PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie Technika, Informatyka, Inynieria Bezpieczestwa

Wielkość: px
Rozpocząć pokaz od strony:

Download "PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie Technika, Informatyka, Inynieria Bezpieczestwa"

Transkrypt

1 PRACE NAUKOWE Akademii im. Jana Długosza w Czstochowie Technika, Informatyka, Inynieria Bezpieczestwa 2013, t. I Michał Pałga, Dorota Wojtyto, Mariusz Salwierak, Wiesław Kulma, Marcin Knapiski Politechnika Czstochowska Al. Armii Krajowej 36, Czstochowa, BEZPIECZESTWO TELEINFORMATYCZNE JAKO ELEMENT KOMPLEKSOWEJ OCHRONY INFORMACJI Streszczenie. W artykule przedstawiono kluczowe zagadnienia zwizane zane z bezpiecze- stwem informacji przetwarzanej i przechowywanej w systemach oraz sieciach telein- formatycznych. Dokonano kategoryzacji incydentów bezpieczestwa teleinformatycz- nego oraz wskazano główne (ródła ich powstawania. Ponadto w niniejszym opracowa- niu podkrelono znaczc rol analizy ryzyka w procesie przeciwdziałania zagroeniom bezpieczestwa teleinformatycznego. Słowa kluczowe: bezpieczestwo informacji, bezpieczestwo teleinformatyczne, sza- cowanie ryzyka, zarzdzanie ryzkiem. Wprowadzenie W dzisiejszym wiecie informacja to majtek kadej nowoczesnej orga- nizacji, która podobnie jak inne wane składniki kapitału stanowi klucz do jej działania, rozwoju i sukcesu na rynku. Dlatego te wymaga ona odpowiedniego zabezpieczenia. W poszukiwaniu właciwych instrumentów ochrony danych niezmiernie istotne jest uwiadomienie sobie, i strategiczne znaczenie infor- macji pocignło za sob wzrost zagroe dla jej bezpieczestwa, natomiast rozwój technologii komputerowej oraz powszechna informatyzacja generuj coraz to nowsze, niezidentyfikowane dotd niebezpieczestwa. Informacje przetwarzane i przechowywane w sieciach i systemach komputerowych nale do najbardziej naraonych, gdy (ródło niebezpieczestwa czyha na nie z kadej strony, poczwszy od wandalizmu, poaru lub powodzi, a skoczywszy na szpiegostwie, sabotau czy innego rodzaju przestpstwach z uyciem sprztu komputerowego. Codziennoci niemal s incydenty zwizane zane z wyciekiem nieodpowiednio chronionej informacji, mogce nie katastrofalne skutki dla

2 262 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski przedsibiorców oraz konsekwencje i restrykcje prawne. Główn sił sprawcz utraty informacji s najczciej złoliwe kody, włamania komputerowe, ataki typu odmowa dostpu. Dowiadczenia ycia codziennego wskazuj na ogromn rol bezpieczestwa informacyjnego, którego kluczowym elementem jest bezpieczestwo teleinformatyczne, stanowice przedmiot rozwaa niniejszego opracowania. Celem artykułu jest zwrócenie uwagi czytelnika na problematyk bezpieczestwa informacji jako całoci, ze szczególnym uwzgldnieniem ochrony zasobów informatycznych. Przedstawiono w nim klasyfikacj zagroe, dostpne mechanizmy ochrony i przeciwdziałania niebezpieczestwom. Wskazano równie na wiodc rol analizy ryzyka w procesie zapobiegania niszczenia i utraty danych informatycznych oraz zapewniania cigłoci działania organizacji gospodarczej. Bezpieczestwo informacyjne Bezpieczestwo i ochrona informacji jest zagadnieniem bardzo szerokim, a dostpna literatura przedmiotu prezentuje liczne jej definicje. Zdaniem autorów niniejszego opracowania najbardziej trafne jest stwierdzenie okrelajce bezpieczestwo informacji jako: poziom ochrony informacji i narzdzi słucych do opracowania, przechowywania i transmisji przed losowymi lub celowymi zniekształceniami sztucznego lub naturalnego pochodzenia, które mog przynie szkod włacicielom lub uytkownikom informacji i narzdzi [18]. Bezpieczestwo informacji mona take utosamia z ochron informacyjn, [ ] która polega na uniemoliwieniu i utrudnieniu zdobywania danych o fizycznej naturze aktualnego i planowanego stanu rzeczy i zjawisk we własnej przestrzeni funkcjonowania oraz utrudnienia wnoszenia entropii informacyjnej do komunikatów i destrukcji fizycznej do noników danych [3]. Bezpieczestwo informacyjne stanowi całokształt przedsiwzi ukierunkowanych na ochron zasobów informacyjnych przed gam rónorodnych zagroe, takich jak: nieuprawnione ujawnienie, zmiana, zniszczenie lub utrata w przypadkach: dostpu do informacji, jej transmisji oraz przechowywania. Wobec powyszego, bezpieczestwo informacji wie si z zapewnieniem odpowiedniego poziomu [19]: integralnoci oznacza, e informacja jest adekwatna i precyzyjna, chroniona przed zniszczeniem oraz nieautoryzowan zmian; dostpnoci właciwe przygotowanie informacji do wykorzystania jej zawsze, gdy zaistnieje taka potrzeba; poufnoci powinna by dostpna wyłcznie okrelonym uytkownikom. Ponadto P. Tyrała uwaa, e bezpieczestwo informacji nakłada konieczno uwzgldniania atrybutów informacji, które dostarczane s jego uytkowni-

3 Bezpieczestwo teleinformatyczne 263 kom: aktualno, dokładno, elastyczno, jednoznaczno, rzetelno, war- to, wystarczalno [17]. Zagwarantowanie bezpiecznych warunków do przechowywania, przetwa- rzania oraz transmisji danych wymaga zaangaowania właciwych metod, sił i rodków zdefiniowanych w polityce bezpieczestwa informacji. Dostpna literatura wskazuje na szereg wielorodzajowych rozwiza, do których nale m.in. uregulowania prawne (akty prawnicze i normatywne, standardy itp.), roz- wizania organizacyjno-administracyjne administracyjne (reguły i inne działania w zakresie bezpieczestwa informacji) i proceduralne (konkretne rodki bezpieczestwa stosowane w stosunku do ludzi), a take zespół metod i rodków programistycz- no-technicznych (specjalistyczne oprogramowania, narzdzia elektroniczne) [14]. W oparciu o prezentowane przez P. Bczka treci dotyczce ce bezpiecze- stwa informacyjnego pastwa autorzy opracowania definiuj pojcie bezpieczestwa informacji jako stan wewntrzny i zewntrzny, w którym [1]: istnieje brak zagroenia zasobów informacyjnych; decyzje podejmowane na podstawie prawdziwych, aktualnych i rzetelnych danych, natomiast ich wymiana odbywa si w sposób nieprzerwany; bezpieczestwo teleinformatyczne oraz system bezpieczestwa informacji kształtowane s w oparciu o przepisy prawa. Literatura przedmiotu wskazuje na bezpieczestwo informacyjne jako zena zabezpieczaniu infor- macji gromadzonych, przetwarzanych, przekazywanych oraz przechowywanych w sieciach i systemach teleinformatycznych [1]. J. Łuczak w swojej publikacji spół działa, metod i systemów, które koncentruj si natomiast podkrela, i bezpieczestwo informacyjne to wypadkowa bezpieorganizacyjnego oraz teleinforma- czestwa fizycznego, prawnego, osobowo-organizacyjnego tycznego [13]. Składowe bezpieczestwa informacji prezentuje rys.1. BEZPIECZESTWO TELEINFORMATYCZNE BEZPIECZESTWO FIZYCZNE BEZPIECZESTWO INFORMACJI BEZPIECZESTWO PRAWNE BEZPIECZESTWO OSOBOWO- ORGANIZACYJNE Rys. 1. Składowe bezpieczestwa informacji. +ródło: [13].

