Bezpieczeństwo informacji - notatki, STUDIA


Dane - wyizolowane liczby i fakty bez żadnego kontekstu.

Informacje - dane, przetworzone w postać użyteczną dla odbiorcy. Dane stają się informacją, kiedy ich twórca dodaje im znaczenia.

5C - metody nadawania znaczenia: nadawanie kontekstu, kategoryzacja, kalkulacja, korekta, kondensacja.

Wiedza - uporządkowane i „oczyszczone" informacje. Posiadanie bogatej wiedzy na dany temat prowadzi do mądrości.
DaneinformacjawiedzaMądrość

Wartość informacji:
1)Opartą na ilości informacji,
2)Na podstawie pracy, jaką można wykonać przy wykorzystaniu tej informacji,
3)Miara liczby użytkowników, którzy o nią zabiegają,
4)Zaoszczędzony czas,
5)wartość pieniężna.

Relacja pomiędzy kosztem a wartością informacji - im lepsza jakość informacji lub jej ilość tym wyższy jest koszt uzyskania tej informacji.

Klasyfikacja informacji ze względu na:
Źródło - Wewnętrzna, zewnętrzna, pierwotna, wtórna, rządowa.
Charakter - Ilościowa, jakościowa, formalna, nieformalna.
Poziom - Strategiczna, taktyczna, operacyjna.
Częstotliwość - Ciągła, godzinna, dzienna, miesięczna, roczna.
Wykorzystanie - Planistyczna, kontrolna, do podejmowania decyzji.
Forma - Pisemna, ustna, wizualna, czujnikowa.
Pojawianie się - W zaplanowanych przedziałach czasu, okazjonalnie, na żądanie.
Typ - Szczegółowa, podsumowująca, zagregowana, wycięta.

Cechy informacji: dokładna, niedokładna (GIGO), kompletna, ekonomiczna, elastyczna, wiarygodna, istotna, prosta, aktualna, weryfikowalna, dostępna, zrozumiała, zabezpieczona.

System - układ składający się z części połączonych w zorganizowany sposób, pomiędzy którymi występują określone relacje.

System informatyczny (SI) system, który wykorzystuje technologię komputerową do wykonywania zamierzonych zadań.

Składniki systemu informatycznego: sprzęt, oprogramowanie, baza danych, sieć, procedury, ludzie, kontekst społeczny, cel.

Tajemnica — dane lub informacje, których ujawnienie osobom nieuprawnionym jest zakazane prawnie.

Tajemnice chronione prawem w Polsce:
1) tajemnica państwowa (ściśle tajne, tajne)
2) tajemnica służbowa (poufne 5 lat od daty wytworzenia, zastrzeżone 2 lat od daty wytworzenia)
3) tajemnice zawodowe (autorska, dziennikarska, skarbowa, spowiedzi, medyczne (tajemnica pielęgniarska), w zawodach prawniczych (tajemnica adwokacka),
4) Inne tajemnice (tajność wyborów, świadek incognito, świadek koronny, tajemnica korespondencji, tajemnica organizacji społecznej)

Tajemnica państwowa podlega ochronie przez okres 50 lat od daty ich wytworzenia.

Informacja niejawna - informacja, która wymaga ochrony przed nieuprawnionym ujawnieniem, jako stanowiącą tajemnicę państwową lub służbową
poufne -gdy nieuprawnione ujawnienie powodowałoby szkodę dla interesów państwa, interesu publicznego lub prawnie chronionego interesu obywateli,
zastrzeżone - gdy nieuprawnione ujawnienie mogłoby spowodować szkodę dla prawnie chronionych interesów obywateli.

Dokument - każda utrwalona informacja niejawna, na piśmie lub wszelkich nośnikach do zapisów informacji w postaci cyfrowej lub elektromagnetycznej, błędne wydruki etc.

Materiał - dokument i chroniony jako informacja niejawna przedmiot lub dowolna jego część,

Tajemnica państwowa - informacja, której nieuprawnione ujawnienie może spowodować istotne zagrożenie dla podstawowych interesów RP.

Tajemnica służbowa - to informacja niejawna niebędąca tajemnicą państwową, uzyskana w związku z czynnościami służbowymi której nieuprawnione ujawnienie mogłoby narazić na szkodę interes państwa, interes publiczny lub interes obywateli I

nstytucje których dotyczy ustawa o ochronie informacji niejawnych: organów władzy publicznej, Sił Zbrojnych, Narodowego Banku Polskiego i banków państwowych, państwowych osób prawnych, przedsiębiorców, jednostek naukowych lub badawczo-rozwojowych.

