PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA TELEINFORMATYCZNEGO

Wielkość: px
Rozpocząć pokaz od strony:

Download "PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA TELEINFORMATYCZNEGO"

Transkrypt

1 PODSTAWOWE ASPEKTY BEZPIECZEŃSTWA TELEINFORMATYCZNEGO Program szkoleniowy CERT POLSKA Andrzej Chrząszcz Mirosław Maj CERT POLSKA

2

3 Co to jest bezpieczeństwo informacji, szacowanie ryzyka i zarządzanie ryzykiem?

4 Bezpieczeństwo informacji P RIVACY A UTHETICITY I NTEGRITY N ON - REPUDATION

5 Główne zagrożenia* 18% 8% 7% 28% Niesprawność Utrata serwisu, sprzęt lub dostępność Błąd ludzki Niekontrolowane zmiany 18% 21% Nieuprawniony dostęp Przeciążenie * Information Security Forum Survey 1998

6 Przyczyny incydentów* 10% 14% Nieumyślne Umyślne Nieznane 76% * Information Security Forum Survey 1998

7 Źródło incydentów* 27% Własna organizacja 57% Organizacja współpracująca Ośrodki zewnętrzne 16% * Information Security Forum Survey 1998

8 Typy ataków odnotowanych w ciągu ostatnich 12 m-cy? denial of service laptop active wiretap unauthorized access virus system penetration telecom eversdroping theft of proprietary

9

10 Zagrożenia związane ze światem polityki Ataki na serwer WWW domeny.mil źródło: CERT Polska na podstawie Attrition.Org 30 Konflikt USA - Chiny Konflikt Indie - Pakistan Konflikt Izrael Palestyńczycy 15 Wybuch konfliktu w Kosowie

11 ttackers Tool Vulnerability Action Target Hackers Spies Terrorists Corporate Riders rofessional Criminals Physical Attack Information Exchange User Command Script or Program Autonoumous Agent Design Probe Account Implementation Scan Process Configuration incident attack(s) event Flood Authenticate Bypass Data Component Computer Unauthorized Results Increased Access Disclosure of Information Corruption of Information Denial of Service Theft of Resources Objectives Challenge, Status, Thril Political Gain Financial Gain Damage Vandals Toolkit Spoof Network Voyeurs Distributed Tool Data Tap Read Copy Internetwork Steal Modify Delete

12

13 Co to jest Window of Exposure? Charakterystyka procesu wg Bruce Schneier a Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

14 Co to jest Window of Exposure? Faza 1 - Zanim ktoś odkryje słabość w systemie Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

15 Co to jest Window of Exposure? Faza 2 - zanim ktoś to ogłosi Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

16 Co to jest Window of Exposure? Faza 3 - wtedy kiedy dziura staje się bardzo popularna Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

17 Co to jest Window of Exposure? Faza 4 - wtedy kiedy producent udostępni łatę na system Vulnerability popularized Vendor Patches Vulnerability Vulnerability Announced Users Install Patch Ryzyko Vulnerability discovered Czas

18 Co to jest Window of Exposure? Faza 5 - w trakcie kiedy systemy są łatane Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

19 Co to jest Window of Exposure? FAZA KRYTYCZNA Vulnerability Announced Vulnerability popularized Vendor Patches Vulnerability Users Install Patch Ryzyko Vulnerability discovered Czas

20 Polityka bezpieczeństwa informacji

21 Program bezpieczeństwa Strategia bezpieczeństwa Polityka bezpieczeństwa Regulaminy i procedury MOJA POLITYKA BEZPIECZEŃSTW A

22 BS 7799 BS 7799 Dekalog Security policy Security organization Assets classification and control Personnel security Physical and environment security Computer and network management System access control System development and maintnance Business continuity planning Compliance

23

24 Eight steps for security management Best Practices David Thompson 1. Get everyone on board 2. Develop a security infrastructure 3. Training and awareness 4. Develop threat sources 5. Don't protect everything 6. Carefully consider outsourcing options 7. Develop a response plan 8. Perform regular audits

25

26 PB jako dokument Akceptacja zarządu Różne poziomy dokładności A może model dwustopniowy? Konieczność aktualizacji

27 Bezpieczeństwo organizacyjne

28 Bezpieczeństwo organizacyjne Security organization schemat organizacyjny firmy i miejsce w nim dla bezpieczeństwa Zasoby wiedzy wewnętrzne i zewnętrzne Schemat organizacyjny powinien być jasny i znany, zespół bezpieczeństwa powinien mieć w nim należyte miejsce, należyte czyli...

29 Bezpieczeństwo organizacyjne Dwa modele organizacyjne [1] - duża firma

30 Bezpieczeństwo organizacyjne Dwa modele organizacyjne [2] - mała firma

31 Rekrutacja Co Pan/Pani sądzi na temat włamywania się do innych systemów bez dokonywania szkód? Czy skorzystałby Pan/Pani z oferty hakera, który ofiarowałby usługę polegającą na przeprowadzeniu audytu teleinformatycznego? Czy dostęp do wszystkich zasobów firmy jest uzasadniony z punktu widzenia poprawnego administrowania systemami informatycznymi?

32 Dostęp firm trzecich Dostęp third party (reguły techniczne) W przypadku dostępu zdalnego do zasobów informatycznych powinno stosować się mocne uwierzytelnienie, np.: poprzez zastosowanie systemu haseł jednorazowych (One Time Password); Przy dostępie zdalnym powinno się stosować kryptograficzne techniki ochrony transmisji; Dołączenie teleinformatyczne powinno być szczegółowo kontrolowane poprzez urządzenia filtrujące (firewalling, intrusion detection systems, routing); W razie możliwości dostęp powinien być limitowany czasowo (dostęp na życzenie lub dostęp w ograniczonych, określonych godzinach);

33 Dostęp firm trzecich Dostęp third party (reguły organizacyjne) Współpraca powinna być oparta o pisemne porozumienie; Firma zewnętrzna nie powinna mieć prawa do wykorzystywania pomocy firm innych firm lub osób bez uprzedniej wiedzy i zgody właściciela zasobów; Wszelkie dołączenia powinny być poprzedzone analizą ryzyka i podjęciem ewentualnych działań zabezpieczających, dopuszczenie do dołączenia może nastąpić tylko za pisemną zgodą osób odpowiedzialnych za bezpieczeństwo organizacji; Właściciel zasobów, do których firma trzeci posiada dostęp powinien mieć prawo do przeprowadzenia audytu dołączenia i przestrzegania ustalonych reguł przez firmę trzecią, wyniki tych audytów determinują możliwość dalszego działania; Firma trzecia powinna być zobowiązana do informowania właściciela zasobów o wszelkich przypadkach naruszenia bezpieczeństwa dołączenia, jak również innych faktach mogących wpłynąć na pogorszenie się jakości systemu bezpieczeństwa układu;

34 Klasyfikacja zasobów

35 Rola klasyfikacji zasobów Sposób, zakres metody i środki finansowe przeznaczone na zabezpieczenia muszą być adekwatne do wartości i znaczenia chronionego elementu. Zbudowanie właściwej struktury zabezpieczeń wymaga działań przygotowawczych. Proces klasyfikacji zasobów jest ich częścią. Należy go zacząć od wyboru metod i procedur mających na celu określenia wartość elementu oraz jego znaczenia dla firmy. Jedną z powszechnie stosowanych metod jest oparcie procesu walidacji elementu o analizę ryzyka.

36 Podejście sformalizowane BS7799 Klasyfikacja i ocena zasobów security policy security organization assets classification personnel security computer and network system access control system development continuity plan compliance

37 Klasyfikacja zasobów - kolejność działań Kolejność działań zmierzających do klasyfikacji zasobów firmy: Inwentaryzacja/Audyt - stwierdzenie rzeczywistego stanu zasobów (ludzie, sprzęt, oprogramowanie, dane) Analiza ryzyka - wykonanie analizy ryzyka dla określenia znaczenia elementu dla firmy Klasyfikacja - zakwalifikowanie zasobu do określonej grupy ( ze względu na wynik analizy ryzyka)

38 Aspekty Klasyfikacji -DANE Założenia związane z klasyfikowaniem danych: wszystkie dane mają właściciela właściciel danych jest odpowiedzialny za ich kwalifikację do jednego ze zdefiniowanych poziomów (w zależności od wymogów formalnych prawo, polityka firmy), z uwzględnieniem oszacowanej wymiernej wartości danych oraz uwarunkowań biznesowych (popartych wcześniejszą analizą ryzyka)

39 Aspekty klasyfikacji (cd) Jeżeli właściciel danych nie jest w stanie określić poziomu w takiej sytuacji dane traktowane są jako dane poziomu... Właściciel danych określa jaka grupa użytkowników ma prawo dostępu do danych Właściciel danych jest odpowiedzialny za stosowanie adekwatnych do przyznanego poziomu zabezpieczeń (proces ten może być przeprowadzany lub/i kontrolowany przez wyznaczone w firmie osoby (np. administrator bezpieczeństwa, oficer bezpieczeństwa)

40 Aspekty klasyfikacji (cd) Wszystkie dane muszą zostać zakwalifikowane do jednego z założonych poziomów oraz posiadać czytelne znak identyfikujący ich poziom (w przypadku dokumentów co najmniej na stronie tytułowej) Dane zaklasyfikowane do poziomu najwyższego muszą spełniać wymagania poziomów niższych Systemy przechowujące dane zaklasyfikowane do różnych poziomów muszą spełniać wymagania dla danych najwyższego poziomu.

