1. Struktura środowiska informatycznego

Wielkość: px
Rozpocząć pokaz od strony:

Download "1. Struktura środowiska informatycznego"

Transkrypt

1 1. Struktura środowiska informatycznego Rezultatem postępu, jaki w ciągu ostatnich 20 lat nastąpił w technice komputerowej, jest fakt, że dzisiejsza dostępność i moc obliczeniowa komputerów oraz związanego z nimi oprogramowania jest wykorzystywana zarówno w sektorze publicznym, jak i prywatnym. Fakt znaczącej roli, jaką komputery odgrywają w przetwarzaniu danych, podejmowaniu decyzji, utrzymywaniu kontaktów z klientami, rodzi pytanie, czy środowisko informatyczne reprezentowane przez zintegrowany system informatyczny, jest odpowiednio zorganizowane i kontrolowane, zarówno pod względem bezpieczeństwa, jak i efektywności funkcjonowania. Właściwe pojmowanie środowiska informatycznego, wszelkich aspektów z nim związanych, tj. uwarunkowań prawnych, kwestii technologicznych, relacji właścicielskich oraz pozostałych problemów związanych z poszczególnymi jego elementami, jest niezbędne do podejmowania trafnych i przemyślanych decyzji oraz do realizowania zamierzonych celów. W ramach wiedzy o tym środowisku wymagane jest odpowiednie zrozumienie relacji zasobów i procesów, stanowiących dwa główne elementy tego środowiska, oraz zagrożeń z nimi związanych. Zasoby informatyczne można podzielić na pięć głównych grup 1 : dane, systemy aplikacyjne, technologię, infrastrukturę oraz ludzi. Podział ten, przedstawiono na rysunku 1. Rysunek 1. Zasoby środowiska informatycznego Źródło: Opracowanie własne na podstawie M.Forystek, Audyt informatyczny, InfoAudit, Warszawa 2005, s Forystek M. op.cit., s. 35 za COBIT Management Guidelines, ISACA [cit ], Mariusz Zarzycki, 1

2 Wymienione na rysunku 18 zasoby poddawane są klasyfikacji ze względu na znaczenie, jakie mają one dla jednostki gospodarczej. W zależności od wagi(znaczenia) określonego zasobu dla organizacji, inny będzie proces zarządzania ryzykiem związanym z tym zasobem. G.Idzikowska 2 proponuje wydzielenie czterech grup zasobów: najwyższej wagi(vital), tzn. takich, które są niezastępowalne i jednocześnie niezbędne w każdej chwili, aby jednostka mogła funkcjonować; podstawowe(essential), czyli takie, których strata mogłaby przerwać działanie jednostki; mimo, że jednostka przetrwa, znacznie obniży się poziom jej produktywności; ważne(important), których utrata może spowodować niewygodę, a tylko czasem przerwę w funkcjonowaniu; użyteczne(useful), tzn. takie, które dobrze jest mieć, ale których brak nie stwarza problemów. Z każdym z zasobów środowiska informatycznego wiążą się określone zagrożenia. W kontekście systemów informatycznych zagrożeniami mogą być awarie zasilania, źle nadane uprawnienia do programów i danych, rozprzestrzeniające się wirusy komputerowe, awarie sprzętu, siły natury oraz działania ludzkie. Zależnie od celowości działań zagrożenia kwalifikuje się jako przypadkowe lub celowe. Zagrożenie jest przypadkowe, jeżeli powstało samoczynnie (np. awaria sprzętu) lub nieumyślnie (błąd ludzki, np. roztargnienie, posiadanie niewystarczającej na dany temat wiedzy). Zagrożenia celowe są świadomymi ingerencjami ludzi w sprzęt i/lub oprogramowanie, mającymi na celu zniszczenie, przechwycenie bądź modyfikację systemu informatycznego. Należy tutaj uwzględnić również wszelkie oszustwa komputerowe 3. Z uwagi na źródło zagrożenia wyróżnić można zagrożenia: 4 zewnętrzne występujące ze strony osób nieuprawnionych do dostępu lub używania systemu informatycznego jako skutek niedoskonałości systemu zabezpieczeń zewnętrznych; ze strony środowiska naturalnego(trzęsienia ziemi, wyładowania 2 R.P. Fisher., Information Systems Security, Prentice-Hall, Inc., Englewood Cliffs 1983, s w Idzikowska G., op.cit., s Oszustwa oraz inne akty bezprawne zostaną opisane w dalszej części pracy. 4 Grzywacz J.[red], Bezpieczeństwo systemów informatycznych w bankach w Polsce, SGH, Warszawa 2003, s. 13. Mariusz Zarzycki, 2

3 atmosferyczne itp.) lub jako niebezpieczeństwa związane z otoczeniem, w którym znajduje się komputer(kurz, wilgoć, ogień itp.), wewnętrzne będące wynikiem działania użytkowników uprawnionych do korzystania z systemu. Biorąc za kryterium rodzaj zagrożenia można wskazać zagrożenia sprzętowe oraz programowe. Przykładową statystykę zagrożeń dla systemów komputerowych przedstawiono na wykresie 1. Wykres 1. Zagrożenia w systemach komputerowych 10% 9% 4% 3% pomyłki ludzi problemy fizyczne 54% nieuczciwy personel 20% niezadowolny personel wirusy ataki z zewnątrz. Źródło: Grzywacz J. [red], Bezpieczeństwo systemów informatycznych w bankach w Polsce, SGH, Warszawa 2003, s. 14. Wobec przedstawionych ogólnie zagrożeń kluczową rolę odgrywa bezpieczeństwo zasobów tworzących model środowiska informatycznego. Pod pojęciem bezpieczeństwa zasobów informatycznych kryje się wiele pojęć, które różnią się pod względem semantycznym i co do których znaczenia odmienne są poglądy różnych autorów 5. G.Idzikowska 6 definiuje bezpieczeństwo zasobów jako grupę zadań kierownictwa podmiotu obejmującą dbałość o dokładność i nienaruszalność danych i informacji niezbędnych do zarządzania jednostką, o poufność, tajność i niedostępność danych dla osób nieupoważnionych, o zabezpieczenie zasobów informatycznych przed wypadkami losowymi lub niewłaściwym użyciem, o ustrzeżenie pracowników przed pokusą, a kierownictwa przed nieprzezornością. Drugim, obok zasobów elementem wchodzącym w skład struktury środowiska informatycznego są procesy informatyczne, których zadaniem jest zarządzanie złożonym 5 Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku informatycznym rachunkowości, Wyd. UŁ. Łódź 2002, s.150. Autorka dokonuje szczegółowego przeglądu pojęć związanych z bezpieczeństwem zasobów informatycznych, tj. bezpieczeństwa danych, ochrony danych, zabezpieczenia danych. 6 Idzikowska G., op.cit., s Mariusz Zarzycki, 3

4 zbiorem zasobów tego środowiska. Wśród procesów można wydzielić cztery ich główne rodzaje związane z 7 : monitorowaniem funkcjonowania infrastruktury informatycznej, planowaniem i organizowaniem struktur i procesów informatycznych, wdrażaniem nowych rozwiązań i wprowadzaniem zmian do istniejących systemów, zapewnieniem efektywnego działania eksploatowanych systemów. Koniecznym pozostaje scharakteryzowanie głównych zasobów wchodzących w skład środowiska informatycznego wraz ze powiązanymi z nimi zagrożeniami. Uwagę należy również zwrócić na proces zarządzania ryzykiem jako mechanizm monitorujący zagrożenia i ich ewentualne skutki. Audytor informatyczny powinien posiadać, co najmniej ogólną wiedzę na temat zasobów informatycznych. Powinien znać zasady współpracy poszczególnych zasobów oraz znać charakterystyki i kluczowe mechanizmy kontrolne w nich wykorzystywane, tak aby być przygotowanym do realizacji zadań audytowych, w tym prowadzenia testów dowodowych Zasoby środowiska informatycznego, zagrożenia i mechanizmy je kontrolujące Fizyczne i logiczne bezpieczeństwo danych Dane, zdefiniowane w rozdziale pierwszym, krytyczny zasób organizacji, niezbędny dla zapewnienia kontynuacji prowadzonej działalności. Szeroko rozumiana jakość danych, oceniana w aspekcie trafności prezentowanych informacji czy ich bezpieczeństwa określa często jakość całego systemu informatycznego w całości. Kwestia trafności prezentowanych przez systemy informacji różni się w zależności od osób z niej korzystających. Spotyka się określenie, że dane o organizacji stanowią odzwierciedlenie jej przeszłości, teraźniejszości oraz przyszłości. Ich utrata często oznacza koniec działalności danej organizacji. Utrata danych może na przykład nastąpić na skutek luk bądź niedociągnięć w nieprzestrzeganiu podstawowych zasad związanych z wykonywaniem kopii zapasowych gromadzonych danych. Nieprofesjonalne wykonywanie kopii zapasowych, sabotaż bądź inne katastrofy naturalne, jak 7 Forystek M., op.cit., s Forystek M., op.cit., s. 34. Mariusz Zarzycki, 4

