PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA TELEINFORMATYCZNEGO
|
|
- Ewa Niewiadomska
- 8 lat temu
- Przeglądów:
Transkrypt
1 PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA TELEINFORMATYCZNEGO Program szkoleniowy CERT POLSKA Andrzej Chrząszcz Mirosław Maj CERT POLSKA
2
3 Co to jest bezpieczeństwo informacji, szacowanie ryzyka i zarządzanie ryzykiem?
4 Bezpieczeństwo informacji P RIVACY A UTHETICITY I NTEGRITY N ON - REPUDATION
5 Główne zagrożenia* 18% 8% 7% 28% Niesprawność Utrata serwisu, sprzęt lub dostępność Błąd ludzki Niekontrolowane zmiany 18% 21% Nieuprawniony dostęp Przeciążenie * Information Security Forum Survey 1998
6 Przyczyny incydentów* 10% 14% Nieumyślne Umyślne Nieznane 76% * Information Security Forum Survey 1998
7 Źródło incydentów* 27% Własna organizacja 57% Organizacja współpracująca Ośrodki zewnętrzne 16% * Information Security Forum Survey 1998
8 Typy ataków odnotowanych w ciągu ostatnich 12 m-cy? denial of service laptop active wiretap unauthorized access virus system penetration telecom eversdroping theft of proprietary
9
10 Zagrożenia związane ze światem polityki Ataki na serwer WWW domeny.mil źródło: CERT Polska na podstawie Attrition.Org 30 Konflikt USA - Chiny Konflikt Indie - Pakistan Konflikt Izrael Palestyńczycy 15 Wybuch konfliktu w Kosowie
11 ttackers Tool Vulnerability Action Target Hackers Spies Terrorists Corporate Riders rofessional Criminals Physical Attack Information Exchange User Command Script or Program Autonoumous Agent Design Probe Account Implementation Scan Process Configuration incident attack(s) event Flood Authenticate Bypass Data Component Computer Unauthorized Results Increased Access Disclosure of Information Corruption of Information Denial of Service Theft of Resources Objectives Challenge, Status, Thril Political Gain Financial Gain Damage Vandals Toolkit Spoof Network Voyeurs Distributed Tool Data Tap Read Copy Internetwork Steal Modify Delete
12
13 Co to jest Window of Exposure? Charakterystyka procesu wg Bruce Schneier a Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas
14 Co to jest Window of Exposure? Faza 1 - Zanim ktoś odkryje słabość w systemie Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas
15 Co to jest Window of Exposure? Faza 2 - zanim ktoś to ogłosi Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas
16 Co to jest Window of Exposure? Faza 3 - wtedy kiedy dziura staje się bardzo popularna Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas
17 Co to jest Window of Exposure? Faza 4 - wtedy kiedy producent udostępni łatę na system Vulnerability popularized Vendor Patches Vulnerability Vulnerability Announced Users Install Patch Ryzyko Vulnerability discovered Czas
18 Co to jest Window of Exposure? Faza 5 - w trakcie kiedy systemy są łatane Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas
19 Co to jest Window of Exposure? FAZA KRYTYCZNA Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas
20 Polityka bezpieczeństwa informacji
21 Program bezpieczeństwa Strategia bezpieczeństwa Polityka bezpieczeństwa Regulaminy i procedury MOJA POLITYKA BEZPIECZEŃSTW A
22 BS 7799 BS 7799 Dekalog Security policy Security organization Assets classification and control Personnel security Physical and environment security Computer and network management System access control System development and maintnance Business continuity planning Compliance
23
24 Eight steps for security management Best Practices David Thompson 1. Get everyone on board 2. Develop a security infrastructure 3. Training and awareness 4. Develop threat sources 5. Don't protect everything 6. Carefully consider outsourcing options 7. Develop a response plan 8. Perform regular audits
25
26 PB jako dokument Akceptacja zarządu Różne poziomy dokładności A może model dwustopniowy? Konieczność aktualizacji
27 Bezpieczeństwo organizacyjne
28 Bezpieczeństwo organizacyjne Security organization schemat organizacyjny firmy i miejsce w nim dla bezpieczeństwa Zasoby wiedzy wewnętrzne i zewnętrzne Schemat organizacyjny powinien być jasny i znany, zespół bezpieczeństwa powinien mieć w nim należyte miejsce, należyte czyli...
29 Bezpieczeństwo organizacyjne Dwa modele organizacyjne [1] - duża firma
30 Bezpieczeństwo organizacyjne Dwa modele organizacyjne [2] - mała firma
31 Rekrutacja Co Pan/Pani sądzi na temat włamywania się do innych systemów bez dokonywania szkód? Czy skorzystałby Pan/Pani z oferty hakera, który ofiarowałby usługę polegającą na przeprowadzeniu audytu teleinformatycznego? Czy dostęp do wszystkich zasobów firmy jest uzasadniony z punktu widzenia poprawnego administrowania systemami informatycznymi?
32 Dostęp firm trzecich Dostęp third party (reguły techniczne) W przypadku dostępu zdalnego do zasobów informatycznych powinno stosować się mocne uwierzytelnienie, np.: poprzez zastosowanie systemu haseł jednorazowych (One Time Password); Przy dostępie zdalnym powinno się stosować kryptograficzne techniki ochrony transmisji; Dołączenie teleinformatyczne powinno być szczegółowo kontrolowane poprzez urządzenia filtrujące (firewalling, intrusion detection systems, routing); W razie możliwości dostęp powinien być limitowany czasowo (dostęp na życzenie lub dostęp w ograniczonych, określonych godzinach);
33 Dostęp firm trzecich Dostęp third party (reguły organizacyjne) Współpraca powinna być oparta o pisemne porozumienie; Firma zewnętrzna nie powinna mieć prawa do wykorzystywania pomocy firm innych firm lub osób bez uprzedniej wiedzy i zgody właściciela zasobów; Wszelkie dołączenia powinny być poprzedzone analizą ryzyka i podjęciem ewentualnych działań zabezpieczających, dopuszczenie do dołączenia może nastąpić tylko za pisemną zgodą osób odpowiedzialnych za bezpieczeństwo organizacji; Właściciel zasobów, do których firma trzeci posiada dostęp powinien mieć prawo do przeprowadzenia audytu dołączenia i przestrzegania ustalonych reguł przez firmę trzecią, wyniki tych audytów determinują możliwość dalszego działania; Firma trzecia powinna być zobowiązana do informowania właściciela zasobów o wszelkich przypadkach naruszenia bezpieczeństwa dołączenia, jak również innych faktach mogących wpłynąć na pogorszenie się jakości systemu bezpieczeństwa układu;
34 Klasyfikacja zasobów
35 Rola klasyfikacji zasobów Sposób, zakres metody i środki finansowe przeznaczone na zabezpieczenia muszą być adekwatne do wartości i znaczenia chronionego elementu. Zbudowanie właściwej struktury zabezpieczeń wymaga działań przygotowawczych. Proces klasyfikacji zasobów jest ich częścią. Należy go zacząć od wyboru metod i procedur mających na celu określenia wartość elementu oraz jego znaczenia dla firmy. Jedną z powszechnie stosowanych metod jest oparcie procesu walidacji elementu o analizę ryzyka.
36 Podejście sformalizowane BS7799 Klasyfikacja i ocena zasobów security policy security organization assets classification personnel security computer and network system access control system development continuity plan compliance
37 Klasyfikacja zasobów - kolejność działań Kolejność działań zmierzających do klasyfikacji zasobów firmy: Inwentaryzacja/Audyt - stwierdzenie rzeczywistego stanu zasobów (ludzie, sprzęt, oprogramowanie, dane) Analiza ryzyka - wykonanie analizy ryzyka dla określenia znaczenia elementu dla firmy Klasyfikacja - zakwalifikowanie zasobu do określonej grupy ( ze względu na wynik analizy ryzyka)
38 Aspekty Klasyfikacji -DANE Założenia związane z klasyfikowaniem danych: wszystkie dane mają właściciela właściciel danych jest odpowiedzialny za ich kwalifikację do jednego ze zdefiniowanych poziomów (w zależności od wymogów formalnych prawo, polityka firmy), z uwzględnieniem oszacowanej wymiernej wartości danych oraz uwarunkowań biznesowych (popartych wcześniejszą analizą ryzyka)
39 Aspekty klasyfikacji (cd) Jeżeli właściciel danych nie jest w stanie określić poziomu w takiej sytuacji dane traktowane są jako dane poziomu... Właściciel danych określa jaka grupa użytkowników ma prawo dostępu do danych Właściciel danych jest odpowiedzialny za stosowanie adekwatnych do przyznanego poziomu zabezpieczeń (proces ten może być przeprowadzany lub/i kontrolowany przez wyznaczone w firmie osoby (np. administrator bezpieczeństwa, oficer bezpieczeństwa)
40 Aspekty klasyfikacji (cd) Wszystkie dane muszą zostać zakwalifikowane do jednego z założonych poziomów oraz posiadać czytelne znak identyfikujący ich poziom (w przypadku dokumentów co najmniej na stronie tytułowej) Dane zaklasyfikowane do poziomu najwyższego muszą spełniać wymagania poziomów niższych Systemy przechowujące dane zaklasyfikowane do różnych poziomów muszą spełniać wymagania dla danych najwyższego poziomu.
