczeństwa,

• systemy kontroli dostępu,
• ochronę prowadzoną przez służby

ochronne,

• zabezpieczenia typu budowlanego,
• zabezpieczenia typu mechanicznego,
• systemy alarmowe,
• zabezpieczenie nośników informacji i

dokumentów,

• zabezpieczenia przed podglądem i

podsłuchem.

Bezpieczeństwo oprogramowania.

Dylemat złodzieja i strażnika.

• Zasada #1 Strażnik musi pilnować wszystkiego;

złodziej może wybrać najsłabszy punkt według
uznania.

• Zasada #2 Strażnik musi czuwać bez przerwy; złodziej

podejmie próbę kradzieży w dogodnym dla siebie
momencie.

• Zasada #3 Strażnik pilnuje tych zasobów, o których

wie - złodziej będzie starał się znaleźć ukryte furtki i
słabe miejsca w systemie.

* zdjęcie pochodzi z serwisu http://www.humorpage.pl

Oprogramowanie.

• Przed instalacją oprogramowanie

należy uprzednio przetestować pod
względem poprawności, stabilności i
obecności kodów złośliwych.

• Procedury oraz wyniki testowania

powinny zostać ujęte w dokumentacji
bezpieczeństwa systemu;

Bezpieczeństwo

elektromagnetyczne.

• Utrata poufności następuje na skutek emisji

ujawniającej pochodzącej z urządzeń systemu.

• Ochronę elektromagnetyczną zapewnia się

przez umieszczanie urządzeń systemu w
strefach tłumienności elektromagnetycznej lub
przez zastosowanie tzw. bezpiecznych
stanowisk komputerowych, które spełniają
normę TEMPEST (Temporary Emanation and
Spurious Transmission).

Bezpieczeństwo transmisji.

• Bezpieczeństwem transmisji jest

możliwość wysłania wiadomości
elektronicznej pomiędzy dwoma lub więcej
komputerami tak, aby tylko adresat mógł
odebrać i odczytać wiadomość,
a informacja w niej zawarta była
identyczna z informacją wysłaną.

Ochrona kryptograficzna.

• Polega na zastosowaniu mechanizmów

gwarantujących poufność informacji.

• Siła mechanizmów kryptograficznych musi być

odpowiednia do klauzuli informacji niejawnych.

• Ochronę kryptograficzną stosuje się w przypadku

przekazywania informacji niejawnych poza strefę
kontrolowanego dostępu.

* zdjęcie pochodzi z serwisu http://www.heveliusforum.org

Konserwacja i naprawa sprzętu.

• Każde urządzenie Systemu, podlega

rutynowym czynnościom konserwacyjnym
(czyszczenie monitora, klawiatury itp.)
oraz przeglądom wykonywanym przez
Administratora lub wyznaczony personel
techniczny.

Konserwacja i naprawa sprzętu.

• W przypadku konieczności przekazania

sprzętu do naprawy należy wymontować
wszelkie komputerowe nośniki danych,
oraz wymazać dane z wszelkich układów
pamięci wchodzących w skład
naprawianych urządzeń.

Zasilanie.

• W przypadku nie stosowania urządzeń

podtrzymania UPS z filtracją elektromagnetyczną,
instalację zasilania z sieci energetycznej należy
wykonywać jako sieć odseparowaną
(dedykowaną) z uziemieniem.

• Należy unikać współużytkowania gniazd

zasilających elementy systemu z odbiornikami
o dużym poborze prądu (grzejniki, czajniki,
klimatyzatory, itp.).

Sytuacje specjalne.

• Projektując bezpieczny system należy

przewidzieć wpływ czynników
zewnętrznych na bezpieczeństwo i
niezawodność systemu.

Procedury działania w sytuacjach

specjalnych.

• Włamanie.
Procedura powinna obejmować włamania, napad,

włączenie sygnalizacji alarmowej w ŚBL, jak również

sytuacje związane z działaniami terrorystycznymi

oraz stwierdzeniem naruszenia środków ochrony

fizycznej.

* zdjęcie pochodzi z serwisu

http://www.tapeciarnia.pl

Procedury działania w sytuacjach

specjalnych.

• Procedura na wypadek włamania.

• Pożar.

Procedura powinna zawierać informację o

sposobie reagowania w przypadku
wystąpienia pożaru, włączenia sygnalizacji
przeciwpożarowej.

Procedury działania w sytuacjach

specjalnych.

• Procedura na wypadek włamania.
• Procedura na wypadek pożaru.

• Zagrożenia środowiskowe.

Procedura powinna zawierać informację

o sposobie reagowania w przypadku
zaistnienia zagrożeń środowiskowych.

Procedury działania w sytuacjach

specjalnych.

• Procedura na wypadek włamania.
• Procedura na wypadek pożaru.
• Procedura na wypadek zaistnienia zagrożeń

środowiskowych.

• Odtworzenie działania systemu.

Procedura powinna zawierać informację o

sposobie postępowania mającego na celu
odtworzenie działania systemu po
wystąpieniu sytuacji specjalnych.

