Dane - wyizolowane liczby i fakty bez żadnego kontekstu. Dane uzyskiwane są zarówno z wewnętrznych, jak i zewnętrznych źródeł. Mogą być uzyskiwane jako produkt automatycznych rutynowych działań (rezerwacja biletów lotniczych). Wiele uwagi przykłada się do metod przetwarzania danych, podczas gdy zapomina się o jakości źródła danych. Jeśli źródło danych jest niewłaściwe lub niesprawne, to uzyskana z nich informacja będzie bezwartościowa.

Informacje - dane, przetworzone w postać użyteczną dla odbiorcy, prezentowane w kontekście, który ma określone znaczenie. Słowo informacja pochodzi od łacińskiego informare, („nadawać kształt”). Dane stają się informacją, kiedy ich nadawca – twórca dodaje im znaczenia. Dokonujemy transformacji danych w informacje dodając im wartości. Davenport i Prusak wskazują kilka metod, określając je mianem „5C”,

Nadawanie kontekstu – znamy cel zbierania danych
Kategoryzacja - znamy kluczowe składowe danych
Kalkulacja - dane analizowane matematycznie lub statystycznie
Korekta - z danych usuwamy błędy
Kondensacja - dane podsumowywane w bardziej zwartą formę.

Wiedza oznacza uporządkowane i „oczyszczone" informacje. Posiadanie bogatej wiedzy na dany temat prowadzi do mądrości. Wiedza ma charakter intuicyjny. Mądrość i wiedza zarezerwowane są tylko dla ludzi, natomiast dane i informacje mogą być gromadzone w komputerach i w specjalnych bazach.
Dane (niepołączone fakty) informacja (uporządkowane dane)wiedza (uporządkowane i oczyszczone z błędów informacje) Mądrość

Wartość informacji:
Można przyjąć następujące miary:
1. Opartą na ilości informacji.
2. Na podstawie pracy, jaką można wykonać przy wykorzystaniu tej informacji.
3. Miarą konkretnej informacji może być liczba użytkowników, którzy o nią zabiegają.
4. Zaoszczędzony czas może również służyć za miarę wartości informacji.
5. Oparta na wartości pieniężnej. Wartość informacji wynika ze skuteczności, trafności zmian decyzyjnych podjętych na jej podstawie pomniejszonej o koszt wyprodukowania tej informacji.

Relacja pomiędzy kosztem a wartością informacji – im lepsza jakość informacji lub jej ilość tym wyższy jest koszt uzyskania tej informacji

Klasyfikacja informacji ze względu na:
Źródło - Wewnętrzna, zewnętrzna, pierwotna, wtórna, rządowa
Charakter - Ilościowa, jakościowa, formalna, nieformalna
Poziom - Strategiczna, taktyczna, operacyjna,
Częstotliwość - Ciągła, godzinna, dzienna, miesięczna, roczna
Wykorzystanie - Planistyczna, kontrolna, do podejmowania decyzji
Forma - Pisemna, ustna, wizualna, czujnikowa
Pojawianie się - W zaplanowanych przedziałach czasu, okazjonalnie, na żądanie
Typ - Szczegółowa, podsumowująca, zagregowana, wycięta

Cechy informacji:
Dokładna - wolna od błędów.
Niedokładna – błędna GIGO (ang. garbage in, garbage out - śmiecie na wejściu, śmiecie na wyjściu)
Kompletna - zawiera wszystkie ważne fakty.
Ekonomiczna/ Opłacalna - Wytworzenie/uzyskanie informacji musi być relatywnie opłacalne
Elastyczna - może być wykorzystywana do różnych celów.
Wiarygodna - taka, na której można polegać. Wiarygodność informacji zależy od wiarygodności metody zbierania danych i od źródła informacji.
Istotna - informacja przydatna.
Prosta/Zwarta - powinna być tak prosta, jak to jest możliwe.
Aktualna - dostarczana jest wtedy, kiedy jest potrzebna. aktualność informacji, w dużej części jest funkcją otoczenia organizacji.
Weryfikowalna - można ją sprawdzić, aby utwierdzić się, że jest poprawna.
Dostępna - łatwo dostępna dla uprawnionych użytkowników, we właściwym formacie i we właściwym czasie
Zrozumiała - Jeśli informacja nie jest zrozumiała, to nie może być użyta i dlatego też nie może być wartościowa. Na zrozumiałość informacji mają wpływ takie czynniki, jak: preferencje użytkownika, czynniki środowiskowe, język, posiadana wiedza.
Zabezpieczona - zabezpieczona przed nieuprawnionym dostępem.

System jest układem składającym się z części, gdzie:
1) Części lub składniki są połączone razem w zorganizowany sposób, a pomiędzy nimi występują określone relacje.
2) Na składniki systemu mają wpływ różne oddziaływania spowodowane ich występowaniem w systemie. Te oddziaływania zmieniają się po opuszczeniu systemu przez niektóre z nich.
3) Układ coś robi.
4) Układ zostaje zidentyfikowany jako obiekt określonego zainteresowania.

System informatyczny (SI) to system informacyjny, który wykorzystuje technologię komputerową do wykonywania niektórych lub wszystkich zamierzonych zadań.