41 Przykład klasyfikacji danych Poziom 1. Informacja Publiczna nie klasyfikowana. testowe serwisy zawierające wyłącznie informacje poziomu 1 publiczne serwisy informacyjne informacje o produktach w formie elektronicznych broszur, folderów itd. dane dostępne także poprzez inne źródła publiczne
42 Przykład klasyfikacji danych (cd) Poziom 2. Informacja wewnętrzna Ogólne dokumenty obiegu informacji wewnętrznej Wewnętrzne książki telefoniczne Fragmentaryczne dane z narad produkcyjnych
43 Przykład klasyfikacji danych (cd) Poziom 3. Informacja Poufna Wysokość wynagrodzenia Dane osobowe Informacje przetargowe Dane klientów Poufne dane o szczegółach kontraktów
44 Przykład klasyfikacji danych (cd) Poziom 4. Informacja Strategiczna Informacje o problemach finansowych czy słabych punktach firmy Informacje o planowanych kierunkach inwestycji lub rozwoju Informacje o realizowanych kontraktach objęte klauzulą poufności (np. w kontekście ustawy o ochronie informacji niejawnych klauzula tajemnica państwowa )
45 Polityka kadrowa w organizacji bezpieczeństwa Zakres obowiązków użytkowników Szkolenia użytkowników Reagowanie na przypadki naruszania bezpieczeństwa
46 Polityka kadrowa w organizacji bezpieczeństwa Zarząd Odpowiedzialny jest za działanie i strategie firmy także strategie bezpieczeństwa w skali firmy, oraz udostępnienie koniecznych zasobów dla realizacji poszczególnych zadań.
47 Polityka kadrowa w organizacji bezpieczeństwa (cd) Menadżer ds bezpieczeństwa teleinformatycznego Odpowiedzialny jest za całość działań związanych z bezpieczeństwem w firmie, wnioskuje i sugeruje zarządowi technologie i kierunki rozwiązań technicznych. Wspólnie z osobami odpowiedzialnymi za przebieg poszczególnych procesów w firmie opracowuje związane z nimi zasady bezpieczeństwa. Menadżer bezpieczeństwa może być odpowiedzialny za przeprowadzenie analizy ryzyka.
48 Polityka kadrowa w organizacji bezpieczeństwa (cd) Oficer bezpieczeństwa informacji Osoba odpowiedzialna za bieżącą kontrolę zgodności funkcjonowania sieci, systemów teleinformatycznych, lub procesów obsługi informacji z przyjętymi wymaganiami w zakresie ich bezpieczeństwa. (osoba posiadająca funkcjonalną znajomość systemów teleinformatycznych i procesów zachodzących w firmie)
49 Polityka kadrowa w organizacji bezpieczeństwa (cd) Administrator bezpieczeństwa teleinformatycznego Osoba (lub osoby) odpowiedzialne za funkcjonowanie systemu lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych osoba (osoby) posiadająca kwalifikacje i praktyczną wiedzę techniczną)
50 Polityka kadrowa w organizacji bezpieczeństwa (cd) Administrator systemu Odpowiedzialny za utrzymanie i właściwą eksploatację systemu. Projektant systemów Osoba rozwijająca systemy obsługi informacji w firmie, pełniąca kluczową rolę w zakresie zapewnienia stosownych mechanizmów bezpieczeństwa we wczesnej fazie procesu.
51 Polityka kadrowa w organizacji bezpieczeństwa (cd) Kierownik projektu Odpowiedzialny za uwzględnienie aspektów bezpieczeństwa w prowadzonych przez siebie projektach.
52 Polityka kadrowa w organizacji bezpieczeństwa (cd) Użytkownik systemu (pracownik firmy) Za działania użytkowników odpowiedzialni są bezpośredni przełożeni. To przełożeni posiadają wiedzę dotyczącą przyjętych procedur obsługi oraz szczegółowe wytyczne w zakresie przestrzegania wymogów bezpieczeństwa, są oni także świadomi konsekwencji ich naruszenia. Nie znaczy to oczywiście że użytkownicy systemów nie Muszą posiadać wiedzy w zakresie przyjętej polityki bezpieczeństwa.
53 Polityka kadrowa w organizacji bezpieczeństwa (cd) Audytor Osoba rekrutująca się spośród pracowników firmy (lub spoza firmy) niezależnie i cyklicznie sprawdzająca rzeczywisty poziom bezpieczeństwa w firmie (zarówno w kontekście proceduralnych jak i technicznym). Istotną sprawą jest niezależność tego stanowiska, rekomendowane jest także by osoba pełniąca tą funkcję nie była osobiście zaangażowana w jakiekolwiek działania związane z projektowaniem budowaniem, ani utrzymywaniem elementów bezpieczeństwa. Brak tego typu zależności pozwala na obiektywną ocenę audytowanych elementów.
54 Obowiązków użytkowników Wypracowany model administracyjno-techniczny w znacznym stopniu decyduje o skuteczności działania całości rozwiązań w zakresie ochrony informacji. Bezpieczeństwo w firmie należy traktować jako proces ciągły, proces o charakterze administracyjnotechnicznym. Jego część techniczna (wdrożone technologie i mechanizmy ochrony) nie będzie właściwie i skutecznie służyła założonym celom jeżeli nie będzie ona właściwie wspomagana przez część administracyjną (procedury, zakresy odpowiedzialności, obowiązki administratorów i użytkowników, regulaminy korzystania z usług itp.).
55 Przykładowy zakres obowiązków użytkownika (konto w systemie) Przyznane konto musi być wykorzystywane zgodnie z jego przeznaczeniem (wskaźnik do innego dokumentu) Użytkownik jest uprawniony do następujących zasobów systemu (lista zasobów) Każdy użytkownik odpowiada za bezpieczne operowanie uprawnieniami do pracy w sieci i do kontaktu z siecią, a w szczególności : nie może odstępować przyznanych uprawnień innym osobom, ma obowiązek operować hasłami nie krótszymi niż N znaków, pod rygorem utraty dostępu do systemu musi zmieniać hasło w cyklu uzgodnionym z operatorem systemu,
56 Przykładowy zakres obowiązków użytkownika (konto w systemie (cd)) w przypadku posiadania kilku haseł nie może ich powtarzać, nie może żądać zmiany hasła lub otwarcia zablokowanego konta na skutek przeterminowania hasła, drogą telefoniczna. Informacje przesyłane w sieci w celu ochrony powinny być szyfrowane przez użytkownika. Administrator ma prawo do odłączenia lub zablokowania konta użytkownika systemu bez odszkodowania w wypadku stwierdzenia nieuprawnionego działania w sieci lub działania na szkodę innych użytkowników. Użytkownikowi zabrania się instalowania jakiegokolwiek oprogramowania mogącego służyć do celów przełamywania zabezpieczeń innych kont lub systemów.
57 Szkolenia użytkowników Zakres i zawartość merytoryczna szkoleń musi być dopasowana do potrzeb poszczególnych grup pracowników, ich kompetencji oraz roli w procesach obsługi i przetwarzania informacji. Dlatego też konieczne jest wyodrębnienie grup pracowników i właściwe dopasowanie programów szkoleń. Inny zakres i zawartość będzie zawierało szkolenie dla użytkowników systemów, znacznie szersze aspekty zawierać musi szkolenie dla programistów, twórców czy projektantów systemów.
58 Szkolenia użytkowników (cd) Poziomy szkoleń mogą i powinny się wzajemnie uzupełniać. Możemy przeprowadzić podstawowe szkolenie w zakresie ochrony informacji skierowane do wszystkich pracowników firmy, szkolenia uzupełniające czy specjalistyczne przeprowadzimy jedynie dla wybranych grup pracowników czy wybranych stanowisk. Takie podejście gwarantuje przekazanie podstawowej wiedzy z zakresu ochrony informacji wszystkim pracownikom firmy.
59 Reagowanie na sytuacje kryzysowe Pomimo posiadania dokumentu określającego stanowisko firmy wobec problemu bezpieczeństwa polityki bezpieczeństwa, wysoko kwalifikowanej i dobrze wyszkolonej kadry, właściwego przypisania obowiązków związanych z planowaniem, utrzymaniem i kontrolą elementów bezpieczeństwa w firmie, nie jesteśmy w stanie wykluczyć zaistnienia sytuacji kryzysowych.
