Bezpieczeństwo systemów komputerowych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Bezpieczeństwo systemów komputerowych"

Transkrypt

1 Program zajęć Bezpieczeństwo systemów komputerowych 1. Wprowadzenie, podstawy i terminologia; Pojęcie informacji; Typy zagrożeń systemów informatycznych i ich klasyfikacja; Pojęcie bezpieczeństwa SI; Polityka bezpieczeństwa systemów informatycznych; Techniki zabezpieczeń; Przyczyny utraty danych; Zabezpieczenia systemów teleinformatycznych klasyfikacja, 2. Systemy informatyczne zagadnienia prawne; Odpowiedzialność karna; Ochrona danych osobowych; Prawa autorskie; Typy oprogramowania; Nielegalne wykorzystywanie technik informatycznych; Włamania do systemów informatycznych systemy firewall; Aspekty stosowania i usuwania zabezpieczeń programów komputerowych; Piractwo komputerowe. 2 Program zajęć Disaster Recovery Services Disaster Recovery Center Przechowywanie danych; Zasady zabezpieczania danych; Dyski i macierze dyskowe; Odzyskiwanie danych; Urządzenia i programy do wykonywania kopii bezpieczeństwa. Ochrona kryptograficzna, klucze prywatne i publiczne; podpis cyfrowy i certyfikaty; PKI; zabezpieczenia transakcji. Problemy zapewnienia ciągłości pracy SI; Zasilanie awaryjne i urządzenia UPS; Bezpieczne zasilanie Internetu, przepięcia i ochrona przepięciowa; Kompatybilność elektromagnetyczna i ataki elektromagnetyczne; Outsourcing. Bezpieczeństwo dostępu do danych autoryzacja, identyfikacja i weryfikacja - systemy biometryczne. Usługa zapewnia ciągłość działalności operacyjnej przedsiębiorstwa, która pozwala na uniknięcie poważnych strat finansowych związanych z nieplanowanym przestojem w działaniu systemów informatycznych, ewentualnym zniszczeniem infrastruktury informatycznej bądź biurowej 3 4 Disaster Recovery Services Czym dysponuje DRC? Centrum obliczeniowe zlokalizowane z dala od systemów produkcyjnych klienta i tym samym niewrażliwe na powstałe tam usterki i zniszczenia. Szybkie łącza telekomunikacyjne połączone z Internetem bądź siecią korporacyjną klienta. Sieć jest zabezpieczona przed wirusami, próbami ataków i dostępem osób niepowołanych. Stosownie do potrzeb przygotowane i skonfigurowane serwery, na których w razie awarii są odtwarzane i udostępniane systemy produkcyjne. Urządzenia klienta. backupowe, zapewniające ochronę danych 6 1

2 Wprowadzenie Projektowanie Systemów Zabezpieczeń Gwałtowny rozwój techniki pod koniec XX i na początku XXI wieku. Udostępnianie komputerów społeczeństwu. Pojawianie się kolejnych udogodnień technologicznych. Integracja telekomunikacji z informatyką. Polega na znalezieniu takiej optymalnej konfiguracji systemu lub sieci teleinformatycznej, która z jednej strony gwarantowałaby dużą skuteczność ochrony, a z drugiej - w minimalnym stopniu komplikowała pracę tego systemu lub sieci. 7 8 Polityka bezpieczeństwa Polityka bezpieczeństwa Polityka Bezpieczeństwa Dokument w postaci zestawu reguł regulujących wykorzystanie informacji, włącznie z jej przetwarzaniem, przechowywaniem, dystrybucją i prezentacją, których przestrzeganie zapewnia wiarygodność systemowi informatycznemu oraz w szczególności ochronę zawartych w nim danych, a także plan lub sposób działania przyjęty w celu zapewnienia założonego poziomu bezpieczeństwa systemu i ochrony danych. Design Build Operate Przecho- -wywanie danych Backup System Archive Procesy, organizacja zw. z bezp. Analiza i zarządzanie procesami biznesowymi i ryzykiem Przetwarzanie danych High Availability Load Balancing Scalability Scenariusze aplikacyjne (e.g. m-business, e-business) Autentykacja Autoryzacja Single Sign On Smart Card Directory Połączenia Architektura, usługi, reguły VPN Firewall Extranet Remote Access Intrusion Detection Transmisja Encryption PKI Virus Protection Digital Signature Urządzenia końcowe Hard Disk Encryption Personal Firewall Windows 9 10 Zmiany wymaganego poziomu bezpieczeństwa w funkcji czasu Bezpieczeństwo BEZPIECZEŃSTWEM TELEINFORMATYCZNYM NAZYWAMY WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW I SIECI TELEINFORMATYCZNYCH, W KTÓRYCH WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZESYŁANE SĄ INFORMACJE

3 Klasyfikacja zagrożeń Opis zagrożeń Stopnie Zagrożenia Internetowego (Internet Threat Level - ITL): zagrożenia lokalne, zagrożenia zdalne. Kategorie te można podzielić: dostęp do odczytu, dostęp do zapisu i wykonania poleceń użytkownika zwykłego, dostęp do zapisu i wykonania poleceń użytkownika uprzywilejowanego. 1. Odmowa usługi - użytkownicy nie mają dostępu do zasobów; 2. Lokalni użytkownicy mogą uzyskać dostęp do odczytu plików systemu lokalnego; 3. Lokalni użytkownicy mogą uzyskać dostęp do zapisu/wykonania plików użytkowników zwykłych; 4. Lokalni użytkownicy mogą uzyskać dostęp do zapisu/wykonania plików użytkownika uprzywilejowanego; 5. Użytkownicy zdalni z tej samej sieci mogą uzyskać dostęp do odczytu plików systemu lokalnego z wnętrza systemu lub poprzez sieć; 6. Użytkownicy zdalni z tej samej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkowników zwykłych z wnętrza systemu lub poprzez sieć; Opis zagrożeń Opis zagrożeń 7. Użytkownicy zdalni z tej samej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkownika uprzywilejowanego z wnętrza systemu lub poprzez sieć; 8. Użytkownicy zdalni z innej sieci mogą uzyskać dostęp do odczytu plików systemu lokalnego z wnętrza systemu lub poprzez sieć; 9. Użytkownicy zdalni z innej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkowników zwykłych z wnętrza systemu lub poprzez sieć; 10. Użytkownicy zdalni z innej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkownika uprzywilejowanego z wnętrza systemu lub poprzez sieć. Mail bombing Odcięcie usług Nieautoryzowany odczyt lokalnych użytkowników Nieautoryzowany zapis lokalnych użytkowników Dostęp na prawach roota dla użytkowników zadalnych Nieautoryzowany zapis użytkowników zdalnych Nieautoryzowany odczyt użytkowników zdalnych Nieautoryzowany dostęp użytkowników zdalnych Ocena poziomu zagrożeń Poziom zagrożenia powinien być oceniany na podstawie kilku czynników: zadań systemu, tajności danych w systemie, wagi integralności danych, wagi nieprzerwanego dostępu, rodzaju użytkowników, Przedmioty ochrony i zagrożenia 1. zasoby materialne, 2. dane; ochrona poufności i autentyczności danych, 3. zasoby komputerowe (czas obliczeniowy, pamięć), 4. reputacja. relacji pomiędzy systemem ocenianym a innymi systemami (zaufanie, eksport plików)

4 Klasyfikacja typów zagrożeń Ochrona informacji i danych cd. fizyczno-techniczne. Zagrozenia programowe znaczenie danych; skutki utraty danych; metody profilaktyczne. problemy z zasilaniem uszkodzenia sprzetu transmisja danych wirusy Kluczowe znaczenie dla bezpieczeństwa systemu informatycznego (SI) mają dwie rzeczy : losowe celowe 1. Lokalizacja i znaczenie SI (komputera), instytucje rządowe, banki, firmy, szkoły, dom;. Zagrozenia 2. Sposób jego pracy komputery samodzielne i powiązane ze światem poprzez sieć lub modem Zapobieganie atakom Bezpieczeństwo Bezpieczeństwo fizyczne określenie uprawnień do dostępu do urządzeń; klucze, kody, karty, szafki, alarmy, monitoring itd. Bezpieczeństwo elektroniczne Aktualizacja oprogramowania; Stosowanie bezpiecznych połączeń i polityki haseł; Stosowanie urządzeń / programów filtrujących połączenia z zewnątrz oraz określenie połączeń dozwolonych i nie; Monitorowanie w poszukiwaniu prób ataku (wew/zew) lub nieautoryzowanych i zabronionych działań; Logowanie zdarzeń i regularna analiza logów. Czynnik ludzki - szkolenia 22 Specjalistyczny personel Szkolenie Bezpieczeństwo sposób myślenia i priorytet Planowanie ochrony Zapobieganie Wykrywanie Reagowanie Podstawowa technologia: Standardy, Szyfrowanie, Ochrona Funkcje bezpieczeństwa produktów Narzędzia i produkty w obszarze bezpieczeństwa Social Engeneering Phishing czyli Inżynieria Socjalna to oparta głównie na psychologii, logice i aktorstwie metoda wydobywania od ludzi poufnych informacji, polegająca na przemyślnej manipulacji. Oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania. Jest to rodzaj ataku opartego na inżynierii społecznej. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji

5 Phishing pharming 25 Firmy nie powinny prosić o przesyłanie haseł, nazw użytkownika, numerów PESEL czy innych informacji osobistych pocztą . Poczta z reguły kanał niezabezpieczony. W przypadku braku odpowiedzi w ciągu 48 godzin, Pani/Pana konto zostanie zamknięte. Wiadomość e- mail związana z phishingiem może być uprzejma i stonowana, jednak często wiadomości takie mają ponaglający wydźwięk, aby na nie odpowiedzieć bez zastanowienia. Szanowny Kliencie. Wiadomości związane z phishingiem są zwykle rozsyłane masowo i nie zawierają imienia ani nazwiska. Istnieje jednak możliwość, że oszuści posiadają takie informacje. 26 Znana metoda oszustw internetowych polegająca na zmianie adresów DNS, skutkiem czego nieświadomy użytkownik wchodzi na fałszywą stronę internetową, spreparowaną w celu przechwycenia poufnych danych, a w szczególności informacji o jego koncie bankowym. Atak można przeprowadzić na pojedynczy komputer lub w skali masowej. Pierwszy sposób jest łatwiejszy, ponieważ wymaga jedynie dwóch rzeczy; modyfikacji małego pliku, jaki znajduje się na każdym komputerze z systemem operacyjnym Windows i wykorzystującym Internet Explorera oraz stworzenia fałszywej strony. W pliku tym znajdują się adresy serwerów oraz adresy IP najczęściej odwiedzane przez ofiarę. Wystarczy podmienić te adresy w pliku, zamiast na serwerze DNS, a użytkownik zamiast na stronę swojego banku wejdzie na podróbkę, wyglądającą dokładnie tak, jak oryginał. Bezpieczna informacja Bezpieczna informacja 27 Informacja bezpieczna to taka, która poprzez swoją zawartość udowadnia, że jest: autentyczna, integralna (nie została zmieniona), poufna (zaszyfrowana), posiada cechę niezaprzeczalności nadania, była i jest dostępna tylko osobom do tego upoważnionym. Jeżeli informacja nie posiada którejś z wymienionych wyżej cech, to może się okazać, że została ujawniona. 28 Poufność (ang. confidentiality) - ochrona przed ujawnieniem informacji nieuprawnionemu odbiorcy; Integralność (ang. integrity) - ochrona przed modyfikacją lub zniekształceniem aktywów informacyjnych przez osobę nieuprawnioną; Dostępność (ang. availability) - oznacza gwarancję uprawnionego dostępu do informacji przy zachowaniu określonych rygorów czasowych; Rozliczalność - określenie i weryfikowanie odpowiedzialności za działania, usługi i funkcje realizowane za pośrednictwem systemu informatycznego; Autentyczność - oznacza weryfikację tożsamości podmiotów lub prawdziwość aktywów systemu informatycznego; Niezawodność - oznacza gwarancję odpowiedniego zachowania się systemu informatycznego i otrzymanych wyników. Proces ochrony informacji obejmuje Bezpieczna informacja Stworzenie kompleksowego systemu ochrony przedsiębiorstwa. Instalacja zabezpieczeń technicznych (fizycznych, sprzętowych, programowych) i pozatechnicznych (procedury pracy, organizacja). Wykonywanie ekspertyz i określanie poziomu bezpieczeństwa przedsiębiorstwa, testy poziomu zabezpieczenia. Stworzenie polityki bezpieczeństwa informacji i jej wdrożenie. Stworzenie dokumentacji projektowej obejmującej procedury postępowania pracowników na każdym poziomie organizacji. Dostarczanie nowoczesnej wiedzy o ochronie informacji. Szkolenie personelu w zakresie realizacji polityki bezpieczeństwa. Tworzenie zabezpieczeń dotyczących wiadomości przesyłanych wewnątrz i na zewnątrz przedsiębiorstwa. Pomoc przy organizacji ochrony danych prawnie chronionych. % sek/rok sek/rok 5.26 min/rok min/ro k 8.76 godz/rok godz/rok 3.65 dnia/rok 7.30 dnia/rok dnia/rok Automatyczny Backup Ręczny Backup Replikacja asynchroniczna Klastry LAN Zautomatyzowany Backup blokowo-wzrostowy Mirror RAID 5 Replikacja synchroniczna Koszt $ Klastry WAN Klastery Zarządzanie aplikacjami i wolumenami Centrum Zapasowe 5

6 Zagrożenia dla systemów informatycznych zamierzone, czyli związane z działaniami wykonywanymi z premedytacją, wynikającymi z chęci rewanżu, świadomym wykraczaniem poza obowiązki, działaniami mediów i prasy - oraz szpiegostwem, wandalizmem, terroryzmem, losowe wewnętrzne, do których możemy zaliczyć: niezamierzone błędy ludzi, zaniedbania użytkowników, defekty sprzętu i oprogramowania, zniekształcenia lub zgubienie informacji na skutek błędów w dokumentacji, itp. losowe zewnętrzne, do których należy między innymi: temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia źródła zasilania, wyładowania atmosferyczne, klęski żywiołowe, itp. Regulacje prawne Ustawa z r. - O ochronie informacji niejawnej. Rozporządzenie Prezesa Rady Ministrów r. - w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Ustawa z r. - O ochronie danych osobowych znowelizowana Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ustawa z r. - O prawie autorskim i prawach pokrewnych. 31 Regulacje prawne Normy i zalecenia podstawą rozwoju zarządzania bezpieczeństwem informacji Ustawa z r. - O ochronie baz danych. Ustawa z r. - Kodeks postępowania karnego. Ustawa z r. - O podpisie elektronicznym. Ustawa z r. - Prawo telekomunikacyjne. Ustawa z r. O świadczeniu usług drogą elektroniczną. Kluczowym dla zarządzania bezpieczeństwem informacji jest: Raport Techniczny - ISO/IEC TR składa się on z pięciu części, z których dwie pierwsze obowiązują jako Polskie Normy. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje: 34 Normy i zalecenia ISO/IEC/TR /PN-I : Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: - terminologia, związki między pojęciami, - podstawowe modele. ISO/IEC/TR : Planowanie i zarządzanie bezpieczeństwem systemów informatycznych: - różne podejścia do prowadzenia analizy ryzyka, - plany zabezpieczeń, - rola szkoleń i działań uświadamiających, - stanowiska pracy w instytucji związane z bezpieczeństwem. Normy i zalecenia cd. ISO/IEC/TR : Techniki zarządzania bezpieczeństwem systemów informatycznych: - formułowanie trójpoziomowej polityki bezpieczeństwa, - rozwinięcie problematyki analizy ryzyka, - rozwinięcie problematyki implementacji planu zabezpieczeń, - reagowanie na incydenty. ISO/IEC/TR Wybór zabezpieczeń: - klasyfikacja i charakterystyka różnych form zabezpieczeń, - dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu. ISO/IEC/WD : Zabezpieczenie dla połączeń z sieciami zewnętrznymi: - dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną

7 37 Standard BS 7799 BS 7799 definiuje 127 elementów kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 10 grupom wymagań, co pozwala użytkownikom na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Aktualne wydanie normy kładzie szczególny nacisk na zarządzanie ryzykiem, wskazuje także, że użytkownik nie jest zobowiązany do wdrażania wszystkich technik przywołanych w części pierwszej standardu, tylko uznanych za najistotniejsze i zapewniające realizację celów. Katalog dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Standard uwzględnia najnowsze formy działalności gospodarczej, np. Budowa systemu zarządzania bezpieczeństwem informacji Budowa modelowego systemu zabezpieczeń powinna opierać się na normach i standardach. Począwszy od audytów bezpieczeństwa przeprowadzonych na podstawie norm PN-ISO/IEC 17799:2003 i PN-I :1999, poprzez stworzenie Polityki Bezpieczeństwa, do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji - Information Security Management Systems (ISMS) oraz przygotowanie go do certyfikacji na zgodność z polską normą PN-I (odpowiednik brytyjskiej normy BS :2002). e-commerce, Internet, outsourcing, teleworking, mobile computing. 38 Dokumenty polityki bezpieczeństwa Zarządzanie zmianami Zmiany = Określenie wpływu na bezpieczeństwo Kluczowy proces - zarządzanie ryzykiem (powinno być prowadzone podczas całego okresu eksploatacji systemu); Analiza ryzyka - główny proces zarządzania ryzykiem - identyfikuje ryzyko, które ma być kontrolowane lub akceptowane; Analiza ryzyka obejmuje: ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Pełny cykl analizy ryzyka może być stosowany: - dla nowych systemów, - dla eksploatowanych systemów - w dowolnym momencie życia systemu, - podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń, - podczas projektowania systemu, - przy planowaniu znaczących zmian w systemie. 41 Określanie potrzebnego poziomu bezpieczeństwa Aby odpowiedź na postawione wcześniej pytanie nie trzeba wcale posługiwać się liczbami. Czy zagrożenie może pochodzić z systemu czy spoza niego? Jakie będą konsekwencje w przypadku czasowego braku dostępu do oprogramowania lub danych? Jakie mogą być konsekwencje tego, że projekt systemu opiera się na kompromisach? Czy awaria systemu może doprowadzić do utraty reputacji i zaufania dla organizacji? Czy użytkownicy będą informować o błędach w oprogramowaniu lub działaniu systemu? Jaka motywacja może kierować osobami, które chcą uzyskać dostęp do systemu (np. zysk finansowy, zdobycie informacji Zasady polityki bezpieczeństwa 1. ustalanie odpowiedzialności za poszczególne zasoby informatyczne czyli kto odpowiada za poszczególne zasoby informatyczne; 2. kontrola dostępu do zasobów w jaki sposób możemy kontrolować dostęp do zasobów informatycznych; 3. zapewnienie bezpiecznej transmisji danych podział danych; 4. zapewnienie fizycznego bezpieczeństwa zasobów; 5. zapewnienie ciągłości pracy systemów w sytuacjach awaryjnych; 6. zasady obowiązujące przy rozwoju systemów; 7. zasady podnoszenia kwalifikacji pracowników odpowiedzialnych za bezpieczeństwo systemów informatycznych. marketingowych)? 42 7

8 Zagadnienia bezpieczeństwa W języku angielskim wyróżnia się dwa terminy, którym odpowiada jedno polskie określenie - bezpieczeństwo: safety - bezpieczeństwo użytkownika (i jego danych) przed niezgodnym ze specyfikacją (awaryjnym) działaniem systemu i; security - bezpieczeństwo systemu przed destrukcyjnymi działaniami użytkownika. Są to dwie strony tego samego medalu. System nie będący bezpiecznym w jednym z powyższych znaczeń, przestaje być bezpieczny w drugim. Techniki zabezpieczeń Organizacyjne; Administracyjne; Fizyczne; Programowe Techniki organizacyjne Techniki administracyjne Przedsiębiorstwo tworząc system bezpieczeństwa, musi być przygotowane organizacyjnie. określenie kompetencji pracowników oraz ich wzajemnych zależności; zdefiniowania przeznaczenia pomieszczeń i terenów przedsiębiorstwa; zdefiniowania, kto jest odpowiedzialny za dany obszar, które osoby mogą w nim przebywać; ograniczenie wymiany dokumentów między działami; zapisanie regulaminów i procedur; szkolenia oraz restrykcje i konsekwencje grożące w przypadku nie stosowania się do regulaminów i procedur. Administracyjne techniki zabezpieczeń polegają głównie na odpowiednim kierowaniu procesami zachodzącymi w przedsiębiorstwie. Administrowanie w przedsiębiorstwie nie dotyczy wyłącznie systemu informatycznego. Techniki administracyjne obejmują min. : certyfikowanie, odpowiedzialne zarządzanie dostępem do pomieszczeń, gwarancja oraz usługi serwisowe Techniki fizyczne Techniki programowe Techniki fizyczne dotyczą min. zabezpieczania fizycznego pomieszczeń, np. serwerowni komputerowej, jednak nie należy problemu sprowadza jedynie do wstawienia mocnych krat i drzwi. Rozróżnienie włamywacza w klasycznym rozumieniu od włamywacza komputerowego. W pomieszczeniach szczególnie chronionych zaleca się rezygnację z wszelkich tabliczek identyfikacyjnych na drzwiach, wywieszek informacyjnych oraz nie umieszczanie numerów telefonów w ogólnodostępnych spisach. Ochrona poprzez wykorzystanie środków programowych może dotyczyć: kontroli dostępu do plików i baz danych, zastosowania narzędzi kryptograficznych, użycia mechanizmów separacji. Podstawowym sposobem zabezpieczenia programowego (software'owego) informacji jest min. : zastosowanie odpowiedniej gradacji dostępu do systemu informatycznego, odpowiednie administrowanie kontem użytkownika w systemie, mechanizmy grupowania użytkowników, mechanizmy kryptograficzne

9 Nowe stanowisko w firmie czy nowy zawód? Opracowanie i realizacja polityki bezpieczeństwa Administrator Bezpieczeństwa Informacji Własny personel Wady: zwiększone obciążenie, czas, niedostatek wiedzy o bezpieczeństwie, samokontrola, jakość realizacji zadania. zakres obowiązków, umiejscowienie w strukturach organizacyjnych firmy, wymagane kwalifikacje i wskazane umiejętności, formy zatrudnienia i problemy płacowe, współpraca z innymi służbami w firmie... Zalety: prawdopodobnie niższy koszt, brak uzależnienia od firmy zewnętrznej, podniesienie potencjału personelu, szybka realizacja krytycznych czasowo zadań Outsourcing Outsourcing OUTSOURCING to używanie zasobów zewnętrznych do dokonania czynności, które nie dotyczą sedna działalności danej firmy (out-source: źródło zewnętrzne). Koncepcja zarządzania jaką jest outsourcing powstała z prostej obserwacji, iż nie jest rzeczą zbyt praktyczną robić wszystko samemu. Odniesienie sukcesu wymaga skupienia się na sednie działalności swojej firmy i wykonywaniu tego jak najlepiej. Poprawa rentowności przez: redukcję inwestycji w obszarach nie przynoszące zysku, kontrolę kosztów, zmianę kategorii kosztów ze stałych do zmiennych, przesunięcie terminu powstania kosztów, Uproszczenie organizacji przez: uproszczenie procesu i zakresu zarządzania, formalizację procesów i odchudzenie organizacji, racjonalizację zatrudnienia, poufność i bezpieczeństwo danych w organizacji. Efektywne zarządzanie zmianami przez: zmniejszenie zagrożeń ze strony zmiennego otoczenia prawnego, przerzucenie odpowiedzialności na dostawcę usług outsourcingowych RFC (Request For Comments) Organizacje związane z zagadnieniami standaryzacji w dziedzinie bezpieczeństwa komputerowego ANSI - American National Standards Institute ISO - International Standards Organization NBS - National Bureau of Standards, Dep. of Commerce NCSC - National Computer Security Center, Grupa dokumentów tekstowych opisujących funkcjonowanie Internetu. Pojedynczy RFC może definiować określony standard obowiązujący w Sieci bądź być tylko propozycją lub wytycznymi dotyczącymi kierunku rozwoju nowego standardu. Dokumenty RFC oznaczane są kolejnymi numerami. Pierwsze teksty RFC powstały w 1969 roku i dotyczyły podstawowych protokołów Internetu. Dep. of Defence