Składniki systemu informatycznego:
Sprzęt (komputery, stacje robocze, laptopy, serwery, drukarki, skanery).
Oprogramowanie ( systemy operacyjne, programy użytkowe)
Baza danych zbiór powiązanych ze sobą plików, tablic, relacji itp., w których przechowywane są dane i zależności pomiędzy nimi.
Sieć jest systemem łączącym sprzęt komputerowy. Może to być zarówno światowa sieć Internet, wewnętrzna organizacyjna sieć intranet, jak i międzyorganizacyjna sieć extranet.
Procedury są to strategie, polityki, metody, zasady i zbiory instrukcji określających sposoby łączenia wymienionych wyżej składników, tak, aby przetwarzały informacje i generowały pożądane wyjścia.
Ludzie to użytkownicy systemu. Stanowią najbardziej inteligentną część systemu i najważniejszą.
Kontekst społeczny - składa się nań zrozumienie wartości i zasad, które określają, co jest dopuszczalne i możliwe w ramach zwyczajów i kultury, określonej dla ludzi bądź grupy osób należących do danej organizacji.
Cel.

Tajemnica — dane lub informacje, których ujawnienie osobom nieuprawnionym jest zakazane ze na normy prawne.

Tajemnice chronione prawem w Polsce:
1) tajemnica państwowa (ściśle tajne, tajne)
2) tajemnica służbowa (poufne, zastrzeżone)
3) tajemnice zawodowe (informacje wrażliwe) (tajemnica autorska, bankowa, biegłego rewidenta, doradcy podatkowego, funduszy inwestycyjnych, dziennikarska, geologiczna, handlowa, kontroli państwowej, ksiąg rachunkowych, maklerska, oświadczeń majątkowych, pomocy społecznej, pracodawcy, przedsiębiorstwa, skarbowa, spowiedzi, statystyczna, ubezpieczeń społecznych ), tajemnice medyczne (tajemnica pielęgniarska, aptekarska, zdrowia psychicznego), tajemnica zawodach prawniczych (tajemnica adwokacka, komornika sądowego, notarialna, radcowska, sędziowska, wojskowa, wynalazcza, pocztowa)
4) Inne tajemnice (tajność wyborów, świadek incognito, świadek koronny, tajemnica korespondencji, tajemnica organizacji społecznej)

Informacja niejawna - informacja, która wymaga ochrony przed nieuprawnionym ujawnieniem, jako stanowiącą tajemnicę państwową lub służbową, niezależnie od formy i sposobu jej wyrażenia, także w trakcie jej opracowania. Zdefiniowana w ustawie z dnia 22 stycznia 1999 roku o ochronie informacji niejawnych.

Informacje niejawne dotyczące tajemnicy państwowej oznacza się klauzulą: ściśle tajne, tajne

Informacje niejawne dotyczące tajemnicy służbowej oznacza się klauzulą:
poufne –gdy nieuprawnione ujawnienie powodowałoby szkodę dla interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli,
zastrzeżone – gdy nieuprawnione ujawnienie mogłoby spowodować szkodę dla prawnie chronionych interesów obywateli albo jednostki organizacyjnej.

Dokument - każda utrwalona informacja niejawna, na piśmie, mikrofilmach, negatywach i fotografiach, nośnikach do zapisów informacji w postaci cyfrowej i na taśmach elektromagnetycznych, także w formie mapy, wykresu, rysunku, obrazu, grafiki, fotografii, broszury, książki, kopii, odpisu, wypisu, wyciągu i tłumaczenia dokumentu, zbędnego lub wadliwego wydruku, odbitki, kliszy, matrycy i dysku optycznego, kalki, taśmy atramentowej, jak również informacja niejawna utrwalona na elektronicznych nośnikach danych

Materiał – dokument i chroniony jako informacja niejawna przedmiot lub dowolna jego część, a zwłaszcza urządzenie, wyposażenie lub broń wyprodukowana albo będąca w trakcie produkcji, a także składnik użyty do ich wytworzenia.

Tajemnica państwowa wg ustawy z dnia 22 stycznia 1999r. jest to informacja, której nieuprawnione ujawnienie może spowodować istotne zagrożenie dla podstawowych interesów RP dotyczących porządku publicznego, obronności, bezpieczeństwa, stosunków międzynarodowych lub gospodarczych państwa

Tajemnica służbowa - to informacja niejawna niebędąca tajemnicą państwową, uzyskana w związku z czynnościami służbowymi albo wykonywaniem prac zleconych, której nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub prawnie chroniony interes obywateli albo jednostki organizacyjnej .