60 Reagowanie na sytuacje kryzysowe (cd) Określenie takie jest szerokie i może dotyczyć każdego rodzaju zagrożenia - klęski żywiołowe, pożary, różnego rodzaju ataki terrorystyczne, przerwy w dostawie elektryczności, niewłaściwe funkcjonowanie obsługi infrastruktury technicznej budynku, włamania (także do systemów informatycznych), utrata danych, utrata personelu kradzieże, szpiegostwo przemysłowe itp.
61 Zadania i rola zespołów reagujących Dla podniesienia efektywności obsługi i znoszenia skutków sytuacji kryzysowych (np. dotyczących systemów informatycznych) powołuje się specjalne zespoły reagujące tzw. IRT (Incident Response Team)
62 zakres działań zespołów reagujących na przykładzie CERT POLSKA Do głównych zadań zespołów reagujących należy przyjmowanie zgłoszeń o przypadkach zagrażających bezpieczeństwu ( np. próbach włamań przy pomocy sieci), obsługa zgłoszeń ( np. pomoc w znoszeniu skutków włamań), alarmowanie lub ostrzeganie użytkowników sieci o istniejących zagrożeniach dla bezpieczeństwa ( np. informowanie o bezpośrednim zagrożeniu w wyniku czyjegoś ataku), szerzenie informacji technicznej podnoszącej wiedzę użytkowników w dziedzinie zagrożeń i metod zapobiegania im ( np. publikowanie, dystrybucja materiałów informacyjnych).
63 Zadania CERT POLSKA Rejestracja i obsługa zdarzeń naruszających bezpieczeństwo sieci W ramach struktury FIRST zespół jest odpowiedzialny za obsługę incydentów związanych z polskim zakresem adresów internetowych (zarówno ataki z Polski jak i na zasoby polskie). Bezpośrednia współpraca z zespołami CERT na całym świecie.
64 Zadania CERT POLSKA Alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń CERT Coordination Center Advisories jako podstawowe źródło informacji o zagrożeniach Informacje o słabościach systemowych pochodzące z innych źródeł sformalizowanych (porady innych zespołów, takich jak CIAC czy AUS-CERT) i niesformalizowanych (listy dyskusyjne) jako materiał do publikacji tzw. Nowości CERT POLSKA publikowanych na bieżąco na stronie CERT POLSKA
65 Zadania CERT POLSKA Prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego Serwis informacyjny Zagadnienia prawno-organizacyjne Zagadnienia techniczne Coroczna konferencja SECURE (najstarsza konferencja tego typu w Polsce, w tym roku odbędzie się w listopadzie) Szkolenia specjalistyczne Zakres tematyczny niezależny od producentów rozwiązań Szkolenia specjalistyczne dotyczące tworzenia i organizacji działania zespołów reagujących na incydenty (IRT)
66 Zadania CERT POLSKA Prowadzenie badań i przygotowywanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu Coroczne statystyki dotyczące obsługiwanych incydentów różnego typu raporty i opracowania Ochrona danych osobowych w internetowych serwisach poczty elektronicznej (raport we współpracy z GIODO, pierwsza prezentacja Konferencja AFCEA 23/05/2001)...
67 Zadania CERT POLSKA Przeprowadzanie niezależnych testów produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego. CERT POLSKA jest w końcowym etapie budowy profesjonalnego laboratorium, w którym będą wykonywane badania własne jak i zlecone.
68 Zadania CERT POLSKA Prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a także klasyfikacji i tworzenia statystyk. Zespół opracował i propaguje wzorzec obsługi zdarzeń i klasyfikacji incydentów, który był prezentowany na licznych konferencjach
69 Zadania CERT POLSKA Przeprowadzanie audytów bezpieczeństwa CERT POLSKA podejmuje się przeprowadzenia audytu teleinformatycznego bezpieczeństwa teleinformatycznego w instytucjach, którym zależy na kompleksowym podejściu do problematyki ochrony, w trakcie którego badane są zarówno zagadnienia techniczne jak i organizacyjne.
70 Zadania CERT POLSKA Odtwarzanie danych pozornie skasowanych CERT POLSKA opracował metodologię odtwarzania danych pozornie skasowanych, pozwalających na uzyskanie informacji o przebiegu incydentu.
71 Zadania CERT POLSKA Współpraca z innymi organizacjami CERT POLSKA współpracuje z organami państwowymi w celu wypracowania warunków podnoszenia poziomu bezpieczeństwa IT w Polsce. CERT POLSKA podejmie współpracę ze wszystkimi instytucjami, którego są zainteresowane służbą na rzecz bezpieczeństwa teleinformatycznego w naszym kraju.
72 Przykładowa procedura obsługi zdarzenia osoba która stwierdziła zdarzenie w zależności od jego charakteru powiadamia stosowną służbę miejską (Pogotowie, straż pożarną itp.) oraz niezależnie powiadamia wyznaczoną osobę odpowiedzialną całościowo za wszelkie aspekty bezpieczeństwa w firmie.
73 Przykładowa procedura (cd) Osoba odpowiedzialna (np. Security Manager) dokonuje wstępnego oszacowania zagrożenia uruchamia stosowną wynikającą z przyjętych procedur akcję mającą na celu zminimalizowanie skali zagrożenia i strat firmy (np. powiadamia zespół reagujący lub ściąga na miejsce zdarzenia administratorów systemu, zapoczątkowuje procedury zawarte w disaster recovery plan itp) następnie powiadamia przedstawiciela zarządu o zaistniałej sytuacji oraz rozmiarze zagrożenia, przedstawia także oszacowanie potencjalnych strat firmy.
74 Przykładowa procedura (cd) Zarząd na drodze konferencji telefonicznej lub spotkania, przy ewentualnej konsultacji z osobą odpowiedzialną za PR (Public Relation) podejmuje decyzję co do faktu, zakresu, terminu oraz sposobu upublicznienia informacji o zaistniałym incydencie względem mediów i pracowników firmy. Zarząd podejmuje także decyzje co do wariantów działań zawartych w procedurach awaryjnych - mających znaczenie strategiczne lub finansowe (np. odłączenia systemów produkcyjnych czy informacyjnych.)
75 Przykładowa procedura (cd) Zespół usuwający skutki incydentu raportuje o stanie prac kierującemu akcją Security Managerowi (który z ustaloną częstotliwością informuje zarząd o podjętych działaniach, stanie prac, i przedstawia aktualną ocenę skutków zdarzenia dla firmy ). Efektem prac jest przywrócenie działania systemów (np. odtworzenie danych z kopii zapasowych) oraz stwierdzenie przyczyn zaistniałej sytuacji.
76 Przykładowa procedura (cd) Po zakończeniu prac zespół usuwający skutki zdarzenia opracowuje raport opisujący wykonane czynności i określający przyczyny i techniczne podłoże zdarzenia, który po akceptacji i uzupełnieniu przez Security Managera (o takie elementy jak rachunek strat firmy czy propozycje zmian proceduralnych i technicznych minimalizujących wystąpienie podobnego incydentu w przyszłości) przedstawia raport zarządowi.
77 Przykładowa procedura (cd) Zarząd przyjmuje raport i podejmuje stosowne decyzje. (np. o wprowadzeniu proponowanych zmian, wyciąga konsekwencje wobec winnych, przeznacza dodatkowe środki na zabezpieczenia itp.)
78 Bezpieczeństwo fizyczne Znaczenie bezpieczeństwa fizycznego Ochrona fizyczna Użytkownik procedury Aplikacja Sieć /komunikacja Bazy danych System operacyjny DANE P O Z I O M Y W Y M A G A J Ą C E O C H R O N Y
79 (BS 7799) Bezpieczeństwo fizyczne strefy bezpieczeństwa kontrola dostępu pomieszczenia kluczowe bezpieczeństwo sprzętu
80 Aspekty ochrony fizycznej Zagrożenia wyładowania atmosferyczne pożar woda materiały łatwopalne temperatura i wilgotność kurz pole magnetyczne O rany...!
81 Aspekty ochrony fizycznej Środki ochronne wyładowania atmosferyczne infrastruktura ochrona - piorunochrony (w oparciu o istniejące normy PN) system ochronny w systemie elektrycznym firmy system ochronny w stosunku do kluczowych zasobów teleinformatycznych
82 Aspekty ochrony fizycznej Środki ochronne pożar systemy przeciwpożarowe pomieszczeń systemy przeciwpożarowe kluczowych zasobów teleinformatycznych gaśnice sprzęt przeciwpożarowy
83 Aspekty ochrony fizycznej Środki ochronne Woda uszczelnienie kluczowych pomieszczeń sejfy wodoodporne unikanie przewodów kanalizacji wodnej automatyczny drenaż
84 Aspekty ochrony fizycznej Środki ochronne materiały łatwopalne odpowiedni dobór materiałów (kable, obudowy) kable odporne na wilgoć odporne na ogień samogaszące zbrojenie kabli
85 Aspekty ochrony fizycznej Środki ochronne temperatura wilgotność (promieniowanie słoneczne) systemy kontroli i powiadamiania systemy klimatyzacyjne
86 Aspekty ochrony fizycznej Środki ochronne kurz sprzątanie pomieszczeń (profesjonalny serwis) izolacja pomieszczeń drzwi i okna
87 Aspekty ochrony fizycznej Środki ochronne pole magnetyczne systemy pomiarowe usługi pomiarowe ochrona przed zniszczeniem ochrona przed podsłuchem
88 Bezpieczeństwo fizyczne przykład: strefy bezpieczeństwa Strefa 1. Strefa publiczna otwarta dla wszystkich w tym osób spoza firmy. Strefa 2. Strefa zamknięta dla osób spoza firmy dostępna dla wszystkich pracowników firmy. Strefa 3. Strefa chroniona - dostępna jedynie dla wydzielonej grupy pracowników firmy.