4 264 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski Bezpieczestwo fizyczne ma swoje odzwierciedlenie w dokładnie przeprowadzonej analizie ryzyka, poprzedzonej identyfikacj zagroe oraz w zastosowaniu właciwych rodków ochrony fizycznej sklasyfikowanych jako rodki ochrony budowlano- mechanicznej (bramy, kraty, sejfy, szafy ogniotrwałe itp.), rodki ochrony elektronicznej (system sygnalizacji włamania i napadu, system telewizji dozorowej, system sygnalizacji przeciwpoarowej) oraz rodki ochrony czynnej (portierzy, pracownicy pionu ochrony, patrole interwencyjne). Bezpieczestwo prawne wynika z obowizujcych przepisów i uregulowa prawnych. Wszystkie podmioty gospodarcze zobligowane s przechowywa, przetwarza oraz wymienia informacje zgodnie z wytycznymi zawartymi w podstawowych aktach prawnych: ustawa o ochronie danych osobowych, ustawa o ochronie informacji niejawnych, ustawa o dostpnie do informacji publicznych, ustawa o prawie autorskim i prawach pokrewnych. Bezpieczestwo osobowo-organizacyjne wie si z opracowaniem właciwej polityki bezpieczestwa informacji, w której zostan zdefiniowane jasno i klarownie zasady oraz procedury postpowania z informacjami chronionymi. Ponadto opracowanie skutecznego systemu bezpieczestwa informacji wymaga okrelenia kompetencji pracowników oraz ich wzajemnych zalenoci, a take wyznaczenia osób, które maj dostp do pomieszcze znajdujcych si w tzw. strefie ochronnej. Bardzo wan kwesti organizacyjn jest take przygotowanie procedury dostpu do kadego pomieszczenia osobom postronnym (np. sprztaczce) oraz w przypadku wystpienia sytuacji awaryjnej (np. straakom podczas poaru). Niebagatelne znaczenie ma równie szkolenie pracowników oraz budowanie wród nich poczucia wiadomoci odpowiedzialnoci za bezpieczestwo danych w firmie. Bezpieczestwo teleinformatyczne najprociej mona zdefiniowa jako ochron informacji przetwarzanej, przechowywanej i przesyłanej przy uyciu systemów teleinformatycznych przed przypadkowym bd( celowym ujawnieniem, zmian, zniszczeniem czy te uniemoliwieniem jej przetwarzania i wykonywania na niej operacji. Problematyka bezpieczestwa teleinformatycznego zostanie przedstawiona w szerszym kontekcie w dalszej czci niniejszego opracowania. Bezpieczestwo informacji w sieci komputerowej Zachodzcy w zawrotnym tempie proces informatyzacji społeczestwa spowodował, i współczenie informacja jest jednym z kluczowych zasobów gospodarczych, kulturalnych czy naukowych. Poszukiwanie, przetwarzanie oraz transmisja informacji moe by efektywnie realizowana dziki zastosowaniu nowoczesnych technologii komputerowych oraz rozbudowanej sieci teleinformatycznej. Naley jednak mie na uwadze, i obok ich pozytywnych aspektów,

5 Bezpieczestwo teleinformatyczne 265 do których moemy zaliczy cho by łatwo komunikowania si, istnieje szereg zagroe i niebezpieczestw. Wobec powyszego wanym czynnikiem funkcjonowania sieci i systemów teleinformatycznych jest zapewnienie właciwego poziomu bezpieczestwa informacji, co wymaga skrupulatnej analizy zagroe oraz opracowania moliwych sposobów przeciwdziałania. Bezpieczestwo systemów teleinformatycznych determinowane jest spełnieniem kilku podstawowych warunków, które mona sklasyfikowa w dwóch płaszczyznach wewntrznej i zewntrznej. W wymiarze wewntrznym wie si z zachowaniem poufnoci, integralnoci i autentycznoci [4]. Pojcia te zostały zdefiniowane w rozdziale 1. niniejszego artykułu. Przykładowe czynniki mogce doprowadzi do utraty wyej wymienionych parametrów bezpieczestwa przedstawiono w tab. 1. Tab. 1. Czynniki wpływajce negatywnie na bezpieczestwo teleinformatyczne Zagroenie Przykładowe czynniki 1 2 Utrata poufnoci Utrata integralnoci pokonanie zabezpiecze fizycznych i programowych niekontrolowana obecno w obszarze chronionym osób nieupowanionych nieroztropno osób uprawnionych wynoszenie poza stref ochronn wydruków, przenonych komputerów oraz elektronicznych noników danych naprawy oraz konserwacje przez osoby nieuprawnione podgld i podsłuch elektromagnetyczna emisja ujawniajca przypadkowe lub celowe spowodowanie awarii systemu operacyjnego lub urzdze systemu sieciowego przypadkowe lub celowe uszkodzenie, zniszczenie czy te nieautoryzowana zmiana danych celowe bd( przypadkowe uszkodzenie oprogramowania aplikacyjnego i uytkowego wirusy komputerowe sytuacje kryzysowe: powód(, poar, huragan itp. ataki terrorystyczne 1 2 defektywnie działajcy sprzt oraz programy awaria zasilania Utrata wirusy komputerowe dostpnoci klski ywiołowe ataki terrorystyczne błdy organizacyjne +ródło: [4]

6 266 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski Ponadto pod uwag brane mog by równie inne własnoci, takie jak: autentyczno, rozliczalno, niezaprzeczalno i niezawodno. Autentyczno naley rozumie jako zgodno istniejcego podmiotu bd( zasobu (uytkownicy, procesy, systemy, instytucje) z deklarowanym; rozliczalno zagwarantowanie, e działalno podmiotu (uytkownika) przypisana jest jednoznacznie tylko jemu; niezawodno oznacza, e zachowanie i skutki działania (elementów lub urzdze systemu) s zgodne z zamierzonymi [14]. W aspekcie zewntrznym natomiast bezpieczestwo odnosi si do zdarze i sytuacji, które w wyniku nieprawidłowego funkcjonowania systemu informatycznego negatywnie oddziałuj na otoczenie fizyczne. Najczstsz przyczyn jego zakłóce s nieprawidłowe rozwizania technologiczne przyjte na etapie analizy lub sporzdzanie systemu [4]. W kolejnych podrozdziałach niniejszego opracowania szczegółowo zostan scharakteryzowane elementarne zagroenia determinujce utrat poufno- ci, integralnoci, dostpnoci, rozliczalnoci, autentycznoci i niezawodnoci danych przechowywanych i przetwarzanych w systemie komputerowym oraz mechanizmy ochrony i przeciwdziałania przed szerokiego spektrum niebezpieczestwami. Klasyfikacja zagroe bezpieczestwa teleinformatycznego Zaprojektowanie oraz wdroenie skutecznych mechanizmów ochrony zasobów informatycznych wymaga przede wszystkim precyzyjnej identyfikacji zagroe, z uwzgldnieniem ich wielorodzajowoci oraz (ródeł powstawania. Rozwaania dotyczce problematyki klasyfikacji zagroe, zdaniem autorów, naley rozpocz od okrelenia, czym w ogóle jest zagroenie. Dostpna literatura przedmiotu przedstawia to zagadnienie z rónych perspektyw. Słownik jzyka polskiego PWN podaje, e zagroenie to sytuacja bd( stan, który które komu czym zagraaj lub, w którym kto czuje si zagroony [16]. W naukach humanistycznych pojcie zagroenia utosamiane jest z wyzwaniami, o czym mówi niniejsza definicja, [ ] wyzwania, które s właciwie rozpoznane i podejmowane, stanowi szanse, za wyzwania nie podejmowane lub podejmowane za pó(no mog przekształci si w zagroenia [1]. Zagroenia dla bezpieczestwa teleinformatycznego to zdarzenia (np. po- ar, powód() bd( przyczyny zdarze (np. skopiowanie danych), które mog generowa straty dla przedsibiorstwa, szczególnie o charakterze finansowym. W najprostszy sposób zagroenia bezpieczestwa zasobów informatycznych mona klasyfikowa jako zagroenia: losowe (zewntrzne, wewntrzne) oraz intencjonalne. Do zagroe losowych zewntrznych zalicza si temperatur, wilgotno, wyładowania atmosferyczne, zanieczyszczenie powietrza, awarie systemu zasilania, klimatyzacji, instalacji wodocigowej, a ponadto kataklizmy i katastrofy budowlane. Z kolei zagroenia losowe wewntrzne tworz błdy