Instytucje których dotyczy ustawa o ochronie informacji niejawnych:
organów władzy publicznej (Sejmu i Senatu, Prezydenta, organów administracji rządowej, organów jednostek samorządu terytorialnego, sądów i trybunałów, organów kontroli państwowej i ochrony prawa)
Sił Zbrojnych
Narodowego Banku Polskiego i banków państwowych
państwowych osób prawnych
przedsiębiorców, jednostek naukowych lub badawczo-rozwojowych (zamierzających ubiegać się, ubiegających się o zawarcie lub wykonujących umowy związane z dostępem do informacji niejawnych)

Okres ochrony informacji niejawnej: Informacje niejawne stanowiące tajemnicę państwową podlegają ochronie przez okres 50 lat od daty ich wytworzenia.
Chronione bez względu na upływ czasu pozostają: dane identyfikujące funkcjonariuszy i żołnierzy ABW, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego i CBA oraz byłego UOP i byłych WSI wykonujących czynności operacyjno-rozpoznawcze;
dane identyfikujące osoby, które udzieliły pomocy w zakresie czynności operacyjno-rozpoznawczych organom, służbom i instytucjom państwowym uprawnionym do ich wykonywania na podstawie ustawy;
informacje niejawne uzyskane od organów innych państw lub organizacji międzynarodowych, jeżeli taki był warunek ich udostępnienia.
Informacje niejawne stanowiące tajemnicę służbową podlegają ochronie przez okres: 5 lat od daty wytworzenia("poufne"); 2 lat od daty wytworzenia ("zastrzeżone".)

Wykluczenia z dostępu do informacji niejawnych: dostępu do informacji niejawnych nie mogą posiadać osoby nieposiadające obywatelstwa polskiego, skazane prawomocnym wyrokiem za przestępstwo, także za granicą, które nie posiadają poświadczenia bezpieczeństwa.

Odpowiedzialność karna za naruszenie tajemnicy państwowej i służbowej:
Kara pozbawienia wolności od 3 m-cy do lat 5 za ujawnienie informacji niejawnych stanowiących tajemnice państwową, wykorzystanie wbrew przepisom ustawy informacji niejawnych stanowiących tajemnice państwową.
Kara pozbawienia wolności od 6 m-cy do lat 8 za ujawnienie informacji stanowiącej tajemnice państwową osobie działającej w imieniu lub na rzecz podmiotu zagranicznego, niszczenie nośnika informacji o szczególnym znaczeniu
Kara pozbawienia wolności do lat 3 za ujawnienie osobie nieuprawnionej informacji niejawnej stanowiącej tajemnice słu0bowa lub informacji uzyskanej w związku z wykonywaniem czynności słu0bowych, której ujawnienie może narazić na szkodę prawnie chroniony interes, nieuprawnione niszczenie, uszkodzenie, zmiana zapisów istotnej informacji, utrudnianie zapoznania się osobie uprawnionej;
Kara pozbawienia wolności do lat 2 za uzyskiwanie bez uprawnień informacji dla niego nie przeznaczonej, otwieranie pism, przełamywanie zabezpieczeń; posługiwanie się urządzeniem podsłuchowym;

Bezpieczeństwo przemysłowe:
świadectwo bezpieczeństwa przemysłowego wydaje się odpowiednio:
pierwszego stopnia - potwierdzające pełną zdolność przedsiębiorcy, jednostki naukowej lub badawczo-rozwojowej do ochrony tych informacji;
drugiego stopnia - potwierdzające zdolność przedsiębiorcy, jednostki naukowej lub badawczo-rozwojowej do ochrony tych informacji, z wyłączeniem możliwości ich wytwarzania, przechowywania, przekazywania lub przetwarzania we własnych systemach i sieciach teleinformatycznych;
trzeciego stopnia - potwierdzające zdolność przedsiębiorcy, jednostki naukowej lub badawczo-rozwojowej do ochrony tych informacji, z wyłączeniem możliwości ich wytwarzania, przechowywania, przekazywania lub przetwarzania w użytkowanych przez niego obiektach.

Kancelaria tajna - miejsce gdzie gromadzi się dokumenty niejawne, niedostępne dla wszystkich. jest jednym z wielu elementów ogólnej polityki bezpieczeństwa firmy/korporacji/organizacji i zarazem jedynym o ściśle określonych, tak bardzo specyficznych wymaganiach, związanych z realizowanymi na co dzień zadaniami niejawnymi.

Klasy ataków elektronicznych pod względem interakcji atakującego:
pasywne – atakujący ma dostęp do danych (komunikacji) w systemie, mogąc je odczytać, lecz ich nie modyfikuje (podsłuch komunikacji pomiędzy użytkownikami systemu)
aktywne – atakujący pośredniczy w przetwarzaniu danych (komunikacji) w systemie, mogąc je nie tylko odczytać, lecz również sfałszować czy spreparować z premedytacją, tak by uzyskać zamierzony cel ataku.

Klasy ataków elektronicznych pod względem źródła ataku:
lokalny – atakujący już ma dostęp do systemu (konto) i próbuje zwiększyć swe uprawnienia
zdalny – atakujący nie posiada jeszcze żadnych uprawnień w systemie atakowanym

formy ataku elektronicznego:
podszywanie – atakujący udaje inny podmiot, w domyśle zaufany systemowi atakowanemu, np. fałszywy serwer www podszywa się pod znaną witrynę internetową
podsłuch – pozyskanie danych składowanych, przetwarzanych lub transmitowanych w systemie –przykład: przechwycenie niezabezpieczonego hasła klienta przesyłanego do serwera
odtwarzanie – użycie ponowne przechwyconych wcześniej danych, np. hasła
manipulacja – modyfikacja danych w celu zrekonfigurowania systemu lub wprowadzenia go do stanu, z którego atakujący może osiągnąć bezpośrednio lub pośrednio korzyść (np. zastosować skuteczny atak gotowym narzędziem)
wykorzystanie luk w systemie – posłużenie się wiedzą o znanej luce, błędzie w systemie lub gotowym narzędziem do wyeksploatowania takiej luki – bardzo częste w przypadku ataków zdalnych