41 Przykład klasyfikacji danych Poziom 1. Informacja Publiczna nie klasyfikowana. testowe serwisy zawierające wyłącznie informacje poziomu 1 publiczne serwisy informacyjne informacje o produktach w formie elektronicznych broszur, folderów itd. dane dostępne także poprzez inne źródła publiczne

42 Przykład klasyfikacji danych (cd) Poziom 2. Informacja wewnętrzna Ogólne dokumenty obiegu informacji wewnętrznej Wewnętrzne książki telefoniczne Fragmentaryczne dane z narad produkcyjnych

43 Przykład klasyfikacji danych (cd) Poziom 3. Informacja Poufna Wysokość wynagrodzenia Dane osobowe Informacje przetargowe Dane klientów Poufne dane o szczegółach kontraktów

44 Przykład klasyfikacji danych (cd) Poziom 4. Informacja Strategiczna Informacje o problemach finansowych czy słabych punktach firmy Informacje o planowanych kierunkach inwestycji lub rozwoju Informacje o realizowanych kontraktach objęte klauzulą poufności (np. w kontekście ustawy o ochronie informacji niejawnych klauzula tajemnica państwowa )

45 Polityka kadrowa w organizacji bezpieczeństwa Zakres obowiązków użytkowników Szkolenia użytkowników Reagowanie na przypadki naruszania bezpieczeństwa

46 Polityka kadrowa w organizacji bezpieczeństwa Zarząd Odpowiedzialny jest za działanie i strategie firmy także strategie bezpieczeństwa w skali firmy, oraz udostępnienie koniecznych zasobów dla realizacji poszczególnych zadań.

47 Polityka kadrowa w organizacji bezpieczeństwa (cd) Menadżer ds bezpieczeństwa teleinformatycznego Odpowiedzialny jest za całość działań związanych z bezpieczeństwem w firmie, wnioskuje i sugeruje zarządowi technologie i kierunki rozwiązań technicznych. Wspólnie z osobami odpowiedzialnymi za przebieg poszczególnych procesów w firmie opracowuje związane z nimi zasady bezpieczeństwa. Menadżer bezpieczeństwa może być odpowiedzialny za przeprowadzenie analizy ryzyka.

48 Polityka kadrowa w organizacji bezpieczeństwa (cd) Oficer bezpieczeństwa informacji Osoba odpowiedzialna za bieżącą kontrolę zgodności funkcjonowania sieci, systemów teleinformatycznych, lub procesów obsługi informacji z przyjętymi wymaganiami w zakresie ich bezpieczeństwa. (osoba posiadająca funkcjonalną znajomość systemów teleinformatycznych i procesów zachodzących w firmie)

49 Polityka kadrowa w organizacji bezpieczeństwa (cd) Administrator bezpieczeństwa teleinformatycznego Osoba (lub osoby) odpowiedzialne za funkcjonowanie systemu lub sieci teleinformatycznych oraz za przestrzeganie zasad i wymagań bezpieczeństwa systemów i sieci teleinformatycznych osoba (osoby) posiadająca kwalifikacje i praktyczną wiedzę techniczną)

50 Polityka kadrowa w organizacji bezpieczeństwa (cd) Administrator systemu Odpowiedzialny za utrzymanie i właściwą eksploatację systemu. Projektant systemów Osoba rozwijająca systemy obsługi informacji w firmie, pełniąca kluczową rolę w zakresie zapewnienia stosownych mechanizmów bezpieczeństwa we wczesnej fazie procesu.

51 Polityka kadrowa w organizacji bezpieczeństwa (cd) Kierownik projektu Odpowiedzialny za uwzględnienie aspektów bezpieczeństwa w prowadzonych przez siebie projektach.

52 Polityka kadrowa w organizacji bezpieczeństwa (cd) Użytkownik systemu (pracownik firmy) Za działania użytkowników odpowiedzialni są bezpośredni przełożeni. To przełożeni posiadają wiedzę dotyczącą przyjętych procedur obsługi oraz szczegółowe wytyczne w zakresie przestrzegania wymogów bezpieczeństwa, są oni także świadomi konsekwencji ich naruszenia. Nie znaczy to oczywiście że użytkownicy systemów nie Muszą posiadać wiedzy w zakresie przyjętej polityki bezpieczeństwa.

53 Polityka kadrowa w organizacji bezpieczeństwa (cd) Audytor Osoba rekrutująca się spośród pracowników firmy (lub spoza firmy) niezależnie i cyklicznie sprawdzająca rzeczywisty poziom bezpieczeństwa w firmie (zarówno w kontekście proceduralnych jak i technicznym). Istotną sprawą jest niezależność tego stanowiska, rekomendowane jest także by osoba pełniąca tą funkcję nie była osobiście zaangażowana w jakiekolwiek działania związane z projektowaniem budowaniem, ani utrzymywaniem elementów bezpieczeństwa. Brak tego typu zależności pozwala na obiektywną ocenę audytowanych elementów.

54 Obowiązków użytkowników Wypracowany model administracyjno-techniczny w znacznym stopniu decyduje o skuteczności działania całości rozwiązań w zakresie ochrony informacji. Bezpieczeństwo w firmie należy traktować jako proces ciągły, proces o charakterze administracyjnotechnicznym. Jego część techniczna (wdrożone technologie i mechanizmy ochrony) nie będzie właściwie i skutecznie służyła założonym celom jeżeli nie będzie ona właściwie wspomagana przez część administracyjną (procedury, zakresy odpowiedzialności, obowiązki administratorów i użytkowników, regulaminy korzystania z usług itp.).

55 Przykładowy zakres obowiązków użytkownika (konto w systemie) Przyznane konto musi być wykorzystywane zgodnie z jego przeznaczeniem (wskaźnik do innego dokumentu) Użytkownik jest uprawniony do następujących zasobów systemu (lista zasobów) Każdy użytkownik odpowiada za bezpieczne operowanie uprawnieniami do pracy w sieci i do kontaktu z siecią, a w szczególności : nie może odstępować przyznanych uprawnień innym osobom, ma obowiązek operować hasłami nie krótszymi niż N znaków, pod rygorem utraty dostępu do systemu musi zmieniać hasło w cyklu uzgodnionym z operatorem systemu,

56 Przykładowy zakres obowiązków użytkownika (konto w systemie (cd)) w przypadku posiadania kilku haseł nie może ich powtarzać, nie może żądać zmiany hasła lub otwarcia zablokowanego konta na skutek przeterminowania hasła, drogą telefoniczna. Informacje przesyłane w sieci w celu ochrony powinny być szyfrowane przez użytkownika. Administrator ma prawo do odłączenia lub zablokowania konta użytkownika systemu bez odszkodowania w wypadku stwierdzenia nieuprawnionego działania w sieci lub działania na szkodę innych użytkowników. Użytkownikowi zabrania się instalowania jakiegokolwiek oprogramowania mogącego służyć do celów przełamywania zabezpieczeń innych kont lub systemów.

57 Szkolenia użytkowników Zakres i zawartość merytoryczna szkoleń musi być dopasowana do potrzeb poszczególnych grup pracowników, ich kompetencji oraz roli w procesach obsługi i przetwarzania informacji. Dlatego też konieczne jest wyodrębnienie grup pracowników i właściwe dopasowanie programów szkoleń. Inny zakres i zawartość będzie zawierało szkolenie dla użytkowników systemów, znacznie szersze aspekty zawierać musi szkolenie dla programistów, twórców czy projektantów systemów.