7 Bezpieczestwo teleinformatyczne 267 uytkowników, przypadkowe zniszczenie bd( uszkodzenie danych, błdne działania administratora bazy danych czy administratora systemu operacyjnego, nieprawidłowa konfiguracja systemu, wadliwy sprzt i oprogramowanie. Drug grup stanowi zagroenia zwizane z intencjonaln działalnoci człowieka. Tego typu zagroenia mona podzieli na pasywne oraz aktywne. Do pasywnych zalicza si monitorowanie sieci, podgld oraz analiz ruchu w sieci. Natomiast do zagroe aktywnych naley zaliczy : nieuprawion zmian, ujawnienie lub usunicie informacji, oszustwa (np. bankomatowe, fałszownie kart magnetycznych), powielanie programów komputerowych, przechowywanie nielegalnych zbiorów, zakup oraz sprzeda nielegalnymi kanałami sprztu i oprogramowania, zakłócenie pracy serwera lub urzdze zabezpieczajcych, korzystanie ze słubowego sprztu komputerowego w celach prywatnych lub jego kradzie [15, 20]. Na rys. 2 przedstawiono kilka przykładowych zagroe dla bezpieczestwa informacji przetwarzanej i przechowywanej w systemie komputerowym. Zalanie wod Poar Awarie sprztu Eksplozja Promieniowanie ujawniajce Złodzieje ZAGRO)ENIA DLA INFORMACJI Zewntrzne pole magnetyczne Infiltracja bierna i czynna Błdy w oprogramowaniu Rys 2. Zagroenia dla informacji przetwarzanej i przechowywanej w systemach komputerowych +ródło: [11]. Z punktu widzenia bezpieczestwa informacji szczególn grup zagroe stanowi wirusy komputerowe oraz złoliwe oprogramowanie. Wirus komputerowy to samoreplikujcy si złoliwy program, którego kod wykonywalny zaszyty jest w innym programie uytkowym lub w inny sposób jest z nim powizany. Infekuje inne programy i pliki po zmodyfikowaniu ich do przyjcia. Wirusy maj za zadanie umieci własny kod w okrelonym miejscu na dysku lub w programie, a tym samym zniszczenie zapisanej na dys-

8 268 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski kach informacji. Bardzo czsto towarzyszy temu generowanie dziwnych melodii i komunikatów oraz zakłócanie wywietlania wszelkiego rodzaju informacji na ekranie [13]. Podział wirusów ze wzgldu na sposób infekowania wraz z ogóln ich charakterystyk został zaprezentowany w tab. 2. Tabela 2. Charakterystyka wirusów komputerowych Rodzaje wirusów Charakterystyka 1 2 umiejscawia si w sektorach zawierajcych informacje na temat struktury dysku twardego; dysk zostaje Wirus dyskowy zainfekowany wirusem tylko wtedy, gdy uytkownik uruchomi system z zainfekowanego nonika przenosi si wraz z plikami wykonalnymi (COM, Wirus plikowy EXE, SYS i in.); integruje si z plikiem, pozostawiajc nienaruszon wiksz cz jego kodu rozprzestrzenia si tak, e w przypadku dwóch programów o tej samej nazwie system operacyjny wykonuje plik z rozszerzeniem *.COM przed plikiem Wirus towarzyszcy *.EXE; wirus towarzyszcy tworzy plik z rozszerzeniem *.COM i umieszcza w nim swój własny kod wykonywalny, a nazwa pliku jest taka sama jak plik z rozszerzeniem *.EXE nie modyfikuje plików, ale mimo to mnoy si bardzo szybko Wirus sprzgajcy jest krzyówk wyej wymienionych wirusów łczcy w sobie ich metody działania Wirus hybrydowy Wirus rezydentny zaraa w chwili wywołania przerwania systemowego Wirus nierezydentny zaraa w chwili działania programu-nosiciela 1 2 pocztkowo działa jak wirus nierezydentny, a po Wirus mieszany uzyskaniu pełnej kontroli pozostawia w pamici rezydentny fragment swojego kodu +ródło [2]. Obok wirusów komputerowych wykorzystywane s inne rónorodne formy programów (tzw. złoliwe oprogramowanie), które w skuteczny sposób zagraaj stabilnoci systemu oraz zgromadzonych w nim danych i informacji. Dostpna literatura przedmiotu wskazuje na nastpujce [11, 13, 19]: ko trojaski, bomba logiczna, bomba czasowa,

9 Bezpieczestwo teleinformatyczne 269 królik, robak, muł trojaski, łacuch szczcia, makrowirusy, ukryte narzdzia zdalnej administracji, programy kradnce hasła i inne poufne informacje, programy w przyszłoci majce by wirusami, zestawy do konstruowania wirusów i generatory polimorficzne. Ko trojaski to program, który zawiera ukryte funkcje przeznaczone najczciej do ułatwienia przejcia kontroli nad komputerem bez wiedzy wła- ciciela. Konie trojaskie najczciej niszcz dane na dyskach lub zawieszaj prac systemu w zalenoci od pewnych okolicznoci lub przy pierwszym uruchomieniu. Najczciej ukryte s w programach udajcych inne poyteczne programy czy narzdzia [13]. Bomba logiczna. W programie znajduje si złoliwy kod bomby logicznej, który uaktywnia si wtedy, gdy zostan spełnione konkretne warunki, np. okrelona liczba uruchomie. Bomba czasowa. Jest to bomba logiczna, która uruchamia si po upływie okrelonego czasu. Królik. Program wykorzystujcy w pełni okrelone zasoby systemu, a na skutek błyskawicznego i niekontrolowanego powielania si zapełnia system. Robak. Funkcjonuje bardzo podobnie do wirusa. Działa w sieci przesyłajc kopie do innych systemów. Jego działanie sprowadza si do tworzenia własnych duplikatów [5, 19]. Muł trojaski. Pobudza fałszywe komunikaty, które naladuj dialog z komputerem. Łacuch szczcia. Replika komunikatu wysyłanego poczt elektroniczn. Makrowirusy. Wirusy działajce i rozmnaajce si w rodowisku pojedynczej aplikacji, bd( nawet jej konkretnej wersji, przenoszone za porednictwem makropolece programu [11, 13]. Identyfikacja technik ataku Specyficznym rodzajem zagroe dla poufnoci, integralnoci i dostpnoci informacji s ataki na system teleinformatyczny, wyczerpujce znamiona działalnoci przestpczej. Ataki na system komputerowy mona podzieli w nastpujcy sposób [11]: ataki lokalne intruz posiada fizyczny dostp do atakowanego komputera;

10 270 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski ataki wewntrzne atak jest prowadzony z komputera, który jest włczony do tej samej sieci lokalnej; ataki zewntrzne (zdalne) wykonywane z sieci publicznej. Do najwaniejszych technik ataku na system teleinformatyczny autorzy niniejszego opracowania zaliczaj: hacking, spyware, crimeware, eksploit, atak słownikowy, back door, skanowanie portów, phishing, sniffing, pharming, spoofing, Denial of Service, rootkit. W oparciu o analiz literatury przedmiotu poniej dokonano ich ogólnej charakterystyki. Hacking włamanie komputerowe, próba uzyskania dostpu do systemu komputerowego z pominiciem uwierzytelniania. Ataki przeprowadzane s przez kanały komunikacji komputera z Internetem. Sprawców tego przestpstwa nazywa si hackerami. Mona ich podzieli na pi kategorii [19]: nowicjuszy ich działania s nieprzewidywalne, a cel, który chc osign moe w kadej chwili si zmieni ; analityków lub badaczy dla nich głównym celem nie jest powodowanie szkód i niszczenie, a poznawanie innego rodzaju komputerów; turystów traktuj systemy komputerowe jak pewnego rodzaju zagadki i łamigłówki; wandali ich celem jest spowodowanie jak najwikszych szkód; złodziei najczciej działaj na rzecz konkurencji. Spyware, crimeware s to programy szpiegowskie, których zadaniem jest zbieranie i wysyłanie informacji o komputerze bez wyra(nej zgody właciciela. Eksploit atak, wykorzystujcy błd lub luk w aplikacji bd( systemie operacyjnym. Celem jest tu przede wszystkim przepełnianie buforów i umieszczanie podprogramów w losowych miejscach w pamici normalnie zabronionych przez uytkownika. W skutek takiego ataku intruz moe uzyska pełny dostp do atakowanego komputera [13]. Atak słownikowy polega na próbie zalogowania si do systemu z wykorzystaniem duej listy słów, które znajduj si w okrelonym pliku. Back door tylne drzwi, zainstalowanie oprogramowania, które umoliwia intruzowi na dostanie si do systemu w inny sposób ni poprzez logowanie. Skanowanie portów czynno, która poprzedza zdalny atak na system teleinformatyczny. Dziki skanowaniu potencjalny intruz posiada informacje o aktywnych portach i udostpnionych usługach [13]. Wyrónia si skanowanie otwarte, półotwarte oraz skryte. Phishing bardzo powana i gro(na odmiana spamu, która polega na tworzeniu fałszywych wiadomoci i stron WWW, głównie finansowych, wygldajcych identycznie jak serwisy internetowe firm o znanej marce lub