Podstawowe fazy ataku:
1. skanowanie (wyszukanie słabości, np. sondowanie usług)
2. wyznaczenie celu (np. niezabezpieczona usługa)
3. atak na system
4. modyfikacje systemu umożliwiające późniejszy powrót
5. usuwanie śladów
6. propagacja ataku

Podstawowe środki ostrożności: uniemożliwienie startowania systemu z nośników wymiennych, ograniczenie wykorzystania przestrzeni lokalnych dysków twardych, ograniczenie stosowania nośników wymiennych (stacji dyskietek, nagrywarek), rejestracja prób dostępu do systemu i ich limitowanie (kontrola, kto i kiedy korzystał z systemu), bezpieczne kasowanie poufnych danych, uniemożliwienie usunięcia / wyłączenia zabezpieczeń, np. antywirusowych, konsekwentna polityka haseł użytkowników

Elementarna ochrona sieci lokalnej: dobór medium i topologii gwiazdy (okablowanie strukturalne)
fizyczna ochrona pomieszczeń z węzłami sieci i serwerami, zdefiniowanie listy stanowisk, z których dany użytkownik może uzyskać dostęp do systemu (adresy MAC lub IP), usuwanie nieużywanych kont użytkowników

Elementarna ochrona usług sieciowych: Procedura ochrony dostępu polega na przeprowadzeniu następującej sekwencji operacji:
1. usunięcie z systemu wszystkich usług zbędnych, najlepiej poprzez całkowite odinstalowanie,
2. zastąpienie usług niezbędnych odpowiednikami o podwyższonym Bezpieczeństwie
3. kontrola dostępu do pozostałych usług (np. poprzez zapory sieciowe firewall)

Stosowanie mechanizmów bezpieczeństwa: zasada naturalnego styku z użytkownikiem, zasada spójności poziomej i pionowej, zasada minimalnego przywileju, zasada domyślnej odmowy dostępu

Zasada naturalnego styku z użytkownikiem: Zabezpieczenie nie możne być postrzegane przez użytkowników jako nienaturalny element systemu, stanowiący utrudnienie w ich pracy. Jeśli stosowanie będzie wymagało od użytkowników zbyt obciążających ich (czasochłonnych) operacji, to wypracują oni sposób jego obejścia i – w stanie się ów mechanizm bezużyteczny.

Zasada spójności poziomej i pionowej: Reguły „trwałości łańcucha”, mówi, iż cały łańcuch jest tak trwały, jak jego najsłabsze ogniwo. Spójność pionowa mówi o konieczności zastosowania kompletnych zabezpieczeń „w pionie” – jak kraty w oknach na pierwszym piętrze, to i na parterze czy innej „dostępnej” z zewnątrz kondygnacji, analogicznie – jak jedna warstwa przez którą istnieje dostęp do systemu, to każda inna, w której niezależnie taki dostęp też jest możliwy.

Zasada minimalnego przywileju: Użytkownikom należy udzielać uprawnień w sposób zgodny z polityką bezpieczeństwa – tylko i wyłącznie takich, które są niezbędne do zrealizowania ich pracy.

Zasada domyślnej odmowy dostępu: Jeśli na podstawie zdefiniowanych reguł postępowania mechanizmy obrony nie potrafią jawnie rozstrzygnąć, jaką decyzję podjąć wobec analizowanych operacji (np. nadchodzącego pakietu protokołu komunikacyjnego), to decyzją ostateczną powinna być odmowa dostępu (odrzucenie pakietu).

Identyfikacja - możliwość rozróżnienia użytkowników, (UID)
Uwierzytelnianie - proces weryfikacji tożsamości użytkownika; najczęściej opiera się na tym: co użytkownik wie np. zna hasło, co użytkownik ma, np. elektroniczną kartę identyfikacyjną
Autoryzacja - proces przydzielania praw (dostępu do zasobów) użytkownikowi
Kontrola dostępu procedura nadzorowania przestrzegania praw (dostępu do zasobów)
Poufność - ochrona informacji przed nieautoryzowanym jej ujawnieniem
Nienaruszalność - ochrona informacji przed nieautoryzowanym jej zmodyfikowaniem
Autentyczność - pewność co do pochodzenia danych
Niezaprzeczalność - ochrona przed fałszywym zaprzeczeniem – przez nadawcę – faktu wysłania danych i przez odbiorcę – faktu otrzymania danych

Filozofie przydziału uprawnień:
1. Wszystko jest dozwolone.
2. Wszystko, co nie jest zabronione, jest dozwolone.
3. Wszystko, co nie jest dozwolone, jest zabronione.
4. Wszystko jest zabronione.
Tylko trzecia jest zgodna z zasadą minimalnego przywileju i domyślnej odmowy dostępu.