89 Zarządzanie systemami informatycznymi Procedury eksploatacji i utrzymania SI Planowanie i akceptacja SI Ochrona przed szkodliwym programowaniem Zabezpieczanie sieci teleinformatycznych Zarządzanie nośnikami informacji Bezpieczeństwo transmisji
90 Procedury eksploatacji i utrzymania systemu informatycznego Zasady korzystania/operowania zasobami systemu Wytyczne związane z bezpiecznym sposobem korzystania z zasobów/serwisów/uprawnień użytkownicy administratorzy osoby trzecie (serwis producenta, audytorzy) Niezbędny element to formalizowanie i podparcie proceduralne powyższych procesów
91 Planowanie i akceptacja systemu Przed implementacją jakiegokolwiek nowego komponentu struktury teleinformatycznej należy zaplanować jego funkcję oraz związane z nią wymagania sprzętowoprogramowe oraz zdefiniować kryteria dopuszczenia systemu do eksploatacji. Faza produkcyjnej eksploatacji musi być poprzedzona procedurą testowania komponentu w przygotowanym izolowanym środowisku testowym
92 Planowanie i akceptacja systemu (przykład) Główne fazy procesu planowania i akceptacji systemu: potrzeba obsługi jakiegoś procesu formułowanie wymagań formalnych/technicznych/bezpieczeństwa stworzenie opisu nieformalnego analiza możliwych technologii rozwiązania (platforma/system/oprogramowanie) wybranie konkretnych rozwiązań stworzenie zarysu proceduralnego funkcjonowania i obsługi systemu stworzenie formalnego opisu wymagań
93 Planowanie i akceptacja systemu przykład (cd) Instalacja pilotowa (w izolowanym środowisku) testy wstępne (ewentualna korekta wymagań) wybór dostawcy (procedura przetargowa) wdrożenie w środowisku testowym opracowanie całościowych szczegółowych procedur testy akceptacyjne (w izolowanym środowisku) szkolenia (użytkowników/administratorów) wdrożenie produkcyjne eksploatacja systemu
94 Ochrona przed szkodliwym oprogramowaniem Najogólniej mówiąc wirusy są to programy niszczące, destabilizujące bądź wprowadzające anomalie w działaniu innych programów i/lub obsługujących, bądź przetwarzających je systemów komputerowych.
95 Ochrona przed szkodliwym oprogramowaniem (cd) Główne rodzaje wirusów: Dyskowe Instalujące się w pamięci komputera Plikowe Infekujące lub niszczące pliki Hybrydowe Wykorzystujące kombinacje powyższych technik
96 Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe Koń trojański Jest to program który zawiera dodatkowy kod którego działanie jest inne niż to oczekiwane przez użytkownika. Np. program uruchomiony w celu wylistowania zawartości katalogu usunie jego zawartość. Robak Program który w sposób niekontrolowany powiela się dla zainfekowania maksymalnej ilości komputerów w sieci.
97 Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe (cd) Bomba logiczna Złośliwy kod dodany do programu, jego uaktywnienie ma miejsce gdy zostaną spełnione konkretne warunki. Królik Program którego zadaniem jest wykorzystanie całości dostępnych w systemie zasobów poprzez wielokrotne powielanie się.
98 Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe (cd) Wirus Makr Wirus Makr jest zestawem poleceń konkretnego programu przeinaczające jego działanie. Przedstawiony podział wymienia jedynie główne grupy wirusów, i złośliwych kodów inwencja i pomysłowość twórców jest nieograniczona...
99
100 Ochrona przed szkodliwym oprogramowaniem (cd) Walka ze złośliwym kodem Proceduralna (świadomość użytkownika - szkolenia) Techniczna (zintegrowane systemy detekcji złośliwych kodów)
101 Ochrona przed szkodliwym oprogramowaniem (cd) Nie znane znaczy groźne otwieranie korespondencji nie zamawianej Bądź na bieżąco Strony producentów oprogramowania (użytkowego, antywirusowego) strony poświęcone bezpieczeństwu systemów
102 Zabezpieczanie sieci teleinformatycznych Przed czym się bronimy?
103 Charakter zagrożeń sieciowych Zagrożenia ze strony sieci zewnętrznych - wynikają: Z ich charakteru, wielkości, heterogeniczności... Przykład Internet: nie ma centralnej kontroli nie ma centralnego autorytetu brak standardowej, zaakceptowanej przez wszystkich polityki (np. bezpieczeństwa) brak międzynarodowego prawodawstwa w dziedzinie przestępstw
104 Charakter zagrożeń sieciowych cd. z samego protokołu (dominującego)tcp/ip ze słabych punktów systemów (Unix, NT,...) z ogromnej dynamiki rozwoju technologicznego (a wiec i nowych coraz bardziej wyrafinowanych i skutecznych metod ataków)...
105 Główne zagrożenia kradzież danych nieuprawniona modyfikacja danych podszywanie się pod innego użytkownika lub stację podsłuchiwanie i analiza danych blokowanie zasobów sieci
106 Zagrożenia: kradzież danych CPU Modem Internet Sieć telefonicz na
107 Zagrożenia: nieuprawniona modyfikacja danych Depozyt $ 2000 Depozyt $ 200 Klient Bank
108 Zagrożenia: podszywanie się pod innego użytkownika Kazik Jestem Bronek Wyślij dane Baza danych Bronka Bronek
109 Zagrożenia: podsłuchiwanie
110 Zagrożenia: blokowanie zasobów sieci CPU
111 Zagrożenia - podsumowanie zagrożenie jest realne brak przewidywania, testowania, świadomości brak czasu na śledzenie pojawiających się metod ataku i ochrony niedocenianie zagrożeń zewnętrznych i wewnętrznych poziom zagrożenia jest do zminimalizowania
112 Zabezpieczanie sieci teleinformatycznych Szeroka gama różnych rozwiązań Multum technik, technologii i...skrótów Firewalling, DMZ, ACL, IDS, VPN, PKI, OTP...
113 Od czego zacząć?
114 Zabezpieczanie sieci teleinformatycznych Ochrona styków międzysieciowych firewalling Firewall to system lub grupa systemów stanowiących ochronę styku, pomiędzy co najmniej dwoma sieciami.
115 Zabezpieczanie sieci teleinformatycznych (cd) Rodzaje i cechy systemów Firewall Możliwość ukrywania adresów IP sieci wewnętrznej (mechanizm NAT Network Address Translation) przed światem zewnętrznym Możliwość kontrolowania ruchu na obecność wirusów. Przeźroczystość firewall nie może obniżać efektywności i w znaczący sposób utrudniać dostęp do chronionych sieci. Raportowanie zdarzeń w systemie, System generowania raportów, alarmów i ostrzeżeń. Współpraca z systemami IDS ( Intrusion Detection System ) Możliwość obsługi połączenia szyfrowane VPN ( Virtual Private Networking ) Współpraca z systemami klucza publicznego PKI lub niezakłócanie ich pracy Wygodny i prosty w obsłudze graficzny interfejs administratora
116 Zabezpieczanie sieci teleinformatycznych (cd) Topologia styku Serwisy umieszczone w DMZ Dobór sprzętu i oprogramowania Polityka ochrony zapór sieciowych: Wszystko co nie jest dozwolone jest zabronione
117 Zabezpieczanie sieci teleinformatycznych (cd) Systemy IDS Architektura systemów Wykrywanie i przeciwdziałanie atakom na systemy
118 Zabezpieczanie sieci teleinformatycznych (cd) Współdziałanie systemów bezpieczeństwa Screening router Firewall IDS Systemy antywirusowe Systemy mocnego uwierzytelniania Mechanizmy ochrony samych systemów...