11 Bezpieczestwo teleinformatyczne 271 banków. Te atrapy stron maj za zadanie nakłoni klientów do podania numeru karty kredytowej, hasła logowania, informacji o koncie bankowym. Sniffing podsłuchiwanie przesyłanych przez sie pakietów. Za pomoc tzw. sniffera mona przechwyci dane przesyłane niekodowanym kanałem. Pharming wykorzystywanie oprogramowania wymuszajcego na przegldarce internetowej przekierowanie wysyłanych danych do serwera atakujcego, zamiast do serwera banku. Spoofing podszywanie si pod inny komputer w sieci. Metoda ta opiera si na umieszczaniu w sieci preparowanych, modyfikowanych lub uszkodzonych pakietów danych. Nastpuje to przez przechwytywanie przesyłanych pakietów w celu ich modyfikacji i odesłania sfałszowanych do komputera docelowego. W efekcie legalny uytkownik zostaje rozłczony, a włamywacz kontynuuje połczenie z pełnymi prawami dostpu, np. do konta w banku [19]. Najpopularniejsze techniki oparte na spoofingu to: IP spoofing, spoofing Denial of Service (DoS) odmowa wykonania usługi. Atak ten bazuje na takim wykorzystaniu zasobów komputera, e nie jest on w stanie zagwarantowa poprawnej realizacji usług, jakie oferuje. Jednym ze sposobów na zastosowanie ataku typu DoS jest tzw. flooding, polegajcy na wysyłaniu do atakowanego komputera takiej liczby zapyta, by odwołania rzeczywistych uytkowników do serwera nie mogły zosta obsłuone. Sprawc ataku DoS jest wzgldnie łatwo namierzy, gdy jest on przeprowadzany z jednej, konkretnej maszyny w sieci. Pakiety agresora s wysyłane ze sfałszowanym (spoofing) adresem sieci, aby utrudni wyledzenie nadawcy. Inn odmian ataku DoS jest ping of death, polegajcy na wysyłaniu do atakowanego komputera pakietów ping o złej długoci, który moe spowodowa awari systemu docelowego (zawieszenie si lub restart komputera), jeeli jest on podatny na ten atak. Zmodyfikowan wersj DoS jest Distributet Denial of Service (DDoS), która wprowadza kilka istotnych innowacji, znacznie zwikszajcych jego skuteczno i utrudniajcych jego zablokowanie. Atak przeprowadzany jest w sposób skoordynowany z kilku komputerów jednoczenie, natomiast maszyna, z której uruchamiany jest atak, w ogóle w nim nie uczestniczy, co utrudnia jej namierzenie. Rootkit trojany, wirusy, a take programy typu spyware stosuj róne metody ukrywania si przed skanerami. Te sposoby i metody nazywamy rootkitami. Mog to równie by rónego rodzaju narzdzia lub programy, których głównym zadaniem jest skuteczne ukrycie jakiejkolwiek próby uzyskania uprawnie administratora czy włamania. Intruz, chcc włama si do systemu, najczciej wykorzystuje do tego celu dziur w systemie i instaluje rootkit. W skład rootkitu bardzo czsto wchodz proste narzdzia do przesyłania haseł oraz do monitorowania ruchu w sieci. Program typu spyware jest podstaw

12 272 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski działania rootkitu, gromadzi informacje o uytkownikach, a nastpnie przesyła je do bazy atakujcego, dajc mu tym samym pełen dostp do systemu [11]. Socjotechnika uzyskiwanie informacji na temat systemu od jego legalnych uytkowników. Jest to bardzo skuteczna technika, jeli chodzi o dostp do danych wraliwych, np. odbiorców, haseł systemowych itp. Napastnik wzbudza zaufanie ofiary stopniowo, za pomoc odpowiedniego połczenia informacji o systemie i technik manipulacyjnych. Ofiara w rezultacie ujawnia wicej dodatkowych informacji, które zostan wykorzystane przez napastnika do kontynuacji ataku [13]. Atak z wykorzystaniem socjotechniki moe przynie napastnikowi wiele korzyci, takich jak uzyskanie dostpu fizycznego, uzyskanie danych uwierzytelniajcych do dostpu zdalnego, zdobycie informacji, naruszenie innych mechanizmów kontroli bezpieczestwa. Ataki socjotechniczne mona podzieli na aktywne, podczas których wskazuje si obiekty ataku i oczekuje si od nich reakcji oraz ataki pasywne, w przypadku których najpierw pozostajc w ukryciu, gromadzi si informacje (najczciej jest to podsłuchiwanie, obserwowanie i prowadzenie analiz). Jedn z najstarszych technik stanowicych bardzo due zagroenie i majc na celu wykradzenie danych z przedsibiorstwa jest zbieranie przez konkurencj informacji o przedsibiorstwie poprzez przeszukiwanie mieci. Czsto ta metoda jest bagatelizowana. Jest to jednak sposób bardzo popularny, a decyduje o tym nie tylko łatwo, z jak mona zdoby takie dane, ale równie bezkarno w przypadku zatrzymania. Przeciwdziałanie zagroeniom Procedury ochronne stosowane s w celu zabezpieczenia systemów komputerowych przed niepowołanym dostpem osób nieupowanionych. W obecnych czasach istnieje bardzo wiele systemów zabezpieczania, mimo tego niestety nie ma idealnego mechanizmu przeciwdziałania zagroeniom. Duy wybór metod zabezpiecze, które stanowi ograniczenie przed uzyskaniem dostpu przez uytkowników nieupowanionych do korzystania z danego systemu, jest powanym problemem. Szczególnie trudnym przedsiwziciem jest zidentyfikowanie uytkowników majcych dostp do danego systemu, którzy działaj szkodliwie na cz bd( cały system. Procedury zarzdzania prac oraz rozwizania technologiczne stanowi istotn podstaw skutecznego zabezpieczenia systemów informacyjnych [7]. Zaleca si, aby systemy majce kluczowe znaczenie dla funkcjonowania organizacji były kopiowane i przechowywane w osobnym miejscu. W momencie, gdy awarii ulegnie system podstawowy, to system dodatkowy ma za zadanie w jak najkrótszym czasie przej obowizki systemu podstawowego. W celu uchronienia systemu awaryjnego przed katastrof naley go umieci jak najdalej od (ródła zagroenia. Do zastpienia systemu głównego podczas

13 Bezpieczestwo teleinformatyczne 273 katastrofy niezbdna jest nadmiarowo sprztu, danych oraz personelu. Niezbdn rzecz, któr naley sporzdzi, a nastpnie wdroy, jest procedura bezpieczestwa majca na celu wyeliminowanie jak najwikszej liczby zdarze i sytuacji mogcych powsta podczas katastrofy naturalnej [7]. Czynnik ludzki stanowi istotne zagroenie dla bezpieczestwa informacji przetwarzanej i przechowywanej w systemach i sieciach informatycznych. Kade działanie jednostki społecznej obarczone jest ryzykiem popełnienia błdu. Nie ma ludzi nieomylnych, wic nie da si całkowicie wyeliminowa błdu ludzkiego, mona go jedynie stara si ogranicza i zmniejsza. W celu minimalizacji czstotliwoci popełnienia pomyłki skuteczne s rónego rodzaju szkolenia, uwiadamianie, jakie s konsekwencje złych działa i zaniedba, ograniczenia zakresu obowizków, a take uprawnie do zasobów informacyjnych. Jeli mowa o uszkodzeniach sprztu, oprogramowania i infrastruktury, to w celu ochrony tego rodzaju zasobów najczciej stosuje si nadmiarowo urzdze. Jedn z najlepszych i najczciej stosowanych metod zabezpieczenia przed utrat danych jest utworzenie kopii zapasowej, zwanej take kopi bezpieczestwa. Istniej take zautomatyzowane systemy monitorujce poprawno działania sprztu oraz oprogramowania, majce na celu naprawienia powstałej usterki bd( przejmujce zadania uszkodzonego elementu podczas powstania awarii. Niezbdne jest ponadto szczegółowe sprawdzanie poprawnoci działania programów przede wszystkim pod wzgldem bezpieczestwa. Szczególnym rodzajem zagroenia s intencjonalne działania człowieka, który w sposób negatywny oddziałuje na sie komputerow (np. za pomoc złoliwego oprogramowania) przedsibiorstwa lub instytucji, powodujc modyfikacj, utrat bd( nieupowaniony dostp do wraliwych danych. W celu zapewnienia właciwej ochrony przed tego rodzaju zagroeniami bardzo skuteczne okazuj si szkolenia pracowników firmy z zakresu bezpiecznego korzystania z zewntrznych programów, sieci oraz instalacji elementów ochronnych. W deniu do zmniejszenia zagroe wynikajcych ze wiadomego działania ludzi powinno si uszczelni procedury bezpieczestwa i uwiadomi pracowników o potencjalnych zagroeniach. Ponadto firma moe nawiza wzajemn współprac z ssiednimi firmami bd( partnerami działajcymi w podobnym segmencie rynku w celu budowy wspólnych systemów antyawaryjnych. Nie mona jednoznacznie okreli zakresu działania, poniewa zagroenia zalene s od brany firmy, rodzaju przedsibiorstwa oraz skali wykorzystywania technik teleinformatycznych [7, 13].