58 Szkolenia użytkowników (cd) Poziomy szkoleń mogą i powinny się wzajemnie uzupełniać. Możemy przeprowadzić podstawowe szkolenie w zakresie ochrony informacji skierowane do wszystkich pracowników firmy, szkolenia uzupełniające czy specjalistyczne przeprowadzimy jedynie dla wybranych grup pracowników czy wybranych stanowisk. Takie podejście gwarantuje przekazanie podstawowej wiedzy z zakresu ochrony informacji wszystkim pracownikom firmy.

59 Reagowanie na sytuacje kryzysowe Pomimo posiadania dokumentu określającego stanowisko firmy wobec problemu bezpieczeństwa polityki bezpieczeństwa, wysoko kwalifikowanej i dobrze wyszkolonej kadry, właściwego przypisania obowiązków związanych z planowaniem, utrzymaniem i kontrolą elementów bezpieczeństwa w firmie, nie jesteśmy w stanie wykluczyć zaistnienia sytuacji kryzysowych.

60 Reagowanie na sytuacje kryzysowe (cd) Określenie takie jest szerokie i może dotyczyć każdego rodzaju zagrożenia - klęski żywiołowe, pożary, różnego rodzaju ataki terrorystyczne, przerwy w dostawie elektryczności, niewłaściwe funkcjonowanie obsługi infrastruktury technicznej budynku, włamania (także do systemów informatycznych), utrata danych, utrata personelu kradzieże, szpiegostwo przemysłowe itp.

61 Zadania i rola zespołów reagujących Dla podniesienia efektywności obsługi i znoszenia skutków sytuacji kryzysowych (np. dotyczących systemów informatycznych) powołuje się specjalne zespoły reagujące tzw. IRT (Incident Response Team)

62 zakres działań zespołów reagujących na przykładzie CERT POLSKA Do głównych zadań zespołów reagujących należy przyjmowanie zgłoszeń o przypadkach zagrażających bezpieczeństwu ( np. próbach włamań przy pomocy sieci), obsługa zgłoszeń ( np. pomoc w znoszeniu skutków włamań), alarmowanie lub ostrzeganie użytkowników sieci o istniejących zagrożeniach dla bezpieczeństwa ( np. informowanie o bezpośrednim zagrożeniu w wyniku czyjegoś ataku), szerzenie informacji technicznej podnoszącej wiedzę użytkowników w dziedzinie zagrożeń i metod zapobiegania im ( np. publikowanie, dystrybucja materiałów informacyjnych).

63 Zadania CERT POLSKA Rejestracja i obsługa zdarzeń naruszających bezpieczeństwo sieci W ramach struktury FIRST zespół jest odpowiedzialny za obsługę incydentów związanych z polskim zakresem adresów internetowych (zarówno ataki z Polski jak i na zasoby polskie). Bezpośrednia współpraca z zespołami CERT na całym świecie.

64 Zadania CERT POLSKA Alarmowanie użytkowników o wystąpieniu bezpośrednich dla nich zagrożeń CERT Coordination Center Advisories jako podstawowe źródło informacji o zagrożeniach Informacje o słabościach systemowych pochodzące z innych źródeł sformalizowanych (porady innych zespołów, takich jak CIAC czy AUS-CERT) i niesformalizowanych (listy dyskusyjne) jako materiał do publikacji tzw. Nowości CERT POLSKA publikowanych na bieżąco na stronie CERT POLSKA

65 Zadania CERT POLSKA Prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego Serwis informacyjny Zagadnienia prawno-organizacyjne Zagadnienia techniczne Coroczna konferencja SECURE (najstarsza konferencja tego typu w Polsce, w tym roku odbędzie się w listopadzie) Szkolenia specjalistyczne Zakres tematyczny niezależny od producentów rozwiązań Szkolenia specjalistyczne dotyczące tworzenia i organizacji działania zespołów reagujących na incydenty (IRT)

66 Zadania CERT POLSKA Prowadzenie badań i przygotowywanie raportów dotyczących bezpieczeństwa polskich zasobów Internetu Coroczne statystyki dotyczące obsługiwanych incydentów różnego typu raporty i opracowania Ochrona danych osobowych w internetowych serwisach poczty elektronicznej (raport we współpracy z GIODO, pierwsza prezentacja Konferencja AFCEA 23/05/2001)...

67 Zadania CERT POLSKA Przeprowadzanie niezależnych testów produktów i rozwiązań z dziedziny bezpieczeństwa teleinformatycznego. CERT POLSKA jest w końcowym etapie budowy profesjonalnego laboratorium, w którym będą wykonywane badania własne jak i zlecone.

68 Zadania CERT POLSKA Prace w dziedzinie tworzenia wzorców obsługi i rejestracji incydentów, a także klasyfikacji i tworzenia statystyk. Zespół opracował i propaguje wzorzec obsługi zdarzeń i klasyfikacji incydentów, który był prezentowany na licznych konferencjach

69 Zadania CERT POLSKA Przeprowadzanie audytów bezpieczeństwa CERT POLSKA podejmuje się przeprowadzenia audytu teleinformatycznego bezpieczeństwa teleinformatycznego w instytucjach, którym zależy na kompleksowym podejściu do problematyki ochrony, w trakcie którego badane są zarówno zagadnienia techniczne jak i organizacyjne.

70 Zadania CERT POLSKA Odtwarzanie danych pozornie skasowanych CERT POLSKA opracował metodologię odtwarzania danych pozornie skasowanych, pozwalających na uzyskanie informacji o przebiegu incydentu.

71 Zadania CERT POLSKA Współpraca z innymi organizacjami CERT POLSKA współpracuje z organami państwowymi w celu wypracowania warunków podnoszenia poziomu bezpieczeństwa IT w Polsce. CERT POLSKA podejmie współpracę ze wszystkimi instytucjami, którego są zainteresowane służbą na rzecz bezpieczeństwa teleinformatycznego w naszym kraju.

72 Przykładowa procedura obsługi zdarzenia osoba która stwierdziła zdarzenie w zależności od jego charakteru powiadamia stosowną służbę miejską (Pogotowie, straż pożarną itp.) oraz niezależnie powiadamia wyznaczoną osobę odpowiedzialną całościowo za wszelkie aspekty bezpieczeństwa w firmie.

73 Przykładowa procedura (cd) Osoba odpowiedzialna (np. Security Manager) dokonuje wstępnego oszacowania zagrożenia uruchamia stosowną wynikającą z przyjętych procedur akcję mającą na celu zminimalizowanie skali zagrożenia i strat firmy (np. powiadamia zespół reagujący lub ściąga na miejsce zdarzenia administratorów systemu, zapoczątkowuje procedury zawarte w disaster recovery plan itp) następnie powiadamia przedstawiciela zarządu o zaistniałej sytuacji oraz rozmiarze zagrożenia, przedstawia także oszacowanie potencjalnych strat firmy.

74 Przykładowa procedura (cd) Zarząd na drodze konferencji telefonicznej lub spotkania, przy ewentualnej konsultacji z osobą odpowiedzialną za PR (Public Relation) podejmuje decyzję co do faktu, zakresu, terminu oraz sposobu upublicznienia informacji o zaistniałym incydencie względem mediów i pracowników firmy. Zarząd podejmuje także decyzje co do wariantów działań zawartych w procedurach awaryjnych - mających znaczenie strategiczne lub finansowe (np. odłączenia systemów produkcyjnych czy informacyjnych.)

75 Przykładowa procedura (cd) Zespół usuwający skutki incydentu raportuje o stanie prac kierującemu akcją Security Managerowi (który z ustaloną częstotliwością informuje zarząd o podjętych działaniach, stanie prac, i przedstawia aktualną ocenę skutków zdarzenia dla firmy ). Efektem prac jest przywrócenie działania systemów (np. odtworzenie danych z kopii zapasowych) oraz stwierdzenie przyczyn zaistniałej sytuacji.

76 Przykładowa procedura (cd) Po zakończeniu prac zespół usuwający skutki zdarzenia opracowuje raport opisujący wykonane czynności i określający przyczyny i techniczne podłoże zdarzenia, który po akceptacji i uzupełnieniu przez Security Managera (o takie elementy jak rachunek strat firmy czy propozycje zmian proceduralnych i technicznych minimalizujących wystąpienie podobnego incydentu w przyszłości) przedstawia raport zarządowi.

77 Przykładowa procedura (cd) Zarząd przyjmuje raport i podejmuje stosowne decyzje. (np. o wprowadzeniu proponowanych zmian, wyciąga konsekwencje wobec winnych, przeznacza dodatkowe środki na zabezpieczenia itp.)