Klasy bezpieczeństwa systemów komputerowych:
Trusted Computer System Evaluation Criteria (TCSEC “Orange Book”) – USA; standard opracowany w USA, pierwszy powszechnie stosowany w skali światowej. Owiązujący w latach 1983-2000 stał się podstawą opracowywania podobnych norm na świecie.
Information Technology Security Evaluation Criteria (ITSEC) – EU; obowiązywał 1991-1997. Powstał głównie z angielskiego CESG2/DTIEC, francuskiego SCSSI i niemieckiego ZSIEC.
Common Criteria Assurance Levels (EAL) – aktualnie obowiązujący standard będący w istocie złączeniem ITSEC, TCSEC oraz CTCPEC (Kanada). Od 1996 powszechnie znany jako Common Criteria for Information Technology Security Evaluation. Od 1999 roku zaakceptowany jako międzynarodowa norma ISO15408 ( EAL v.2).

Klasa	Własności
D	Minimalna ochrona (jej brak)
C1	Identyfikacja i uwierzytelnianie użytkowników, hasła chronione, luźna kontrola dostępu, ochrona obszarów systemowych pamięci
C2	Kontrola dostępu na poziomie poszczególnych użytkowników, automatyczne czyszczenie przydzielonych obszarów pamięci, wymagana możliwość rejestracji dostępu do zasobów
B1	Etykietowane poziomy ochrony danych
B2	Ochrona strukturalna – jądro ochrony, weryfikacja autentyczności danych i procesów, informowanie użytkownika o dokonywanej przez jego proces zmianie poziomu bezpieczeństwa, wykrywanie zamaskowanych kanałów komunikacyjnych, ścisła rejestracja operacji
B3	Domeny ochronne, aktywna ochrona pracy systemu, bezpieczne przeładowanie systemu
A1	Formalne procedury analizy i weryfikacji projektu i implementacji systemu

uzyskanie certyfikatu danej klasy jest operacją formalną i odpłatną.

system możemy uznać za bezpieczny, jeśli można od niego oczekiwać, że wprowadzone na stałe dane nie zostaną utracone, nie ulegną zniekształceniu i nie zostaną pozyskane przez nikogo nieuprawnionego – ufamy, że system będzie przechowywał i chronił dane.

System wiarygodny:
– dyspozycyjny = dostępny na bieżąco
– niezawodny = odporny na awarie
– bezpieczny = zapewniający ochronę danych
– bezpieczny = bezpieczny dla otoczenia, przyjazny dla środowiska

Zagrożenia bezpieczeństwa: włamanie do systemu komputerowego, nieuprawnione pozyskanie informacji, destrukcja danych i programów, sabotaż (sparaliżowanie pracy) systemu, piractwo komputerowe, kradzież oprogramowania, oszustwo komputerowe i fałszerstwo komputerowe, szpiegostwo komputerowe

Komponenty systemu informatycznego w kontekście bezpieczeństwa: stanowisko komputerowe i infrastruktura sieciowa, system operacyjny i usługi narzędziowe, aplikacje użytkowe

Strategia bezpieczeństwa: decydujące znaczenia na stan bezpieczeństwa ma etap projektowy, który powinien rozpocząć się od wypracowania strategii firmy dotyczącej bezpieczeństwa. Polega to w ogólnym schemacie na odpowiedzi na następujące pytania:
„Co chronić?” (określenie zasobów)
„Przed czym chronić?” (identyfikacja zagrożeń)
„Ile czasu, wysiłku i pieniędzy można poświęcić na należną ochronę” (oszacowanie ryzyka, analiza kosztów i zysku)

Określenie zasobów = „Co chronić?”: sprzęt komputerowy, infrastruktura sieciowa, wydruki, strategiczne dane, kopie zapasowe, wersje instalacyjne oprogramowania, dane osobowe, dane audytu, zdrowie pracowników, prywatność pracowników, zdolności produkcyjne, wizerunek publiczny i reputacja

Identyfikacja zagrożeń = „Przed czym chronić?”: włamywacze komputerowi, infekcje wirusami, destruktywność pracowników / personelu zewnętrznego, błędy w programach, kradzież dysków / laptopów (również w podróży służbowej), utrata możliwości korzystania z łączy telekomunikacyjnych, bankructwo firmy serwisowej / producenta sprzętu, choroba administratora / kierownika (jednoczesna choroba wielu osób), powódź

Polityka bezpieczeństwa. Jej realizacja podlega etapom:
zaprojektowanie
zaimplementowanie
zarządzanie (w tym monitorowanie i okresowe audyty bezpieczeństwa)

Normy i zalecenia zarządzania bezpieczeństwem:
TR 13335-1 - terminologia i modele
TR 13335-2 - metodyka planowania i prowadzenia analizy ryzyka, specyfikacja wymagań stanowisk pracy związanych z bezpieczeństwem systemów informatycznych
TR 13335-3 - techniki zarządzania bezpieczeństwem: zarządzanie ochroną informacji, zarządzanie konfiguracją systemów IT, zarządzanie zmianami
TR 13335-4 - metodyka doboru zabezpieczeń
WD 13335-5 - zabezpieczanie połączeń z sieciami zewnętrznymi

Krypto system: Zadaniem krypto systemu jest uczynić odczytanie treści przekazu przez niepowołane osoby na tyle trudnym i czasochłonnym zadaniem, że w praktyce niemożliwym do odczytania. Jednocześnie powinien on umożliwiać łatwe odszyfrowanie wiadomości dla stron znających tajny klucz. O bezpieczeństwie informacji chronionej przy pomocy algorytmu w głównej mierze decyduje siła krypto systemu, czyli jego odporność na złamanie. Na siłę krypto systemu wpływ mają z kolei jakość algorytmu oraz długość i tajność klucza szyfrowania.

