Ochrona danych i bezpieczeństwo informacji

Transkrypt

1 Ochrona danych i bezpieczeństwo informacji Dr inż. Janusz Dudziak Ochrona danych i bezpieczeństwo informacji Literatura: 1. Kutyłowski, Mirosław; Strothmann, Willy-B, Kryptografia : teoria i praktyka zabezpieczania systemów komputerowych; Oficyna Wydawnicza Read Me, Warszawa Stallings, William Cryptography and Network Security Principles and Practices; Prentice Hall 2005 (Stallings, William; Ochrona danych w sieci i intersieci : W teorii i praktyce Wydawnictwo Naukowo-Techniczne 1997) 3. Niels Ferguson, Bruce Schneier; Kryptografia w praktyce; Helion Stokłosa, Janusz i innni; Ochrona danych i zabezpieczenia w systemach teleinformatycznych Wydawnictwo Politechniki Poznańskiej Ahuja, Vijay. w sieciach; Mikom Molski, Marian. Elementarz bezpieczeństwa systemów informatycznych Mikom Anderson, Ross Inżynieria zabezpieczeń Wydawnictwo Naukowo-Techniczne 2005 bezpieczeństwo 1

2 bezpieczeństwo to proces, nie produkt Bruce Schneier Ochrona danych i bezpieczeństwo informacji Podstawowe pojęcia. bezpieczeństwo 2

3 Informacja* (łac. informatio przedstawienie, wizerunek; informare kształtować, przedstawiać) termin interdyscyplinarny, definiowany różnie w różnych dziedzinach nauki; najogólniej właściwość pewnych obiektów relacja między elementami zbiorów pewnych obiektów, której istotą jest zmniejszanie niepewności (nieokreśloności) *Wikipedia Dane* Wg Gadomskiego metateorii TOGA dane są zdefiniowane tak: wszystko co jest/może być przetwarzane umysłowo lub komputerowo... W tym sensie dane są pojęciem relatywnym, istnieją tylko razem z pojęciem przetwarzania danych i mogą przyjmować takie postaci jak: znaki, mowa, wykresy i sygnały. Różne dane mogą dostarczać tę samą informację, ale jednocześnie te same dane mogą też dostarczać różnych informacji. Z drugiej strony, np. zbiory liczb czy wyrazów mogą być danymi, ale jeśli nie wiemy, co reprezentują, to nie są informacjami. *Wikipedia bezpieczeństwo 3

4 Za filary bezpieczeństwa uważa się Szerszym pojęciem jest pojęcie wiarygodności systemu. System jest wiarygodny, jeżeli jest dyspozycyjny (available) = dostępny na bieżąco niezawodny (reliable) = odporny na awarie bezpieczny (secure) = zapewniający ochronę danych bezpieczny (safe) = bezpieczny dla otoczenia, przyjazny dla środowiska bezpieczeństwo 4

5 w rozumieniu normy PN ISO/IEC 17799:2007 BEZPIECZEŃSTWO INFORMACJI oznacza jej ochronę przed szerokim spektrum zagrożeń w celu zapewnienia ciągłości działania, minimalizacji ryzyka i maksymalizacji zwrotu z inwestycji oraz możliwości biznesowych. PN ISO/IEC :1999 BEZPIECZEŃSTWO SYSTEMU INFORMATYCZNEGO wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności oraz dostępności. Wymaga się również niezaprzeczalności, rozliczalności, autentyczności i niezawodności informacji i systemów, w których są one przetwarzane. integralność danych - właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany. integralność systemu - właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej niezaprzeczalność - brak możliwości wyparcia się swojego uczestnictwa w całości lub części wymiany danych przez podmiot uczestniczący w tej wymianie rozliczalność właściwość - zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. autentyczność - właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Dotyczy takich podmiotów jak użytkownicy, procesy, systemy i informacja Niezawodność - własność oznaczająca spójne, zamierzone zachowanie i skutki PN ISO/IEC :1999 bezpieczeństwo 5

6 Czynności wykonywane w systemie informacyjnym Gromadzenie Przechowywanie Aktualizacja Przetwarzanie Udostępnianie Przekazywanie Pozyskiwanie nowej wiedzy w oparciu o posiadane dane Cele wdrażania systemu informacyjnego w przedsiębiorstwie ułatwianie gromadzenia informacji niezbędnych do funkcjonowania danego procesu, usprawnianie analizy zebranych danych i informacji, możliwość przekształcenia nieustrukturalizowanego procesu w rutynowo przebiegającą transakcję, ułatwienie wprowadzania zmian w kolejności przebiegu procesu, umożliwienie łatwego dostępu do zasobów wiedzy i ekspertyz oraz ich swobodnego transferu, umożliwienie eliminacji zbędnych pośredników z procesu, umożliwienie łatwego monitorowania przebiegu zarówno całego procesu, jak i jego poszczególnych elementów, możliwość zastępowania czynnika ludzkiego w procesie lub też zmniejszanie jego udziału. bezpieczeństwo 6