10 55 Klasyfikacja zabezpieczeń systemów teleinformatycznych Cel klasyfikacji - pomoc w określeniu klasy systemu teleinformatycznego (wprowadzono ujednolicone kryteria bezpieczeństwa systemów); Pierwsze próby w tej dziedzinie pojawiły się pod koniec lat sześćdziesiątych w Ameryce. Dopiero jednak w latach osiemdziesiątych wydano dokumenty, które mogą stanowić wykładnię w tej dziedzinie. W 1983 roku Departament Obrony Stanów Zjednoczonych stworzył dokument, który stał się klasyką w dziedzinie bezpieczeństwa systemów teleinformatycznych. Jest to tak zwana pomarańczowa książka (orange book) zwana bardziej oficjalnie Trusted Computer System Evaluation Criteria (TCSEC) Kryteria Oceny Zaufania Systemów Komputerowych. 56 Klasyfikacja zabezpieczeń systemów teleinformatycznych Trusted Computer System Evaluation Criteria (TCSEC "Orange Book") USA jest to standard opracowany w USA, ale stał się pierwszym powszechnym takim standardem w skali światowej. Owiązujący w latach stał się podstawą opracowywania podobnych norm w Europie i na świecie. Bardzo często nawet współcześnie znajduje się odwołania do certyfikatów tego standardu. Information Technology Security Evaluation Criteria (ITSEC) EU obowiązywał w Powstał głównie z angielskiego CESG2/DTIEC, francuskiego SCSSI i niemieckiego ZSIEC. Common Criteria Assurance Levels (EAL) - aktualnie obowiązujący standard będący w istocie złączeniem ITSEC, TCSEC oraz CTCPEC (Kanada). Od 1996 powszechnie znany jako Common Criteria for Information Technology Security Evaluation (Kryteria Oceny Zaufania Systemów Komputerowych). Od 1999 roku zaakceptowany jako międzynarodowa norma ISO Klasyfikacja zabezpieczeń systemów teleinformatycznych Klasyfikacja zabezpieczeń systemów teleinformatycznych Wymagania związane z polityką bezpieczeństwa dotyczą czterech zagadnień: dostępu uznaniowego DAC; dostępu narzuconego MAC; etykiet poziom zaufania; mechanizmu ponownego wykorzystania obiektów. Dostęp uznaniowy DAC (discretionary access control) oznacza, że użytkownik może odebrać lub nadać komuś innemu prawa dostępu do posiadanej przez informacji, na przykład do plików. niego DAC pozwala właścicielowi danych ograniczyć dostęp pozostałym użytkownikom do używania baz danych, które sam stworzył Klasyfikacja zabezpieczeń systemów teleinformatycznych Klasyfikacja zabezpieczeń systemów teleinformatycznych Właściciel zasobu może decydować o jego atrybutach i uprawnieniach innych użytkowników systemu względem tego zasobu. Dostęp narzucony (ścisła) MAC (mandatory access control) oznacza, że nadawanie praw dostępu jest powierzone systemowi i wynika z realizowanej przez niego polityki. DAC oferuje użytkownikom dużą elastyczność i swobodę współdzielenia zasobów powszechnym zagrożeniem jest niefrasobliwość przydziału uprawnień (np. wynikająca z nieświadomości lub zaniedbań) i niewystarczająca ochrona zasobów. najczęściej uprawnienia obejmują operacje odczytu i zapisu danych oraz uruchomienia programu. Poprzedni dostęp typu DAC pozwalał użytkownikowi według swojego uznania ustalać, kto ma dostęp do plików. MAC polega na ustalaniu wielu szczebli uprawnień dostępu, z których użytkownicy o wyższym statusie uprawnień mają nieograniczoną możliwość ingerencji w dane użytkowników o niższym statusie

11 Klasyfikacja zabezpieczeń systemów teleinformatycznych Klasyfikacja zabezpieczeń systemów teleinformatycznych Precyzyjne reguły dostępu automatycznie wymuszają uprawnienia nawet właściciel zasobu nie może dysponować prawami dostępu. MAC pozwala łatwiej zrealizować (narzucić) silną politykę bezpieczeństwa i konsekwentnie zasobów. stosować ją do całości Ścisła kontrola dostępu operuje na tzw. poziomach zaufania wprowadzając etykiety poziomu zaufania (sensitivity labels) przydzielane w zależności np. od stopnia poufności. Etykieta poziomu zaufania użytkownika określa zaufanie związane z danym użytkownikiem. Często jest ona nazywana poziomem uprawnień użytkownika (clearance level). Etykieta poziomu zaufania pliku określa poziom zaufania, który musi mieć użytkownik, aby miał dostęp do pliku. Dostęp typu MAC oraz etykiety poziomu zaufania pozwalają wprowadzić zabezpieczenia wielopoziomowe. Etykiety poziomu zaufania składają się z dwóch parametrów: poziomu zaufania wynikającego z przyjętej klasyfikacji; kategorii informacji, której dany poziom dotyczy Podział danych Klasyfikacja zabezpieczeń W celu zapewnienia bezpieczeństwa przetwarzanych informacji należy wszystkie informacje odpowiednio sklasyfikować: informacje do użytku wewnętrznego; są to informacje, które nie powinny być powszechnie dostępne, ale których ujawnienie nie wiąże się z poważnym zagrożeniem dla danej instytucji; informacje o charakterze poufnym; są to zasoby, które powinny być udostępniane osobom, dla których są konieczne do wypełniania ich obowiązków np. dane osobowe; informacje o charakterze tajnym; znane tylko wąskiej grupie osób, np. wykorzystywane przy zapewnieniu rejestracji dostępu; hasła administratora, klucze kodowe. Poziomy zaufania budowane są hierarchicznie. Podstawową zasadą klasyfikowania informacji niejawnych, systemów teleinformatycznych, jest przyznawanie im klauzul tajności: ściśle tajne - top secret - dla informacji stanowiących tajemnicę państwową; tajne - secret dla informacji stanowiących tajemnicę państwową; poufne - confidential - dla tajemnicy służbowej; zastrzeżone - restricted - dla tajemnicy służbowej; jawne Klasyfikacja zabezpieczeń systemów teleinformatycznych Kategorie bezpieczeństwa Mechanizm ponowne wykorzystanie obiektu (object reuse) ten zapewnia, że zawartość nośnika pamięci zostanie wyczyszczona zanim zostanie na nowo przydzielona użytkownikowi. W ten sposób zapobiega się celowemu lub przypadkowemu dostępowi do informacji zapisanej w danym sektorze dysku lub na stronie pamięci wtedy, kiedy są one przydzielane innym użytkownikom. Opierając się o opisane wymagania, standard TCSEC definiuje trzy kategorie bezpieczeństwa: C, B i A (D). Kategoria A opisuje najwyższy poziom bezpieczeństwa. W obrębie każdej z kategorii wyróżnia się jedną lub więcej hierarchicznych klas. Kategoria D Minimalna ochrona (Minimal Protection), nie zawiera mechanizmów zabezpieczających i zapewnia minimalną ochronę

12 Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa D jest określa jako najniższy poziom bezpieczeństwa, oznaczający całkowity brak wiarygodności systemu. Poziom ten nie wymaga certyfikacji, ponieważ cechuje go brak jakichkolwiek zabezpieczeń. Jedyne co można zrobić to ograniczyć fizyczny dostęp do systemu. Każdy użytkownik, który ma dostęp do systemu może w tym systemie zrobić wszystko. Do tej klasy należą także systemy pozornie bezpieczne, czego przykładem może być procedura autoryzacji dostępu w sieciowych komputerach zaopatrzonych w system operacyjny Microsoft Windows 98/ME. Kategoria C Ochrona uznaniowa w odniesieniu do polityki bezpieczeństwa zawiera mechanizm ochrony dostępu typu DAC oraz mechanizm ponownego wykorzystania obiektu. Kategoria ta zawiera mechanizmy identyfikacji, uwierzytelniania i śledzenia. Kategoria C obejmuje dwie klasy: Cl i C2. Klasa C2 ma wyższy poziom zabezpieczeń niż Cl Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa C1 Dobrowolna kontrola dostępu (ang. discretionary security protection). Każdy użytkownik kontroluje dostęp do obiektów, których jest właścicielem i zezwala na dostęp według własnego uznania. Dostęp może być inny dla właściciela, grupy czy pozostałych użytkowników. To poziom ochrony uznaniowej najniższy poziom bezpieczeństwa. System kontroluje uprawnienia dostępowe użytkowników do obiektów w systemie (plików, katalogów), występuje też system autoryzacji. Użytkownik, zanim rozpocznie pracę w systemie, musi się zalogować w oparciu o nazwę użytkownika i osobiste hasło dostępowe. Nie występuje natomiast superużytkownik (root user), a jeśli występuje, to jego konto niewiele różni się od pozostałych pod względem bezpieczeństwa. System nie posiada żadnych mechanizmów rejestrowania zdarzeń Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa C2 Dostęp kontrolowany (ang. controlled access protection). Poziom ten gwarantuje automatyczne rejestrowanie wszystkich istotnych z punktu widzenia bezpieczeństwa zdarzeń i zapewnia silniejszą ochronę kluczowych danych systemowych takich jak np. baza danych haseł użytkowych. Kategoria B Ochrona narzucona wymaga bezpieczeństwa wielopoziomowego, realizowanego za pomocą dostępu typu MAC i etykiet poziomów zaufania. Kategoria B obejmuje trzy klasy: B1, B2 i B3. Zakodowane hasła użytkowników dostępne są tylko dla systemu operacyjnego. Istnieje także możliwość zablokowania niektórych instrukcji poszczególnym użytkownikom. Klasa B1 jest to klasa C2 z dodanym dostępem typu MAC i etykietami poziomów zaufania