Kara pozbawienie wolności od 3 m-cy do lat 5 za ujawnienie tajemnicy państwowej.

Kara pozbawienia wolności do lat 3 za ujawnienie tajemnicy służbowej.

Kara pozbawienia wolności do lat 2 za uzyskiwanie bez uprawnień informacji dla niego nie przeznaczonej, otwieranie pism, przełamywanie zabezpieczeń; posługiwanie się urządzeniem podsłuchowym.

Bezpieczeństwo przemysłowe: świadectwo bezpieczeństwa przemysłowego:
pierwszego stopnia - potwierdzające pełną zdolność do ochrony tych informacji;
drugiego stopnia - potwierdzające zdolność do ochrony tych informacji, z wyłączeniem możliwości ich wytwarzania, przechowywania, przekazywania lub przetwarzania we własnych systemach i sieciach teleinformatycznych;
trzeciego stopnia - potwierdzające zdolność do ochrony tych informacji, z wyłączeniem możliwości ich wytwarzania, przechowywania, przekazywania lub przetwarzania w użytkowanych przez niego obiektach.

Kancelaria tajna - miejsce gdzie gromadzi się dokumenty niejawne.

Ataki elektroniczne pod względem interakcji atakującego:
pasywne - atakujący ma dostęp do danych lecz ich nie modyfikuje,
aktywne - atakujący pośredniczy w przetwarzaniu danych mogąc je odczytać lub sfałszować.

Klasy ataków elektronicznych pod względem źródła ataku:
lokalny - atakujący już ma dostęp do systemu i próbuje zwiększyć swe uprawnienia,
zdalny - atakujący nie posiada jeszcze żadnych uprawnień w systemie atakowanym,

Formy ataku elektronicznego:
podszywanie - atakujący udaje inny podmiot, w domyśle zaufany systemowi atakowanemu,
podsłuch - pozyskanie danych składowanych w systemie,
odtwarzanie - użycie ponowne przechwyconych wcześniej danych,
manipulacja - modyfikacja danych,
wykorzystanie luk w systemie - posłużenie się wiedzą o znanej luce, błędzie w systemie lub gotowym narzędziem do wyeksploatowania takiej luki.

Podstawowe fazy ataku:
1. skanowanie
2. wyznaczenie celu
3. atak na system
4. modyfikacje systemu umożliwiające późniejszy powrót
5. usuwanie śladów
6. propagacja ataku.

Podstawowe środki ostrożności: uniemożliwienie startowania systemu z nośników wymiennych, ograniczenie wykorzystania przestrzeni lokalnych dysków twardych, ograniczenie stosowania nośników wymiennych rejestracja prób dostępu do systemu i ich limitowanie bezpieczne kasowanie poufnych danych, uniemożliwienie usunięcia zabezpieczeń.

Elementarna ochrona sieci lokalnej: dobór medium i topologii gwiazdy fizyczna ochrona pomieszczeń z węzłami sieci i serwerami, usuwanie nieużywanych kont użytkowników.

Elementarna ochrona usług sieciowych:
1. usunięcie z systemu wszystkich usług zbędnych
2. zastąpienie usług niezbędnych odpowiednikami o podwyższonym Bezpieczeństwie
3. kontrola dostępu do pozostałych usług .

Zasada naturalnego styku z użytkownikiem: Zabezpieczenie nie możne być postrzegane przez użytkowników jako nienaturalny element systemu, stanowiący utrudnienie w ich pracy. Jeśli stosowanie będzie wymagało od użytkowników zbyt czasochłonnych operacji, to wypracują oni sposób jego obejścia i - w stanie się bezużyteczny.

Zasada spójności poziomej i pionowej: Spójność pionowa mówi o konieczności zastosowania kompletnych zabezpieczeń „w pionie” - jak kraty w oknach na pierwszym piętrze, to i na parterze czy innej „dostępnej” z zewnątrz kondygnacji.

Zasada minimalnego przywileju: Użytkownikom należy udzielać uprawnień tylko i wyłącznie takich, które są niezbędne do zrealizowania ich pracy.

Zasada domyślnej odmowy dostępu: Jeśli na podstawie zdefiniowanych reguł postępowania mechanizmy obrony nie potrafią jawnie rozstrzygnąć, jaką decyzję podjąć wobec analizowanych operacji to decyzją ostateczną powinna być odmowa dostępu.

Identyfikacja - możliwość rozróżnienia użytkowników.