Podział krypto systemu:
kryptografia symetryczna - bazujące na kluczu symetrycznym, gdzie wiadomości szyfrowane i deszyfrowane są przy pomocy jednego klucza. nadawcy służy on do szyfrowania komunikatów, adresatowi - do odszyfrowywania zakodowanej treści. Zaletami tej metody jest szybkość, wydajność oraz odporność na ataki ("łamanie"). wadą tej metody jest konieczność uzgodnienia wspólnego klucza przed rozpoczęciem wymiany komunikatów. Musi zatem istnieć sposób bezpiecznego przekazania tajnego klucza.
kryptografia asymetryczna wykorzystujące parę kluczy: znany każdemu klucz publiczny oraz utajniony, znany tylko nadawcy wiadomości klucz prywatny

Metody łamania szyfru – krypto analiza: Krypto analiza jest działem kryptologii dotyczącym łamania szyfrów. Złamanie szyfru polega na odtworzeniu teksu jawnego bądź klucza na podstawie tekstu zaszyfrowanego albo na określeniu klucza, jeśli znane są tekst jawny i szyfrogram.

Metody krypto analizy podzielić można na dwie klasy:
ataki zwane brutalnymi polegające na sprawdzeniu wszystkich możliwych kluczy,
matematyczne analizy algorytmu, mające na celu znalezienie jego słabych stron umożliwiających złamanie w sposób efektywniejszy niż przy użyciu metody pierwszej; takie słabe strony algorytmu określane są mianem skrótów

System rozproszony- zbiór samodzielnych komputerów połączonych ze sobą w sieci i wyposażonych w rozproszone oprogramowanie systemowe, w którym procesy na poszczególnych maszynach korzystają z rozproszonych usług realizowanych przez serwery zlokalizowane w dowolnym miejscu na świecie.

Pojęcie transakcji:
aspekt ekonomiczny- transakcja to całość działań, poprzez które dana osoba uczestniczy w życiu gospodarczym, tzn. produkuje i sprzedaje bądź nabywa przedmiot transakcji
aspekt prawny- transakcji to zawarcie umowy, najczęściej w sprawie kupna lub sprzedaży czegoś, porozumienie handlowe lub bankowe
aspekt informatyczny- transakcja to wysoko poziomowa abstrakcja synchronizacji procesów w systemach rozproszonych, ukrywająca kwestie techniczne synchronizacji, takie jak zapobieganie blokadom i rekonstrukcje po awarii. Jest to niepodzielna operacja wykonywana przez serwer na zamówienie klienta. Przykładem transakcji są bankowe operacje wpłaty lub wypłaty, sprawdzania stanu konta.

Transakcja informacyjna - niepodzielna operacja wykonywana przez serwer na zamówienie klienta.

e-commerce – (handel elektroniczny) - sprzedaż i dystrybucję towarów poprzez sieci teleinformatyczne oraz reklamę i znaczny obszar działalności usługowej i wytwórczej, dokonywanie odpowiednich płatności za towary i usługi, z pominięciem bezpośredniego kontaktu między stronami.

e-biznes - Odnosi się do handlu towarami i usługami (elektroniczne sklepy, giełdy, aukcje), współpracy między przedsiębiorstwami. Obejmuje wymianę dokumentów (faktury, zamówienia itp.), elektroniczny transfer środków płatniczych, kampanie promocyjne, marketing bezpośredni, obsługę klienta.

Rodzaje transakcji elektronicznych pod względem ekonomicznym: 
B2B - (Business-to-Business, czyli Firma-do-Firmy) obejmuje szeroko rozumiane kontakty między przedsiębiorstwami. Dotyczy transakcji handlowych, w tym międzynarodowych, często zawieranych z pominięciem pośredników (giełdy towarowe)
B2C - (skrót ang. Business-to-Consumer, czyli Firma-do-Konsumenta) obejmuje wszelkie formy sprzedaży detalicznej realizowane zarówno przez producentów, jak też pośredników w formie elektronicznych sklepów czy supermarketów i sieci sprzedaży bezpośredniej, niekiedy z pominięciem hurtowni i pośredników. Transakcje B2C dotyczą klientów finalnych i detalistów.