78 Bezpieczeństwo fizyczne Znaczenie bezpieczeństwa fizycznego Ochrona fizyczna Użytkownik procedury Aplikacja Sieć /komunikacja Bazy danych System operacyjny DANE P O Z I O M Y W Y M A G A J Ą C E O C H R O N Y

79 (BS 7799) Bezpieczeństwo fizyczne strefy bezpieczeństwa kontrola dostępu pomieszczenia kluczowe bezpieczeństwo sprzętu

80 Aspekty ochrony fizycznej Zagrożenia wyładowania atmosferyczne pożar woda materiały łatwopalne temperatura i wilgotność kurz pole magnetyczne O rany...!

81 Aspekty ochrony fizycznej Środki ochronne wyładowania atmosferyczne infrastruktura ochrona - piorunochrony (w oparciu o istniejące normy PN) system ochronny w systemie elektrycznym firmy system ochronny w stosunku do kluczowych zasobów teleinformatycznych

82 Aspekty ochrony fizycznej Środki ochronne pożar systemy przeciwpożarowe pomieszczeń systemy przeciwpożarowe kluczowych zasobów teleinformatycznych gaśnice sprzęt przeciwpożarowy

83 Aspekty ochrony fizycznej Środki ochronne Woda uszczelnienie kluczowych pomieszczeń sejfy wodoodporne unikanie przewodów kanalizacji wodnej automatyczny drenaż

84 Aspekty ochrony fizycznej Środki ochronne materiały łatwopalne odpowiedni dobór materiałów (kable, obudowy) kable odporne na wilgoć odporne na ogień samogaszące zbrojenie kabli

85 Aspekty ochrony fizycznej Środki ochronne temperatura wilgotność (promieniowanie słoneczne) systemy kontroli i powiadamiania systemy klimatyzacyjne

86 Aspekty ochrony fizycznej Środki ochronne kurz sprzątanie pomieszczeń (profesjonalny serwis) izolacja pomieszczeń drzwi i okna

87 Aspekty ochrony fizycznej Środki ochronne pole magnetyczne systemy pomiarowe usługi pomiarowe ochrona przed zniszczeniem ochrona przed podsłuchem

88 Bezpieczeństwo fizyczne przykład: strefy bezpieczeństwa Strefa 1. Strefa publiczna otwarta dla wszystkich w tym osób spoza firmy. Strefa 2. Strefa zamknięta dla osób spoza firmy dostępna dla wszystkich pracowników firmy. Strefa 3. Strefa chroniona - dostępna jedynie dla wydzielonej grupy pracowników firmy.

89 Zarządzanie systemami informatycznymi Procedury eksploatacji i utrzymania SI Planowanie i akceptacja SI Ochrona przed szkodliwym programowaniem Zabezpieczanie sieci teleinformatycznych Zarządzanie nośnikami informacji Bezpieczeństwo transmisji

90 Procedury eksploatacji i utrzymania systemu informatycznego Zasady korzystania/operowania zasobami systemu Wytyczne związane z bezpiecznym sposobem korzystania z zasobów/serwisów/uprawnień użytkownicy administratorzy osoby trzecie (serwis producenta, audytorzy) Niezbędny element to formalizowanie i podparcie proceduralne powyższych procesów

91 Planowanie i akceptacja systemu Przed implementacją jakiegokolwiek nowego komponentu struktury teleinformatycznej należy zaplanować jego funkcję oraz związane z nią wymagania sprzętowoprogramowe oraz zdefiniować kryteria dopuszczenia systemu do eksploatacji. Faza produkcyjnej eksploatacji musi być poprzedzona procedurą testowania komponentu w przygotowanym izolowanym środowisku testowym

92 Planowanie i akceptacja systemu (przykład) Główne fazy procesu planowania i akceptacji systemu: potrzeba obsługi jakiegoś procesu formułowanie wymagań formalnych/technicznych/bezpieczeństwa stworzenie opisu nieformalnego analiza możliwych technologii rozwiązania (platforma/system/oprogramowanie) wybranie konkretnych rozwiązań stworzenie zarysu proceduralnego funkcjonowania i obsługi systemu stworzenie formalnego opisu wymagań

93 Planowanie i akceptacja systemu przykład (cd) Instalacja pilotowa (w izolowanym środowisku) testy wstępne (ewentualna korekta wymagań) wybór dostawcy (procedura przetargowa) wdrożenie w środowisku testowym opracowanie całościowych szczegółowych procedur testy akceptacyjne (w izolowanym środowisku) szkolenia (użytkowników/administratorów) wdrożenie produkcyjne eksploatacja systemu

94 Ochrona przed szkodliwym oprogramowaniem Najogólniej mówiąc wirusy są to programy niszczące, destabilizujące bądź wprowadzające anomalie w działaniu innych programów i/lub obsługujących, bądź przetwarzających je systemów komputerowych.

95 Ochrona przed szkodliwym oprogramowaniem (cd) Główne rodzaje wirusów: Dyskowe Instalujące się w pamięci komputera Plikowe Infekujące lub niszczące pliki Hybrydowe Wykorzystujące kombinacje powyższych technik

96 Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe Koń trojański Jest to program który zawiera dodatkowy kod którego działanie jest inne niż to oczekiwane przez użytkownika. Np. program uruchomiony w celu wylistowania zawartości katalogu usunie jego zawartość. Robak Program który w sposób niekontrolowany powiela się dla zainfekowania maksymalnej ilości komputerów w sieci.

97 Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe (cd) Bomba logiczna Złośliwy kod dodany do programu, jego uaktywnienie ma miejsce gdy zostaną spełnione konkretne warunki. Królik Program którego zadaniem jest wykorzystanie całości dostępnych w systemie zasobów poprzez wielokrotne powielanie się.

98 Ochrona przed szkodliwym oprogramowaniem (cd) Programy sabotażowe (cd) Wirus Makr Wirus Makr jest zestawem poleceń konkretnego programu przeinaczające jego działanie. Przedstawiony podział wymienia jedynie główne grupy wirusów, i złośliwych kodów inwencja i pomysłowość twórców jest nieograniczona...

99

100 Ochrona przed szkodliwym oprogramowaniem (cd) Walka ze złośliwym kodem Proceduralna (świadomość użytkownika - szkolenia) Techniczna (zintegrowane systemy detekcji złośliwych kodów)

101 Ochrona przed szkodliwym oprogramowaniem (cd) Nie znane znaczy groźne otwieranie korespondencji nie zamawianej Bądź na bieżąco Strony producentów oprogramowania (użytkowego, antywirusowego) strony poświęcone bezpieczeństwu systemów

102 Zabezpieczanie sieci teleinformatycznych Przed czym się bronimy?

103 Charakter zagrożeń sieciowych Zagrożenia ze strony sieci zewnętrznych - wynikają: Z ich charakteru, wielkości, heterogeniczności... Przykład Internet: nie ma centralnej kontroli nie ma centralnego autorytetu brak standardowej, zaakceptowanej przez wszystkich polityki (np. bezpieczeństwa) brak międzynarodowego prawodawstwa w dziedzinie przestępstw

104 Charakter zagrożeń sieciowych cd. z samego protokołu (dominującego)tcp/ip ze słabych punktów systemów (Unix, NT,...) z ogromnej dynamiki rozwoju technologicznego (a wiec i nowych coraz bardziej wyrafinowanych i skutecznych metod ataków)...

105 Główne zagrożenia kradzież danych nieuprawniona modyfikacja danych podszywanie się pod innego użytkownika lub stację podsłuchiwanie i analiza danych blokowanie zasobów sieci

106 Zagrożenia: kradzież danych CPU Modem Internet Sieć telefonicz na

107 Zagrożenia: nieuprawniona modyfikacja danych Depozyt $ 2000 Depozyt $ 200 Klient Bank

108 Zagrożenia: podszywanie się pod innego użytkownika Kazik Jestem Bronek Wyślij dane Baza danych Bronka Bronek

109 Zagrożenia: podsłuchiwanie

110 Zagrożenia: blokowanie zasobów sieci CPU

111 Zagrożenia - podsumowanie zagrożenie jest realne brak przewidywania, testowania, świadomości brak czasu na śledzenie pojawiających się metod ataku i ochrony niedocenianie zagrożeń zewnętrznych i wewnętrznych poziom zagrożenia jest do zminimalizowania

112 Zabezpieczanie sieci teleinformatycznych Szeroka gama różnych rozwiązań Multum technik, technologii i...skrótów Firewalling, DMZ, ACL, IDS, VPN, PKI, OTP...