119 Bezpieczeństwo transmisji Techniczne środki ochrony transmisji szyfrowanie łączy fizycznych selektywne szyfrowanie transmisji (port/port czy host/host) bezpieczne VPN-y szyfrowanie w warstwie aplikacji (np. poczta elektroniczna) bezpieczne transakcje - electronic commerce
120 Bezpieczeństwo transmisji (cd) Szyfrowanie transmisji a model warstwowy ISO/OSI APLIKACJI PREZENTACJI SESJI TRANSPORTOWA SIECIOWA ŁĄCZA FIZYCZNA OUTLOOK SESJA TCP TCP/UDP IP ETHERNET TWISTED PAIR PGP SSH SSL IPSEC szyfratory sprzętowe
121 Bezpieczeństwo transmisji (cd) Wirtualne sieci prywatne (dwa główne typy) nakładkowy tunel budowany jest pomiędzy końcowymi urządzeniami tworzącymi sieć wirtualną, bez udziału urządzeń operatora (a nawet bez jego wiedzy). Sieci tego typu można budować w oparciu o rozwiązania warstw fizycznej i łącza danych modelu (np. wykorzystując linie dzierżawione, kanały PVC Frame Relay), bądź wykorzystując protokoły tunelowania w warstwie sieci (np. IPSEC).
122 Bezpieczeństwo transmisji (cd) Wirtualne sieci prywatne (dwa główne typy) peer-to-peer W przypadku sieci peer-to-peer tunel budowany jest pomiędzy urządzeniami operatora. Budowanie takiego tunelu oparte jest głównie o wykorzystanie trików konfiguracyjnych (listy kontroli dostępu, mechanizmy routingowe)
123 Bezpieczeństwo transmisji (cd) Przykłady rozwiązań IPSEC IPsec jest zbiorem protokołów i metod służących do budowania sieci wirtualnych w oparciu o Internet. Jest to niewątpliwa zaleta tego rozwiązania, gdyż umożliwia zbudowanie sieci o światowym zasięgu.
124 Co zapewnia IPSec? poufność transmisji integralność transmisji autoryzację stron transmisji stwierdzenie i odrzucenie ataków
125 Nagłówki IPSec Pomiędzy nagłówek IP, a dane dodawany jest nagłówek AH lub ESP AH (Authentication Header) zapewnia integralność i autentyczność danych AH nie zapewnia szyfrowania danych ESP (Encapsulating Security Payload) dodatkowo zapewnia szyfrowanie danych
126 Tryby tunelowania i transportu Tryb transportu dla sesji od końca do końca Tryb tunelowania dla wszystkich innych przypadków Tryb tunelowania Tryb tunelowania Tryb transportu
127 Tryby tunelowania i transportu cd. Tryb tunelowania IP HDR Data New IP HDR IPsec HDR IP HDR Data może być szyfrowane IP HDR IP HDR IPsec HDR Data Data Tryb transportu może być szyfrowane
128 Porównanie trybów pracy IPSec tryb tunelowania większe bezpieczeństwo transmisji - szyfrowanie nagłówka IP uniemożliwia stwierdzenia które maszyny w chronionych sieciach lokalnych prowadzą transmisję, a przez to analizę ruchu większy narzut - większe zużycie pasma
129 Porównanie trybów pracy IPSec tryb transmisji mniej informacji nadmiarowej - mniejsze zużycie dostępnego pasma możliwość odróżnienia przez sieć różnych połączeń pomiędzy chronionymi sieciami lokalnymi w celu np. zróżnicowania jakości transmisji nie zabezpiecza przed analizą ruchu
130 IPSec - dystrybucja kluczy Z IPSec, odpowiedzialnym za prawidłowe i bezpieczne przesyłanie danych wiąże się IKE (Internet Key Exchange) odpowiedzialny za przekazywanie danych związanych z zapewnieniem bezpieczeństwa transmisji Wymiana informacji potrzebnej do zestawienia i prowadzenia transmisji przy pomocy IPSec odbywa się przez połączenia zestawione przez IKE Użycie IKE jest opcjonalne - klucze można uzgodnić i wpisać statycznie
131 IPSec - podsumowanie Pakiet usług IPSec zapewnia bezpieczeństwo transmisji taką jak jakość użytych algorytmów autoryzacji i szyfrowania
132 Obowiązki użytkowników Przykładowy zestaw obowiązków użytkownika Nie należy ujawniać lub/i przekazywać identyfikatorów i haseł osobom trzecim. Unikać posiadania pisemnych list haseł, gdyż ich utrata lub upublicznienie może oznaczać nieuprawniony dostęp do systemu Zmieniać hasła według przyjętych zasad i wymagań (częstotliwość, długość, poziom skomplikowania)
133 Obowiązki użytkowników (cd) Natychmiast informować o przypadkach lub podejrzeniu przejęcia hasła dostępu przez osoby trzecie Jeżeli system tego nie wymusza zmieniać hasła tymczasowe lub domyślne podczas pierwszego dostępu do systemu Nie używać funkcji lub programów pozwalających na automatyzację procesu uwierzytelniania (logowania do systemu)
134 Kontrola dostępu do sieci i zasobów Techniczne środki kontroli dostępu Systemy zaporowe i filtrowanie ruchu Systemy uwierzytelniania użytkowników
135 Piramida Bezpieczeństwa Admin. i zarządzanie Poufność i integralność Zdefiniowanie uprawnień Identyfikacja i uwierzytelnianie
136 System haseł - newralgiczny element bezpieczeństwa
137 Definicja uwierzytelnienia (najkrótsza) Jednoznaczne potwierdzenie tożsamości obiektu na podstawie jego określonych cech
138 Metody identyfikacji i uwierzytelniania dla systemów teleinformatycznych identyfikator + hasło statyczne indetyfikator + hasło jednokrotnego użycia identyfikator + biometria źródło np. adres IP, numer telefonu (call back) oparte o kryptografie (klucze, certyfikaty)
139 Identyfikacja, na jakiej podstawie? Coś sekretnego co pamiętamy Coś co posiadamy Coś unikalnego co jest naszą cechą należy stosować dwie z tych metod jednocześnie
140 Metody Uwierzytelnienia Coś co wiesz Hasło, PIN Coś co masz Użytkownika 1059 klucz fizyczny, token, karta inteligentna Coś Twojego Bank odcisk palca, głos, siatkówka
141 Uwierzytelnienie za pomocą dwóch czynników Dwie metody są wymagane do mocnego uwierzytelnienia Niezależne czynniki - złamanie jednego nie powoduje możliwości wykorzystania całości 1059 Bank Coś co wiesz i coś co masz
142 Tradycyjne systemy haseł Tradycyjne systemy uwierzytelnienia oparte o statyczne identyfikatory nie zapewniają zadowalającego poziomu bezpieczeństwa. Statyczne hasło może zostać: odgadnięte, podsłuchane, podpatrzone, złamane
143 Hasła statyczne - ZA i PRZECIW ZA łatwe w użyciu dla użytkownika wygodne łatwe do zamiany PRZECIW Uciążliwe dla administratora łatwe do zapamiętania = łatwe do odgadnięcia wielu użytkowników może mieć takie same hasła mogą być wykorzystane bez Twojej wiedzy Dobre hasła są trudne do zapamiętania
144 Systemy haseł dynamicznych W systemach dynamicznego identyfikatora uwierzytelnienie opiera się na zweryfikowaniu użytkownika na podstawie dwóch informacji: tego co użytkownik posiada (np. generator jednokrotnych haseł) tego co użytkownik pamięta (osobisty numer identyfikacyjny - PIN)
145 hasła jednokrotnego logowania Łatwy jednoelementowy proces logowania Identyfikacja użytkownika Uwierzytelnianie użytkownika w sieci, systemie i aplikacji Generacja, niemożliwego do przewidzenia, istniejącego przez określony czas np. (60 sekund) hasła, które może być wykorzystane tylko raz Nie wymagane czytniki dla tokenów Możliwość używania na wielu platformach
146 Uwierzytelnienie użytkownika w oparciu o hasło jedorazowe Server uwierzytelniający oblicza Passcode Użytkownik wprowadza PIN i odczyt z karty Użytkownik uwierzytelniony! Baza danych o użytkowników PIN indetyfikator Tokenu Czas początkowy Przesunięcie czasowe
147 Hasła - bezpieczeństwo, teoria i praktyka Naturalne tendencje Kryteria stosowania rozwiązań (bezpieczne, łatwe, szybkie contra złożone, wolne, uciążliwe) Skuteczność i poziom zabezpieczeń v. Poziom skomplikowania (przykład OTP a hasła statyczne) cel: wysoki poziom bezpieczeństwa i łatwość stosowania
148 Zarządzanie dostępem Oficjalny wykaz osób dopuszczonych do korzystania z usługi czy systemu Używanie unikalnego identyfikatora użytkownika (username), aby móc zapewnić możliwość śledzenia działań (rozliczalność) użytkownika w systemie. Używanie identyfikatorów grupowych nie jest zalecane natychmiastowe odbieranie lub stosowna modyfikacja przyznanych praw dostępu użytkownikom, którzy opuścili firmę bądź np. zmienili stanowisko Cykliczna kontrola zgodności rzeczywistych praw dostępu z oficjalnie przyznanymi w systemie w oparciu o potrzeby użytkownika. Formalizacja praw i obowiązków użytkownika (podpisanie właściwych dokumentów)
149 Monitorowanie i zdalny dostęp do systemów Głównym celem procesu monitorowania dostępu jest zapewnienie bezpiecznej i nieprzerwanej pracy systemu oraz zapewnienie możliwości stwierdzenia zaistnienia (lub prób podjęcia) nieuprawnionych działań, jak również ich późniejszej analizy
150 Monitorowanie i zdalny dostęp do systemów Logi systemowe Centralizacja i systemy monitorowania systemy AAA
151 Zarządzanie kontrolą dostępu i rozliczalność Nie tylko musimy wiedzieć kto Nie tylko musimy wiedzieć do czego Ale także kiedy/jak długo/z jakim skutkiem
152 Systemy AAA Authentication is who the user is. Authorization is what the user can do. Authentication is valid without authorization. Authorization is not valid without authentication. Accounting is what the user did.