13 Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa B1 To poziom, który może obsługiwać różne kategorie bezpieczeństwa typu: poufne, tajne, czy ściśle tajne. Na poziomie tej klasy zablokowana jest już możliwość zmiany praw dostępu do obiektu przez jego właściciela (uznaniowa kontrola dostępu do zasobów). Klasa B2 Zabezpieczenie strukturalne (ang. structure protection). Poziom wymaga przypisania każdemu obiektowi systemu komputerowego etykiety bezpieczeństwa określającej status tego obiektu w odniesieniu do przyjętej polityki bezpieczeństwa. Gdy obiekt użytkownik" żąda dostępu do obiektu plik" system ochrony akceptuje lub odrzuca to żądanie na podstawie porównania zawartości etykiet bezpieczeństwa tych obiektów. Etykiety te mogą zmieniać się dynamicznie w zależności od tego co jest aktualnie użytkowane Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa B3 Obszary poufne (ang. security domains). Jest to rozszerzenie problemu bezpieczeństwa na sprzęt komputerowy. W tym przypadku bezwzględnie obowiązkowym jest chronienie zarówno przechowywanej jak i przesyłanej informacji. Przykładowo: terminale mogą być połączone z serwerem tylko za pośrednictwem wiarygodnego okablowania i specjalizowanego sprzętu gwarantującego, że nikt nie będzie w stanie przechwycić znaków wciskanych na naszej klawiaturze. Klasa A1 Zweryfikowana realizacja systemu (ang. yerified design). Jest to najwyższy poziom bezpieczeństwa. Cała konfiguracja sprzętowo-programowa programowa wymaga matematycznej weryfikacji. Zarówno sprzęt jak i oprogramowanie musi podlegać specjalnej ochronie w trakcie transportu zapewniającej jego nienaruszalność (aby nikt niczego nie podmienił). Wymaga formalnego dowodu, że system jest zgodny z wymaganiami Kategorie bezpieczeństwa KLASY WŁASNOŚCI W tym miejscu należy zwrócić uwagę na problem wzrostu obciążenia systemu operacyjnego związanego z uaktywnieniem opcji bezpieczeństwa. W szczególności może okazać się, że mało wydajne serwery nie będą w stanie obsłużyć wszystkich użytkowników po uruchomieniu wszystkich programów zabezpieczających, ze względu na duże zużycie zasobów procesora i powierzchni dyskowej Warto dodać, że w obecnej chwili na świecie działa tylko kilka systemów, których poziomy zabezpieczeń określa się jako kategorie B3 i A1. D - minimalna ochrona (właściwie jej brak). C1 - identyfikacja i uwierzytelnianie użytkowników, hasła chronione, luźna kontrola dostępu na poziomie właściciela /grupy/ pozostałych użytkowników, ochrona obszarów systemowych pamięci. C2 - kontrola dostępu na poziomie poszczególnych użytkowników, automatyczne czyszczenie przydzielanych obszarów pamięci, wymagana możliwość rejestracji dostępu do zasobów. B1 - etykietowane poziomy ochrony danych

14 KLASY WŁASNOŚCI KLASY WŁASNOŚCI B2 - ochrona strukturalna, jądro ochrony, weryfikacja autentyczności danych i procesów, informowanie użytkownika o dokonywanej przez jego proces zmianie poziomu bezpieczeństwa, wykrywanie zamaskowanych kanałów komunikacyjnych, ścisła rejestracja operacji. B3 - domeny ochronne, aktywna kontrola pracy systemu (security triggers), bezpieczne przeładowanie systemu. A1 - formalne procedury analizy i weryfikacji projektu i implementacji systemu. TCSEC D C1 C2 B1 B2 B3 A1 ITCES E0 E1, F-C1 E2, F-C2 E3, F-B1 E4, F-B2 E5, F-B3 E6, F-B3 CC / EAL EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL Klasyfikacja zabezpieczeń systemów teleinformatycznych W zależności od klauzuli tajności systemu teleinformatycznego, system ten powinien spełniać określone wymogi bezpieczeństwa takie jak: ochrona fizyczna; ochrona elektromagnetyczna; ochrona kryptograficzna; bezpieczeństwo transmisji; kontrola dostępu; poświadczenie bezpieczeństwa osobowego personelu; przeszkolenie personelu; certyfikat systemu lub sieci Wirtualne przestępstwa Ataki hakerów, rozprzestrzenianie się wirusów, internetowa pornografia, oszustwa finansowe i telekomunikacyjne, handel pirackim oprogramowaniem oraz wszelkimi, zakazanymi w rzeczywistym świecie, dobrami i usługami dotykają coraz szerszej grupy społeczeństwa w każdym kraju, w którym Internet przestał być drogim gadżetem dla wybrańców. Wszechświatowa pajęczyna stała się środowiskiem wymarzonym dla przestępców 84 Przestępczość komputerowa Pojawienie się Internetu i rozwój technologii IT - olbrzymie możliwości dla nauki, biznesu i kultury. Zaczęły się rozwijać nowe elektroniczne dziedziny w handlu, bankowości, edukacji. To jedna, powszechnie znana strona Internetu. Przestępczość to jego druga, ciemna strona, o której mówi się niewiele. Internet jako całość nie ma jednego właściciela, nikt w nim nie rządzi, nikt go centralnie nie nadzoruje, nie ma policji czuwającej nad bezpieczeństwem jego użytkowników. Wraz z rozwojem Internetu przybyło wiele nowych, nie znanych wcześniej form przestępczości. 14

15 Konsekwencje naruszeń bezpieczeństwa Przestępczość komputerowa utracone cykle biznesowe utrata zaufania klientów utrata dochodów skutki prawne utrata reputacji utracone lub przywłaszczone dane zakłócenie procesów biznesowych National Computer Crime Squad, specjalna komórka FBI, której celem jest wykrywanie i zapobieganie wszelkiego rodzaju cybernetycznym przestępstwom, ustaliła kilka najgroźniejszych przestępstw w Internecie i są to: włamania do sieci komputerowych bądź serwerów oraz szpiegostwo gospodarcze z wykorzystaniem Internetu (haking), piractwo komputerowe, bombings, kradzież i podszywanie się pod cudze hasła, spoofing, oszustwa z wykorzystaniem kart kredytowych - carding, phreaking oraz scanning ning i sniffing Historia Historia Pojęcie przestępstwa komputerowego jest stosunkowo mało znane mimo, że pierwszy raz zostało użyte już w latach 40-tych. Nowy rodzaj przestępczości - computer crime czyli przestępczość komputerowa lub nadużycie komputerów. Były to jedynie prognozy lata 50-te i 60-te rozwój rozwój przestępczości. Lata 90-te zmieniają ten stan rzeczy - za sprawą Internetu i rozwoju technik przekazywania informacji. Skala zagrożenia oraz gwałtowny wzrost wysokości strat problem został dostrzeżony. Uznano je za jedną z podstawowych form przestępczości i włączono do grupy przestępczości zorganizowanej. Pierwsze manipulacje, szpiegostwo i nadużycia przy użyciu komputerów. W latach 70-tych i 80-tych problem marginalizowano był traktowany jako zagrożenie o zasięgu lokalnym, nie międzynarodowym Etapy rozwoju prawa informatycznego Obszary wymagające uwagi 89 elektroniczne przetwarzanie danych zagrożeniem prywatności człowieka (Szwecja lata 70-te XXw.), nadużycia z wykorzystaniem elektronicznych systemów przetwarzania danych oraz zamachy przeciwko tym systemom (USA 1976r., lata 80-te XXw.), ochrona własności intelektualnej w zakresie oprogramowania komputerowego ochrona prawnopatentowa - ochrona prawnoautorska, przestępstwa przy pomocy systemów i sieci komputerowych, zasady odpowiedzialności za rozpowszechnianie nielegalnych i szkodliwych treści za pośrednictwem Internetu (lata 90-te), np. Komisja Europejska (1996, 1997): zakaz wykorzystania Internetu do rozpowszechniania treści o charakterze rasistowskim, pornograficznym, dotyczących handlu kobietami i dziećmi, negujących holocaust, propagujących terroryzm, przemoc i nienawiść. 90 Ślady Sprawca nie musi być obecny na miejscu przestępstwa Miejsce działania sprawcy Efekt 15