Definicje podpisu elektronicznego: podpis elektroniczny to ciąg danych w postaci elektronicznej, które wraz z danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

Cztery główne warunki podpisu cyfrowego:
1. uniemożliwienie podszywania się innych pod daną osobę
2. zapewnienie wykrywalności wszelkiej zmiany w danych transakcji (integralność transakcji)
3. zapewnienie niemożliwości wyparcia się podpisu przez autora
4. umożliwienie weryfikacji podpisu przez osobę niezależną

Podpis tradycyjny a podpis elektroniczny:
Cechy wspólne: przypisany jednej osobie, niemożliwy do podrobienia, uniemożliwiający wyparcie się go przez autora, łatwy do weryfikacji przez osobę niezależną, łatwy do wygenerowania
Cechy różniące: Podpis tradycyjny związany nierozłącznie z dokumentem, taki sam dla wszystkich dokumentów, stawiany na ostatniej stronie dokumentu. Podpis elektroniczny może być składowany i przesyłany niezależnie od dokumentu, jest funkcją dokumentu, obejmuje cały dokument.

Zasada działania podpisu elektronicznego: Podpisy elektroniczne opiera się o tzw. szyfry asymetryczne. W przypadku szyfrów asymetrycznych inny klucz służy do kodowania wiadomości, a inny do jej rozkodowywania. Podstawową zaletą szyfru asymetrycznego jest więc możliwość ujawnienia klucza używanego do zaszyfrowywania wiadomości. Nazywany jest on kluczem publicznym. Inaczej sprawa wygląda z kluczem do rozkodowywania wiadomości - jest zachowany w tajemnicy przez właściciela i nazywany kluczem prywatnym.

funkcja skrótu jest: jednokierunkowa tzn. mając wartości funkcji skrótu niemożliwe jest wygenerowanie odpowiadającej jej wiadomości (MD5), dla różnych wiadomości generuje różne wartości tzn. nie ma dwóch różnych wiadomości, dla których wartość funkcji skrótu byłaby taka sama (SHA-1)

Generowanie podpisu elektronicznego: nadawca wiadomości "A" oblicza wartość funkcji skrótu dla wiadomości, którą chce wysłać, a następnie szyfruje otrzymany krótki tekst za pomocą swojego prywatnego klucza. Wynik tej operacji jest podpisem elektronicznym dla danej wiadomości. Teraz "A" wysyłając podpisaną wiadomość do "B" tworzy trzyczęściową przesyłkę składającą się z: wiadomości do "B", wcześniej wygenerowanego podpisu cyfrowego, doklejonego własnego klucza publicznego. W celu zweryfikowania podpisu odbiorca wiadomości "B" wykonuje następujące czynności: oblicza wartość funkcji skrótu dla otrzymanej wiadomości, wiedząc, że wiadomość pochodzi od "A" używa jego klucza publicznego do deszyfrowania podpisu elektronicznego

Podpis elektroniczny a podpis cyfrowy: Podpis elektroniczny w szerokim znaczeniu to powiązanie dokumentu (poddanego digitalizacji) z daną osobą przez cechy charakteryzujące człowieka jednoznacznie (linie papilarne). Podpis cyfrowy ogranicza się do oświadczeń woli uwierzytelnianych kryptografią.

Znaczniki czasu: oznaczenie czasu złożenia podpisu wyklucza ponowne i wielokrotne wprowadzenie do obiegu tego samego podpisanego kiedyś dokumentu.

Certyfikat cyfrowy - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby i potwierdzają jej tożsamość. Fizycznie jest to ciąg informacji zapisanych na odpowiednim nośniku np. karcie procesorowej.

Urząd certyfikacji - Jest to tzw. Zaufana Trzecia Strona. Zadaniem urzędu certyfikacji jest wydawanie i zarządzanie certyfikatami potwierdzającymi że dana osoba jest rzeczywiście tą za którą się podaje. Jest instytucją zaufania publicznego, poświadczającą autentyczność danego klucza publicznego.

Certyfikat cyfrowy posiada następujące informacje: unikalny numer seryjny, tożsamość urzędu certyfikacji wydającego certyfikat, okres ważności certyfikatu, identyfikator właściciela certyfikatu (imię, nazwisko, pseudonim, e-mail itp.), klucz publiczny właściciela certyfikatu, podpis cyfrowy urzędu certyfikacji potwierdzający autentyczność certyfikatu

Polskie centra certyfikacji: Certum, Signet, Polcert

Międzynarodowa norma ISO/IEC 27001:2005 wzorowana na brytyjskim standardzie BS 7799-2:2002 jest ogólnoświatowym wzorcem stanowiącym podstawę wdrażania Systemów Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacjach. Norma ISO/IEC 27001:2005 określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem SZBI. Polski Komitet Normalizacyjny (PKN) opracował i opublikował w styczniu 2007 roku polskie tłumaczenie tej normy - PN-ISO/IEC 27001:2007.

model Planuj - Wykonuj - Sprawdzaj – Działaj:
Planuj - ustanowienie SZBI, celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki zgodne z ogólnymi politykami i celami organizacji.
Wykonuj - wdrożenie i eksploatacja SZBI, zabezpieczeń, procesów i procedur.
Sprawdzaj - monitorowanie i przegląd SZBI - pomiar wydajności procesów w odniesieniu do polityki SZBI, celów i doświadczenia praktycznego oraz dostarczania raportów kierownictwu do przeglądu.
Działaj - utrzymanie i doskonalenie SZBI - podejmowanie działań korygujących i zapobiegawczych na podstawie wyników wewnętrznego audytu SZBI i przeglądu realizowanego przez kierownictwo lub innych istotnych informacji, w celu zapewnienia ciągłego doskonalenia SZBI.