153 AAA przykład zastosowania Elementy i wymagania : Zdalny dostęp do zasobów firmy (dial-up) NAS (Network Access Server) ACS Serwer różne kategorie użytkowników (różne prawa) różne mechanizmy identyfikacji i uwierzytelnienia logowanie/rozliczanie zdarzeń/czasu centralna baza i zarządzanie obiektami (użytkownicy/uprawnienia/sposób uwierzytelniania/rozliczanie)
154 Implementacja Użytkownik (stacja windows + modem) NAS (router Cisco) przykład komend konfiguracji aaa : aaa new-model aaa authentication login default tacacs+ aaa accounting network default start-stop tacacs+ tacacs-server host tacacs-server timeout 90 tacacs-server key goaway
155 Komunikacja NAS z serwerami uprawnień użytkowników (ACS) Protokoły: Tacacs+ (Terminal Access Controller Access Control System) Radius (Remote Address Dial-In User Service)
156 Co może zawierać profil użytkownika Sposób i rodzaj uwierzytelnienia pomiędzy stacją użytkownika a NAS (PAP, CHAP, EAP) Sposób uwierzytelnienia użytkownika (hasło jednorazowe, hasło statyczne) Uprawnienia użytkownika w zakresie dostępu do systemów (ACS może wysłać żądanie uaktywnienia ACL na NAS)
157 Struktura sieci i AAA
158 Zdalny dostęp i administrowanie systemem Konieczność stosowania śrdoków zabezpieczenia transmisji Secure Shell (terminal) Zarządzanie za pomocą przeglądarek (SSL) Restrykcyjne zasady dostępu
159 Rozwój systemu praktyczne wskazówki związane z rozwojem systemów Należy skutecznie separować środowisko projektowe od środowiska produkcyjnego Bezpieczeństwo powinno być integralnym elementem rozwoju aplikacji Dane używane do testowania systemów nie mogą pochodzić z rzeczywistego środowiska produkcyjnego (nie mogą być istotne dla firmy) Język programowania użyty do tworzenia aplikacji musimy być bezpiecznym i stabilnym standardem. Należy wziąć pod uwagę uzyskanie certyfikatów bezpieczeństwa dla systemów obsługujących istotne dane
160 Rozwój systemu (cd) Kwestie do rozważenia Kto jest odpowiedzialny za instalacje i rozbudowę sprzętu i uaktualnianie oprogramowania? Wszelkie zmiany powinny być dokładnie przygotowane i przeprowadzone bez szkody dla procesów obsługi systemów firmy. Nowe oprogramowanie powinno być przetestowane w środowisku testowym przed jego instalacją w środowisku produkcyjnym.
161 Rozwój systemu (cd) Przy instalacji sprzętu i oprogramowania postępuj zgodnie z wytycznymi producenta W przypadku negatywnych efektów wprowadzonych zmian należy zapewnić możliwość przywrócenia stanu poprzedniego Instaluj tylko niezbędne uaktualniania Jeżeli coś nie jest popsute nie próbuj tego naprawiać
162 Zastosowania kryptografii
163 Ataki Utrata autentyczności (np.. Fałszywy nadawca) Utrata integralności (zmiana zawartości przesyłki) Abs.: 2 $ Utrata pufności upublicznienie informacji 3 4 Utrata dostępności (zniszczenie wiadomości) 4
164 Ochrona Użycie kryptografii pofuność : szyfrowanie Uwierzytelnienie: Podpis cyfrowy Niezaprzeczalność : Podpis cyfrowyu Integralność: suma kontrolna (Hash)
165 Terminologia i mechanizm Tekst jawny (Plaintext) Tekst zaszyfrowany (Ciphertext) Klucz (Key) Deszyfracja (Decryption) Szyfrowanie (Encryption) Plaintext Key Encryption Ciphertext Key Decryption Original Plaintext
166 Kryptografia symetryczna Encryption Decryption
167 Kryptografia Symetryczna Ten sam klucz do szyfrowania i deszyfowania Konieczna metoda bezpiecznego przekazania klucza Przykłady algorytmów: DES (3DES) AES (Rijndael) RC4 Blowfish
168 Zalety Kryptografia symetryczna wady i zalety duża szybkość przetwarzania Wady Konieczny bezpieczny kanał do wymiany klucza liczba klucza wzrasta geometrycznie wraz z liczbą odbiorców Nie możliwa do wykorzystania dla generowania podpisów
169 Kryptografia asymetryczna Public Key Secret Key Encryption Decryption
170 Kryptografia asymetryczna Dwa odzielne klucze (klucz publiczny i prywatny) potrzebny do szyfrowania/deszfrowania wiadomości Algorytm zapewnia matematyczne pasowanie kluczy Klucza szyfrującego nie można uzyskać na podstawie klucza deszyfrującego Wiadomość zaszyfrowana kluczem publicznym może być odszyfrowana jedynie pasującym do niego kluczem prywatnym
171 Kryptografia klucza publicznego Przykłady: Diffie-Hellmann RSA Elliptic Curves
172 Kryptografia klucza publicznego Zalety wady i zalety Tylko klucz pywatny podlega ochronie Może być użyta do generacji podpisu Brak konieczności stosowania dodatkowych bezpiecznych metod przesyłania klucza (ponieważ klucz szyfrowania i deszyfrowania nie jest wspólny) Wady długi czas przetwarzania
173 Funkcje jednokierunkowe - Hashing Z zadanego bloku danych tworzą unikalną niezależną od wielkości danych wejściowych sekwencję bitów. (SHA 160 bitów)
174 Funkcje jednokierunkowe mała zmiana w tekście = duża zmiana w w skrócie wiadomości. Jednokierunkowość: odwrócenie nie możliwe bezpieczna jeśli dwie różne wiadomości nie mogą wygenerować takiego samego skrótu (teoretycznie nie możliwe) siła funkcji = szansa że 2 jednakowe wiadomości wygenerują ten sam skrót Examples MD4, MD5 SHA-1
175 Podpis cyfrowy signed message Hello Bob Hello Bob Hello Bob Hashfunction Hashfunction Internet ash alue Alice Alice secret key Alice public key Bob
176 Podpis cyfrowy (2) Podspis cyfrowy jest pewnego rodzaju sumą kontrolną. Inne stosowane określenia MAC (Message Authentication Code), Digital Fingerprint, Hash Function and Message Digest. Klucz sekretny : generacja podpisu cyfrowego klucz publiczny: weryfikacja podpisu cyfrowego Examples: - MD4 and MD5 -SHA-1
177 Aplikacje hybrydowe (1) S/MIME message 7r=su U8%& 7r=su U8%& 7r=su U8%& sym. message key sym. message key Hello Bob Bobs public key Internet Bobs secret key Hello Bob Alice Bob
178 Aplikacje Hybrydowe (2) Generacja losowego klucza symetrycznego Użycie klucza do zaszyfrowania danych Zaszyfrowanie losowego klucza symetrycznego, kluczem publicznym odbiorcy Dołączenie zaszyfrowanego klucza symetrycznego do zaszyfrowanych danych Wysłanie całości do odbiorcy
179 Aplikacje Hybrydowe (3) Wygenerowanie skrótu wiadomości zaszyfrowanie (podpisanie) skrótu własnym kluczem prywatnym Dołączenie podpisanego skrótu do wiadomości
180 Szyfrowania hybrydowe Secret Key Asymmetric Encryption Public Keys of the Recipients
181 Deszyfracja hybrydowa Private Key of the Recipient Asymmetric Decryption Encrypted Data Secret Key Symmetric Decryption
182 Długość kluczy Algorytmy asymetryczne 1024 for users Algorytmy symetryczne 128 bits
183 Zarządzanie ciągłością działania
184 Przyczyny Utrata personelu; Awaria systemu; informatycznego; Atak intruzów; Wpływ czynników zewnętrznych (powódź, pożar itp.);
185 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych
186 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych
187 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych
188 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych
189 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych
190 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych
191 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych
192 Plan awaryjny Struktura planowania ciągłości działania a) Warunki uruchomienia planów, opisujące proces, który musi mieć miejsce przed uruchomieniem każdego z planów (jak oceniać sytuację, kto ma być zaangażowany, itp.); b) Procedury awaryjne, które opisują działania podejmowane po wystąpieniu incydentu zagrażającego operacjom biznesowym i/lub życiu ludzkiemu. Powinny one obejmować ustalenia dla zarządzania public relations/kontaktami z mediami i dla efektywnej współpracy z odpowiednimi władzami, np. policją, strażą pożarną i samorządem lokalnym; c) Procedury odtwarzania/powrotu do stanu normalnego, które opisują działania podejmowane w celu uruchomienia zasadniczej działalności lub usług wspierających w innych, tymczasowych lokalizacjach oraz przywrócenia działań biznesowych w wymaganym czasie; d) Procedury wznowienia działalności, które opisują działania podejmowane w celu przywrócenia normalnej działalności biznesowej; e) Harmonogram konserwacji, który określa, jak i kiedy plan będzie testowany oraz proces związany z jego utrzymaniem; f) Działania edukacyjne i zwiększające świadomość, zaplanowane tak, aby umożliwiać zrozumienie procesów ciągłości działania i zapewniać, że procesy te są w dalszym ciągu efektywne; g) Obowiązki poszczególnych osób, opisujące, kto jest odpowiedzialny za wykonanie, którego elementu planu. W razie konieczności należy wyznaczyć zastępców;