Cykl życia systemów

teleinformatycznych.

Na cykl życia systemu teleinformatycznego

składają się następujące etapy:

•

ustalenie potrzeb systemu oraz ogólnych wymagań

bezpieczeństwa;

•

projektowanie i pozyskanie systemu, obejmujące:

•

określenie wymagań wobec sprzętu,

oprogramowania oraz niezbędnych środków

zabezpieczających;

•

zakup gotowych produktów lub zaprojektowanie i

stworzenie własnych rozwiązań;

•

stworzenie dokumentacji, bezpieczeństwa systemu;

• akredytacją i wdrożenie systemu, polegające

na:

–

integracji elementów składowych i wstępnym
uruchomieniu systemu teleinformatycznego;

–

ocenie przez BBT SKW dokumentacji
bezpieczeństwa;

–

przeprowadzeniu audytu bezpieczeństwa
teleinformatycznego i wydaniu certyfikatu
akredytacji bezpieczeństwa teleinformatycznego
(w przypadku systemów przeznaczonych do
przetwarzania informacji niejawnych stanowiących
tajemnicę państwową);

• eksploatacja i udoskonalanie systemu,

obejmujące:

- wykorzystanie systemu

teleinformatycznego do wytwarzania,

przetwarzania, przechowywania lub

przesyłania informacji;

-wykonywanie niezbędnych przeglądów,

napraw i modernizacji elementów systemu;

-utrzymywanie zaakceptowanej przez SKW

konfiguracji sprzętowo-programowej oraz

systemu ochrony.

Wycofanie z eksploatacji.

• Przeklasyfikowanie, niszczenie

(złomowanie).

Świadomość i obowiązki

użytkownika.

• Przed załączeniem Systemu dokonać

zewnętrznych oględzin stanowiska

komputerowego (komputer, monitor,

klawiatura, mysz, drukarka), ze

zwróceniem szczególnej uwagi na próby

modyfikacji stanowiska (zerwanie plomb,

odkręcenie obudowy, instalacja urządzeń

szpiegujących).

W przypadku stwierdzenia naruszenia

plomb lub manipulacji przy urządzeniach

stanowiska komputerowego natychmiast

powiadomić inspektora bezpieczeństwa

teleinformatycznego.

Świadomość i obowiązki

użytkownika.

• Włączyć urządzenie podtrzymujące

zasilanie, monitor, drukarkę, komputer.

• Zalogować się do Systemu poprzez

wpisanie identyfikatora i hasła.

• Wykorzystywać tylko autoryzowane

oprogramowanie zgodne ze spisem

zawartym w „Szczególnych warunkach

bezpieczeństwa systemu

teleinformatycznego”.

Świadomość i obowiązki

użytkownika.

• Przed importowaniem danych do

systemu z nośników zewnętrznych

upewnić się czy nośniki pochodzą z

autoryzowanych źródeł i są

zabezpieczone przed zapisem.

• Przed otwarciem nośnika zewnętrznego

należy go przeskandować programem

antywirusowym.

Świadomość i obowiązki

użytkownika.

• W czasie pracy w Systemie nie

dopuszczać do ujawnienia informacji
wyświetlanej na ekranie monitora oraz
będącej w formie wydruków osobom
nieupoważnionym zgodnie z zasadą
wiedzy koniecznej.

Świadomość i obowiązki

użytkownika.

• Rejestrować wszystkie wydrukowane

dokumenty w „Dzienniku ewidencji

dokumentów wykonanych techniką

komputerową” (w przypadku wydruków

próbnych lub zawierających błędy

niezwłocznie je niszczyć zgodnie

z obowiązującymi dokumentami

normatywnymi).

• Nie pozostawiać stanowiska komputerowego

z załączonym Systemem bez nadzoru.

Świadomość i obowiązki

użytkownika.

• Informować administratorowi systemu o

wszelkich nieprawidłowościach wynikłych

podczas pracy Systemu oraz wykrytych

wirusach i programach szpiegujących.

• Zmieniać hasło dostępu do systemu w

przedziale czasowym określonym

w „Procedurach bezpiecznej eksploatacji”

lub, jeśli zachodzi taka potrzeba i nikomu

go nie ujawniać.

Świadomość i obowiązki

użytkownika.

• Przed zakończeniem pracy w systemie

upewnić się czy w napędach (dyskietki, płyty
CD/DVD) nie znajdują się nośniki danych.

• Wyłączyć komputer, drukarkę, monitor i

urządzenie podtrzymujące zasilanie.

•

* zdjęcie pochodzi z serwisu http://www.artua.com

Świadomość i obowiązki

użytkownika.

• Przed opuszczeniem pomieszczenia,

w którym znajduje się system
upewnić się czy zasilanie stanowiska
komputerowego jest wyłączone
w pomieszczeniu i w koszu nie
pozostały wydruki lub nośniki
danych, sprawdzić zamknięcie okien,
zgasić światło poczym zamknąć
i zaplombować pomieszczenie.

Dziękuję za uwagę

*

zdjęcie pochodzi z serwisu http://www.tapeciarnia.pl