Załącznik A normy ISO/IEC 27001:2005, zawiera zabezpieczenia dotyczące: polityka bezpieczeństwa; organizacja bezpieczeństwa informacji; zarządzanie aktywami; bezpieczeństwo zasobów ludzkich; bezpieczeństwo fizyczne i środowiskowe; zarządzanie systemami i sieciami; kontrola dostępu; pozyskiwanie, rozwój i utrzymanie systemów informatycznych; zarządzanie incydentami związanymi z bezpieczeństwa informacji; zarządzanie ciągłością działania; zgodność (z przepisami prawnymi).
Załącznik B normy ISO/IEC 27001:2005, zawiera zasady przedstawione w wytycznych OECD (Organizacji Współpracy Gospodarczej i Rozwoju) dotyczące bezpieczeństwa systemów informacyjnych i sieci, regulują bezpieczeństwo systemów informacyjnych i sieci.
Załącznik C to powiązania normy ISO 27001 z normą ISO 9001 (systemy zarządzania jakością ) oraz z normą ISO 14001 (systemy zarządzania środowiskowego).

SZBI - Wymagania ogólne: Organizacja powinna : ustanowić, wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać, stale doskonalić udokumentowany SZBI w kontekście prowadzonej działalności i ryzyka występującego w organizacji.

Ustanowienie i zarządzanie SZBI: Organizacja powinna podjąć następujące działania: zdefiniować zakres i granice SZBI; zdefiniować politykę SZBI; definiować podejście do szacowania ryzyka w firmie; określić ryzyka; analizować i oceniać ryzyka; zidentyfikować i ocenić warianty postępowania z ryzykiem; wybrać cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania z ryzykiem; uzyskać akceptację kierownictwa dla proponowanych ryzyk szczątkowych; uzyskać autoryzację kierownictwa do wdrażania i eksploatacji SZBI; przygotować deklarację stosowania (dostarcza podsumowania dotyczącego postępowania z ryzykiem).

Wdrożenie i eksploatacja SZBI: Organizacja powinna podjąć następujące działania: sformułować plan postępowania z ryzykiem; wdrożyć plan postępowania z ryzykiem; wdrożyć zabezpieczenia; zdefiniować jak mierzyć skuteczność wybranych zabezpieczeń (określenie pewności działania); wdrożyć programy uświadamiania i szkolenia; zarządzać eksploatacją SZBI; zarządzać zasobami SZBI; wdrożyć procedury i inne zabezpieczenia.

Monitorowanie i przegląd SZBI: Organizacja powinna podjąć następujące działania: wykonać procedury monitorowania i przeglądu i inne zabezpieczenia; wykonywać regularne przeglądy skuteczności SZBI; wykonywać pomiary skuteczności zabezpieczeń; wykonywać przeglądy szacowania ryzyka; przeprowadzać wewnętrzne audyty SZBI; uaktualniać plany bezpieczeństwa; rejestrować działania i zdarzenia decydujące o skuteczności realizacji SZBI.

Utrzymanie i doskonalenie SZBI: Organizacja powinna regularnie podejmować działania: wdrażać w SZBI zidentyfikowane udoskonalenia; podejmować odpowiednie działania korygujące lub zapobiegawcze; informować wszystkie zainteresowane strony o działaniach i udoskonaleniach; zapewnić, że udoskonalenia osiągają zamierzone cele.

Korzyści z wdrożenia SZBI wg normy ISO/IEC 27001:2005:
1. Spełnienie wymagań ustawowych : ustawa o ochronie danych osobowych; ustawa o ochronie informacji niejawnych; ustawa o dostępie do informacji publicznej; ustawa o prawie autorskim i prawach pokrewnych.
2. Uniknięcie kar za naruszenie bezpieczeństwa informacji.
3. Ochrona informacji znajdujących się w obiegu w ramach instytucji.
4. Zabezpieczenie informacji na wypadek katastrof lub awarii.
5. Uporządkowanie informacji przetwarzanych.
6. Wzrost świadomości pracowników w zakresie bezpieczeństwa informacji.
7. Zapewnienie interesantów (klientów) i zainteresowane instytucje, że ich dane są właściwie chronione.
8. Wymagania przetargowe.
9. Zarządzanie ciągłością działania.
10. Wiarygodność dla klientów (firmy).
11. Oszacowanie ryzyka związanego z zarządzaniem informacją.
12. Spełnienie wymagań prawnych z zakresu bezpieczeństwa informacji obowiązujących (urzędy) i ustalenie polityki bezpieczeństwa informacji.
13. Organizacja bezpieczeństwa fizycznego i informatycznego informacji.
14. Zarządzanie systemami informatycznymi i sieciami komputerowymi pod kątem bezpieczeństwa informacji.
15. Wprowadzenie okresowych audytów bezpieczeństwa informacji.
16. Ustalenie w formie procedur sposobu postępowania w trakcie normalnego funkcjonowania jak i w sytuacjach kryzysowych.