5 powódź czy pożar mogą w rezultacie doprowadzić do niemożności odzyskania danych, a co za tym idzie, do uniemożliwienia organizacji wykonywania jej podstawowych operacji w ramach prowadzonej działalności. Podejmowanie poprawnych decyzji zależy w znacznej mierze od jakości danych i ewentualnie jakości metod decyzyjnych zawartych w systemach informatycznych. Ważną kwestią jest również nadużycie komputera przez niepowołane do tego osoby. Parker 9 definiuje nadużycie komputera jako incydent związany z technologią informatyczną, w której ofiara doznała bądź mogłaby doznać utraty lub zakłamania w danych na skutek działalności przestępczej innej osoby. Należy jednak dodać, iż nadużycie nie zawsze musi oznaczać popełnienie przestępstwa 10. Znaczenie danych ze względu na ich poufność, integralność, dostępność czy zgodność z prawem decyduje o poziomie ochrony całego systemu informatycznego. Charakterystyka wybranych aspektów bezpieczeństwa systemów informatycznych z punktu widzenia wrażliwości danych znajduje się w tabeli 8. Tabela 1. Charakterystyka wybranych aspektów bezpieczeństwa systemu informatycznego Aspekt bezpieczeństwa Utrata integralności(rozumiana jako dokładność, kompletność oraz prawdziwość(ważność)) Utrata dostępności(w kontekście dostępności informacji; dotyczy także ochrony niezbędnych zasobów i ich możliwości) Utrata poufności( ochrona ważnych informacji przed nieuprawnionym ujawnieniem) Opis Integralność danych i systemu traktowana jest jako wymóg, jaki narzuca na system ochrona informacji przed niedozwolonymi modyfikacjami. Utrata integralności występuje, jeżeli nieautoryzowane zmiany są dokonywane na danych bądź innych elementach systemu informatycznego. Utrata integralności zmniejsza pewność informacji zawartych w systemie, czego rezultatem mogą być błędnie podejmowane decyzje. Niedostępność systemu informatycznego, krytycznego z punktu widzenia użytkowników końcowych, skutkuje utratą mocy produkcyjnej organizacji. Zapewnienie poufności danych zawartych w systemie odnosi się do zapewnienia ochrony informacji przed nieautoryzowanym dostępem. Utrata poufności informacji zawartych w systemie może w najgorszym przypadku prowadzić do roszczeń prawnych wobec organizacji, utraty poszanowania i zaufania publicznego. Źródło: Opracowanie własne na podstawie Stonebumer G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, Październik 2001, s Parker, Donn B., Crime by Computer, New York: Charles Scibner s Sons, s Trudno byłoby nazywać przestępstwem wydrukowanie prywatnej korespondencji z użyciem służbowego komputera i podłączonej do niego drukarki. Mariusz Zarzycki, 5

6 Dziś, w dobie uzależnienia się przedsiębiorstw od informacji, zachowanie bezpieczeństwa zarówno fizycznego, jak i logicznego danych jest sprawą kluczową. Fizyczny dostęp 11 do danych oznacza fizyczną możliwość uzyskania nośnika, na którym zapisane są dane, tj. dysków, dyskietek, bibliotek taśmowych, wydruków. G.Idzikowska 12 definiuje fizyczne środki ochrony jako sposoby zabezpieczenia przed nieupoważnionym dostępem do materialnych zasobów środowiska informatycznego. Do środków tych zalicza się wszelkie mechanizmy kontrolne, jak: drzwi z zamkami cyfrowymi, czytniki biometryczne czy urządzenia kontrolujące. Ograniczenie dostępu fizycznego do zasobów informatycznych uzyskuje się stosując tradycyjną koncepcję fortecy 13. Ogólny zamysł polega na wyodrębnianiu specjalnych stref w technologii informatycznej, zwanych strefami zdemilitaryzowanymi, DMZ(ang. Demilitarized Zone 14 ), w których stosuje się różnorodne mechanizmy zabezpieczające przejście pomiędzy jedną strefą a drugą. Ograniczenie dostępu do systemu komputerowego przedstawiono na rysunku 2. Rysunek 2. Ograniczenie dostępu do systemu komputerowego KONTROLE DOSTĘPU DO SYSTEMU KOMPUTEROWEGO PRÓBA DOSTĘPU KONTROLE DOSTĘPU DO BUDYNKU KONTROLE OTOCZENIA SIEDZIBY JEDNOSTKI GOSPODARCZEJ Źródło: Gelinas U.J., Oram A.E., Wiggins W.P., Accounting Information Systems, PWS Kent Publishing Company, Boston 1990, s. 175 w Idzikowska G., Wiarygodność danych a bezpieczeństwo zasobów w środowisku informatycznym rachunkowości, Wyd. UŁ. Łódź 2002, s Jak widać na powyższym rysunku, aby uzyskać fizyczny dostęp do systemu komputerowego należy odpowiednio otrzymać zezwolenie do przekroczenia wcześniejszych stref: siedziby jednostki gospodarczej oraz budynku. 11 Yusufali F.Musaji, Auditing and Security, AS/400, NT, Unix, Networks and Disaster Recovery Plans, John Wile & Sons, Nowy Jork 2001, s Idzikowska G., op.cit., s Smith M., Commonsense Computer Security, Mc Graw-Hill International, Cambridge 1993, s. 81 w Idzikowska G., op.cit., s. 155 Smith M., Commonsense Computer Security, Mc Graw-Hill International, Cambridge 1993, s [cit ], Strefa zdemilitaryzowana, DMZ (ang. Demilitarized Zone) - w informatyce, strefą zdemilitaryzowaną nazywa się też półżartobliwie wydzielony obszar graniczny sieci lokalnej, w którym znajdują się firewall-e i serwery proxy. Oddziela ona sieć wewnętrzną od zewnętrznych. Podstawową zasadą jest brak bezpośredniej komunikacji między siecią wewnętrzną a zewnętrzną w celu zapewnienia wysokiego poziomu bezpieczeństwa. Mariusz Zarzycki, 6

7 Lista zagrożeń w zakresie technik i sposobów przełamywania mechanizmów logicznego dostępu do systemów komputerowych powiększa się z dnia na dzień, co uniemożliwia pełne odzwierciedlenie rzeczywistej listy tych zagrożeń. Najczęściej spotykane mechanizmy przełamywania logicznego dostępu do danych wraz z ich charakterystyką pokazuje tabela 2. Tabela 2. Mechanizmy przełamywania logicznego dostępu do danych Rodzaj zagrożenia Charakterystyka zagrożenia Wirusy(ang. viruses) Robaki(ang. worms) Bomby logiczne(ang. logical bombs) Tylne furtki(ang. trap doors) Konie trojańskie(ang. Trojan horses) Wypływ danych(ang. data leakage) Programy, które dołączają się same do plików wykonywalnych, obszarów systemowych, plików danych, zawierające makra, które powodują zakłócenie operacji komputerowych bądź utratę danych. Programy o zwykle destruktywnym charakterze, które rozprzestrzeniają się pomiędzy komputerami z wykorzystaniem usług sieciowych; nie potrafią, jak wirusy, infekować innych programów, ale mogą się przenosić pomiędzy komputerami przez sieć; kod robaka może być rozlokowany na wielu maszynach i służyć np. do wykonania ataków blokowania usług. Programy, które aktywują się w określonych warunkach(np. w określonym momencie w przyszłości); nie roznoszą się, ale mają zwykle destruktywny charakter(np. programista tworzy program, który uaktywniony wywoła zniszczenie danych w przyszłości; jeśli programista zostanie zwolniony, to w przyszłości jego firma może mieć problemy). Mechanizmy programowe, które pozwalają na ominięcie autoryzacji, np. naciśnięcie określonej kombinacji klawiszy powoduje przejście w tryb administratora. Użyteczne programy, które niejako przy okazji wykonują ukryte funkcje ( np. wygaszacze ekranu). Dane mogą być skopiowane na różne nośniki; do tego celu mogą być wykorzystane funkcje systemu, ale także np. kopiowanie danych poprzez schowek. Podsłuch(ang. wire-taping) Podłączenie się do linii transmisyjnej w celu podsłuchania przepływających przez nią danych; w sieciach typu Ethernet podsłuchiwanie nie wymaga żadnych dodatkowych zabiegów poza zwykłym podłączeniem do sieci(w przypadku przełączników też jest to możliwe, ale trudniejsze). Blokowanie usług(ang. denial-of-service attack) Podszywanie się, kradzież Atak DoS 15 (ang. Denial of Service Attack) - rodzaj ataku, polegający na wysłaniu jednocześnie bardzo dużej liczby zapytań do serwera, co powoduje jego przeciążenie, zablokowanie, czasem nawet poważniejsze awarie. Do ataków takich wykorzystuje się często komputery zombie. Ataki typu DoS stały się głośne po roku 2000, zwłaszcza w okresie znanej kontrowersji wokół prawa własności do systemu operacyjnego Linux, gdy serwery niektórych firm były celowo blokowane przez ich przeciwników 16. Polega on na tworzeniu przez spamerów oszukańczych wiadomości 15 Lam K., LeBlanc D.,Smith B, Ocena bezpieczeństwa sieciowego, APN Promise, Warszawa 2005, s [cit ]. Mariusz Zarzycki, 7