14 274 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski Analiza ryzyka Głównym zadaniem współczesnych systemów teleinformatycznych jest przetwarzanie, przechowywanie oraz przesyłanie informacji. Funkcjonuj one w otoczeniu skrywajcym w sobie rónego rodzaju zagroenia i niebezpieczestwa. Dlatego te podstawowym elementem zarzdzania bezpieczestwem systemów teleinformatycznych jest zarzdzanie ryzykiem bezpieczestwa informacji. Podejmujc problematyk zarzdzania ryzykiem, w wszym wymiarze analizy ryzyka w pierwszej kolejnoci, naley dokona interpretacji pojcia ryzyko. Termin ten wywodzi si z włoskiego słowa risico. Słownik jzyka polskiego PWN definiuje ryzyko jako moliwo, e co si nie uda; przedsiwzicie, którego wynik jest niepewny [16]. Według Polskiego podrcznika procesu zarzdzania ryzykiem wydanego przez Ministerstwo Finansów Rzeczypospolitej Polskiej ryzyko to niepewno zwizana ze zdarzeniem lub działaniem, które wpłynie na zdolno organizacji do realizacji celów jej działalnoci. Moe mie charakter negatywnego zagroenia lub te pozytywnej moliwoci. Najbardziej adekwatn definicj dla potrzeb bezpieczestwa informacji w systemach teleinformatycznych jest ta zawarta w normie IEC 61508, według której ryzyko oznacza [ ] miar stopnia zagroenia dla tajnoci, integralnoci i dostpnoci informacji wyraon jako iloczyn prawdopodobiestwa wystpienia sytuacji stwarzajcej takie zagroenie i stopnia szkodliwoci jej skutków [11]. Z kolei za najbardziej powszechn definicj analizy ryzyka dla potrzeb bezpieczestwa teleinformatycznego mona uzna nastpujc: analiza ryzyka [ ] jest procesem identyfikacji (jakociowej i ilociowej) ryzyka utraty bezpieczestwa teleinformatycznego [11]. K. Liderman w swojej pracy wskazuje na nastpujce czynnoci tworzce proces analizy ryzyka bezpieczestwa teleinformatycznego [11]: identyfikacja zagroe oraz jakociowe/ilociowe okrelenie naraonych na utrat dóbr materialnych oraz informacji; wyznaczenie wartoci dóbr materialnych (np. sprztu komputerowego); okrelenie wartoci informacji w sytuacji jej utraty, ujawnienia, zmiany czy niedostpnoci; wyznaczenie zagroe (oraz ich stopnia) dla bezpieczestwa teleinformatycznego; zdefiniowanie elementów systemów teleinformatycznych podatnych na owe zagroenia (i ich stopnia podatnoci); przeprowadzenie analizy ryzyka czstkowego; akceptacja ryzyka czstkowego. Warunkiem koniecznym do przeprowadzenia analizy ryzyka jest identyfikacja wszystkich naraonych na niebezpieczestwo zasobów. W przypadku

15 Bezpieczestwo teleinformatyczne 275 systemu teleinformatycznego bd to: zasoby fizyczne (komputery, noniki danych), oprogramowanie, zasoby ludzkie (uytkownicy, projektanci, programici, administratorzy) oraz informacja [15]. Niezbdne jest take oszacowanie wpływu utraty poufnoci, integralnoci i dostpnoci poszczególnych aktywów na funkcjonowanie jednostki gospodarczej oraz na realizowane przez ni cele biznesowe. Do tego celu mona wykorzysta 4-stopni skal wanoci (1 niski wpływ, 2 redni, 3 wysoki, 4 bardzo wysoki, maksymalny). W zalenoci od rodzaju naraonych aktywów ich wyceny dokonuje si wyłcznie w oparciu o warto ksigow bd( warto ksigowa stanowi jedynie podstaw do jej wyceny [6]. Jako przykład moe posłuy zdarzenie losowe, jakim jest poar, w wyniku którego zniszczeniu ulega sprzt komputerowy przechowywany w magazynie i niewykorzystywany do codziennej pracy o wartoci ksigowej zł oraz główny serwer firmy, którego warto ksigowa równie wynosi zł. Zniszczenie zarówno jednego, jak i drugiego zasobu organizacji powoduje straty o tej samej wartoci ksigowej, lecz niesie zupełnie odmienne skutki dla przedsibiorstwa. Dokonujc wyceny sprztu komputerowego niewykorzystywanego do realizacji adnych zada biznesowych przyj naley tylko jego warto ksigow. Całkiem inaczej sytuacja wyglda w przypadku wyceny wartoci serwera firmy. Wówczas oprócz warto- ci ksigowej naley wzi pod uwag koszty zwizane z przestojem firmy, a przede wszystkim warto przechowywanych danych. Utrata strategicznych informacji moe okaza si przysłowiowym gwo(dziem do trumny i doprowadzi do upadłoci firmy [8]. Drugi etap analizy ryzyka koncentruje si na identyfikacji zagroe dla bezpieczestwa informacji przetwarzanej i przechowywanej w systemie teleinformatycznym przedsibiorstwa. Do uprzednio zdefiniowanych zasobów naley przypisa konkretne zagroenia oddziałujce na nie w negatywny sposób. Wane jest, aby proces identyfikacji zagroe prowadzony był z naleyt staranno- ci i skrupulatnoci, uwzgldniajc nie tylko aktualne, ale take przyszłe niebezpieczestwa. Etap identyfikacji i szacowania ryzyka musi odbywa si w oparciu o rónego typu informacje dotyczce wystpowania zagroe, zarówno gromadzone przez sam jednostk gospodarcz, jak równie dane statystyczne publikowane przez rozmaite instytucje i organizacje, jak np. Główny Urzd Statystyczny czy te Komend Główn Policji (w zakresie przestpstw komputerowych), a skoczywszy na wszelkich opracowaniach dotyczcych awarii wydawanych przez producentów sprztu i oprogramowania komputerowego. Po zidentyfikowaniu i oszacowaniu zagroe równie wane jest zdefiniowanie podatnoci odnoszcych si do konkretnych zagroe. Podatno, czyli [ ] słabo, luka, brak zabezpiecze przed wystpujcymi zagroeniami wobec aktywów organizacji [9]. Wzajemne relacje pomidzy zasobami, zagro- eniami oraz podatnociami zobrazowano na rys. 3.