113 Od czego zacząć?

114 Zabezpieczanie sieci teleinformatycznych Ochrona styków międzysieciowych firewalling Firewall to system lub grupa systemów stanowiących ochronę styku, pomiędzy co najmniej dwoma sieciami.

115 Zabezpieczanie sieci teleinformatycznych (cd) Rodzaje i cechy systemów Firewall Możliwość ukrywania adresów IP sieci wewnętrznej (mechanizm NAT Network Address Translation) przed światem zewnętrznym Możliwość kontrolowania ruchu na obecność wirusów. Przeźroczystość firewall nie może obniżać efektywności i w znaczący sposób utrudniać dostęp do chronionych sieci. Raportowanie zdarzeń w systemie, System generowania raportów, alarmów i ostrzeżeń. Współpraca z systemami IDS ( Intrusion Detection System ) Możliwość obsługi połączenia szyfrowane VPN ( Virtual Private Networking ) Współpraca z systemami klucza publicznego PKI lub niezakłócanie ich pracy Wygodny i prosty w obsłudze graficzny interfejs administratora

116 Zabezpieczanie sieci teleinformatycznych (cd) Topologia styku Serwisy umieszczone w DMZ Dobór sprzętu i oprogramowania Polityka ochrony zapór sieciowych: Wszystko co nie jest dozwolone jest zabronione

117 Zabezpieczanie sieci teleinformatycznych (cd) Systemy IDS Architektura systemów Wykrywanie i przeciwdziałanie atakom na systemy

118 Zabezpieczanie sieci teleinformatycznych (cd) Współdziałanie systemów bezpieczeństwa Screening router Firewall IDS Systemy antywirusowe Systemy mocnego uwierzytelniania Mechanizmy ochrony samych systemów...

119 Bezpieczeństwo transmisji Techniczne środki ochrony transmisji szyfrowanie łączy fizycznych selektywne szyfrowanie transmisji (port/port czy host/host) bezpieczne VPN-y szyfrowanie w warstwie aplikacji (np. poczta elektroniczna) bezpieczne transakcje - electronic commerce

120 Bezpieczeństwo transmisji (cd) Szyfrowanie transmisji a model warstwowy ISO/OSI APLIKACJI PREZENTACJI SESJI TRANSPORTOWA SIECIOWA ŁĄCZA FIZYCZNA OUTLOOK SESJA TCP TCP/UDP IP ETHERNET TWISTED PAIR PGP SSH SSL IPSEC szyfratory sprzętowe

121 Bezpieczeństwo transmisji (cd) Wirtualne sieci prywatne (dwa główne typy) nakładkowy tunel budowany jest pomiędzy końcowymi urządzeniami tworzącymi sieć wirtualną, bez udziału urządzeń operatora (a nawet bez jego wiedzy). Sieci tego typu można budować w oparciu o rozwiązania warstw fizycznej i łącza danych modelu (np. wykorzystując linie dzierżawione, kanały PVC Frame Relay), bądź wykorzystując protokoły tunelowania w warstwie sieci (np. IPSEC).

122 Bezpieczeństwo transmisji (cd) Wirtualne sieci prywatne (dwa główne typy) peer-to-peer W przypadku sieci peer-to-peer tunel budowany jest pomiędzy urządzeniami operatora. Budowanie takiego tunelu oparte jest głównie o wykorzystanie trików konfiguracyjnych (listy kontroli dostępu, mechanizmy routingowe)

123 Bezpieczeństwo transmisji (cd) Przykłady rozwiązań IPSEC IPsec jest zbiorem protokołów i metod służących do budowania sieci wirtualnych w oparciu o Internet. Jest to niewątpliwa zaleta tego rozwiązania, gdyż umożliwia zbudowanie sieci o światowym zasięgu.

124 Co zapewnia IPSec? poufność transmisji integralność transmisji autoryzację stron transmisji stwierdzenie i odrzucenie ataków

125 Nagłówki IPSec Pomiędzy nagłówek IP, a dane dodawany jest nagłówek AH lub ESP AH (Authentication Header) zapewnia integralność i autentyczność danych AH nie zapewnia szyfrowania danych ESP (Encapsulating Security Payload) dodatkowo zapewnia szyfrowanie danych

126 Tryby tunelowania i transportu Tryb transportu dla sesji od końca do końca Tryb tunelowania dla wszystkich innych przypadków Tryb tunelowania Tryb tunelowania Tryb transportu

127 Tryby tunelowania i transportu cd. Tryb tunelowania IP HDR Data New IP HDR IPsec HDR IP HDR Data może być szyfrowane IP HDR IP HDR IPsec HDR Data Data Tryb transportu może być szyfrowane

128 Porównanie trybów pracy IPSec tryb tunelowania większe bezpieczeństwo transmisji - szyfrowanie nagłówka IP uniemożliwia stwierdzenia które maszyny w chronionych sieciach lokalnych prowadzą transmisję, a przez to analizę ruchu większy narzut - większe zużycie pasma

129 Porównanie trybów pracy IPSec tryb transmisji mniej informacji nadmiarowej - mniejsze zużycie dostępnego pasma możliwość odróżnienia przez sieć różnych połączeń pomiędzy chronionymi sieciami lokalnymi w celu np. zróżnicowania jakości transmisji nie zabezpiecza przed analizą ruchu

130 IPSec - dystrybucja kluczy Z IPSec, odpowiedzialnym za prawidłowe i bezpieczne przesyłanie danych wiąże się IKE (Internet Key Exchange) odpowiedzialny za przekazywanie danych związanych z zapewnieniem bezpieczeństwa transmisji Wymiana informacji potrzebnej do zestawienia i prowadzenia transmisji przy pomocy IPSec odbywa się przez połączenia zestawione przez IKE Użycie IKE jest opcjonalne - klucze można uzgodnić i wpisać statycznie

131 IPSec - podsumowanie Pakiet usług IPSec zapewnia bezpieczeństwo transmisji taką jak jakość użytych algorytmów autoryzacji i szyfrowania

132 Obowiązki użytkowników Przykładowy zestaw obowiązków użytkownika Nie należy ujawniać lub/i przekazywać identyfikatorów i haseł osobom trzecim. Unikać posiadania pisemnych list haseł, gdyż ich utrata lub upublicznienie może oznaczać nieuprawniony dostęp do systemu Zmieniać hasła według przyjętych zasad i wymagań (częstotliwość, długość, poziom skomplikowania)

133 Obowiązki użytkowników (cd) Natychmiast informować o przypadkach lub podejrzeniu przejęcia hasła dostępu przez osoby trzecie Jeżeli system tego nie wymusza zmieniać hasła tymczasowe lub domyślne podczas pierwszego dostępu do systemu Nie używać funkcji lub programów pozwalających na automatyzację procesu uwierzytelniania (logowania do systemu)

134 Kontrola dostępu do sieci i zasobów Techniczne środki kontroli dostępu Systemy zaporowe i filtrowanie ruchu Systemy uwierzytelniania użytkowników

135 Piramida Bezpieczeństwa Admin. i zarządzanie Poufność i integralność Zdefiniowanie uprawnień Identyfikacja i uwierzytelnianie

136 System haseł - newralgiczny element bezpieczeństwa

137 Definicja uwierzytelnienia (najkrótsza) Jednoznaczne potwierdzenie tożsamości obiektu na podstawie jego określonych cech

138 Metody identyfikacji i uwierzytelniania dla systemów teleinformatycznych identyfikator + hasło statyczne indetyfikator + hasło jednokrotnego użycia identyfikator + biometria źródło np. adres IP, numer telefonu (call back) oparte o kryptografie (klucze, certyfikaty)

139 Identyfikacja, na jakiej podstawie? Coś sekretnego co pamiętamy Coś co posiadamy Coś unikalnego co jest naszą cechą należy stosować dwie z tych metod jednocześnie

140 Metody Uwierzytelnienia Coś co wiesz Hasło, PIN Coś co masz Użytkownika 1059 klucz fizyczny, token, karta inteligentna Coś Twojego Bank odcisk palca, głos, siatkówka

141 Uwierzytelnienie za pomocą dwóch czynników Dwie metody są wymagane do mocnego uwierzytelnienia Niezależne czynniki - złamanie jednego nie powoduje możliwości wykorzystania całości 1059 Bank Coś co wiesz i coś co masz

142 Tradycyjne systemy haseł Tradycyjne systemy uwierzytelnienia oparte o statyczne identyfikatory nie zapewniają zadowalającego poziomu bezpieczeństwa. Statyczne hasło może zostać: odgadnięte, podsłuchane, podpatrzone, złamane