8 tożsamości(ang. Phishing, Masquerading, Spoofing) i witryn WWW, które wyglądają identycznie jak serwisy internetowe firm o znanej marce, aby skłonić klientów indywidualnych do podania numeru karty kredytowej lub informacji o koncie bankowym 17. Źródło: Opracowanie własne na podstawie Forystek M., Audyt informatyczny, InfoAudit, Warszawa 2005 s.3.9 Z luk w mechanizmach dostępu logicznego mogą korzystać zarówno pracownicy organizacji, jak i osoby zewnętrzne. Ich wykaz został zaprezentowany w tabeli 3. Tabela 3. Zagrożenia komputerowe ze strony ludzi na skutek luk w mechanizmach dostępu logicznego Zagrożenia z zewnątrz organizacji Konkurencja Celem działań jest zdobycie informacji o konkurencji oraz szpiegostwo ekonomiczne, osiągnięcie bezpośrednich bądź pośrednich korzyści majątkowych, sabotaż. W znacznym stopniu wykorzystywana jest tutaj socjotechnika 18 (ang. Social engineering). Przedstawiciele przestępczości zorganizowanej Zagrożenia z wewnątrz organizacji. Pracownicy Statystycznie pracownicy popełniają najwięcej przestępstw związanych z przełamywaniem mechanizmów dostępu logicznego lub wykorzystywaniem zbyt wysokiego ich poziomu, do celów nie związanych z czynnościami służbowymi. Personel IT Celem działań jest szantaż, destrukcja, wyzysk, zemsta. Hakerzy Specjaliści z dziedziny bezpieczeństwa, którzy posiadając wiedzę o lukach w mechanizmach dostępu logicznego przejmują nad nimi częściową lub całkowitą kontrolę. Hakerów można podzielić na crackerów opłacanych hakerów działających na rzecz strony trzeciej, srcipt-kidies osoby, które korzystają z gotowych programów i skryptów same nie posiadając wystarczającej wiedzy i doświadczenia do przełamywania mechanizmów kontroli dostępu oraz hack activists osoby, które dokonują włamań z pobudek światopoglądowych. Byli pracownicy Szczególna grupa pracowników w aspekcie systemów informatycznych, gdyż posiada najszerszy zakres uprawnień dostępu logicznego, co umożliwia trudno wykrywalny dostęp do danych. Ignoranci Poprzez błędnie nadane uprawnienia przewyższające ich rzeczywiste potrzeby mogą mieć dewastacyjny wpływ na środowisko informatyczne. Dostawcy i konsultanci IT Posiadają zwykle szeroką wiedzę na temat systemów i mogą ją wykorzystać dla własnych celów. Personel zatrudniony czasowo Posiada zwykle dostęp podobny do zwykłych pracowników, a ze względu na rotację może wykorzystać nabytą podczas pracy wiedzę do realizacji nielegalnych działań. 17 Symantec Corporation [cit ], https://www.symantec.com. 18 Wikipedia, - Social engineering - tłumaczone zamiennie jako inżynieria socjalna lub socjotechnika (błędnie jako inżynieria społeczna!). Za jej twórcę uważa się Kevina Mitnicka. Socjotechnika to pozyskiwanie informacji poprzez odpowiednie chwyty psychologiczne i manipulacje na ludziach, którzy mają dostęp do tych informacji. Metoda ta jest także bardzo często wykorzystywana przez prywatnych detektywów i tak zwanych handlarzy informacją. Inżynieria socjalna jest najczęściej wykorzystywana do okradania wielkich korporacji z poufnych danych (np. planów technologicznych). Do ataków najczęściej wykorzystywany jest telefon. Socjotechnika opiera się na utwierdzaniu ofiary w przekonaniu, że napastnik jest uprawniony do poznania danej informacji. Mariusz Zarzycki, 8

9 Zwykle posiadają dużą wiedzę o organizacji i z zastosowaniem metod socjotechnicznych mogą wykonać operacje podobne jak pracownicy. Źródło: Opracowanie własne na podstawie Stonebumer G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems, National Institute of Standards and Technology, Październik 2001, s. 14 oraz Forystek M., Audyt informatyczny, InfoAudit, Warszawa 2005 s. 38. W ograniczeniu dostępu logicznego do szczególnych danych krytycznych z punktu widzenia organizacji stosuje się wiele mechanizmów podwyższających ich bezpieczeństwo. Do mechanizmów tych zalicza się m.in. identyfikację, szyfrowanie, podpisy cyfrowe infrastrukturę klucza publicznego oraz ściany ogniowe(ang. firewalls 19 ). Identyfikacja(uwierzytelnianie) użytkowników stanowi jeden z bazowych logicznych środków ochrony dostępu do danych. Jest to proces weryfikacji tożsamości(identyfikacji) polegający na wymianie tajnej informacji między użytkownikiem a komputerem. Użytkownik jest przy tym rozumiany szeroko, ponieważ może nim być nie tylko konkretna osoba, lecz także terminal czy nadawca zaszyfrowanego pakietu danych w sieci komputerowej. Różne też mogą być metody uwierzytelniania, w zależności od tego, co użytkownik zna(hasło, algorytm, odpowiedzi na pytanie czy prywatny klucz przy elektronicznym podpisie) i w zależności od potrzeb (np. uwierzytelnienie jedno- lub dwukierunkowe). Identyfikacja użytkowników odbywa się najczęściej: z wykorzystaniem unikatowego identyfikatora oraz hasła; z wykorzystaniem danych biometrycznych, jak: tęczówka oka, dno oka, linie papilarne, kształt dłoni, trójwymiarowa geometria dłoni, cechy charakterystyczne podpisu, rozpoznawanie głosu, kształt twarzy; z wykorzystaniem kart, żetonów bądź innych fizycznych identyfikatorów przechowujących certyfikaty. Logiczny dostęp do danych oznacza możliwość ich odczytania, modyfikacji lub usunięcia z wykorzystaniem m.in. narzędzi informatycznych. Logiczny dostęp do danych w środowisku informatycznym odbywa się praktycznie zawsze z wykorzystaniem mechanizmów dostępu logicznego na różnych poziomach modelu technologicznego na poziomie systemu operacyjnego, oprogramowania, elementów infrastrukturalnych 20. Szyfrowanie jest znanym od czasów Cesarstwa Rzymskiego sposobem ochrony danych. Głównym celem szyfrowania jest zapewnienie przesyłania informacji w taki sposób, 19 Soo Hoo K.J., How Much Is Enough? A Risk Management Approach to Computer Security, Consortium for Research on Information Security and Policy(CRISP), Lipiec 2000, s Forystek.M., op.cit., s. 37. Mariusz Zarzycki, 9

10 aby odczytać mógł je jedynie określony adresat i nikt inny. M.Forystek21 definiuje szyfrowanie jako proces, który polega na zamianie jawnego tekstu przesyłki na bezpiecznie zakodowaną formę tekstu zwaną szyfrem, która nie może być odczytana(zrozumiała) bez odszyfrowania zamiany szyfru na jawny tekst. Proces ten jest realizowany z wykorzystaniem funkcji matematycznych oraz specjalnego hasła(zwanego kluczem) używanego do szyfrowania i odszyfrowania. Ze względu na wagę problemu wykształciła się odrębna dyscyplina nauki, zwana kryptografią(ang.cryptography)22. Szyfrowanie służy nie tylko ograniczeniu dostępu do treści danych. Jest ono wykorzystywane także do zapewnienia integralności danych(ang. integrity) w czasie ich przesyłania(np. przez łącza teleinformatyczne, w których możliwy jest podsłuch) oraz do zagwarantowania wiarygodności i jednoznaczności co do nadawcy przesyłki. Do najczęściej stosowanych form systemów kryptograficznych zalicza się szyfrowanie z kluczem prywatnym, szyfrowanie z kluczem publicznym, szyfrowanie z użyciem krzywych eliptycznych oraz szyfrowanie kwantowe. Najpowszechniejszymi rodzajami szyfrów są szyfry RSA, DES, IDEA. Kolejnym elementem kontrolującym logiczny dostęp, występujący oddzielnie bądź wraz z mechanizmami szyfrowania, jest podpis cyfrowy, którego wykorzystanie w Polsce reguluje Ustawa o podpisie elektronicznym. Podpis cyfrowy jest szyfrogramem dokumentu sporządzonym z wykorzystaniem algorytmu niesymetrycznego i klucza prywatnego nadawcy. Taki szyfrogram może być odczytany wyłącznie za pomocą klucza publicznego nadawcy, więc każdy może sprawdzić, kto wysłał daną wiadomość. Najczęściej podpisy cyfrowe wykorzystywane są w23: potwierdzaniu autentyczności nadawcy, weryfikacji integralności przesyłki, zapewnieniu niezaprzeczalności. W związku z koniecznością upubliczniania 24 klucza publicznego oraz utajnienia klucza prywatnego stworzono infrastrukturę klucza publicznego PKI(ang.Public Key Infrastructure). Rozwiązanie to uwzględnia istnienie specjalnie powołanego organu (ang. Certificate Authority), stanowiącego urząd zaufania publicznego, kreującego i utrzymującego klucze publiczne. Jego główne zadanie polega na wystawianiu certyfikatów elektronicznych Forystek.M., op.cit., s Wykaz najczęściej stosowanych szyfrów - oraz Forystek.M., op.cit., s Forystek M., op.cit., s Upublicznianie polega na umożliwieniu pobrania klucza publicznego zainteresowanemu nawet bez znajomości właściciela klucza. 25 Certyfikat elektroniczny DC(ang. Digital Certificate) elektroniczny wyznacznik, składający się z danych właściciela certyfikatu oraz jego klucza publicznego. Przykładem mogą być certyfikaty pocztowe, stron www itp. Mariusz Zarzycki, 10