16 276 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski Rys. 3. Relacje midzy zasobem, zagroeniem a podatnoci +ródło: opracowanie własne. Zasadniczym etapem analizy ryzyka jest oszacowanie jego wartoci. W praktyce gospodarczej wyrónia si dwie podstawowe grupy metod doko- nywania analizy ryzyka bezpieczestwa informacji. Pierwsz z nich stanowi metody ilociowe okrelane równie jako kwantyfikatywne. Polegaj na zasto- sowaniu matematycznych oblicze w celu wyznaczenia wpływu zagroe na bezpieczestwo systemu oraz okrelenia prawdopodobiestwa ich wystpienia. Bazuj one głównie na danych liczbowych do wykonywania oblicze brane s pod uwag przewanie dane statystyczne oraz dane archiwalne, natomiast wy- nik oszacowania ryzyka wyraany jest w formie kwotowej (pieninej) bd( te procentowej. Drug grup tworz metody jakociowe (kwalifikatywne), charakw procesie ana- lizy ryzyka wykorzystuje si wiedz i dowiadczenie specjalistów. Ryzyko teryzujce si do duym subiektywizmem z uwagi na fakt, i okrelane jest w formie opisowej, posiadajcej liczbowe odpowiedniki iki (ryzyko małe 1, ryzyko maksymalne 4) [6]. W niniejszym artykule przyjto, e na ogóln warto ryzyka składa si przewidywana łczna suma strat wszystkich aktywów systemu spowodowana okrelonym zagroeniem oraz podatnoci w ustalonym czasie [9]. Niniejsze załoenie mona opisa wzorem:

17 Bezpieczestwo teleinformatyczne 277 R = F V W oraz F V = P (1) gdzie: R warto ryzyka; F czstotliwo wystpienia zagroenia; V podatno systemu informatycznego (lub jego elementu) na zagroenie (zgodnie z PN-I :1999 jest to miara prawdopodobiestwa wykorzystania okrelonej podatnoci przez dane zagroenie); W warto straty przewidywana rednia utrata wartoci aktywów w wyniku wystpienia pojedynczego incydentu; P prawdopodobiestwo wystpienia zdarzenia powodujcego utrat wartoci aktywów w przyjtym okresie. W oparciu o powysze rozwaania autorzy niniejszego opracowania proponuj ogóln warto ryzyka utraty bezpieczestwa teleinformatycznego opisa poniszym załoeniem: R = F V W, gdzie W = W 1 + W 2 + W n (2) gdzie: W 1 warto ksigowa aktywów; W 2 warto przetwarzanych i przechowywanych informacji w systemie teleinformatycznym; W n warto pozostałych strat. Posłumy si w niniejszym opracowaniu ponownie przykładem przedstawiajcym zniszczenie głównego serwera firmy w wyniku poaru. Dla potrzeb oszacowania ryzyka przedsibiorstwo przyjmuje, e jego warto ksigowa równa si zł, warto zgromadzonych na nim informacji, niezbdnych w realizacji podstawowych funkcji biznesowych, oszacowano na kwot równ zł, natomiast warto strat poniesionych w wyniku przestoju w funkcjonowaniu firmy oraz przywracania sprawnoci funkcjonowania systemu oszacowano na zł; czstotliwo zajcia tego zdarzenia szacowana jest na 0, 001 w okresie 1 roku, podatno systemu natomiast oszacowana została na 5%. Oczekiwana warto straty (ryzyko utraty informacji) wyniesie, zatem: ( zł ) x 0, 001 x 5% = 45 zł. Omawiany przypadek pokazuje, i warto ryzyka utraty poufnoci, dostpnoci, integralnoci, rozliczalnoci, autentycznoci i niezawodnoci informacji przetwarzanej, przechowywanej i przesyłanej przez systemy i sieci teleinformatyczne na skutek wystpienia poaru jest relatywnie niska [9]. Wynika to przede wszystkim z niskiej wartoci oszacowanej podatnoci systemu oraz czstotliwoci wystpienia tego rodzaju zagroenia. Istniejcy stan rzeczy jest zapewne rezultatem wdroenia kompleksowego systemu przeciwpoarowego, który obok fizycznych rodków wykrywania (ródła zagroenia obejmuje swym

18 278 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski zakresem liczne działania organizacyjne, takie jak regulaminy i instrukcje ppo. połczone ze szkoleniem pracowników. Podsumowanie Jedn z podstawowych funkcji współczesnego przedsibiorstwa bd( instytucji publicznej jest zarzdzanie zasobami informatycznymi, z których strategiczn warto stanowi aktywa informacyjne. Wykorzystywane s one w procesie podejmowania decyzji, dlatego te musz charakteryzowa si podstawowymi atrybutami bezpieczestwa, czyli optymalnym poziomem poufno- ci, integralnoci i dostpnoci, a w przypadku informacji przetwarzanej, przechowywanej i przesyłanej w systemach i sieciach komputerowych dodatkowo autentycznoci, rozliczalnoci, niezaprzeczalnoci oraz niezawodnoci. Prowadzenie aktywnoci gospodarczej w rodowisku zdominowanym przez technik informatyczn stanowi pewnego rodzaju wyzwanie dla utworzenia i utrzymania bezpiecznych warunków przetwarzania i przesyłania informacji [15]. Wobec powyszego wywodu główn potrzeb staje si cigłe identyfikowanie zagroe dla bezpieczestwa teleinformatycznego, z uwzgldnieniem rónorodnych kryterium podziału. Naley mie równie na uwadze fakt, i postp w dziedzinie technologii informatycznej, oprócz pozytywnych walorów, generuje coraz to nowsze, niezidentyfikowane dotd niebezpieczestwa i zagro- enia. Dowiadczenia ycia codziennego pokazuj, i praktycznie kadego dnia dochodzi do prób włamania do systemu komputerowego, a administratorzy sieci udaremniaj nieuprawnione wejcia do systemu. Równoczenie w rodkach masowego przekazu pojawiaj si komunikaty o kolejnej luce w systemie operacyjnym lub szkodliwym oprogramowaniu [14]. Niezbdne jest zatem opracowywanie oraz implementacja rónorodnych mechanizmów przeciwdziałania. Z uwagi na złoono podejmowanej w niniejszym artykule problematyki przedstawiono w nim jedynie wycinek z całego katalogu zagroe i niebezpieczestw oraz moliwych do zastosowania technik przeciwdziałania. Podstawowym przedsiwziciem w ochronie i zabezpieczaniu systemów jest analiza ryzyka identyfikujca ryzyko, które powinno by kontrolowane bd( zosta zaakceptowane. Z perspektywy bezpieczestwa teleinformatycznego na analiz ryzyka składaj si: analiza wartoci, zasobów, zagroe oraz podatnoci. Rezultatem analizy ryzyka jest okrelenie stopnia prawdopodobiestwa wystpienia niebezpieczestwa. Skrupulatnie przeprowadzona analiza ryzyka pozwala jednoczenie na redukcj negatywnych skutków lub uniemoliwienie wystpienia incydentu.

19 Bezpieczestwo teleinformatyczne 279 Literatura [1] Bczek P., Zagroenia informacyjne a bezpieczestwo pastwa polskiego, Wydawnictwo Adam Marszałek, Toru [2] Błaszczyk A., Wirusy pisanie wirusów i antywirusów, Oficyna Wydawnicza Read me, Warszawa [3] Ciborowski L., Walka informacyjna, Wydawnictwo Adam Marszałek, Toru [4] Drogo W., Mka D., Skawina M., Jak chroni tajemnice? Ochrona informacji w instytucjach pastwowych i przedsibiorstwach prywatnych, Wydawnictwo Bellona, Warszawa [5] Fischer B., Przestpstwa komputerowe i ochrona informacji. Aspekty prawno-kryminalistyczne, Kraków [6] zpieczenstwa.informacji.w.systemach.ti.html ( ) [7] ( ). [8] ( ). [9] ( ) [10] Jó(wiak I.J., Szleszyska A., Rola analizy ryzyka i specyfikacji wymaga bezpieczestwa w procesie tworzenia systemu zarzdzania bezpieczestwem informacji, Zeszyty Naukowe Politechniki lskiej, Gliwice [11] Liderman K., Bezpieczestwo teleinformatyczne, Wydawnictwo WSI- SiZ, Warszawa [12] Liedel K., Bezpieczestwo informacyjne w dobie terrorystycznych i innych zagroe bezpieczestwa narodowego, Wydawnictwo Adam Marszałek, Toru [13] Łuczek J. (red.), Zarzdzanie bezpieczestwem informacji, Wydawnictwo Oficyna Współczesna, Pozna [14] Nowak A., Scheffs W., Zarzdzanie bezpieczestwem informacyjnym, Wydawnictwo AON, Warszawa [15] Pakowska M., Zarzdzanie zasobami informatycznymi, Wydawnictwo Difin, Warszawa [16] Doroszewski W. (red.), Słownik jzyka polskiego, Wydawnictwo PWN, [17] Tyrała P., Zarzdzanie kryzysowe. Ryzyko bezpieczestwo obronno, Wydawnictwo Adam Marszałek, Toru [18] Urbanowicz P. (red.), Ochrona informacji w sieciach komputerowych, Wydawnictwo KUL, Lublin 2004.