143 Hasła statyczne - ZA i PRZECIW ZA łatwe w użyciu dla użytkownika wygodne łatwe do zamiany PRZECIW Uciążliwe dla administratora łatwe do zapamiętania = łatwe do odgadnięcia wielu użytkowników może mieć takie same hasła mogą być wykorzystane bez Twojej wiedzy Dobre hasła są trudne do zapamiętania

144 Systemy haseł dynamicznych W systemach dynamicznego identyfikatora uwierzytelnienie opiera się na zweryfikowaniu użytkownika na podstawie dwóch informacji: tego co użytkownik posiada (np. generator jednokrotnych haseł) tego co użytkownik pamięta (osobisty numer identyfikacyjny - PIN)

145 hasła jednokrotnego logowania Łatwy jednoelementowy proces logowania Identyfikacja użytkownika Uwierzytelnianie użytkownika w sieci, systemie i aplikacji Generacja, niemożliwego do przewidzenia, istniejącego przez określony czas np. (60 sekund) hasła, które może być wykorzystane tylko raz Nie wymagane czytniki dla tokenów Możliwość używania na wielu platformach

146 Uwierzytelnienie użytkownika w oparciu o hasło jedorazowe Server uwierzytelniający oblicza Passcode Użytkownik wprowadza PIN i odczyt z karty Użytkownik uwierzytelniony! Baza danych o użytkowników PIN indetyfikator Tokenu Czas początkowy Przesunięcie czasowe

147 Hasła - bezpieczeństwo, teoria i praktyka Naturalne tendencje Kryteria stosowania rozwiązań (bezpieczne, łatwe, szybkie contra złożone, wolne, uciążliwe) Skuteczność i poziom zabezpieczeń v. Poziom skomplikowania (przykład OTP a hasła statyczne) cel: wysoki poziom bezpieczeństwa i łatwość stosowania

148 Zarządzanie dostępem Oficjalny wykaz osób dopuszczonych do korzystania z usługi czy systemu Używanie unikalnego identyfikatora użytkownika (username), aby móc zapewnić możliwość śledzenia działań (rozliczalność) użytkownika w systemie. Używanie identyfikatorów grupowych nie jest zalecane natychmiastowe odbieranie lub stosowna modyfikacja przyznanych praw dostępu użytkownikom, którzy opuścili firmę bądź np. zmienili stanowisko Cykliczna kontrola zgodności rzeczywistych praw dostępu z oficjalnie przyznanymi w systemie w oparciu o potrzeby użytkownika. Formalizacja praw i obowiązków użytkownika (podpisanie właściwych dokumentów)

149 Monitorowanie i zdalny dostęp do systemów Głównym celem procesu monitorowania dostępu jest zapewnienie bezpiecznej i nieprzerwanej pracy systemu oraz zapewnienie możliwości stwierdzenia zaistnienia (lub prób podjęcia) nieuprawnionych działań, jak również ich późniejszej analizy

150 Monitorowanie i zdalny dostęp do systemów Logi systemowe Centralizacja i systemy monitorowania systemy AAA

151 Zarządzanie kontrolą dostępu i rozliczalność Nie tylko musimy wiedzieć kto Nie tylko musimy wiedzieć do czego Ale także kiedy/jak długo/z jakim skutkiem

152 Systemy AAA Authentication is who the user is. Authorization is what the user can do. Authentication is valid without authorization. Authorization is not valid without authentication. Accounting is what the user did.

153 AAA przykład zastosowania Elementy i wymagania : Zdalny dostęp do zasobów firmy (dial-up) NAS (Network Access Server) ACS Serwer różne kategorie użytkowników (różne prawa) różne mechanizmy identyfikacji i uwierzytelnienia logowanie/rozliczanie zdarzeń/czasu centralna baza i zarządzanie obiektami (użytkownicy/uprawnienia/sposób uwierzytelniania/rozliczanie)

154 Implementacja Użytkownik (stacja windows + modem) NAS (router Cisco) przykład komend konfiguracji aaa : aaa new-model aaa authentication login default tacacs+ aaa accounting network default start-stop tacacs+ tacacs-server host tacacs-server timeout 90 tacacs-server key goaway

155 Komunikacja NAS z serwerami uprawnień użytkowników (ACS) Protokoły: Tacacs+ (Terminal Access Controller Access Control System) Radius (Remote Address Dial-In User Service)

156 Co może zawierać profil użytkownika Sposób i rodzaj uwierzytelnienia pomiędzy stacją użytkownika a NAS (PAP, CHAP, EAP) Sposób uwierzytelnienia użytkownika (hasło jednorazowe, hasło statyczne) Uprawnienia użytkownika w zakresie dostępu do systemów (ACS może wysłać żądanie uaktywnienia ACL na NAS)

157 Struktura sieci i AAA

158 Zdalny dostęp i administrowanie systemem Konieczność stosowania śrdoków zabezpieczenia transmisji Secure Shell (terminal) Zarządzanie za pomocą przeglądarek (SSL) Restrykcyjne zasady dostępu

159 Rozwój systemu praktyczne wskazówki związane z rozwojem systemów Należy skutecznie separować środowisko projektowe od środowiska produkcyjnego Bezpieczeństwo powinno być integralnym elementem rozwoju aplikacji Dane używane do testowania systemów nie mogą pochodzić z rzeczywistego środowiska produkcyjnego (nie mogą być istotne dla firmy) Język programowania użyty do tworzenia aplikacji musimy być bezpiecznym i stabilnym standardem. Należy wziąć pod uwagę uzyskanie certyfikatów bezpieczeństwa dla systemów obsługujących istotne dane

160 Rozwój systemu (cd) Kwestie do rozważenia Kto jest odpowiedzialny za instalacje i rozbudowę sprzętu i uaktualnianie oprogramowania? Wszelkie zmiany powinny być dokładnie przygotowane i przeprowadzone bez szkody dla procesów obsługi systemów firmy. Nowe oprogramowanie powinno być przetestowane w środowisku testowym przed jego instalacją w środowisku produkcyjnym.

161 Rozwój systemu (cd) Przy instalacji sprzętu i oprogramowania postępuj zgodnie z wytycznymi producenta W przypadku negatywnych efektów wprowadzonych zmian należy zapewnić możliwość przywrócenia stanu poprzedniego Instaluj tylko niezbędne uaktualniania Jeżeli coś nie jest popsute nie próbuj tego naprawiać

162 Zastosowania kryptografii

163 Ataki Utrata autentyczności (np.. Fałszywy nadawca) Utrata integralności (zmiana zawartości przesyłki) Abs.: 2 $ Utrata pufności upublicznienie informacji 3 4 Utrata dostępności (zniszczenie wiadomości) 4

164 Ochrona Użycie kryptografii pofuność : szyfrowanie Uwierzytelnienie: Podpis cyfrowy Niezaprzeczalność : Podpis cyfrowyu Integralność: suma kontrolna (Hash)

165 Terminologia i mechanizm Tekst jawny (Plaintext) Tekst zaszyfrowany (Ciphertext) Klucz (Key) Deszyfracja (Decryption) Szyfrowanie (Encryption) Plaintext Key Encryption Ciphertext Key Decryption Original Plaintext

166 Kryptografia symetryczna Encryption Decryption

167 Kryptografia Symetryczna Ten sam klucz do szyfrowania i deszyfowania Konieczna metoda bezpiecznego przekazania klucza Przykłady algorytmów: DES (3DES) AES (Rijndael) RC4 Blowfish

168 Zalety Kryptografia symetryczna wady i zalety duża szybkość przetwarzania Wady Konieczny bezpieczny kanał do wymiany klucza liczba klucza wzrasta geometrycznie wraz z liczbą odbiorców Nie możliwa do wykorzystania dla generowania podpisów

169 Kryptografia asymetryczna Public Key Secret Key Encryption Decryption

170 Kryptografia asymetryczna Dwa odzielne klucze (klucz publiczny i prywatny) potrzebny do szyfrowania/deszfrowania wiadomości Algorytm zapewnia matematyczne pasowanie kluczy Klucza szyfrującego nie można uzyskać na podstawie klucza deszyfrującego Wiadomość zaszyfrowana kluczem publicznym może być odszyfrowana jedynie pasującym do niego kluczem prywatnym

171 Kryptografia klucza publicznego Przykłady: Diffie-Hellmann RSA Elliptic Curves

172 Kryptografia klucza publicznego Zalety wady i zalety Tylko klucz pywatny podlega ochronie Może być użyta do generacji podpisu Brak konieczności stosowania dodatkowych bezpiecznych metod przesyłania klucza (ponieważ klucz szyfrowania i deszyfrowania nie jest wspólny) Wady długi czas przetwarzania