11 każdemu, kto złoży na nie zapotrzebowanie. W praktyce urzędy certyfikacji tworzą strukturę drzewiastą, złożoną z głównych urzędów CA oraz urzędów niższego rzędu RA(ang. Registration Authority) 26 realizujących część zadań CA 27. Fakt dość wysokich kosztów uzyskania certyfikatów od światowych liderów w tej dziedzinie, jak VeriSign jest powodem, iż organizacje decydują się na posiadanie lokalnych urzędów certyfikacji świadczących usługi zgodnie z ich potrzebami. Obecne technologie informatyczne, uwzględniające zarówno rozwiązania sprzętowe, jak i programowe oferują mechanizmy kontrolujące(filtrujące) ruch sieciowy, tzw. ściany ogniowe. Ich zadanie polega na akceptowaniu bądź odrzucaniu pakietów pochodzących od określonych nadawców bądź z określonych podsieci lokalnych(stref) wraz z pełnym monitoringiem zdarzeń naruszających określone reguły bezpieczeństwa. Elementem umożliwiającym kontrolę oraz analizę uzyskanego dostępu logicznego są także dzienniki systemowe, zapisujące szczegółowe dane dotyczące obiektów(np. użytkowników), które uzyskały dostęp do określonego zasoby wchodzącego w skład środowiska informatycznego Architektura oraz mechanizmy kontrolne w programach użytkowych Kontrola programów użytkowych jako zasobu środowiska informatycznego jest bardzo ważnym aspektem kontroli środowiska informatycznego. Zgodnie z wcześniejszą definicją program użytkowy(aplikacja) to rodzaj programu komputerowego. Do najczęściej spotykanych typów programów komputerowych zalicza się aplikacje jednostanowiskowe(jednoużytkowe), wieloużytkowe, klient-serwer, korzystające z baz danych i pracujące w sieci(sieciowe). Problemem związanym z aplikacjami jednoużytkowymi jest zachowanie jednakowej parametryzacji wszystkich stanowisk w ramach całej organizacji. W przypadku aplikacji wieloużytkowych należy zadbać o zachowanie szyfrowanej komunikacji oraz zapewnić wystarczające moce sprzętowe maszyn obsługujących sam program, jak i profilowane środowiska każdego z użytkowników. W przypadku aplikacji typu klient-serwer, oprócz problemów charakterystycznych dla programów jedno i wieloużytkowych, pojawić się mogą problemy związane z siecią 26 Czasami urzędy typu RA w ujęciu systemów informatycznych nazywane są SA(Subordinate Authority). 27 Do zadań tych można zaliczyć np. wystawianie, utrzymywanie i zarządzanie certyfikatami, zaświadczenie o posiadaniu certyfikatu przez daną osobę. Mariusz Zarzycki, 11

12 teleinformatyczną oraz zachowaniem poufności i integralności danych. Kwestią kluczową jest tutaj zachowanie szyfrowanych sesji pomiędzy klientem a serwerem, aby wyeliminować możliwość podłączania się intruzów pod już otwartą sesję. Do najczęściej spotykanych mechanizmów kontrolnych w aplikacjach należą mechanizmy kontrolujące proces wprowadzania danych, przetwarzania danych, generowania informacji wynikowych oraz mechanizmy zabezpieczające pliki źródłowych aplikacji 28. Kontrolując aplikacje należy poświęcić uwagę całemu procesowi przepływu danych realizowanemu w danym programie komputerowym. Stosowanie mechanizmów jedynie kontrolujących samą aplikację powoduje, iż w rzeczywistości cały system informatyczny można uznać za niechroniony. Aby przystąpić do wprowadzania danych użytkownik musi zostać jednoznacznie zidentyfikowany przez aplikację. Weryfikacja tożsamości odbywa się z użyciem wielu metod, do których zaliczyć można tradycyjne: identyfikator i hasło, kontrolę na poziomie systemu operacyjnego, systemu zarządzania bazą danych, samej aplikacji 29. Obecna technologia udostępnia kompleksowe rozwiązania umożliwiające na podstawie pojedynczej identyfikacji poruszanie się po wielu systemach fizycznie odseparowanych 30. Z punktu widzenia bezpieczeństwa praktykuje się jednak stosowanie oddzielnych mechanizmów dostępu do aplikacji w celu uniemożliwienia korzystania z nich w momencie zdobycia bazowego hasła dostępu. W zależności od sposobu wprowadzania danych do systemu, tj. wsadowego bądź bieżącego stosuje się różne mechanizmy kontrolne. Do mechanizmy kontrolnych zapewniających integralność danych na etapie wprowadzania można zaliczyć 31 : weryfikację podpisów cyfrowych - każda wprowadzana paczka danych może być podpisana; dzięki temu możliwe jest wykrycie utraty integralności i potwierdzenie wiarygodności tożsamości; proces weryfikacji może odbywać się całkowicie automatycznie, kontrolę wartości (ang. total monetary amount) - weryfikacja, czy wartość wprowadzonych dokumentów jest zgodna z wartością wykazaną w innym systemie lub przez innego użytkownika(np. wprowadza się wsadowo faktury zakupu, weryfikację sum kontrolnych(ang. hash totals) - sprawdza się, czy sumy określonych pól dla całości pliku lub jego konkretnych części(np. sumy na klientach lub 28 Chambers A.D., Court J.M., Computer Auditing Third Edition, Pittman Publishing London 1991, s Patrz mechanizmy kontroli dostępu logicznego w przypadku danych. 30 Przykładem może być usługa katalogowa firmy Microsoft wykorzystująca Kerberos a. 31 Forystek M., op.cit., s Mariusz Zarzycki, 12

13 określonych towarach) są zgodne z zamierzeniami. Suma kontrolna (ang. checksum, control total) jest liczbą (często 16-bitową) uzyskaną w wyniku sumowania przesyłanych danych, służącą do sprawdzania poprawności przetwarzanych danych. Jest ona dołączana do danych wysyłanych. Zanim komputer wyśle dane, liczy sumę kontrolną i dołącza ją do pakietu danych. Komputer odbierający dane liczy również sumę kontrolną z odebranych danych i sprawdza, czy suma przez niego obliczona zgadza się z sumą wysłaną z pakietem danych. Jeśli nie, to znaczy, że dane uległy przekłamaniu. W rachunkowości odpowiednikiem sum kontrolnych są sumy obrotów Winien lub Ma. kontrolę kolejności(ang. sequence check) - sprawdza się, czy nie ma dziur w numeracji dokumentów. W zależności od wykrytych przez przedstawione mechanizmy kontrolne nieprawidłowości należy podjąć odpowiednią akcję: odrzucić wprowadzane dane(paczkę danych), wstrzymać dalsze przetwarzanie do wyjaśnienia powodów zaistniałej sytuacji, odrzucić to, co nie jest zgodne i kontynuować, odpowiednio zaznaczyć błędy w celu późniejszej ich korekty. Problem zagrożeń związanych z aplikacjami tkwi nie tylko w samym wprowadzaniu danych, choć wymienione mechanizmy kontrolne znajdują szczególne zastosowanie właśnie podczas tego etapu. Uwagę należy również poświęcić etapom rzeczywistego przetwarzania danych oraz generowania wyników. Większość metod wykorzystywanych na etapie wprowadzania danych stosuje się również i w tym przypadku. Dodatkowo w przypadku przetwarzania danych spotyka się 32 : weryfikację na drugą rękę rozpoczęcie przetwarzania wymaga niezależnego potwierdzenia przez dwie osoby; weryfikacja tego typu jest silnym mechanizmem pod warunkiem, że do jej wykonania nie wystarczy naciśnięcie jednego klawisza w takim przypadku po pewnym czasie staje się rutyną i jej jakość silnie zależy od cech osobowości użytkownika, powtórną autoryzację np. do wykonania przelewu w systemie internetowym może być wymagane podanie dodatkowego hasła lub skorzystanie z karty procesorowej 33, 32 Forystek M., op.cit., s Przykładem może być lista haseł jednorazowych potrzebną do potwierdzenia każdej operacji na stronach mbanku Mariusz Zarzycki, 13