16 Obszary wymagające uwagi Przestępstwa komputerowe można podzielić na trzy grupy: Efekt Ślady Transgraniczność Sprawca 1) naruszanie praw jednostki w przedmiocie ochrony danych; 2) przestępstwa gospodarcze: a) manipulacje komputerowe; b) sabotaż, szantaż komputerowy; c) hacking; d) szpiegostwo komputerowe; e) kradzież oprogramowania i inne formy piractwa (czyli naruszanie prawa autorskiego); 3) inne rodzaje przestępstw: Różnice: w technice działania organów ścigania w odpowiedzialności za czyn a) zagrożenie bezpieczeństwa narodowego lub międzynarodowego; b) wykorzystanie techniki komputerowej w tradycyjnych rodzajach przestępstw; c) rozpowszechnianie informacji propagujących rasizm, agresję, pornografię itd Przestępstwa komputerowe Przestępstwa komputerowe cd. Wymierne straty finansowe proporcjonalne do postępu technologicznego oraz liczby osób z dostępem od Internetu straty bezpośrednie banki, sklepy internetowe, straty pośrednie utrata danych działanie wirusa lub hakera; Skutki społeczne przestępczości komputerowej - trudne do określenia; Czasem mogą grozić utratą życia wielu osób atak na komputery nadzorującego funkcje życiowe pacjentów na Oddziale Intensywnej Opieki Medycznej, lotniska, kolej itp. Komitet Ekspertów Rady Europy wskazał formy zachowań związanych z wykorzystaniem komputera i systemu komputerowego, które winny być kryminalizowane w systemach prawnych państw członkowskich. Czyny patologiczne zostały skatalogowane przez Komitet w dwóch listach. Pierwsza (tzw. lista minimalna) zawiera czyny wymagające kryminalizacji we wszystkich państwach członkowskich, a co za tym idzie ścisłej współpracy międzynarodowej Przestępstwa komputerowe cd. Przestępstwa komputerowe cd. Zaliczono tutaj: 1. oszustwa komputerowe (manipulacja programem, manipulacja danymi, manipulacja urządzeniami wejściawyjścia); 2. fałszerstwa komputerowe; 3. zniszczenie danych lub programów komputerowych; 4. sabotaż komputerowy; 5. nieuprawnione wejście do systemu; 6. podsłuch komputerowy; 7. bezprawne kopiowanie, rozpowszechnianie lub publikowanie programów prawnie chronionych; Komitet Ekspertów Rady Europy Minimalna lista przestępstw: - oszustwo komputerowe ( art. 287 k.k.) - fałszerstwo komputerowe (art k.k.) - sabotaż komputerowy (art i 2 k.k.) - piractwo komputerowe (art k.k.) - włamanie do systemu komputerowego (art k.k.) - niszczenie danych lub programów (art. 276 k.k. niszczenie lub pozbawienie mocy dowodowej dokumentu elektronicznego, art k.k. Naruszenie integralności zapisu)

17 Przestępstwa komputerowe cd. Przestępstwa komputerowe cd. Druga lista obejmuje zagadnienia o mniejszym stopniu szkodliwości - nie wymagają one ścisłej współpracy międzynarodowej w zakresie ich ścigania. Komitet Ekspertów Rady Europy Lista przestępstw: Zaliczono tutaj: 1. modyfikacje danych i programów komputerowych, 2. szpiegostwo komputerowe, - modyfikacja danych lub programów - szpiegostwo komputerowe (art k.k. oraz art k.k.) 3. używanie komputera bez zezwolenia, - używanie komputera bez zezwolenia 4. używanie prawnie chronionego programu bez upoważnienia. - używanie prawnie chronionego programu komputerowego bez upoważnienia Polskie przepisy karne Ogólny podział - paserstwo komputerowe (art k.k. ) - oszustwo telekomunikacyjne (art. 285 k.k.) - nierzetelne prowadzenie dokumentacji działalności gospodarczej (art. 303 k.k.) - fałszerstwo kart płatniczych (art. 310 k.k.) - rozpowszechnianie treści pornograficznych w Internecie (art. 202 k.k.) - zniesławienie (art. 212 k.k.) - zniewaga (art. 216 k.k.) - groźba karalna (art. 190 k.k.) 1. niemożliwą do dokonania poza środowiskiem komputerowym: manipulacje dokonywane za pomocą komputera na zbiorach danych i oprogramowaniu, zamachy na urządzenia systemu informatycznego, nieuprawnione wejście do systemu komputerowego. 2. ułatwianą przez komputery: oszustwa (fałszowanie danych wejściowych, realizację fikcyjnych inwestycji), fałszerstwa i podszywanie się pod cudze nazwisko, kradzież informacji oraz podsłuch, rozpowszechnianie w ogólnie dostępnych sieciach komputerowych (np. Internet) wiadomości rasistowskich, obraźliwych lub pornograficznych. 3. popełnianą przy biernym udziale komputerów: oszustwa przez prowadzenie np. podwójnej księgowości lub wyrządzanie szkód w interesach gospodarczych oraz prywatnych (osobistych) poprzez np. naruszanie osobistych praw autorskich. 99 Ogólny podział Wg. funkcji systemu komputerowego - komputer obiektem przestępstwa przestępstwa przeciwko komputerowi ; - komputer narzędziem przestępstwa przestępstwa przy użyciu komputera ; - komputer źródłem przestępstwa komputer jako źródło ; - komputer źródłem i środkiem dowodowym komputer jako dowód. Klasyfikacja atakujących : Ogólny podział profesjonalny złodziej danych i informacji, oszust dokonujący wyłudzeń w obrębie całego Internetu, w tym również osoba posługująca się skradzionymi danymi o kartach płatniczych, cyberterrorysta działający w obrębie przedsiębiorstw i instytucji, nieudolny i/lub złośliwy włamywacz, klasyczny przestępca dokonujący czynów takich jak: skanowanie, modyfikacja, kopiowanie, kradzież, usuwanie przedmiotów ataku, zorganizowane grupy przestępcze

18 Definicje Już w 1980 r. przestępstwa komputerowe zostały podzielone na dwie grupy: klasyczne, popełniane z wykorzystaniem systemów komputerowych, w których wyniku poszkodowani ponoszą straty materialne lub sprawcy osiągają (lub mogą osiągnąć) zyski; skierowane przeciwko informacjom zawartym w systemach komputerowych. Chociaż podejmowano wiele prób, nie stworzono legalnej definicji przestępstwa komputerowego Nadużycia (przestępstwa) popełniane z wykorzystaniem nowoczesnych technologii przetwarzania informacji zakres problemu jest związany nie tylko z czynami karalnymi, ale także z szeroko pojętym procesem operowania danymi. Definicja INTERPOLu Dwa zakresy znaczeniowe: Definicje Zakazana przez normy prawa karnego działalność w zakresie jakichkolwiek technik komputerowych 1) zamachy na systemy, dane lub programy komputerowe - system komputerowy jest środowiskiem popełniania przestępstwa oraz jego celem 2) posługiwanie się elektronicznymi systemami przetwarzania informacji do naruszania dóbr prawnych chronionych przez klasyczne prawo karne - komputer jest narzędziem do dokonywania przestępstw, których dokonywać można również bez jego użycia Definicje Historia Zjawisko kryminologiczne obejmujące wszelkie zachowania przestępne związane z funkcjonowaniem systemu informatycznego - godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz całym systemie połączeń komputerowych, a także w sam sprzęt komputerowy oraz prawa do programu komputerowego powołanie Samodzielnej Sekcji ds. przestępczości komputerowej w Biurze ds. Przestępczości Gospodarczej KGP; 1998 reorganizacja KGP, powstanie zespołu w strukturze Wydziału ds. Przestępczości Gospodarczej Biura Koordynacji Służby Kryminalnej; wyznaczeni policjanci w Komendach Wojewódzkich Policji. Nowe podejście Definicje Złamanie zabezpieczenia serwera, spenetrowanie systemu i,,kradzież'' danych to zachowania, które do tej pory określano mianem,,incydentów sieciowych'' albo,,nadużyć komputerowych''. Obecnie zachowania te są przestępstwami. Obowiązujący od 6 czerwca 1997 r. (z kolejnymi zmianami w 1998 i 2004 r.) nowy kodeks karny zabrania dokonywania zamachów na bezpieczeństwo elektronicznie przetwarzanej informacji i przewiduje kary dla tych, którzy zakazów tych nie respektują. W polskim prawodawstwie przestępstwa komputerowe sankcjonowane są głównie przez przepisy kodeksu karnego. Odpowiednie przepisy zawarte są w: Rozdziale XXXIII "Przestępstwa przeciwko ochronie informacji", Rozdziale XXXV "Przestępstwa przeciwko mieniu", Rozdziale XXXIV "Przestępstwa przeciwko wiarygodności dokumentów "