173 Funkcje jednokierunkowe - Hashing Z zadanego bloku danych tworzą unikalną niezależną od wielkości danych wejściowych sekwencję bitów. (SHA 160 bitów)

174 Funkcje jednokierunkowe mała zmiana w tekście = duża zmiana w w skrócie wiadomości. Jednokierunkowość: odwrócenie nie możliwe bezpieczna jeśli dwie różne wiadomości nie mogą wygenerować takiego samego skrótu (teoretycznie nie możliwe) siła funkcji = szansa że 2 jednakowe wiadomości wygenerują ten sam skrót Examples MD4, MD5 SHA-1

175 Podpis cyfrowy signed message Hello Bob Hello Bob Hello Bob Hashfunction Hashfunction Internet ash alue Alice Alice secret key Alice public key Bob

176 Podpis cyfrowy (2) Podspis cyfrowy jest pewnego rodzaju sumą kontrolną. Inne stosowane określenia MAC (Message Authentication Code), Digital Fingerprint, Hash Function and Message Digest. Klucz sekretny : generacja podpisu cyfrowego klucz publiczny: weryfikacja podpisu cyfrowego Examples: - MD4 and MD5 -SHA-1

177 Aplikacje hybrydowe (1) S/MIME message 7r=su U8%& 7r=su U8%& 7r=su U8%& sym. message key sym. message key Hello Bob Bobs public key Internet Bobs secret key Hello Bob Alice Bob

178 Aplikacje Hybrydowe (2) Generacja losowego klucza symetrycznego Użycie klucza do zaszyfrowania danych Zaszyfrowanie losowego klucza symetrycznego, kluczem publicznym odbiorcy Dołączenie zaszyfrowanego klucza symetrycznego do zaszyfrowanych danych Wysłanie całości do odbiorcy

179 Aplikacje Hybrydowe (3) Wygenerowanie skrótu wiadomości zaszyfrowanie (podpisanie) skrótu własnym kluczem prywatnym Dołączenie podpisanego skrótu do wiadomości

180 Szyfrowania hybrydowe Secret Key Asymmetric Encryption Public Keys of the Recipients

181 Deszyfracja hybrydowa Private Key of the Recipient Asymmetric Decryption Encrypted Data Secret Key Symmetric Decryption

182 Długość kluczy Algorytmy asymetryczne 1024 for users Algorytmy symetryczne 128 bits

183 Zarządzanie ciągłością działania

184 Przyczyny Utrata personelu; Awaria systemu; informatycznego; Atak intruzów; Wpływ czynników zewnętrznych (powódź, pożar itp.);

185 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

186 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

187 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

188 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

189 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

190 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

191 Zarządzanie ciągłością działania Plany awaryjne Dokumentacja planów awaryjnych Ustalenie zakresu odpowiedzialności Analiza powypadkowa Archiwizacja zasobów Ubezpieczenie Testowanie planów awaryjnych

192 Plan awaryjny Struktura planowania ciągłości działania a) Warunki uruchomienia planów, opisujące proces, który musi mieć miejsce przed uruchomieniem każdego z planów (jak oceniać sytuację, kto ma być zaangażowany, itp.); b) Procedury awaryjne, które opisują działania podejmowane po wystąpieniu incydentu zagrażającego operacjom biznesowym i/lub życiu ludzkiemu. Powinny one obejmować ustalenia dla zarządzania public relations/kontaktami z mediami i dla efektywnej współpracy z odpowiednimi władzami, np. policją, strażą pożarną i samorządem lokalnym; c) Procedury odtwarzania/powrotu do stanu normalnego, które opisują działania podejmowane w celu uruchomienia zasadniczej działalności lub usług wspierających w innych, tymczasowych lokalizacjach oraz przywrócenia działań biznesowych w wymaganym czasie; d) Procedury wznowienia działalności, które opisują działania podejmowane w celu przywrócenia normalnej działalności biznesowej; e) Harmonogram konserwacji, który określa, jak i kiedy plan będzie testowany oraz proces związany z jego utrzymaniem; f) Działania edukacyjne i zwiększające świadomość, zaplanowane tak, aby umożliwiać zrozumienie procesów ciągłości działania i zapewniać, że procesy te są w dalszym ciągu efektywne; g) Obowiązki poszczególnych osób, opisujące, kto jest odpowiedzialny za wykonanie, którego elementu planu. W razie konieczności należy wyznaczyć zastępców;

193 BACKUP Odpowiedzialny Antek Kopiarski Backup site Backup hardware Sun ULTRA10 Storage location Company safe Mode of transport encrypte/unencrypted physical transport mobile safe Data carriers Mark method Number of generation 4 Extent of data backup Software proprietry script Documentation automatic/manual DLT tape month c:/antek activity run c:/scripts/backup.1 Who? AK/YYMMDD/N 10 h 22:00 c:/franek Reconstruction When? Destroying method shreader week c:/aplikacja reconstruction time What? Refresh sycle 4 year/250 records 5 h 22:00 Reconst. exercise signature Typ day Full Data Backup 5 h 22:00 Incremental Data Backup Maximum permissible downtime 12 h

194 Zgodność z przepisami prawa

195 Przepisy prawa Zgodność z aktami prawnymi (obowiązującymi) ze standardami firmowymi A U D Y T B E Z P I E C Z E Ń S T W A

Zastosowania PKI dla wirtualnych sieci prywatnych

Zastosowania PKI dla wirtualnych sieci prywatnych Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy

Bardziej szczegółowo

Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci

Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci Mirosław Maj CERT POLSKA Mirek.Maj@cert.pl Klasyfikacja Jak to jest w Polsce, jak to jest na świecie... Cele klasyfikacji: obserwacja

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy

Bardziej szczegółowo

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem

2.11. Monitorowanie i przegląd ryzyka 2.12. Kluczowe role w procesie zarządzania ryzykiem Spis treści Wstęp 1. Wprowadzenie 1.1. Co to jest bezpieczeństwo informacji? 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne? 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych Wstęp... 13 1. Wprowadzenie... 15 1.1. Co to jest bezpieczeństwo informacji?... 17 1.2. Dlaczego zapewnianie bezpieczeństwa informacji jest potrzebne?... 18 1.3. Cele, strategie i polityki w zakresie bezpieczeństwa

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

Bezpieczeństwo informacji w systemach komputerowych

Bezpieczeństwo informacji w systemach komputerowych Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania

Bardziej szczegółowo

Dane osobowe: Co identyfikuje? Zgoda

Dane osobowe: Co identyfikuje? Zgoda Luty 2009 Formalności Na podstawie ustawy z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i rozporządzenia Prezesa Rady Ministrów z 25 lutego

Bardziej szczegółowo

Przewodnik technologii ActivCard

Przewodnik technologii ActivCard PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Przewodnik technologii ActivCard Część II. Polityka bezpieczeństwa systemu ActivPack CLICO Centrum Oprogramowania Sp. z o.o., Al. 3-go Maja 7, 30-063 Kraków; Tel: 12

Bardziej szczegółowo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014 1 QUO VADIS.. BS? Rekomendacja D dlaczego? Mocne fundamenty to dynamiczny rozwój. Rzeczywistość wdrożeniowa. 2 Determinanty sukcesu w biznesie. strategia, zasoby (ludzie, kompetencje, procedury, technologia)

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

IPsec bezpieczeństwo sieci komputerowych

IPsec bezpieczeństwo sieci komputerowych IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany

Bardziej szczegółowo

WorkshopIT Komputer narzędziem w rękach prawnika

WorkshopIT Komputer narzędziem w rękach prawnika WorkshopIT Komputer narzędziem w rękach prawnika Krzysztof Kamiński, Sąd Okręgowy we Wrocławiu, Wrocław, 16 listopada 2006r. Agenda Bezpieczeństwo przepływu informacji w systemach informatycznych Hasła

Bardziej szczegółowo

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Bezpieczeństwo w sieci I a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Kontrola dostępu Sprawdzanie tożsamości Zabezpieczenie danych przed podsłuchem Zabezpieczenie danych przed kradzieżą

Bardziej szczegółowo

SSL (Secure Socket Layer)

SSL (Secure Socket Layer) SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,

Bardziej szczegółowo

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna 1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez

Bardziej szczegółowo

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. Bezpieczeństwo usług ug w sieciach korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o. DGT Sp. z o.o. All rights ul. Młyńska reserved 7, 83-010 2005, DGT Straszyn, Sp. z