14 przeliczanie manualne(ang.manual recalculation) niektóre dane powinny być przeliczane ręcznie; wybór danych do przeliczenia może opierać się na metodach statystycznych. Generowanie wyników, raportów końcowych musi podlegać identycznej kontroli jak etap wprowadzania danych. Ewidencjonowaniu powinien podlegać każdorazowo wygenerowany raport w celu umożliwienia kontroli kto, kiedy i czy w uzasadnionym celu dokonał przeglądu danych. Szczególną uwagę należy poświęcić również uprawnieniom nadawanym w danej aplikacji, tj. czy generować raporty mogą jedynie użytkownicy posiadający odpowiednia prawa 34. Aplikacje webowe często wykorzystują pliki tymczasowe. Istotnym zagadnieniem z punktu widzenia bezpieczeństwa jest wykluczenie lokalnego przechowywanie tych plików na komputerach użytkowników. W przeciwnym razie na ich podstawie można przeglądać zawartości stron, obejrzanych wcześniej i zbuforowanych lokalnie na dysku przez osoby, które nie powinny mieć do tego uprawnień Bezpieczeństwo sieci teleinformatycznych 35 Sieci teleinformatyczne stanowią istotny element środowiska informatycznego. Rzadko można dziś spotkać przedsiębiorstwa, w których wymiana informacji opiera się na rozwiązaniach nie wykorzystujących sieci jako medium transmisyjnego 36. Zaprezentowaną wcześniej klasyfikację zagrożeń można nieco zmodyfikować w aspekcie sieci teleinformatycznych. W tym celu można posłużyć się klasyfikacją Howarda i Longstaffa 37 wykorzystywaną przez polski oddział CERT 38 (ang.computer Emergency Response Team) przy klasyfikacji incydentów naruszających bezpieczeństwo teleinformatyczne. Klasyfikacja ta wyznacza trzy typy zagrożeń: fizyczne (ang. Physical Threats), niezamierzone (ang. Unintentional Threats), z użyciem złośliwego oprogramowania(ang. Malicious Software). 34 Problem ten ma szersze znaczenie, gdyż w starszych aplikacjach generowanie raportów polegało na tworzeniu zestawień w postaci plików przechowywanych lokalnie na dysku. Takie rozwiązanie oznacza, iż użytkownicy, którzy fizycznie nie mieli możliwości generowania raportów poprzez aplikację, mogli przeglądać ich zawartość na skutek zbyt szerokich uprawnień do lokalizacji, w której było one przechowywane. Możliwym rozwiązaniem tego problemu jest odpowiednie nadanie uprawnień na poziomie systemu operacyjnego do katalogu przechowującego generowane zestawienia. 35 Zobacz A.Lockhart, Network Security Hacks, O Reilly Media, s Ze względu na fakt, iż tematyka mediów transmisyjnych, protokołów sieciowych, rodzajów połączeń, rodzajów sieci oraz sprzętu sieciowego jest szeroko opisana w literaturze przedmiotu, w pracy zostanie ona pominięta. Uwaga skupiona będzie jedynie na zagrożeniach związanych z sieciami teleinformatycznymi. 36 Zobacz Yusufali F. Musami, Auditing and Security AS/400, NT, UNIX,, Networks, and Disaster Recovery Plans, John Wiley & Sons, NY 2001, s Howard J. D., Longstaff T. A., A Common Language for Computer Security Incidents, Albuquerque CERT Polska. Mariusz Zarzycki, 14

15 Główne zagrożenia w przypadku sieci wynikają z faktu, iż stanowią one środowisko wielodostępne, w którym nie zawsze można jednoznacznie stwierdzić, kto i czy w dozwolony sposób korzysta z zasobów, jakie w nim są udostępnione. Ponadto, istotny wpływ na to bezpieczeństwo mają niepotrzebnie działające usługi(serwisy) generujące określone zagrożenia. Zagrożenia związane z usługami zależą od: poziomu złożoności danej usługi, informacji, jakie dostarcza dana usługa, informacji, jakie udostępnia usługa, stopnia konfigurowalności oraz programowalności danej usługi, znaczenia usługi dla wykorzystującej jej organizacji. Ze względu na rodzaj zagrożenia, wyróżnia się ataki aktywne i pasywne. Ataki aktywne dążą do modyfikacji strumienia informacji lub tworzenia fałszywych informacji, np. podszywanie się pod osobę uprawnioną i blokowanie działania. Ataki pasywne polegają na podsłuchiwaniu i monitorowaniu przesyłanych informacji, np. dążenie do ujawnienia treści wiadomości. Często celem ataków aktywnych jest przejęcie i zniszczenie zasobów znajdujących się w sieci 39. Aktywne ataki charakteryzują się tym, iż atakujący wykorzystują wszystkie możliwości w celu przełamania istniejących zabezpieczeń w celu uzyskania dostępu do zasobów sieci. Ataki tego typu nie są jednorazowymi próbami. Raz odkryte luki w zabezpieczeniach stanowią jedynie wstęp do kolejnych ataków. Do aktywnych rodzajów ataków zaliczyć można 40 : modyfikację wiadomości(ang. message modification) jak sama nazwa wskazuje polegającą na zmianie zawartości informacji w trakcie jej transmisji przez medium sieciowe (np. numer konta bankowego itp.), blokowanie usług(ang. denial-of-service) patrz informacje w tabeli 9, ataki wdzwonieniowe(ang. dial-in penetration attacks) polegające na automatycznej próbie wdzwonienia się pod numer abonenta w celu sprawdzenia, czy znajduje się pod nim modem, który mógłby stanowić źródło następnych ataków w celu skompromitowania niezdobytych dotychczas zasobów sieci. 39 Porównaj Manley. D., Auditing Internet Security System s Real Secure: A Solarisbased Network Intrusion Detection System, SANS Institute 2003, s Za McNab C., Network Security Assessment, O Reilly Media, Inc, Sebastopol CA, USA, 2004, s. 29. Przedstawione rodzaje ataków stanowią jedynie podzbiór szerszego zestawienia dostępnego w wielu pozycjach literatury przedmiotu. Ataki te są często efektem przełamania logicznego dostępu do danych przedstawionego w tabeli 9. Mariusz Zarzycki, 15

16 Powodem ataków pasywnych jest chęć sprawdzenia istniejących zabezpieczeń sieciowych z uwzględnieniem informacji na temat ewentualnych luk, które dają możliwość dokładnej analizy treści przekazywanej w sieci. Do ataków tego typu zalicza się: analizę ruchu(ang. traffic analysis) atakujący przy pomocy różnorodnych technik, pragnie uzyskać informacje na temat topologii sieci; atak tego rodzaju najczęściej stanowi rekonesans, na podstawie którego w przyszłości planowany będzie właściwy atak, podsłuch(ang. eavesdropping) podsłuch informacji przesyłanych w sieci w celu wykorzystania ich dla własnych korzyści, analizę sieciową(ang. network analysis) na podstawie analizy ruchu, atakujący określa kluczowe serwery w organizacji w celu późniejszego przeprowadzenia ataku. Należy zauważyć, iż metody używane w atakach pasywnych są często wykorzystywane przez personel, którego zadaniem jest utrzymanie bezpieczeństwa sieci. Analizując ruch i sieć administratorzy odpowiedzialni za bezpieczeństwo otrzymują informację na temat urządzeń generujących zbyt duży ruch sieciowy, tj. najprawdopodobniej zainfekowanych wirusami, oraz użytkowników, którzy wysyłają często informacje nie wskazane w trakcie wykonywania służbowych obowiązków. Wymienione przykłady ataków pasywnych oraz aktywnych nie są z pewnością wszystkimi rodzajami ataków. Do grupy zagrożeń wynikających z ataków aktywnych zaliczyć można również zagrożenia wymienione we wcześniejszej tabeli. Rysunek 3 przedstawia stosowane metody oceny zabezpieczeń sieci relatywnie w stosunku do kosztów oraz elementów(rodzajów) sieci. Najbardziej podstawowym typem oceny zabezpieczeń jest skanowanie podatności sieci na naruszenia bezpieczeństwa. Rysunek 3. Metody oceny zabezpieczeń sieci Mariusz Zarzycki, 16

