Ochrona i bezpieczeństwo danych

System – zbiór elementów i powiązań między nimi (127 definicji) S=<Elementy,Relacje,Cel,Wejście,Wyjście>

Struktura – punkt widzenia, system ma nieskończenie wiele struktur, w SI musimy wybrać aspekt systemu i określić jego strukturę Struktura = <Et,Rt> t – relacje natury technicznej

Poziom istotności – poziom oddziaływania pojedynczego elementu na całość systemu

System informatyczny ma 8 struktur: Techniczna (kable itd. Aż do SO) ; Procesowa (mapa procesów biznesowych danej organizacji) ; Organizacyjna (role zdefiniowane w systemie, role mają uprawnienia); Funkcjonalna (zadania i procesy); Informacyjna; Niezawodnościowa; Konstrukcyjno – Technologiczna (istota konstrukcji si oraz stosowana w nim technologia przetwarzania danych)

Obiektowe bazy danych – podstawowa konstrukcja to obiekt z atrybutami i metodami

Relacyjne bazy danych – podstawowa konstrukcja to relacja (czyli tabela z kolumnami, tabele mają więzi, encje mają między sobą związki)

Integracyjność danych – dane rzeczywiste w firmie są zgodne z danymi zapisanymi w BD

Organizacja statyczna -> System + Struktura; Organizacja dynamiczna -> Proces

Proces – podział 1. Zewnętrzne/Wewnętrzne; 2. Produkcyjne/Zarządcze/Logistyczne

Proces ma właściciela(dana osoba lub konkretna rola z wyznaczonymi rolami zastępczymi), przetwarza informacje, ma właściciela danych, ma listę uczestników (z rolami).

Procedura realizacji dla procesu (rozłożenie na czynniki) – tekstowa,graficzna,mieszana – wykaz działań i powiązań w czasie – każda czynność ma przypisanego wykonawcę.

Encja – obiekt informacyjny, o którym trzeba przechowywać informacje w systemie

System informatyczny – część systemu informacyjnego oparty na technologii IT. Nie jest w stanie pokryć całego informacyjnego ze względu na zbyt częste zmiany

Dane – fakty, opis wszystkich zdarzeń w przedsiębiorstwie, jakie miały miejsce

Informacje – interpretacja danych, kontekst danych

Wiedza – wywnioskowane na podstawie informacji, przyrost informacji, której jeszcze nie mamy

Mądrość – umiejętność wykorzystywania wiedzy w życiu

Systemy przetwarzania danych – do danych (tranzakcyjne, OLTP itp.) – do informacji częściowo (systemy zarządzania informacją) – do całej informacji (sieci neuronowe, systemy wspomagania decyzji). Dla danych są oparte o BD, dla informacji o hurtownie danych, dla wiedzy systemy/hurtownie wiedzy

Bezpieczeństwo jest procesem. Największym zagrożeniem jest pracownik

Standard – prawo i wszystko to, na co zezwalają aktualne przepisy

SZBI – system zarządzania bezpieczeństwem informacji

Norma 27001 – specyfikuje wymagania na SZBI ( certyfikat, trzeba je spełnić ) 121 zasad. Z niej wybierane są punkty, które dotyczą organizacji i musimy je spełnić

Lista działań: 1. Diagnoza organizacji z punktu widzenia bezpieczeństwa ( dotyczy właścicieli danych, procesów i ich obecnych zabezpieczeń ) 2. Ustal zakres SZBI – każda organizacja ma 10obszarów : polityka bezpieczeństwa, bezpieczeństwo osobowe itp.. ) Najlepiej zakresem objąć konkretne procesy biznesowe i zacząć od ochrony najważniejszych.

Atrybuty bezpieczeństwa informacji : poufność, dostępność, integralność

Utrata: poufności – ktoś nieuprawniony ma dostęp do informacji ; dostępności – utrata możliwości dostępu do danych/informacji ; integralności – dane w systemie różnią się od faktycznych w organizacji

1. Ustal zakres SZBI

2. Inwentaryzacja zasobów informacyjnych

• Ogólna wycena zasobu informacyjnego

1. Lista zasobów wrażliwych (zasoby, których wyjście na zewnątrz może przynieść straty)

• Szczegółowa wycena zasobu informacyjnego

1. Ustal listę podatności dla każdego zasobu wrażliwego

2. Ustal listę zagrożeń dla każdego zasobu wrażliwego

Organizacja ma 3 strefy: elektroniczne środowisko bezpieczeństwa (serwerownie); lokalne środowiska bezpieczeństwa (wszystkie miejsca gdzie są stanowiska robocze); globalne środowisko bezpieczeństwa (wszystko do płotu lub jak nie ma płotu to do 15m)