7 Elementy systemu informatycznego Podstawowe źródła pozyskiwania informacji do określenia przez organizację swoich wymagań bezpieczeństwa informacji: Szacowanie ryzyka dotyczącego instytucji; Zbiór wymagań prawnych, statutowych, regulacyjnych i kontraktowych; Istniejący, specyficzny dla danej organizacji zbiór zasad, celów i wymagań dotyczących przetwarzania informacji. bezpieczeństwo 7

8 danych jest pochodną przyjętej polityki bezpieczeństwa Polityka bezpieczeństwa Polityka bezpieczeństwa stanowi element polityki biznesowej firmy. Jest to szeroko rozumiany plan działania, przyjęty w celu ochrony danych (i systemów je przetwarzających) realizowany jako skutek decyzji administracyjnych. Realizacja polityki bezpieczeństwa podlega oczywistym etapom: zaprojektowanie, zaimplementowanie, zarządzanie (w tym monitorowanie i okresowe audyty). bezpieczeństwo 8

9 Stosowane są dwa podejścia Co nie jest zabronione, jest dozwolone Co nie jest dozwolone, jest zabronione Modele bezpieczeństwa używają pojęcia Podmiotu jest to użytkownik lub proces działający w jego imieniu Obiektu jest tu element stanowiący element wyboru i operowania na nim. bezpieczeństwo 9

10 Zarówno obiekty jak i podmioty podlegają identyfikacji. Identyfikator jest elementem informującym o niepotwierdzonej tożsamości. Potwierdzenie tożsamości uzyskuje się na drodze uwierzytelnienia. Jest to proces polegający na sprawdzeniu, czy jednostka (podmiot lub obiekt) jest tym, za kogo się podaje. Wyróżnia się cztery podstawowe aspekty bezpieczeństwa danych: spójność: dotyczy baz danych i oznacza spełnienie warunków określonych w definicji bazy. bezpieczeństwo 10

11 zagrożenia (treats) Strategia bezpieczeństwa zagrożenia (treats) Strategia bezpieczeństwa źródło Wewnętrzne Zewnętrzne Celowość Przypadkowe Celowe Rodzaj Sprzęt ludzie bezpieczeństwo 11

12 Strategia bezpieczeństwa zagrożenia Losowe - środowisko Powodowane przez człowieka przypadkowe celowe pioruny wilgotność zanieczyszczenie powietrza zakłócenia w zasilaniu zakłócenia w łączności temperatura klęski żywiołowe awarie sprzętu pomyłkowe skasowanie pliku, pomyłkowe skierowanie wiadomości do niewłaściwego adresata, błędne oznaczenie połączeń kablowych, błędna interpretacja zdarzeń przez administratora, wypadki podszywanie się uniemożliwienie działania (DoS) usuwanie informacji ujawnianie zabezpieczeń zaprzeczenie wysłania lub odbioru podsłuch Awarie sprzętu. Zwykle są skutkiem błędów projektowych, wad produkcyjnych, temperatury, nadmiernej wilgotności, szkodliwych gazów, ładunków elektrostatycznych, pola elektromagnetycznego, nieprawidłowego napięcia zasilającego, drgań i wstrząsów. bezpieczeństwo 12

13 Nośniki danych. Trwałość zależy od: Technologii produkcji Jakość Warunki pracy Warunki przechowywania i transportu. Trwałość nośników papierowych to ok. 100lat, nośników magnetycznych i optycznych 10-30! Emisja ujawniająca Pracujące urządzenia elektroniczne emitują promieniowanie elektromagnetyczne, które może być odbierane, zapisywane i przetwarzane przez specjalne urządzenia. Możliwe jest np. zdalne odtworzenie obrazu z monitora ekranowego bezpieczeństwo 13

14 Strategia bezpieczeństwa zagrożenia Powodowane przez człowieka wewnętrzne zewnętrzne akty wewnętrznego sabotażu, kradzież informacji, błędy użytkowników niedbalstwo, nieprawidłowe stosowanie mechanizmów bezpieczeństwa podszywanie się ataki inżynieria społeczna wirusy Konie trojańskie Wirusy komputerowe programy potrafiące się rozmnażać, zakażać poprzez sieć lub nośniki danych, dopisujące się do danych i uruchamiające się w sobie tylko znanych celach. Odmiany: Wirusy Bakterie Robaki Bomby logiczne Konie trojańskie bezpieczeństwo 14

15 W roku % firm doświadczyło problemów z wirusami komputerowymi, 34% z robakami, 18% padło ofiarą ataków DoS, 9% doświadczyło włamań sieciowych, a 8% padło ofiarą kradzieży tożsamości InformationWeek bezpieczeństwo 15

16 Internet Crime Complaint Center's (IC3) bezpieczeństwo 16

17 Ilość zgłaszanych incydentów ogółem Serie1 bezpieczeństwo 17