17 Źródło: Opracowanie własne. Metoda ta pozwala ocenić odporność sieci na potencjalne słabości zabezpieczeń. Istnieje szereg komercyjnych pakietów oprogramowania realizujących skanowanie podatności, które wykonują następujące działania: sporządzają spis komputerów, systemów operacyjnych i aplikacji, identyfikują częste błędy zabezpieczeń, wyszukują komputery ze znanymi słabościami, testują podatność na typowe ataki. Skanowanie podatności jest efektywną metodą oceny typowych słabości w sieciach, które nie były wcześniej analizowane, jak również weryfikacji zastosowania zasad zabezpieczeń. Ze względu na fakt, że skanowanie pozwala odkryć słabości w nieznanym obszarze działania różnych aplikacji i często powoduje wiele fałszywych alarmów, administratorzy sieciowi analizujący wyniki skanowania muszą dysponować dostateczną wiedzą i doświadczeniem na temat systemów operacyjnych, urządzeń sieciowych i aplikacji, które zostały poddane badaniom, jak również roli, jaką pełnią one w sieci 41. Przykładem programu skanującego jest Microsoft Baseline Security Analyzer(MBSA) 42, który sprawdza, czy zainstalowane są poprawki zabezpieczeń i pakiety ServicePack, wykrywa typowe błędy zabezpieczeń, takie jak słabe hasła, a także kontroluje, czy stosowane są zalecane środki bezpieczeństwa(np. inspekcja zdarzeń logowania i wylogowania). Testy penetracyjne stanowią znacznie bardziej zaawansowaną metodę oceny zabezpieczeń niż skanowanie podatności 43. W odróżnieniu od poprzedniej metody, która zasadniczo skupia się na ocenie zabezpieczeń indywidualnych komputerów, testy penetracji pozwalają ocenić poziom bezpieczeństwa sieci jako całości. Ponadto, testy takie pomagają w uświadomieniu sobie(a także menedżerom IT i innym zwierzchnikom), jakie konsekwencje może mieć rzeczywiste włamanie prawdziwego napastnika 44. Najczęściej spotyka się następujące rodzaje testów penetracyjnych: testy istniejących zabezpieczeń sprzętowych, 41 Smith B., Komar B., Microsoft Windows Security Resource Kit, Microsoft Press, Warszawa 2003, s Szczegółowe informacje na temat tego narzędzia można znaleźć min na Microsoft Corporation [cit ], oraz Portal Społeczności Windows Server System [cit ], 43 Testy penetracyjne są w szerokim zakresie wykorzystywane w audycie systemów informatycznych. 44 Smith B., Komar B., op.cit., s Ze względu na fakt, że osobę przeprowadzającą test penetracji odróżnia od napastnika tylko intencja i brak złych zamiarów, należy zachować ostrożność zezwalając pracownikowi lub zewnętrznemu ekspertowi na prowadzenie testu. Nieprofesjonalnie przeprowadzony test penetracyjny może w efekcie spowodować straty i przerwy w funkcjonowaniu organizacji. Przed wykonaniem dowolnego testu penetracyjnego należy uzyskać pisemną zgodę zarządu organizacji. Tego typu zgoda powinna zawierać jednoznaczny opis, co jest obiektem testu i kiedy ten test zostanie przeprowadzony. Ze względu na naturę testów penetracyjnych, brak takiej zgody może oznaczać, że jego przeprowadzenie zostanie uznane za przestępstwo komputerowe, bez względu na najlepsze intencje. Mariusz Zarzycki, 17

18 analiza zabezpieczeń programowych, bezpieczeństwa serwera WWW, systemu obsługi poczty, pozostałych dostępnych usług, analiza architektury sieci i możliwych dróg dostępu do systemów, testy typu DoS 45. Wymienione rodzaje testów penetracyjnych mogą być zarówno testami zewnętrznymi, jak i wewnętrznymi. Mogą one stanowić istotny element kontroli istniejących zabezpieczeń dla administratorów sieci. Dodatkową zaletą testów penetracyjnych jest fakt, iż pozwalają wykryć słabości zabezpieczeń, które są pomijane podczas skanowania podatności, np.: słabości ludzi i istniejących procedur. Pośrednim rozwiązaniem jest szeroko rozumiana identyfikacja bezpieczeństwa sieci, wykorzystująca zarówno szeroki zestaw narzędzi służących do testowania słabości, jak i testy penetracyjne, choć te w mniejszym zakresie. Identyfikacja bezpieczeństwa sieci ma zastosowanie w przypadku stref DMZ ze względu na ich specyfikę Sprzęt komputerowy Sprzęt komputerowy stanowi, obok oprogramowania, kluczowy element środowiska informatycznego. Fakt ten, szczególnie w przypadku sprzętu pochodzącego od światowych dostawców np. IBM, HP, DELL, wymaga przestrzegania specjalnych warunków ich eksploatacji, tj. odpowiedniej temperatury pomieszczenia, wilgotności powietrza itp. Z tego względu sprzęt najczęściej przechowywany jest w specjalnie do tego przygotowanych pomieszczeniach (serwerowniach), w których stworzone są warunki zapobiegające wystąpieniu powszechnie znanych zagrożeń infrastrukturalnych, jak: ogień, woda, utrata zasilania. Zabezpieczenia uzyskuje się poprzez stosowanie odpowiednich środków pozwalających na wczesne wykrycie pożaru, instalację alarmową wyposażoną w czujki dymu i temperatury, zapasowe zasilanie w postaci urządzeń UPS bądź dodatkowych linii elektrycznych czy odpowiednią lokalizację pomieszczenia eliminującą np. zagrożenia ze strony instalacji wodno-kanalizacyjnej. Z powodu roli, jaką odgrywa sprzęt komputerowy w środowisku informatycznym, kontroli należy również poddać takie zagadnienie, jak błędy sprzętowe, dostępność sprzętu oraz jego wykorzystanie. Błędy sprzętu odnoszą się do poszczególnych elementów składowych komputera 46, a mianowicie do: 45 Inne rodzaje testów penetracyjnych można znaleźć w Weber.R, op.cit., s Forystek M., op.cit., s Mariusz Zarzycki, 18

19 pamięci wewnętrznej(np. błędy systemu ochrony pamięci, uszkodzenie konstrukcyjne); procesora; urządzeń pamięci zewnętrznej(np. uszkodzenie ścieżki na dysku lub części taśmy magnetycznych, uszkodzenie mechanizmu odczytu/zapisu); urządzeń wejścia i wyjścia(np. złe działanie klawiatury lub monitora, brak przesuwu papieru w drukarce); urządzeń transmisji danych(np. nieprawidłowe funkcjonowanie łączy, modemów, urządzeń komutujących); urządzeń szyfrujących 47. Większość dużych systemów komputerowych posiada wbudowane mechanizmy monitorujące prawdopodobne awarie sprzętowe(mechaniczne uszkodzenia). Jeżeli takich mechanizmów nie ma, najczęściej wystarczy zainstalować odpowiednie oprogramowanie umożliwiające podgląd zdarzeń związanych z poszczególnymi komponentami sprzętowymi, jak np. kontrolery macierzy dyskowych, dyski itd. Jeżeli wystąpiły jakiekolwiek przestoje w dostępności elementów sprzętu komputerowego, konieczna jest identyfikacja ich przyczyn. Jeżeli przestoje mają charakter powtarzający się, koniecznym może okazać się zastosowanie dodatkowych mechanizmów kontrolnych eliminujące przyszłe przerwy w dostępności systemu komputerowego. Istotnym jest również aspekt monitorowania sprzętu komputerowego z punktu widzenia wydajności. Jeżeli wykorzystanie poszczególnych podzespołów przekracza górne parametry eksploatacyjne, może okazać się konieczną wymiana sprzętu bądź jego części, tak aby zasoby sprzętowe były adekwatne do potrzebnych mocy produkcyjnych. Problemy wydajnościowe często wynikają z niezoptymalizowanego systemu bądź oprogramowania działającego na danym sprzęcie komputerowym, co skutkuje zbyt dużym obciążeniem poszczególnych podzespołów. W celu poprawy takiej sytuacji należy poddać wykorzystywane oprogramowanie 48 procesowi strojenia Podsumowanie Ponieważ zbiór zasobów jest złożony, w pracy skupiono się nad bezpieczeństwem związanym z najważniejszymi rodzajami zasobów, tj. danych, aplikacji, sieci teleinformatycznych oraz sprzętu komputerowego. Starano się uwypuklić najważniejsze 47 Idzikowska G., op.cit., s W tym miejscu rozumiane szeroko jako: system operacyjny bądź system zarządzania bazą danych itp. Mariusz Zarzycki, 19