20 280 M. Pałga, D. Wojtyto, M. Salwierak, W. Kulma, M. Knapiski [19] Wrzosek M., Nowak A., Identyfikacja zagroe determinujcych zmiany w systemie bezpieczestwa społeczestwa informacyjnego, Wydawnictwo AON, Warszawa [20] )ebrowski A., Kwiatkowski M., Bezpieczestwo informacji III Rzeczypospolitej, Oficyna Wydawnicza Abrys, Kraków Michał Pałga, Dorota Wojtyto, Mariusz Salwierak, Wiesław Kulma, Marcin Knapiski Politechnika Czstochowska TELECOMMUNICATION SECURITY AS AN ELEMENT OF THE COMPLEX INFORMATION PROTECTION Abstract In the article the pivotal issues related to information security which it is processed and stored in the ICT systems and network was presented. The categorization of incidents of the telecommunication security was elaborated and their main causes of occurrence was indicated. Besides in this article the significant role of the risk analysis in the process to prevent threats of information security was pointed. Keywords: information security, telecommunication security, risk assessment, risk management.

Polityka bezpieczestwa

Polityka bezpieczestwa Polityka bezpieczestwa 1 Wstp...1 2 PB techniki organizacyjne...3 2.1 Opracowanie planów i procedur działania...3 2.2 Okrelenie kompetencji i odpowiedzialnoci...4 2.3 Okrelenie specjalnych obszarów chronionych...4

Bardziej szczegółowo

CELE SIŁ ZBROJNYCH - ZDOLNO REAGOWANIA NA INCYDENTY KOMPUTEROWE

CELE SIŁ ZBROJNYCH - ZDOLNO REAGOWANIA NA INCYDENTY KOMPUTEROWE CELE SIŁ ZBROJNYCH - ZDOLNO REAGOWANIA NA INCYDENTY KOMPUTEROWE Janusz SIWEK Centrum Analiz Kryptograficznych i Bezpieczestwa Teleinformacyjnego WSTP Wraz z rozwojem ilociowym i technologicznym systemów

Bardziej szczegółowo

Koncepcje budowy bezpiecznych sieci bezprzewodowych dla rodowisk przemysłowych

Koncepcje budowy bezpiecznych sieci bezprzewodowych dla rodowisk przemysłowych Koncepcje budowy bezpiecznych sieci bezprzewodowych dla rodowisk przemysłowych Rafał Cichocki rafi@am.gdynia.pl Akademia Morska w Gdyni 1. Wstp Sieci bezprzewodowe posiadaj niezaprzeczalne zalety zwizane

Bardziej szczegółowo

INFORMATYCZNE SYSTEMY ZARZDZANIA EKSPLOATACJ OBIEKTÓW TECHNICZNYCH

INFORMATYCZNE SYSTEMY ZARZDZANIA EKSPLOATACJ OBIEKTÓW TECHNICZNYCH UNIWERSYTET WARMISKO MAZURSKI W OLSZTYNIE AKADEMIA TECHNICZNO ROLNICZA W BYDGOSZCZY NIZISKI Stanisław ÓŁTOWSKI Bogdan INFORMATYCZNE SYSTEMY ZARZDZANIA EKSPLOATACJ OBIEKTÓW TECHNICZNYCH OLSZTYN BYDGOSZCZ

Bardziej szczegółowo

Zaawansowana inynieria oprogramowania. Zarzdzanie Ryzykiem

Zaawansowana inynieria oprogramowania. Zarzdzanie Ryzykiem Zarzdzanie Ryzykiem Witam Pastwa serdecznie na kolejnym wykładzie z cyklu Zaawansowana inynieria oprogramowania. Zarzdzanie ryzykiem wie si bezporednio z problematyk zarzdzania przedsiwziciami, a w szczególnoci,

Bardziej szczegółowo

Wirusy 1 Co to jest wirus komputerowy?

Wirusy 1 Co to jest wirus komputerowy? Wirusy 1 Co to jest wirus komputerowy?...1 2 Historia wirusów...2 3 Rodzaje wirusów...6 3.1 Metody przenoszenia wirusów...7 3.1.1 Wirusy sektora startowego dysku...7 3.1.2 Wirusy plikowe...8 3.1.3 Wirus

Bardziej szczegółowo

BEZPIECZESTWO PASTWA W KONTEK CIE ZAGRO!E Z CYBERPRZESTRZENI

BEZPIECZESTWO PASTWA W KONTEK CIE ZAGRO!E Z CYBERPRZESTRZENI mjr dr Robert RECZKOWSKI 1 mjr mgr Andrzej SKIBA 2 BEZPIECZESTWO PASTWA W KONTEK CIE ZAGRO!E Z CYBERPRZESTRZENI Dajcie mi 10 hackerów, a w cigu 90 dni powal ten kraj [USA przyp. autorzy] na kolana. Wprowadzenie

Bardziej szczegółowo

Prywatne wojny w sieci: poddaj si, okop, negocjuj lub sta do walki

Prywatne wojny w sieci: poddaj si, okop, negocjuj lub sta do walki Krzysztof M. Brzeziski Igor Margasiski Krzysztof Szczypiorski Instytut Telekomunikacji Politechnika Warszawska, Warszawa Prywatne wojny w sieci: poddaj si, okop, negocjuj lub sta do walki Motto: "Get up,

Bardziej szczegółowo

Zastosowanie sieci Bayesa w wykrywaniu ataków DoS

Zastosowanie sieci Bayesa w wykrywaniu ataków DoS Zastosowanie sieci Bayesa w wykrywaniu ataków DoS Marcin urakowski, Przemysław Kazienko Zakład Systemów Informacyjnych, Wydział Informatyki i Zarzdzania, Politechnika Wrocławska mzurakowski@esolution.pl,

Bardziej szczegółowo

Politechnika Wrocławska. Modelowanie procesów biznesowych w ramach technologii SOA

Politechnika Wrocławska. Modelowanie procesów biznesowych w ramach technologii SOA Politechnika Wrocławska Studia podyplomowe dla kadr zarzdzajcych i pracowników przedsibiorstw Zarzdzanie projektami Praca dyplomowa: Modelowanie procesów biznesowych w ramach technologii SOA Wykorzystanie

Bardziej szczegółowo

Tomasz Grbski. Sieci komputerowe

Tomasz Grbski. Sieci komputerowe Tomasz Grbski Sieci komputerowe Kranik 2002 Sieci komputerowe 2 Od Autora: Przedstawiony przeze mnie referat stanowi ródło wiedzy dotyczcej zagadnie zwizanych z sieciami komputerowymi. Moim zamierzeniem

Bardziej szczegółowo

Rozwój sektora e-usług na wiecie

Rozwój sektora e-usług na wiecie Rozwój sektora e-usług na wiecie Autorzy: Sebastian Komorowski Michał Koralewski Artur Komider Marcin Kraska Janusz Langer Karol Nowaczyk Jacek Pucher Korekta: Agnieszka Domagała Wydawca: Polska Agencja

Bardziej szczegółowo

Raport Kocowy. Zamawiajcy: Ministerstwo Gospodarki i Pracy. ECORYS Polska. Radosław Piontek, Agnieszka Kowalczyk, Iwona Burakowska

Raport Kocowy. Zamawiajcy: Ministerstwo Gospodarki i Pracy. ECORYS Polska. Radosław Piontek, Agnieszka Kowalczyk, Iwona Burakowska Ocena uzupełniajca Problemy i bariery w postpie realizacji Sektorowego Programu Operacyjnego Wzrost konkurencyjnoci przedsibiorstw, lata 2004-2006 w ocenie Ostatecznych Odbiorców Programu Projekt współfinansowany

Bardziej szczegółowo

Wybrane działania Ministerstwa Nauki i Informatyzacji w zakresie informatyzacji administracji publicznej w Polsce w roku 2003

Wybrane działania Ministerstwa Nauki i Informatyzacji w zakresie informatyzacji administracji publicznej w Polsce w roku 2003 Wybrane działania Ministerstwa Nauki i Informatyzacji w zakresie informatyzacji administracji publicznej w Polsce w roku 2003 Dr in. Grzegorz Bliniuk, Departament Systemów Informatycznych Administracji

Bardziej szczegółowo

Sieciowe systemy operacyjne Active Directory

Sieciowe systemy operacyjne Active Directory Sieciowe systemy operacyjne Active Directory 2 1. Systemy sieciowe Banyan Firma Banyan, producent sztandarowego systemu VINES, twierdziła zawsze, e jej sieci s przejrzyste dla ich uytkownika. System VINES

Bardziej szczegółowo

Bezpieczestwo komunikatorów

Bezpieczestwo komunikatorów Bezpieczestwo komunikatorów Sławomir Górniak, Przemysław Jaroszewski CERT Polska 1 Komunikatory w pigułce 1.1 Czym s komunikatory? Komunikator internetowy (ang. instant messenger; IM) to program umoliwiajcy