Uwierzytelnianie - proces weryfikacji tożsamości użytkownika.

Autoryzacja - proces przydzielania praw użytkownikowi.

Kontrola dostępu procedura nadzorowania przestrzegania praw.

Poufność - ochrona informacji.

Nienaruszalność - ochrona informacji przed nieautoryzowanym jej zmodyfikowaniem.

Autentyczność - pewność co do pochodzenia danych.

Niezaprzeczalność - ochrona przed fałszywym zaprzeczeniem faktu wysłania danych i faktu otrzymania danych.

Filozofie przydziału uprawnień:
1. Wszystko jest dozwolone.
2. Wszystko, co nie jest zabronione, jest dozwolone.
3. Wszystko, co nie jest dozwolone, jest zabronione.
4. Wszystko jest zabronione.
Tylko trzecia jest zgodna z zasadą minimalnego przywileju i domyślnej odmowy dostępu.

Klasy bezpieczeństwa systemów komputerowych: TCSEC “Orange Book”, ITSEC, EAL.

System możemy uznać za bezpieczny, jeśli można od niego oczekiwać, że wprowadzone na stałe dane nie zostaną utracone, nie ulegną zniekształceniu i nie zostaną pozyskane przez nikogo nieuprawnionego.

System wiarygodny: dyspozycyjny, niezawodny, bezpieczny.

Zagrożenia bezpieczeństwa: włamanie do systemu komputerowego, destrukcja danych i programów, sabotaż systemu, piractwo komputerowe.

Strategia bezpieczeństwa Polega to w ogólnym schemacie na odpowiedzi na następujące pytania: „Co chronić?” (określenie zasobów), „Przed czym chronić?” (identyfikacja zagrożeń), „Ile czasu, wysiłku i pieniędzy można poświęcić na należną ochronę” (oszacowanie ryzyka, analiza kosztów i zysku).

Określenie zasobów = „Co chronić?”: sprzęt komputerowy, infrastruktura sieciowa, wydruki, strategiczne dane, kopie zapasowe.

Identyfikacja zagrożeń = „Przed czym chronić?”: włamywacze komputerowi, infekcje wirusami, destruktywność pracowników, błędy w programach, kradzież dysków.

Polityka bezpieczeństwa: zaprojektowanie, zaimplementowanie, zarządzanie.

Normy i zalecenia zarządzania bezpieczeństwem:
TR 13335-1 - terminologia i modele
TR 13335-2 - metodyka planowania i prowadzenia analizy ryzyka.
TR 13335-3 - techniki zarządzania bezpieczeństwem
TR 13335-4 - metodyka doboru zabezpieczeń
WD 13335-5 - zabezpieczanie połączeń z sieciami zewnętrznymi.

Krypto system: Zadaniem krypto systemu jest uczynić odczytanie treści przekazu przez niepowołane osoby na tyle trudnym i czasochłonnym zadaniem, że w praktyce niemożliwym do odczytania.

Podział krypto systemu: kryptografia symetryczna - bazujące na kluczu symetrycznym, gdzie wiadomości szyfrowane i deszyfrowane są przy pomocy jednego klucza.

Kryptografia asymetryczna wykorzystujące parę kluczy: znany każdemu klucz publiczny oraz utajniony, znany tylko nadawcy wiadomości klucz prywatny.

Krypto analiza jest działem kryptologii dotyczącym łamania szyfrów. Złamanie szyfru polega na odtworzeniu teksu jawnego bądź klucza na podstawie tekstu zaszyfrowanego albo na określeniu klucza, jeśli znane są tekst jawny i szyfrogram.

Metody krypto analizy:
ataki zwane brutalnymi polegające na sprawdzeniu wszystkich możliwych kluczy, matematyczne analizy algorytmu, mające na celu znalezienie jego słabych stron.

System rozproszony- zbiór samodzielnych komputerów połączonych ze sobą w sieci i wyposażonych w rozproszone oprogramowanie systemowe.

Pojęcie transakcji:
aspekt informatyczny - niepodzielna operacja wykonywana przez serwer na zamówienie klienta.

Transakcja informacyjna - niepodzielna operacja wykonywana przez serwer na zamówienie klienta.

e-commerce - (handel elektroniczny) - sprzedaż i dystrybucję towarów poprzez sieci teleinformatyczne.

e-biznes - Odnosi się do handlu towarami i usługami przez Internet.

Rodzaje transakcji elektronicznych:
B2B - obejmuje szeroko rozumiane kontakty między przedsiębiorstwami
B2C - obejmuje wszelkie formy sprzedaży detalicznej.