20 zagadnienia związane z tymi zasobami. Ze względu na obszerne opisy w literaturze przedmiotu, w pracy pominięto chociażby takie problemy, jak: zagrożenia infrastrukturalne, zagrożenia związane z systemami operacyjnymi, systemami zarządzania bazami danych, o których wiedza jest niezbędna do poprawnie zaplanowanego procesu zarządzania ryzykiem Istotność czynnika ludzkiego w środowisku informatycznym Gruntowna wiedza na temat procesów informatycznych, stanowiących obok zasobów, kolejny istotny składnik środowiska informatycznego, jest konieczna w procesie zarządzania ryzykiem oraz podczas przeprowadzania audytu informatycznego. Biorąc pod uwagę fakt, iż literatura przedmiotu obszernie ujmuje zagadnienie związane z procesami informatycznymi, zrezygnowano ze szczegółowego opisu każdego procesu informatycznego. Opisy te różniłyby się w zależności od preferowanych standardów: COBIT 49, ITIL 50, CMM 51, ISO 52, które zostały przedstawione w dalszej części pracy. Uwagę skupiono jedynie na procesie zarządzania potencjałem społecznym organizacji, jako istotnym elemencie środowiska informatycznego. Wydawałoby się, iż w każdej organizacji zachodzą unikatowe procesy. Jednakże literatura przedmiotu pokazuje, że pomimo unikalności 53 stosowanych rozwiązań informatycznych, pomiędzy organizacjami istnieje dość duże podobieństwo co do procesów informatycznych. Istniejąca analogia pozwoliła na opracowanie standardów, które pokazują, jak modelowo powinna wyglądać ich implementacja w danej organizacji. Takimi standardami są opisywane w kolejnym rozdziale standardy SAC, COBIT, CMM, czy BS W zależności od standardów wyróżnia się różną liczbę modelowych procesów związanych z technologią informatyczną. Najobszerniej ujmuje to COBIT, który dzieli 34 procesy informatyczne na cztery części: monitorowanie, planowanie i organizowanie, nabywanie i wdrażanie, 49 [cit ]. 50 [cit ]. 51 [cit ]. 52 [cit ]. 53 Unikalność rozwiązań informatycznych, wynika chociażby z: różnic branżowych, regulacji prawnych, skali działania czy wielkości organizacji. Mariusz Zarzycki, 20

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna 1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO ROZDZIAŁ I Postanowienia ogólne 1. 1. Polityka bezpieczeństwa przetwarzania danych osobowych w Stowarzyszeniu

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

Przykładowa lista zagroŝeń dla systemu informatycznego

Przykładowa lista zagroŝeń dla systemu informatycznego Załącznik nr 2 Przykładowa lista zagroŝeń dla systemu informatycznego Oddziaływanie na zasób Lp. ZagroŜenie Kategoria Zasób Szczegółowy opis zagroŝenia Poufność ntegralność Dostępność 1. Atak socjotechniczny

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Dane osobowe: Co identyfikuje? Zgoda

Dane osobowe: Co identyfikuje? Zgoda Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego

Bardziej szczegółowo

Bezpieczeństwo informacji w systemach komputerowych

Bezpieczeństwo informacji w systemach komputerowych Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 1 Bezpieczeństwo systemu informatycznego banku 2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi

Bardziej szczegółowo

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o. Dokument przygotowany w oparciu o obowiązujące przepisy prawa, dot. ochrony zasobów ludzkich, materialnych i niematerialnych. Przygotował

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo danych i systemów informatycznych. Wykład 1 Bezpieczeństwo danych i systemów informatycznych Wykład 1 1. WPROWADZENIE 2 Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH

MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH MARIAN MOLSKI MAŁGORZATA ŁACHETA BEZPIECZEŃSTWO I AUDYT SYSTEMÓW INFORMATYCZNYCH SPIS TREŚCI O autorach 11 Od autorów 13 Bezpieczeństwo systemów informatycznych 15 Wprowadzenie do bezpieczeństwa systemów

Bardziej szczegółowo

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie

Bardziej szczegółowo

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Bezpieczeństwo w sieci I a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Kontrola dostępu Sprawdzanie tożsamości Zabezpieczenie danych przed podsłuchem Zabezpieczenie danych przed kradzieżą

Bardziej szczegółowo

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro Audyt bezpieczeństwa Definicja Audyt systematyczna i niezależna ocena danej organizacji, systemu, procesu,

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania

Bardziej szczegółowo

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN Dokument nadzorowany w wersji elektronicznej 8.01.2013 r. ZATWIERDZAM zał. nr 11 do PB UMiG Łasin Podpis Administratora Danych Osobowych ORA.142.1.1.2013 A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH

POLITYKA BEZPIECZEŃSTWA DANYCH POLITYKA BEZPIECZEŃSTWA DANYCH XXXIV Liceum Ogólnokształcącego z Oddziałami Dwujęzycznymi im. Miguela de Cervantesa w Warszawie Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie

Bardziej szczegółowo

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od 23.06.2006 r. POLITYKA BEZPIECZEŃSTWA ZESPÓŁ SZKÓŁ PLASTYCZNYCH W DĄBROWIE GÓRNICZEJ CZĘŚĆ OGÓLNA Podstawa prawna: 3 i 4 rozporządzenia Ministra Spraw

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL W Z Ó R INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Wzór ma charakter pomocniczy. Wzór może być modyfikowany

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

Przykładowy wykaz zbiorów danych osobowych w przedszkolu Przykładowy wykaz zbiorów danych osobowych w przedszkolu Lp. Nazwa zbioru Pomieszczenie 1. Zbiór 1 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych 2. Zbiór 2 Kontrola wewnętrzna wyniki,

Bardziej szczegółowo

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Specyfikacja audytu informatycznego Urzędu Miasta Lubań Specyfikacja audytu informatycznego Urzędu Miasta Lubań I. Informacje wstępne Przedmiotem zamówienia jest wykonanie audytu informatycznego dla Urzędu Miasta Lubań składającego się z: 1. Audytu bezpieczeństwa

Bardziej szczegółowo

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I OSÓB ZEWNĘTRZNYCH

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I OSÓB ZEWNĘTRZNYCH Załącznik nr 11 WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I OSÓB ZEWNĘTRZNYCH (zbiór zasad regulujących działania kontrahentów, realizujących dostawy lub świadczących usługi na rzecz ARR oraz

Bardziej szczegółowo

ISO 27001. bezpieczeństwo informacji w organizacji

ISO 27001. bezpieczeństwo informacji w organizacji ISO 27001 bezpieczeństwo informacji w organizacji Czym jest INFORMACJA dla organizacji? DANE (uporządkowane, przefiltrowane, oznaczone, pogrupowane ) Składnik aktywów, które stanowią wartość i znaczenie

Bardziej szczegółowo

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Laboratorium nr 5 Podpis elektroniczny i certyfikaty Laboratorium nr 5 Podpis elektroniczny i certyfikaty Wprowadzenie W roku 2001 Prezydent RP podpisał ustawę o podpisie elektronicznym, w która stanowi że podpis elektroniczny jest równoprawny podpisowi

Bardziej szczegółowo

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Single Sign On Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw. Jednocześnie systemy te przechowują coraz

Bardziej szczegółowo

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.

Bardziej szczegółowo

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione.

Rozdział 6 - Z kim się kontaktować - 199 - Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o. 2012. Kopiowanie bez zezwolenia zabronione. Rozdział 6 - Z kim się kontaktować - 199 - Spis treści - 200 - Rozdział 6 - Z kim się kontaktować Spis treści Rozdział 1: Podstawy bezpiecznego użytkowania komputera... - 3 - Dlaczego należy aktualizować

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania

Bardziej szczegółowo

WorkshopIT Komputer narzędziem w rękach prawnika

WorkshopIT Komputer narzędziem w rękach prawnika WorkshopIT Komputer narzędziem w rękach prawnika Krzysztof Kamiński, Sąd Okręgowy we Wrocławiu, Wrocław, 16 listopada 2006r. Agenda Bezpieczeństwo przepływu informacji w systemach informatycznych Hasła

Bardziej szczegółowo

Informatyka w kontroli i audycie

Informatyka w kontroli i audycie Informatyka w kontroli i audycie Informatyka w kontroli i audycie Wstęp Terminy zajęć 30.11.2013 - godzina 8:00-9:30 ; 9:45-11:15 15.12.2013 - godzina 8:00-9:30 ; 9:45-11:15 05.04.2014 - godzina 15:45-17:15

Bardziej szczegółowo

zetula.pl Zabezpiecz Swoje Dane

zetula.pl Zabezpiecz Swoje Dane zetula.pl Zabezpiecz Swoje Dane 8 grudnia 1965 Zakład Elektronicznej Techniki Obliczeniowej - ZETO w Łodzi 1 listopada 1994 Centrum Komputerowe ZETO SA - prywatyzacja 2 Rankingi specjalistyczne 1. ComputerWorld

Bardziej szczegółowo

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej Wiesław Paluszyński Prezes zarządu TI Consulting Plan prezentacji Zdefiniujmy

Bardziej szczegółowo

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013r. STRONA 1 USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI Warszawa 2013 Spis Treści 1 O Nas pointas.com.pl 2 Kadra i Kwalifikacje 3 Audyty i konsulting