Bardziej szczegółowo

RELACJE MIĘDZY STRATEGIĄ A STRUKTURĄORGANIZACYJNĄ W PRZEDSIĘBIORSTWACH SEKTORA WYSOKICH TECHNOLOGII

RELACJE MIĘDZY STRATEGIĄ A STRUKTURĄORGANIZACYJNĄ W PRZEDSIĘBIORSTWACH SEKTORA WYSOKICH TECHNOLOGII Politechnika Łódzka ZESZYTY NAUKOWE Nr 1095 AGNIESZKAZAKRZEWSKA-BIELAWSKA RELACJE MIĘDZY STRATEGIĄ A STRUKTURĄORGANIZACYJNĄ W PRZEDSIĘBIORSTWACH SEKTORA WYSOKICH TECHNOLOGII ŁÓDŹ 2011 ZESZYTY NAUKOWE POLITECHNIKI

Bardziej szczegółowo

7 8 9 10 12 WYBRANE ASPEKTY PLANOWANIA W MAŁYM PRZEDSIBIORSTWIE Edward Stawasz Streszczenie W artykule omówiono wybrane kwestie planowania w małych przedsibiorstwach. W szczególnoci omówiono aspekty dotyczce

Bardziej szczegółowo

Elektroniczna gospodarka w Polsce RAPORT 2006. Praca zbiorowa pod redakcj Marcina Kraski

Elektroniczna gospodarka w Polsce RAPORT 2006. Praca zbiorowa pod redakcj Marcina Kraski 1 2 Elektroniczna gospodarka w Polsce RAPORT 2006 Praca zbiorowa pod redakcj Marcina Kraski Pozna 2007 3 Redakcja: dr Marcin Kraska Zespół autorski: Autor Przygotowane rozdziały Instytut Logistyki i Magazynowania

Bardziej szczegółowo

ANALIZA FAZY TWORZENIA ALIANSU STRATEGICZNEGO FIRMY KRAJOWEJ Z ZAGRANICZNYM KOOPERANTEM

ANALIZA FAZY TWORZENIA ALIANSU STRATEGICZNEGO FIRMY KRAJOWEJ Z ZAGRANICZNYM KOOPERANTEM ANALIZA FAZY TWORZENIA ALIANSU STRATEGICZNEGO FIRMY KRAJOWEJ Z ZAGRANICZNYM KOOPERANTEM JERZY CHOROSZCZAK ANNA UJWARY-GIL Artykuł ukazał si w: Choroszczak J., Ujwary-Gil A., Analiza fazy tworzenia aliansu

Bardziej szczegółowo

NETYKIETA KODEKS ETYCZNY CZY PRAWO INTERNETU?

NETYKIETA KODEKS ETYCZNY CZY PRAWO INTERNETU? Uniwersytet Jagielloski Wydział Zarzdzania i Komunikacji Społecznej INSTYTUT INFORMACJI NAUKOWEJ I BIBLIOTEKOZNAWSTWA Studia dzienne Grzegorz Kubas NETYKIETA KODEKS ETYCZNY CZY PRAWO INTERNETU? Opiekun

Bardziej szczegółowo

OUTSOURCING RACHUNKOWOCI I DORADZTWA PODATKOWEGO W SEKTORZE MP IMPLIKACJE DLA URZDNIKÓW SKARBOWYCH

OUTSOURCING RACHUNKOWOCI I DORADZTWA PODATKOWEGO W SEKTORZE MP IMPLIKACJE DLA URZDNIKÓW SKARBOWYCH 17 OUTSOURCING RACHUNKOWOCI I DORADZTWA PODATKOWEGO W SEKTORZE MP IMPLIKACJE DLA URZDNIKÓW SKARBOWYCH Marek Matejun Katedra Zarzdzania, Politechnika Łódzka 1. Wprowadzenie Outsourcing stanowi interesujc

Bardziej szczegółowo

Program antywirusowy. mks_vir. wersja 1.3 z dnia 22 grudnia 2004. zawiera Administratora pakietu mks_vir

Program antywirusowy. mks_vir. wersja 1.3 z dnia 22 grudnia 2004. zawiera Administratora pakietu mks_vir Program antywirusowy mks_vir wersja 1.3 z dnia 22 grudnia 2004 zawiera Administratora pakietu mks_vir Copyright 2003 by MKS Sp. z o.o. Zarówno program jak i instrukcja korzystaj z pełnej ochrony okrelonej

Bardziej szczegółowo

Przykładowe pytania testowe oraz pytania do czci ustnej egzaminu

Przykładowe pytania testowe oraz pytania do czci ustnej egzaminu Na podstawie 4 ust. 1 pkt 2 Załcznika nr 1 do rozporzdzenia Ministra Finansów z dnia 24 czerwca 2006 r. w sprawie sposobu organizowania i przeprowadzania egzaminu na audytora wewntrznego oraz działania

Bardziej szczegółowo

imart Informatyczna platforma dla handlu i dystrybucji OPIS PLATFORMY I JEJ STANDARDOWYCH MODUŁÓW

imart Informatyczna platforma dla handlu i dystrybucji OPIS PLATFORMY I JEJ STANDARDOWYCH MODUŁÓW imart Informatyczna platforma dla handlu i dystrybucji OPIS PLATFORMY I JEJ STANDARDOWYCH MODUŁÓW www.frontier.pl 2005 Spis treci 1. Ogólna charakterystyka platformy informatycznej imart... 3 1.1. Modele

Bardziej szczegółowo

Program antywirusowy mks_vir wersja 1.5 z dnia 5 maja 2005 zawiera Administratora pakietu mks_vir

Program antywirusowy mks_vir wersja 1.5 z dnia 5 maja 2005 zawiera Administratora pakietu mks_vir Program antywirusowy mks_vir wersja 1.5 z dnia 5 maja 2005 zawiera Administratora pakietu mks_vir Copyright 2004 by MKS Sp. z o.o. Zarówno program jak i instrukcja korzystaj z pełnej ochrony okrelonej

Bardziej szczegółowo

PRZEMAWIAJ CYCH ZA I PRZECIW OKRELONYM SPOSOBOM KLASYFIKACJI OPŁATY ZA DOSTPNO

PRZEMAWIAJ CYCH ZA I PRZECIW OKRELONYM SPOSOBOM KLASYFIKACJI OPŁATY ZA DOSTPNO - 11-3. ROZDZIAŁ III INTERPRETACJA PRAWNA I FINANSOWA WRAZ ZE WSKAZANIEM ARGUMENTÓW PRZEMAWIAJ CYCH ZA I PRZECIW OKRELONYM SPOSOBOM KLASYFIKACJI OPŁATY ZA DOSTPNO Na wstpie naley podkreli, e klasyfikacja

Bardziej szczegółowo

WPŁYW INTEGRACJI EUROPEJSKIEJ NA ROZWÓJ I WSPARCIE MAŁYCH I REDNICH PRZEDSIBIORSTW

WPŁYW INTEGRACJI EUROPEJSKIEJ NA ROZWÓJ I WSPARCIE MAŁYCH I REDNICH PRZEDSIBIORSTW 1 Aktualne problemy zarzdzania małymi i rednimi przedsibiorstwami 11 WPŁYW INTEGRACJI EUROPEJSKIEJ NA ROZWÓJ I WSPARCIE MAŁYCH I REDNICH PRZEDSIBIORSTW Marek Matejun, Maciej Miller Katedra Zarzdzania,

Bardziej szczegółowo

Strategia kierunkowa rozwoju informatyzacji Polski do roku 2013 oraz perspektywiczna prognoza transformacji społeczestwa informacyjnego do roku 2020

Strategia kierunkowa rozwoju informatyzacji Polski do roku 2013 oraz perspektywiczna prognoza transformacji społeczestwa informacyjnego do roku 2020 Strategia kierunkowa rozwoju informatyzacji Polski do roku 2013 oraz perspektywiczna prognoza transformacji społeczestwa informacyjnego do roku 2020 Warszawa, 24 czerwca 2005 SPIS TRECI 1. WPROWADZENIE...

Bardziej szczegółowo

Systemy Zarzdzania rodowiskowego ISO 14 000 i EMAS

Systemy Zarzdzania rodowiskowego ISO 14 000 i EMAS Systemy Zarzdzania rodowiskowego ISO 14 000 i EMAS Wstp Systemy zarzdzania rodowiskowego stanowi szczególnie uyteczny instrument poprawy efektywnoci funkcjonowania organizacji w zakresie szeroko pojtej

Bardziej szczegółowo