193 BACKUP Odpowiedzialny Antek Kopiarski Backup site Backup hardware Sun ULTRA10 Storage location Company safe Mode of transport encrypte/unencrypted physical transport mobile safe Data carriers Mark method Number of generation 4 Extent of data backup Software proprietry script Documentation automatic/manual DLT tape month c:/antek activity run c:/scripts/backup.1 Who? AK/YYMMDD/N 10 h 22:00 c:/franek Reconstruction When? Destroying method shreader week c:/aplikacja reconstruction time What? Refresh sycle 4 year/250 records 5 h 22:00 Reconst. exercise signature Typ day Full Data Backup 5 h 22:00 Incremental Data Backup Maximum permissible downtime 12 h
194 Zgodność z przepisami prawa
195 Przepisy prawa Zgodność z aktami prawnymi (obowiązującymi) ze standardami firmowymi A U D Y T B E Z P I E C Z E Ń S T W A
Zastosowania PKI dla wirtualnych sieci prywatnych
Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy
Bardziej szczegółowoKlasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci
Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci Mirosław Maj CERT POLSKA Mirek.Maj@cert.pl Klasyfikacja Jak to jest w Polsce, jak to jest na świecie... Cele klasyfikacji: obserwacja
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowoWSIZ Copernicus we Wrocławiu
Bezpieczeństwo sieci komputerowych Wykład 4. Robert Wójcik Wyższa Szkoła Informatyki i Zarządzania Copernicus we Wrocławiu Plan wykładu Sylabus - punkty: 4. Usługi ochrony: poufność, integralność, dostępność,
Bardziej szczegółowoWykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoVPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA
VPN Virtual Private Network Użycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1 Spis treści 1. CO TO JEST VPN I DO CZEGO SŁUŻY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC
Bardziej szczegółowoSzczegółowy opis przedmiotu zamówienia:
Załącznik nr 1 do SIWZ Szczegółowy opis przedmiotu zamówienia: I. Opracowanie polityki i procedur bezpieczeństwa danych medycznych. Zamawiający oczekuje opracowania Systemu zarządzania bezpieczeństwem
Bardziej szczegółowoWykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoBezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)
Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne
Bardziej szczegółowoDane osobowe: Co identyfikuje? Zgoda
Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego
Bardziej szczegółowoSpis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych
Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowo2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem
Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoBezpieczeństwo informacji w systemach komputerowych
Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania
Bardziej szczegółowoBezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda
Bezpieczeństwo aplikacji typu software token Mariusz Burdach, Prevenity Agenda 1. Bezpieczeństwo bankowości internetowej w Polsce 2. Główne funkcje aplikacji typu software token 3. Na co zwrócić uwagę
Bardziej szczegółowoKrzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014
1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)
Bardziej szczegółowoSerwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami
Serwer SSH Serwer SSH Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami Serwer SSH - Wprowadzenie do serwera SSH Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja
Bardziej szczegółowoZdalne logowanie do serwerów
Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej
Bardziej szczegółowoIPsec bezpieczeństwo sieci komputerowych
IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany
Bardziej szczegółowoPOLITYKA E-BEZPIECZEŃSTWA
Definicja bezpieczeństwa. POLITYKA E-BEZPIECZEŃSTWA Przez bezpieczeństwo informacji w systemach IT rozumie się zapewnienie: Poufności informacji (uniemożliwienie dostępu do danych osobom trzecim). Integralności
Bardziej szczegółowoAudytowane obszary IT
Załącznik nr 1 do OPZ Zakres audytu wewnętrznego Audytowane obszary IT Audyt bezpieczeństwa wewnętrznego odbywać się będzie w 5 głównych obszarach 1) Audyt konfiguracji systemów operacyjnych na wybranych
Bardziej szczegółowoVPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.
VPN dla CEPIK 2.0 (wirtualna sieć prywatna dla CEPIK 2.0) Józef Gawron Radom, 2 lipiec 2016 r. CEPIK 2.0 (co się zmieni w SKP) Dostosowanie sprzętu do komunikacji z systemem CEPiK 2.0 Data publikacji 17.06.2016
Bardziej szczegółowoWprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna
1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez
Bardziej szczegółowoPrzewodnik technologii ActivCard
PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12
Bardziej szczegółowoInstrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin
w sprawie wprowadzenia Polityki bezpieczeństwa danych osobowych i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin Instrukcja zarządzania
Bardziej szczegółowo2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa
Bardziej szczegółowoBezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.
Bezpieczeństwo w sieci I a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Kontrola dostępu Sprawdzanie tożsamości Zabezpieczenie danych przed podsłuchem Zabezpieczenie danych przed kradzieżą
Bardziej szczegółowoZiMSK. Konsola, TELNET, SSH 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład
Bardziej szczegółowoBringing privacy back
Bringing privacy back SZCZEGÓŁY TECHNICZNE Jak działa Usecrypt? DEDYKOWANA APLIKACJA DESKTOPOWA 3 W przeciwieństwie do wielu innych produktów typu Dropbox, Usecrypt to autorska aplikacja, która pozwoliła
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Copyright 2016 BSI. All rights reserved. Tak było Na dokumentację,
Bardziej szczegółowoInstrukcja zarządzania systemem informatycznym STORK Szymon Małachowski
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w sklepie internetowym www.stork3d.pl prowadzonym przez firmę STORK Szymon Małachowski Właścicielem materialnych
Bardziej szczegółowoKonfiguracja aplikacji ZyXEL Remote Security Client:
Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym oprogramowaniem ZyWALL Remote Security Client, a urządzeniem serii ZyWALL. Przykład konfiguracji. Konfiguracja aplikacji ZyXEL Remote Security
Bardziej szczegółowoDoświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001
Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem
Bardziej szczegółowokorporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.
Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z
Bardziej szczegółowoBezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora
Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania
Bardziej szczegółowoPolityka Bezpieczeństwa ochrony danych osobowych
Polityka Bezpieczeństwa ochrony danych osobowych Spis treści 1) Definicja bezpieczeństwa. 2) Oznaczanie danych 3) Zasada minimalnych uprawnień 4) Zasada wielowarstwowych zabezpieczeń 5) Zasada ograniczania
Bardziej szczegółowoSystem Zachowania Ciągłości Funkcjonowania Grupy KDPW
System Zachowania Ciągłości Funkcjonowania Grupy KDPW Dokument Główny Polityka SZCF (wyciąg) Warszawa, dnia 21 czerwca 2013 r. Spis treści 1. Wprowadzenie... 3 2. Założenia ogólne SZCF... 3 2.1. Przypadki
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW 09.00 09.05 Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na Wyjaśnieniu których
Bardziej szczegółowoWZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends
Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji
Bardziej szczegółowoZarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.