Bardziej szczegółowo

Umowa użytkownika. 1. Uprawnienia. 2. Logowanie do platformy szkoleń elektronicznych

Umowa użytkownika. 1. Uprawnienia. 2. Logowanie do platformy szkoleń elektronicznych Umowa użytkownika Platforma szkoleń elektronicznych firmy Olympus (https://elearning.olympuseuropa.com) to internetowe środowisko, które zostało stworzone z myślą o przeszkoleniu i podniesieniu świadomości

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Przewodnik użytkownika

Przewodnik użytkownika STOWARZYSZENIE PEMI Przewodnik użytkownika wstęp do podpisu elektronicznego kryptografia asymetryczna Stowarzyszenie PEMI Podpis elektroniczny Mobile Internet 2005 1. Dlaczego podpis elektroniczny? Podpis

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej Załącznik nr 1 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

Bardziej szczegółowo

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych Gminnego Ośrodka Kultury w Wodyniach Na

Bardziej szczegółowo

DLA SEKTORA INFORMATYCZNEGO W POLSCE

DLA SEKTORA INFORMATYCZNEGO W POLSCE DLA SEKTORA INFORMATYCZNEGO W POLSCE SRK IT obejmuje kompetencje najważniejsze i specyficzne dla samego IT są: programowanie i zarządzanie systemami informatycznymi. Z rozwiązań IT korzysta się w każdej

Bardziej szczegółowo

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku o zmianie Zarządzenia nr 50/2013 z dnia 24 maja 2013r. w sprawie polityki bezpieczeństwa i zarządzania

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych Prezentacja na Forum Liderów Banków Spółdzielczych Dariusz Kozłowski Wiceprezes Centrum Prawa Bankowego i Informacji sp.

Bardziej szczegółowo

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły Bezpieczne dane - dobre praktyki w szkole Dyrektor Szkoły DANE UCZNIOWIE RODZICE ABSOLWENCI PRACOWNICY EMERYCI RENCIŚCI KONTRACHENCI INF. BIEŻĄCE KONTROLA ZARZĄDCZA ryzyko ryzyko ryzyko ryzyko ryzyko dostępu

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo. Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo

Bardziej szczegółowo

SKRÓCONA INSTRUKCJA OBSŁUGI SYSTEMU ZARZĄDZANIA OBIEGIEM INFORMACJI (SZOI)

SKRÓCONA INSTRUKCJA OBSŁUGI SYSTEMU ZARZĄDZANIA OBIEGIEM INFORMACJI (SZOI) SKRÓCONA INSTRUKCJA OBSŁUGI SYSTEMU ZARZĄDZANIA OBIEGIEM INFORMACJI (SZOI) Wymiana dokumentów elektronicznych pomiędzy Apteką a Zachodniopomorskim Oddziałem Wojewódzkim NFZ Strona 1 z 10 INFORMACJE OGÓLNE

Bardziej szczegółowo

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl PROCEDURA ALARMOWA PROCEDURA ALARMOWA Obowiązuje

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA Administrator Danych... Imię i nazwisko właściciela firmy Dnia... data wdrożenia w przedsiębiorstwie o nazwie... Nazwa przedsiębiorstwa Zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW

Bardziej szczegółowo

Zakres wymagań dotyczących Dokumentacji Systemu

Zakres wymagań dotyczących Dokumentacji Systemu Załącznik nr 2 do Umowy nr CUI/.../.../.../2014 z dnia r. Zakres wymagań dotyczących Dokumentacji Systemu 1. Uwagi i wymagania ogólne 1. Dokumentacja musi zostać dostarczona w wersji elektronicznej edytowalnej

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego INSTRUKCJA zarządzania systemem informatycznym dla systemu Podsystem

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.

Bardziej szczegółowo

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011 Architektura informacji w ochronie zdrowia Warszawa, 29 listopada 2011 Potrzeba Pomiędzy 17 a 19 kwietnia 2011 roku zostały wykradzione dane z 77 milionów kont Sony PlayStation Network. 2 tygodnie 25 milionów

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Zatwierdzony Uchwałą nr 16/11/2015 z dnia 01-08-2015 S P I S TREŚCI I. POLITYKA BEZPIECZEŃSTWA...4 Pojęcia podstawowe...4

Bardziej szczegółowo

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet Zagrożenia związane z udostępnianiem aplikacji w sieci Internet I Ogólnopolska Konferencja Informatyki Śledczej Katowice, 8-9 stycznia 2009 Michał Kurek, Aleksander Ludynia Cel prezentacji Wskazanie skali

Bardziej szczegółowo

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI Headlines Spółka z ograniczoną odpowiedzialnością i spółka spółka komandytowa szanuje i troszczy się o prawo do prywatności

Bardziej szczegółowo

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE Wykład 6 1 PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE 2 Strategie konserwacyjne i praktyki administracyjne Ulepszanie systemów i operacji + zapewnianie ochrony danych

Bardziej szczegółowo

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. Usprawnienie procesu zarządzania konfiguracją Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. 1 Typowy model w zarządzaniu IT akceptacja problem problem aktualny stan infrastruktury propozycja

Bardziej szczegółowo

Bezpieczeństwo systemów i lokalnej sieci komputerowej

Bezpieczeństwo systemów i lokalnej sieci komputerowej Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Jan Werner Bezpieczeństwo systemów i lokalnej sieci komputerowej Praca magisterska

Bardziej szczegółowo

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Polityka Bezpieczeństwa Ochrony Danych Osobowych Polityka Bezpieczeństwa Ochrony Danych Osobowych w Urzędzie Gminy Klucze Wersja 1 Pieczęć firmowa: Opracował: Data: Zatwierdził: Data:.. 1 1. Wstęp... 3 2. Definicje... 4 3. Zadania ABI... 5 4. Wykaz budynków,

Bardziej szczegółowo

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji

ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji ISO 27001 w Banku Spółdzielczym - od decyzji do realizacji Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Agenda ISO 27001 zalety i wady Miejsce systemów bezpieczeństwa w Bankowości

Bardziej szczegółowo

Sieciowa instalacja Sekafi 3 SQL

Sieciowa instalacja Sekafi 3 SQL Sieciowa instalacja Sekafi 3 SQL Niniejsza instrukcja opisuje instalację Sekafi 3 SQL w wersji sieciowej, z zewnętrznym serwerem bazy danych. Jeśli wymagana jest praca jednostanowiskowa, należy postępować

Bardziej szczegółowo

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400 Wszechstronne urządzenie z wbudowanymi wszystkimi funkcjami zapory ogniowej i technologiami zabezpieczeń Symantec Gateway Security SERIA 5400 W obliczu nowoczesnych, wyrafinowanych zagrożeń bezpieczeństwa

Bardziej szczegółowo

Wstęp. osobniczo, takich jak odciski linii papilarnych, wygląd tęczówki oka, czy charakterystyczne cechy twarzy.

Wstęp. osobniczo, takich jak odciski linii papilarnych, wygląd tęczówki oka, czy charakterystyczne cechy twarzy. 1. Wstęp. Dynamiczny rozwój Internetu, urządzeń mobilnych, oraz komputerów sprawił, iż wiele dziedzin działalności człowieka z powodzeniem jest wspieranych przez dedykowane systemy informatyczne. W niektórych

Bardziej szczegółowo

Systemy GIS Systemy baz danych

Systemy GIS Systemy baz danych Systemy GIS Systemy baz danych Wykład nr 5 System baz danych Skomputeryzowany system przechowywania danych/informacji zorganizowanych w pliki Użytkownik ma do dyspozycji narzędzia do wykonywania różnych

Bardziej szczegółowo

I. Postanowienia ogólne.

I. Postanowienia ogólne. PROCEDURY KONTROLI ZARZĄDCZEJ Załącznik Nr 1 do zarządzenia nr 291/11 Prezydenta Miasta Wałbrzycha z dnia 15.03.2011 r. I. Postanowienia ogólne. 1 Procedura kontroli zarządczej została opracowana na podstawie

Bardziej szczegółowo

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP ZARZĄDZENIE NR 33/08 Rektora-Komendanta Szkoły Głównej Służby Pożarniczej z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP Na podstawie 16 Regulaminu organizacyjnego

Bardziej szczegółowo

SIŁA PROSTOTY. Business Suite

SIŁA PROSTOTY. Business Suite SIŁA PROSTOTY Business Suite REALNE ZAGROŻENIE Internetowe zagrożenia czyhają na wszystkie firmy bez względu na to, czym się zajmują. Jeśli masz dane lub pieniądze, możesz stać się celem ataku. Incydenty

Bardziej szczegółowo

Sieciowe Systemy Operacyjne

Sieciowe Systemy Operacyjne Sieciowe Systemy Operacyjne Sieciowe systemy operacyjne Klient-Serwer. System z wydzielonym serwerem, który spełnia róŝne funkcje i udostępnia róŝne usługi dla uŝytkowników. Ta architektura zapewni duŝą

Bardziej szczegółowo