19 Definicje Systemy informatyczne zagadnienia prawne Art. 267 prawo do poufności informacji poufność (ang. confidentiality) - właściwość danych i informacji polegająca na ujawnianiu ich wyłącznie uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób. 1 Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2 Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym Art. 267 ROK 1 i Art. 267 W myśl najprostszej interpretacji tego przepisu, hacker ponosi odpowiedzialność karną za zapoznanie się z treścią przechowywanej w systemie komputerowym informacji (np. cudzej korespondencji elektronicznej lub planów marketingowych konkurencyjnego przedsiębiorstwa), jeżeli uzyska do niej dostęp na skutek przełamania zabezpieczeń. W tym kontekście mówi się, jako o przepisie penalizującym,,kradzież informacji'' Jednak, nie wszyscy sprawcy włamań do sieci komputerowych poszukują informacji. Znane są przypadki włamań dokonywanych wyłącznie w celu wykazania nieskuteczności zabezpieczeń. Po drugie, sprawcy działającemu w celu uzyskania informacji trudno będzie udowodnić, że taką informację uzyskał. Analiza logów systemowych czy do końca skuteczna? Art. 267 Social engineering na nowy kodeks karny Kolejny problem okazuje się bowiem, że samo skopiowanie przez sprawcę plików danych zawierających informacje, z którymi nie zdążył się on jeszcze zapoznać nie wyczerpuje znamion ustawowych omawianego przestępstwa. Szczególnie groźna forma hackingu, polegająca na kradzieży informacji na cudze zlecenie, pozostawałaby praktycznie poza zakresem penalizacji art n.k.k. Inna interpretacja łamiąc zabezpieczenie w postaci hasła dostępu do zasobów, hacker często zapoznaje się z nieprzeznaczoną dla niego informacją, jaką jest treść hasła. W nowym kodeksie karnym praktycznie nie ma przepisu umożliwiającego inkryminowanie inżynierii społecznej. Oznacza to, że zgodnie z obowiązującym prawem wprowadzenie innej osoby w błąd w celu uzyskania od niej zastrzeżonej dla sprawcy informacji nie jest już czynem zabronionym. Art. 172 z Przepis ten uznawał za jedną z form naruszenia tajemnicy korespondencji podstępne uzyskanie nie przeznaczonej (dla sprawcy) wiadomości nadanej przy użyciu środków telekomunikacji nie obowiązuje. Jeżeli tak się dzieje - zachowanie się sprawcy wyczerpuje znamiona ustawowe przestępstwa z art n.k.k

20 Definicje Systemy informatyczne zagadnienia prawne Art. 268 prawo do integralności informacji integralność (ang. integrity) - cecha danych i informacji oznaczającą ich dokładność i kompletność oraz utrzymywanie ich w tym stanie. 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli czyn określony w 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności do lat Definicje Systemy informatyczne zagadnienia prawne Art. 269 prawo do dostępności informacji dostępność (ang. availability) - właściwość danych, informacji oraz systemów informatycznych, dzięki której są one osiągalne i mogą być używane w każdym czasie i w wymagany sposób. Sabotaż komputerowy. 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji lub funkcjonowania administracji rządowej lub samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat Tej samej karze podlega, kto dopuszcza się czynu określonego w 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji Systemy informatyczne zagadnienia prawne Systemy informatyczne zagadnienia prawne Art fałszerstwo Sankcjonuje fałszerstwo dokumentu dokonane przez osobę, która "podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa]". Zgodnie z art przepis ten dotyczy także dokumentów elektronicznych. Przewiduje karalność wszelkich form wpływania na dane stanowiące dokument elektroniczny, odnosząc się tym samym do autentyczności i integralności danych. Art sankcjonuje poświadczenie nieprawdy w dokumencie co do okoliczności mającej znaczenie prawne przez uprawnioną osobę. Art. 272 i 273 przewidują karę za wyłudzanie poświadczenia nieprawdy poprzez wprowadzenie w błąd osoby upoważnionej do wystawienia dokumentu, a także karalność używania takiego dokumentu. Zgodnie z art. 274, karalne jest zbywanie własnego lub cudzego dokumentu stwierdzającego tożsamość (np. dokument podpisany sygnaturą cyfrową). Art odnosi się do posługiwania się, kradzieży oraz przywłaszczenia takiego dokumentu

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego) Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego) Informacja: - środek do służący do gromadzenia dóbr materialnych i zarządzania

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Szkolenie. z zakresu ochrony. informacji niejawnych

Szkolenie. z zakresu ochrony. informacji niejawnych Szkolenie z zakresu ochrony informacji niejawnych Warszawa 2015 r. PODSTAWY PRAWNE, INFORMACJE OGÓLNE Ustawa z dnia 5 sierpnia 2010r. o ochronie informacji niejawnych Rozporządzenie Rady Ministrów z dnia

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a Przestępczość komputerowa, internetowa i intelektualna Pojęcie przestępczości internetowej i charakterystyka obszarów zagroŝeń. W polskim prawie karnym brak jest definicji przestępstwa internetowego. Potocznie

Bardziej szczegółowo

Dane osobowe: Co identyfikuje? Zgoda

Dane osobowe: Co identyfikuje? Zgoda Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego

Bardziej szczegółowo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 1 Bezpieczeństwo systemu informatycznego banku 2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PRZESTĘPCZO PCZOŚĆ KOMPUTEROWA POZNAŃ, LISTOPAD 2007 AGENDA CO TO JEST PRZESTĘPSTWO RODZAJE PRZESTĘPSTW KOMPUTEROWYCH PRZESTĘPSTWA POPEŁNIANE PRZY UśYCIU KOMPUTERA

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic

KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic KOMPUTER JEST JEDNOCZEŚNIE NARZĘDZIEM i CELEM ATAKU (PRZESTĘPSTWA) Kinga Dziedzic Przestępstwo komputerowe pospolita nazwa przestępstw, których narzędziem lub przedmiotem sprawczym jest komputer lub inne

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,

Bardziej szczegółowo

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI MINISTERSTWO ADMINISTRACJI I CYFRYZACJI S y s t e m Z a r z ą d z a n i a B e z p i e c z e ń s t w e m I n f o r m a c j i w u r z ę d z i e D e f i n i c j e Bezpieczeństwo informacji i systemów teleinformatycznych

Bardziej szczegółowo

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak AGENDA Prawne aspekty systemów pułapek Obrona przez atak TYTUŁEM WSTĘPU gospodarka oparta na wiedzy prawo nie nadąża za rozwojem techniki HONEYPOT TO Prawidłowo przygotowany honeypot jest odpowiednio skonfigurowanym

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych.

Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych. Wyciąg z Kodeksu karnego dot. przestępstw przeciwko ochronie informacji Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych. Ustawa o ochronie informacji niejawnych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO ROZDZIAŁ I Postanowienia ogólne 1. 1. Polityka bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH

POLITYKA BEZPIECZEŃSTWA DANYCH POLITYKA BEZPIECZEŃSTWA DANYCH XXXIV Liceum Ogólnokształcącego z Oddziałami Dwujęzycznymi im. Miguela de Cervantesa w Warszawie Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr

Bardziej szczegółowo

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security. Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego Krzysztof Młynarski Teleinformatica Krzysztof.Mlynarski@security.pl Główne zagadnienia referatu Pojęcie Polityki Bezpieczeństwa Ocena

Bardziej szczegółowo

Za jakie przestępstwa nie może być skazany członek zarządu spółki z o.o.

Za jakie przestępstwa nie może być skazany członek zarządu spółki z o.o. Zgodnie z art. 18 1 KSH tylko osoba fizyczna z pełną zdolnością do czynności prawnych może być członkiem zarządu. Inne ograniczenie wynika z 2 tego przepisu, w którym zapisane jest, że osoba skazana prawomocnym

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r. ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA z dnia 1 marca 2012 r. w sprawie wprowadzenia instrukcji określającej sposób zarządzania systemami informatycznymi służącymi do przetwarzania

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Zatwierdzony Uchwałą nr 16/11/2015 z dnia 01-08-2015 S P I S TREŚCI I. POLITYKA BEZPIECZEŃSTWA...4 Pojęcia podstawowe...4

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN Dokument nadzorowany w wersji elektronicznej 8.01.2013 r. ZATWIERDZAM zał. nr 11 do PB UMiG Łasin Podpis Administratora Danych Osobowych ORA.142.1.1.2013 A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r

Bardziej szczegółowo

DOKUMENTACJA BEZPIECZEŃSTWA

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI> Załącznik nr 23 do Umowy nr... z dnia... MINISTERSTWO FINANSÓW DEPARTAMENT INFORMATYKI DOKUMENTACJA BEZPIECZEŃSTWA styczeń 2010 Strona 1 z 13 Krótki opis dokumentu Opracowano na

Bardziej szczegółowo

PRZESTĘPCZOŚĆ KOMPUTEROWA. Wykład z 23 października 2014 roku

PRZESTĘPCZOŚĆ KOMPUTEROWA. Wykład z 23 października 2014 roku PRZESTĘPCZOŚĆ KOMPUTEROWA Wykład z 23 października 2014 roku Przyczyny pojawienia się przestępczości komputerowej A. Gwałtowny rozwój techniki. B. Przetwarzanie ogromnej ilości informacji i danych. C.