Podpis elektroniczny to ciąg danych w postaci elektronicznej, które wraz z danymi, do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji osoby składającej podpis elektroniczny.

warunki podpisu cyfrowego:
1. Autentyczność
2. integralność transakcji
3. niezaprzeczalność
4. umożliwienie weryfikacji podpisu przez osobę niezależną.

Zasada działania podpisu elektronicznego: Podpisy elektroniczne opiera się o tzw. szyfry asymetryczne. zaletą szyfru asymetrycznego jest więc możliwość ujawnienia klucza używanego do zaszyfrowywania wiadomości.

Podpis elektroniczny a podpis cyfrowy: Podpis elektroniczny w szerokim znaczeniu to powiązanie dokumentu. z daną osobą przez cechy charakteryzujące człowieka jednoznacznie Podpis cyfrowy ogranicza się do oświadczeń woli uwierzytelnianych kryptografią.

Znaczniki czasu: oznaczenie czasu złożenia podpisu wyklucza ponowne i wielokrotne wprowadzenie do obiegu tego samego dokumentu.

Certyfikat cyfrowy - elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do określonej osoby i potwierdzają jej tożsamość

Urząd certyfikacji Zadaniem urzędu certyfikacji jest wydawanie i zarządzanie certyfikatami.

Certyfikat cyfrowy posiada następujące informacje: unikalny numer seryjny, tożsamość urzędu certyfikacji okres ważności certyfikatu, identyfikator właściciela certyfikatu, klucz publiczny właściciela certyfikatu, podpis cyfrowy urzędu certyfikacji.

Polskie centra certyfikacji: Certum, Signet, Polcert.

Międzynarodowa norma ISO/IEC 27001:2005 jest ogólnoświatowym wzorcem stanowiącym podstawę wdrażania Systemów Zarządzania Bezpieczeństwem Informacji (SZBI) w organizacjach. określa wymagania związane z ustanowieniem, wdrożeniem, eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem SZBI.

SZBI - Wymagania ogólne: Organizacja powinna : ustanowić, wdrożyć, eksploatować, monitorować, przeglądać, utrzymywać, stale doskonalić udokumentowany SZBI w kontekście prowadzonej działalności i ryzyka występującego w organizacji.

Korzyści z wdrożenia SZBI wg normy ISO/IEC 27001:2005: Spełnienie wymagań ustawowych o ochronie danych osobowych, o ochronie informacji niejawnych, o dostępie do informacji publicznej, o prawie autorskim i prawach pokrewnych, Ochrona informacji znajdujących się w obiegu w ramach instytucji, Zabezpieczenie informacji na wypadek katastrof lub awarii, Uporządkowanie informacji przetwarzanych, Wiarygodność dla klientów etc.



Wyszukiwarka

Podobne podstrony:
Bezpieczeństwo informacji notatki
Ochrona danych osobowych a bezpieczeństwo informacji, Studia, Ochrona własności intelektualnej
pbi zaliczenie, Studia, WAT Informatyka, Pbi - podstawy bezpieczeństwa informacji
Notatki stare, Edukacja, studia, Semestr VIII, Kultura Języka Polskiego, CD1 - 2006 KJP-1 INFORMATYK
bezpieczeństwo danych osobowych, Studia, Notatki
kospekt, Studia, WAT Informatyka, Pbi - podstawy bezpieczeństwa informacji
Notatki-2001, Edukacja, studia, Semestr VIII, Kultura Języka Polskiego, CD1 - 2006 KJP-1 INFORMATYKA
bezpieczna-woda, Prywatne, Studia, Informatyka
Normy i standardy z zakresu bezpieczenstwa informacyjnego i teleinformatycznego
polityka bezpieczeństwa informacji
Audyt bezpieczenstwa informacji w praktyce
Ochrona informacji przesyłanej, Studia, Informatyka, Informatyka, Informatyka
Ubezpieczenie notatki, Szkoła, Notatki studia, Ubezpieczenia
CHOROBA PARKINSONA, Notatki Studia Fizjoterapia
Procesy grupowe- notatki, Studia, Socjologia
Notatki2, Studia - Socjologia - Semestr I, LOGIKA
notatki, STUDIA, WZR I st 2008-2011 zarządzanie jakością, podstawy ochrony środowiska, Zachowania Or
trepala(1), Bezpieczeństwo Narodowe, NOTATKI RÓŻNE
Choroby wewnętrzne - uzupełnione notatki, studia pielęgniarstwo

więcej podobnych podstron