Zarządzanie dokumentacją techniczną Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej. Na dzisiejszym wykładzie: Podstawowe metody zabezpieczeń elektronicznych
Bardziej szczegółowoBudowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE
Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa
Bardziej szczegółowoWorkshopIT Komputer narzędziem w rękach prawnika
WorkshopIT Komputer narzędziem w rękach prawnika Krzysztof Kamiński, Sąd Okręgowy we Wrocławiu, Wrocław, 16 listopada 2006r. Agenda Bezpieczeństwo przepływu informacji w systemach informatycznych Hasła
Bardziej szczegółowoRealizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD
Zasady przetwarzania danych osobowych w sferze zatrudnienia Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD Mariola Więckowska Head of Privacy Innovative Technologies Lex
Bardziej szczegółowoInstrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie
Instrukcja zarządzania RODO w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie 1 1. Wstęp...3 2. Zabezpieczenia fizyczne...3 3. Zabezpieczenia techniczne...3 4. Procedura nadawania uprawnień
Bardziej szczegółowoSSL (Secure Socket Layer)
SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku
POLITYKA BEZPIECZEŃSTWA INFORMACJI w CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI Kraków, 25 maja 2018 roku Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane
Bardziej szczegółowoWykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci
N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność
Bardziej szczegółowoProtokół IPsec. Patryk Czarnik
Protokół IPsec Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Standard IPsec IPsec (od IP security) to standard opisujacy kryptograficzne rozszerzenia protokołu IP. Implementacja obowiazkowa
Bardziej szczegółowoLaboratorium nr 6 VPN i PKI
Laboratorium nr 6 VPN i PKI Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom
Bardziej szczegółowoZarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk
Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja
Bardziej szczegółowoSzkolenie otwarte 2016 r.
Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie
Bardziej szczegółowoPROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)
pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik
Bardziej szczegółowoJarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny
Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows
Bardziej szczegółowoBezpieczeństwo usług oraz informacje o certyfikatach
Bezpieczeństwo usług oraz informacje o certyfikatach Klienci banku powinni stosować się do poniższych zaleceń: nie przechowywać danych dotyczących swojego konta w jawnej postaci w miejscu, z którego mogą
Bardziej szczegółowoAutor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski
Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz
Bardziej szczegółowoMetodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa
Bardziej szczegółowoZnaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO) Normy ISO 31000, ISO 27001, ISO 27018 i inne Waldemar Gełzakowski Witold Kowal Copyright 2016 BSI. All rights reserved. Tak
Bardziej szczegółowoABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)
W dzisiejszej części przedstawiamy dalsze informacje związane z polityką bezpieczeństwa, a dokładnie przeczytacie Państwo o sposobie przepływu danych pomiędzy poszczególnymi systemami; na temat określenia
Bardziej szczegółowoPodpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk
Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze mgr inż. Artur Grygoruk Czy wyobrażamy sobie świat bez podpisu? Co podpis wnosi do naszego życia? Cisco Systems 1/15 Podpis elektroniczny
Bardziej szczegółowoPRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM
PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM Autor: Piotr Marek Ciecierski Kierujący pracą: prof. dr hab. inż. Zbigniew Kotulski Plan prezentacja Spis treści: 1) Wprowadzenie
Bardziej szczegółowoPolityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie
Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie
Bardziej szczegółowoTomasz Zawicki CISSP Passus SA
Utrata danych wrażliwych Tomasz Zawicki CISSP Passus SA Źródła utraty danych Pracownicy Outsourcing Atak zewnętrzny Monitoring przepływu danych 69% wycieków lokalizują użytkownicy lub partnerzy 9% wycieków
Bardziej szczegółowoSZCZEGÓŁOWY HARMONOGRAM KURSU
SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I - WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH REJESTRACJA UCZESTNIKÓW Zapytamy o Państwa oczekiwania wobec szkolenia oraz o zagadnienia, na wyjaśnieniu których szczególnie
Bardziej szczegółowoDz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW
Kancelaria Sejmu s. 1/5 Dz.U. 1999 Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Na podstawie
Bardziej szczegółowoWykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz
Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego
Bardziej szczegółowo11. Autoryzacja użytkowników
11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna
Bardziej szczegółowoMarcin Szeliga marcin@wss.pl. Sieć
Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie
Bardziej szczegółowoPrzewodnik użytkownika
STOWARZYSZENIE PEMI Przewodnik użytkownika wstęp do podpisu elektronicznego kryptografia asymetryczna Stowarzyszenie PEMI Podpis elektroniczny Mobile Internet 2005 1. Dlaczego podpis elektroniczny? Podpis
Bardziej szczegółowoPolityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA
Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA 1 I. CZĘŚĆ OGÓLNA 1. Podstawa prawna: a) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst
Bardziej szczegółowoProgram szkolenia: Bezpieczny kod - podstawy
Program szkolenia: Bezpieczny kod - podstawy Informacje: Nazwa: Kod: Kategoria: Grupa docelowa: Czas trwania: Forma: Bezpieczny kod - podstawy Arch-Sec-intro Bezpieczeństwo developerzy 3 dni 75% wykłady
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.
Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem
Bardziej szczegółowoBezpieczeństwo systemów informatycznych
Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia
Bardziej szczegółowoMetody uwierzytelniania klientów WLAN
Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013 W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2 Opcje autentykacji
Bardziej szczegółowoProtokół DHCP. DHCP Dynamic Host Configuration Protocol
Protokół DHCP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 DHCP Dynamic Host Configuration Protocol Zastosowanie Pobranie przez stację w sieci lokalnej danych konfiguracyjnych z serwera
Bardziej szczegółowoSystemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność
Systemy Mobilne i Bezprzewodowe laboratorium 12 Bezpieczeństwo i prywatność Plan laboratorium Szyfrowanie, Uwierzytelnianie, Bezpieczeństwo systemów bezprzewodowych. na podstawie : D. P. Agrawal, Q.-A.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...
Bardziej szczegółowoModele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.
Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych. Uwierzytelnianie, autoryzacja i kontrola dostępu Funkcjonowanie internetu w dużej mierze opiera się na zaufaniu i kontroli
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.
POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O. 24.05.2018....................... [data sporządzenia] Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu
Bardziej szczegółowoPolityka bezpieczeństwa informacji Główne zagadnienia wykładu
Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących
Bardziej szczegółowoProjekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:
Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej: Lp. 1. Wymagania ogólne Wymaganie techniczne 1.1 Licznik musi posiadać aktywną funkcję
Bardziej szczegółowoNowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.
Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie
Bardziej szczegółowoBezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński
1 Bezpieczeństwo systemu informatycznego banku 2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi
Bardziej szczegółowoUwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)
Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008) Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z rozwiązaniami systemu Windows 2008 server do uwierzytelnienia
Bardziej szczegółowoMetodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych
Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu
Bardziej szczegółowoPROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Urząd Gminy Kęty Dokument Systemu Zarządzania Bezpieczeństwem Informacji PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM ZATWIERDZENIE DOKUMENTU Sporządził Sprawdził Zatwierdził Volvox Consulting Pełnomocnik
Bardziej szczegółowoPolityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA
Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA I. CZĘŚĆ OGÓLNA 1 1. Podstawa prawna: a) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst
Bardziej szczegółowoZarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.
Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Definicja problemu Ważne standardy zewnętrzne Umiejscowienie standardów KNF i
Bardziej szczegółowoWprowadzenie do technologii VPN
Sieci komputerowe są powszechnie wykorzystywane do realizacji transakcji handlowych i prowadzenia działalności gospodarczej. Ich zaletą jest błyskawiczny dostęp do ludzi, którzy potrzebują informacji.
Bardziej szczegółowoBezpieczeństwo danych w sieciach elektroenergetycznych
Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.
1 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K. SPIS TREŚCI I. Wprowadzenie II. Definicje III. Procedury nadawania uprawnień do Przetwarzania danych i rejestrowania tych
Bardziej szczegółowoABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)
Kończąc zagłębianie się w tematykę podnoszoną w temacie artykułu nie sposób byłoby nie przedstawić instrukcji zarządzania systemem informatycznym. Poniżej materiał dotyczący tej problematyki. 1. Procedury
Bardziej szczegółowoWin Admin Replikator Instrukcja Obsługi
Win Admin Replikator Instrukcja Obsługi Monitoring Kopie danych (backup) E-mail Harmonogram lokalne i zewnętrzne repozytorium Logi Pamięć Procesor HDD Administracja sprzętem i oprogramowaniem (automatyzacja
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoOchrona o poziom wyżej. OCHRONA DIGITAL
Ochrona o poziom wyżej. OCHRONA DIGITAL LABS - BEZPIECZNY ŚWIAT WYZWANIE DLA BIZNESU: ROZWIĄZANIE: Zapewnienie możliwości elastycznego i szybkiego działania wraz z gwarancją bezpieczeństwa wszystkich procesów
Bardziej szczegółowoKsięgarnia PWN: Kevin Kenan - Kryptografia w bazach danych. Spis treści. Podziękowania O autorze Wprowadzenie... 15
Księgarnia PWN: Kevin Kenan - Kryptografia w bazach danych Spis treści Podziękowania... 11 O autorze... 13 Wprowadzenie... 15 CZĘŚĆ I. Bezpieczeństwo baz danych... 19 Rozdział 1. Problematyka bezpieczeństwa
Bardziej szczegółowoRozdział I Zagadnienia ogólne
Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych
Bardziej szczegółowoZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -
Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.
Projekt z dnia 8 października 2007 r. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r. w sprawie dokonywania wpisów danych SIS oraz aktualizowania, usuwania i wyszukiwania danych
Bardziej szczegółowo