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM Rok szkolny 2013/2014 1 Obowiązki Administratorów Systemu Do obowiązków Administratorów

Bardziej szczegółowo

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego

Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Zintegrowany System Zarządzania w Śląskim Centrum Społeczeństwa Informacyjnego Beata Wanic Śląskie Centrum Społeczeństwa Informacyjnego II Śląski Konwent Informatyków i Administracji Samorządowej Szczyrk,

Bardziej szczegółowo

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006

ISO 27001 nowy standard bezpieczeństwa. CryptoCon, 30-31.08.2006 ISO 27001 nowy standard bezpieczeństwa CryptoCon, 30-31.08.2006 Plan prezentacji Zagrożenia dla informacji Normy zarządzania bezpieczeństwem informacji BS 7799-2:2002 a ISO/IEC 27001:2005 ISO/IEC 27001:2005

Bardziej szczegółowo

Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw. Diagnoserw Dawid Stramowski, Chrząstowo 4, 89-100 Nakło Nad Notecią

Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw. Diagnoserw Dawid Stramowski, Chrząstowo 4, 89-100 Nakło Nad Notecią Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw W przypadku cyberprzemocydostępne są dwie drogi ochrony prawnej: karna i cywilna. Należy pamiętać, że: w przypadku cyberprzemocy w stosunku

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1) Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały

Bardziej szczegółowo

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF 1 STRESZCZENIE Konspekt powstał na podstawie wykładu z przedmiotu

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNYM ZESPOLE OBSŁUGI PLACÓWEK OŚWIATOWYCH W ŚWIERKLANACH Rozdział I Postanowienia wstępne. Na podstawie 3

Bardziej szczegółowo

epolska XX lat później Daniel Grabski Paweł Walczak

epolska XX lat później Daniel Grabski Paweł Walczak epolska XX lat później Daniel Grabski Paweł Walczak BIG TRENDY TECHNOLOGICZNE TRANSFORMACJA DOSTĘPU DO LUDZI I INFORMACJI +WYZWANIA W OBSZARZE CYBERBEZPIECZEŃSTWA Mobile Social Cloud Millennials (cyfrowe

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Przestępczość z wykorzystaniem internetowych platform handlowych. Modus operandi sprawców i aktywne zwalczanie fraudów.

Przestępczość z wykorzystaniem internetowych platform handlowych. Modus operandi sprawców i aktywne zwalczanie fraudów. Przestępczość z wykorzystaniem internetowych platform handlowych. Modus operandi sprawców i aktywne zwalczanie fraudów. Jakub Pepłoński Kierownik ds. kontaktów z organami ścigania QXL Poland Grupa Allegro

Bardziej szczegółowo

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS Załącznik nr 3 do umowy nr 10/DI/PN/2016 PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W Rozdział 1. ADMINISTROWANIE 1. Wykonawca, w celu zapewnienia ciągłości funkcjonowania, zobowiązuje się

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ

SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ Załącznik Nr 3 Do Zarządzenia Nr 56/10 STAROSTY KOSZALIŃSKIEGO z dnia 1 października 2010 r. SAMOOCENA SYSTEMU KONTROLI ZARZĄDCZEJ W STAROSTWIE POWIATOWYM W KOSZALINIE Do sporządzenia samooceny wykorzystano

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. projekt ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia... r. w sprawie szczegółowych warunków organizacyjnych i technicznych dla systemu teleinformatycznego służącego identyfikacji

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem

Bardziej szczegółowo

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni) ZRBS/45/2015 Warszawa, dnia 05.06. Szanowni Państwo, Zarząd Banku Spółdzielczego Związek Rewizyjny Banków Spółdzielczych im. F. Stefczyka realizując swoją statutową działalność przesyła ofertę na szkolenie

Bardziej szczegółowo

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły Bezpieczne dane - dobre praktyki w szkole Dyrektor Szkoły DANE UCZNIOWIE RODZICE ABSOLWENCI PRACOWNICY EMERYCI RENCIŚCI KONTRACHENCI INF. BIEŻĄCE KONTROLA ZARZĄDCZA ryzyko ryzyko ryzyko ryzyko ryzyko dostępu

Bardziej szczegółowo

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Single Sign On Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Jednocześnie systemy te przechowują coraz

Bardziej szczegółowo

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ PLASTYCZNYCH W DĄBROWIE GÓRNICZEJ CZĘŚĆ OGÓLNA Podstawa prawna: 3 i 4 rozporządzenia Ministra Spraw

Bardziej szczegółowo

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych Gminnego Ośrodka Kultury w Wodyniach Na

Bardziej szczegółowo

REGULAMIN KORZYSTANIA Z INFRASTRUKTURY INFORMATYCZNEJ W JEDNOSTCE CENTRALNEJ INSTYTUTU ENERGETYKI W WARSZAWIE

REGULAMIN KORZYSTANIA Z INFRASTRUKTURY INFORMATYCZNEJ W JEDNOSTCE CENTRALNEJ INSTYTUTU ENERGETYKI W WARSZAWIE Instytut Energetyki Instytut Badawczy Warszawa, ul. Mory 8 REGULAMIN KORZYSTANIA Z INFRASTRUKTURY INFORMATYCZNEJ W JEDNOSTCE CENTRALNEJ INSTYTUTU ENERGETYKI W WARSZAWIE Obowiązuje od dnia 1 maja 2013 r.

Bardziej szczegółowo

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie

Bardziej szczegółowo

Krzysztof Świtała WPiA UKSW

Krzysztof Świtała WPiA UKSW Krzysztof Świtała WPiA UKSW Podstawa prawna 20 ROZPORZĄDZENIA RADY MINISTRÓW z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI Załącznik 1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W celu zabezpieczenia danych gromadzonych i przetwarzanych w Urzędzie Miejskim w Ząbkowicach Śląskich oraz jego systemie informatycznym, a w szczególności

Bardziej szczegółowo

Zasada dotycząca bezpieczeństwa informacji, tajemnic handlowych i poufnych informacji

Zasada dotycząca bezpieczeństwa informacji, tajemnic handlowych i poufnych informacji Zasada dotycząca bezpieczeństwa informacji, tajemnic handlowych i poufnych informacji Deklaracja zasady: Firma 3M zobowiązuje się do ochrony poufnych informacji firmy 3M, w tym tajemnic handlowych, przed

Bardziej szczegółowo

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum Lp. 1 Temat 1. Konfigurowanie urządzeń. Uzyskiwanie dostępu do sieci Internet 2 3 4 5 Symulatory programów konfiguracyjnych urządzeń Konfigurowanie urządzeń Konfigurowanie urządzeń sieci Funkcje zarządzalnych

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI Headlines Spółka z ograniczoną odpowiedzialnością i spółka spółka komandytowa szanuje i troszczy się o prawo do prywatności

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. I Podstawa prawna: 1. Ustawa z dnia 29.08.1997 roku o ochronie danych osobowych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego Niniejszy załącznik uwzględnia: - zarządzenie (pierwotne) Nr 18/04 Starosty z 28.12.2004 r. - zarządzenie zmieniające Nr 33/09 z 10.12.2009 r. - zarządzenie zmieniające Nr 37/10 z 23.07.2010 r. - zarządzenie

Bardziej szczegółowo

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE O prawidłowym systemie ochrony danych osobowych w przedsiębiorstwie można mówić wtedy, gdy dopełniane są wszystkie obowiązki administratora

Bardziej szczegółowo

Regulamin. 1. Postanowienia ogólne

Regulamin. 1. Postanowienia ogólne Regulamin 1. Postanowienia ogólne Serwis internetowy www.wirtualnecentrumtreningowe.pl jest własnością firmy Soehner Polska Maciej Nowaczyk, ul. Kanałowa 18/16, 60-710 Poznań, NIP 779-205-13-52. Korzystając

Bardziej szczegółowo

REGULAMIN Korzystania ze szkolnej sieci komputerowej oraz Stanowisk komputerowych

REGULAMIN Korzystania ze szkolnej sieci komputerowej oraz Stanowisk komputerowych REGULAMIN Korzystania ze szkolnej sieci komputerowej oraz Stanowisk komputerowych 1. Postanowienia ogólne 1.1. Regulamin niniejszy ustala zasady funkcjonowania sieci komputerowej w Zespole Szkół Ponadgimnazjalnych

Bardziej szczegółowo

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego INSTRUKCJA zarządzania systemem informatycznym dla systemu Podsystem

Bardziej szczegółowo

Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S.

Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S. Zaawansowane usługi identyfikacji na przykładzie projektu Centralnego Systemu Identyfikacji Uczestników Meczów Piłki Nożnej PWPW S.A jako Partner Technologiczny Ekstraklasa S.A. Zagadnienia Wprowadzenie

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji w urzędach pracy

Zarządzanie bezpieczeństwem informacji w urzędach pracy Materiał informacyjny współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Zarządzanie bezpieczeństwem informacji w urzędach pracy Radek Kaczorek, CISA, CIA, CISSP,

Bardziej szczegółowo

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych

Bardziej szczegółowo

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku UNIWERSYTET JAGIELLOŃSKI DO-0130/14/2006 Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku w sprawie: ochrony danych osobowych przetwarzanych w Uniwersytecie Jagiellońskim Na

Bardziej szczegółowo