Bardziej szczegółowo

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC 17799 przy wykorzystaniu metodologii OCTAVE AGENDA: Plan prezentacji Wstęp Charakterystyka zagrożeń, zasobów i zabezpieczeń Założenia bezpieczeństwa

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001 na przykładzie Urzędu Miejskiego w Bielsku-Białej Gliwice, dn. 13.03.2014r. System Zarządzania Bezpieczeństwem

Bardziej szczegółowo

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC 27001 oraz BS 25999 doświadczenia audytora Krzysztof Wertejuk audytor wiodący ISOQAR CEE Sp. z o.o. Dlaczego rozwiązania

Bardziej szczegółowo

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) pełna nazwa jednostki organizacyjnej ZATWIERDZAM... PROCEDURY BEZPIECZNEJ EKSPLOATACJI DLA SYSTEMU TELEINFORMATYCZNEGO NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0) Pełnomocnik Ochrony Kierownik

Bardziej szczegółowo

Tomasz Zawicki CISSP Passus SA

Tomasz Zawicki CISSP Passus SA Utrata danych wrażliwych Tomasz Zawicki CISSP Passus SA Źródła utraty danych Pracownicy Outsourcing Atak zewnętrzny Monitoring przepływu danych 69% wycieków lokalizują użytkownicy lub partnerzy 9% wycieków

Bardziej szczegółowo

Marcin Szeliga marcin@wss.pl. Sieć

Marcin Szeliga marcin@wss.pl. Sieć Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie

Bardziej szczegółowo

Konfiguracja aplikacji ZyXEL Remote Security Client:

Konfiguracja aplikacji ZyXEL Remote Security Client: Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym oprogramowaniem ZyWALL Remote Security Client, a urządzeniem serii ZyWALL. Przykład konfiguracji. Konfiguracja aplikacji ZyXEL Remote Security

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Polityka Bezpieczeństwa Informacji Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o. Przedmiot ochrony Czym jest informacja? Miejsca przechowywania Regulacje prawne Zarządzanie bezpieczeństwem

Bardziej szczegółowo

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego

Bardziej szczegółowo

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych w sieciach elektroenergetycznych Bezpieczeństwo danych w sieciach elektroenergetycznych monitorowanie bezpieczeństwa Janusz Żmudziński Polskie Towarzystwo Informatyczne Nadużycia związane z bezpieczeństwem systemów teleinformatycznych

Bardziej szczegółowo

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

System Zachowania Ciągłości Funkcjonowania Grupy KDPW System Zachowania Ciągłości Funkcjonowania Grupy KDPW Dokument Główny Polityka SZCF (wyciąg) Warszawa, dnia 21 czerwca 2013 r. Spis treści 1. Wprowadzenie... 3 2. Założenia ogólne SZCF... 3 2.1. Przypadki

Bardziej szczegółowo

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji dr inż. Bolesław Szomański Wydział Zarządzania Politechnika Warszawska b.szomański@wz.pw.edu.pl Plan Prezentacji

Bardziej szczegółowo

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski Autor: Artur Lewandowski Promotor: dr inż. Krzysztof Różanowski Przegląd oraz porównanie standardów bezpieczeństwa ISO 27001, COSO, COBIT, ITIL, ISO 20000 Przegląd normy ISO 27001 szczegółowy opis wraz

Bardziej szczegółowo

Szkolenie otwarte 2016 r.

Szkolenie otwarte 2016 r. Warsztaty Administratorów Bezpieczeństwa Informacji Szkolenie otwarte 2016 r. PROGRAM SZKOLENIA: I DZIEŃ 9:00-9:15 Powitanie uczestników, ustalenie szczególnie istotnych elementów warsztatów, omówienie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows

Bardziej szczegółowo

Wprowadzenie do technologii VPN

Wprowadzenie do technologii VPN Sieci komputerowe są powszechnie wykorzystywane do realizacji transakcji handlowych i prowadzenia działalności gospodarczej. Ich zaletą jest błyskawiczny dostęp do ludzi, którzy potrzebują informacji.

Bardziej szczegółowo

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński 1 Bezpieczeństwo systemu informatycznego banku 2 Przyczyny unikania bankowych usług elektronicznych 60% 50% 52% 40% 30% 20% 10% 20% 20% 9% 0% brak dostępu do Internetu brak zaufania do bezpieczeństwa usługi

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej. Zarządzanie dokumentacją techniczną Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej. Na dzisiejszym wykładzie: Podstawowe metody zabezpieczeń elektronicznych

Bardziej szczegółowo

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 - Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Polityka bezpieczeństwa informacji Główne zagadnienia wykładu Bezpieczeństwo systemów informatycznych Polityka bezpieczeństwa Zbigniew Suski 1 Polityka Bezpieczeństwa Jest zbiorem zasad i procedur obowiązujących

Bardziej szczegółowo

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk dr T Bartosz Kalinowski 17 19 września 2008, Wisła IV Sympozjum Klubu Paragraf 34 1 Informacja a system zarządzania Informacja

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

Metody uwierzytelniania klientów WLAN

Metody uwierzytelniania klientów WLAN Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013 W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2 Opcje autentykacji

Bardziej szczegółowo

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych. Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych. Uwierzytelnianie, autoryzacja i kontrola dostępu Funkcjonowanie internetu w dużej mierze opiera się na zaufaniu i kontroli

Bardziej szczegółowo

Marek Pyka,PhD. Paulina Januszkiewicz

Marek Pyka,PhD. Paulina Januszkiewicz Marek Pyka,PhD Security Engineer Paulina Januszkiewicz Security Engineer Academy of Business in Dąbrowa Górnicza, POLAND prezentują [EN] Remote access mechanics as a source of threats to enterprise network

Bardziej szczegółowo

Infrastruktura klucza publicznego w sieci PIONIER

Infrastruktura klucza publicznego w sieci PIONIER Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski Konferencja i3 Wrocław, 2 grudnia 2010 Plan wystąpienia PKI Infrastruktura Klucza Publicznego Zastosowania certyfikatów X.509 Jak to

Bardziej szczegółowo

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu

Bardziej szczegółowo

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Zarządzanie bezpieczeństwem w Banku Spółdzielczym Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o. Definicja problemu Ważne standardy zewnętrzne Umiejscowienie standardów KNF i

Bardziej szczegółowo

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie

Bardziej szczegółowo

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna

Bardziej szczegółowo

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA PROFESJONALNE USŁUGI BEZPIECZEŃSTWA Instalacja i konfiguracja ActivCard Gold i Entrust/PKI w środowisku Microsoft Active Directory Przygotował: Mariusz Stawowski Entrust Certified Consultant CLICO Sp.

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r. Projekt z dnia 8 października 2007 r. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r. w sprawie dokonywania wpisów danych SIS oraz aktualizowania, usuwania i wyszukiwania danych

Bardziej szczegółowo

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Nowoczesny Bank Spółdzielczy to bezpieczny bank Aleksander Czarnowski AVET Information and Network Security Sp. z o.o. Bezpieczeństwo nie jest przywilejem banków komercyjnych System prawny na podstawie

Bardziej szczegółowo

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM Autor: Piotr Marek Ciecierski Kierujący pracą: prof. dr hab. inż. Zbigniew Kotulski Plan prezentacja Spis treści: 1) Wprowadzenie

Bardziej szczegółowo

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór S t r o n a ǀ 1 z 5 Załącznik nr 1 do zapytania ofertowego Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór I. Definicje. 1. Dostawca

Bardziej szczegółowo

Wykład 12. Projektowanie i Realizacja. Sieci Komputerowych. Bezpieczeństwo sieci

Wykład 12. Projektowanie i Realizacja. Sieci Komputerowych. Bezpieczeństwo sieci Projektowanie i Realizacja Sieci Komputerowych Wykład 12 Bezpieczeństwo sieci dr inż. Artur Sierszeń asiersz@kis.p.lodz.pl dr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl Projektowanie i Realizacja Sieci

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

Przewodnik użytkownika

Przewodnik użytkownika STOWARZYSZENIE PEMI Przewodnik użytkownika wstęp do podpisu elektronicznego kryptografia asymetryczna Stowarzyszenie PEMI Podpis elektroniczny Mobile Internet 2005 1. Dlaczego podpis elektroniczny? Podpis

Bardziej szczegółowo

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. Usprawnienie procesu zarządzania konfiguracją Marcin Piebiak Solution Architect Linux Polska Sp. z o.o. 1 Typowy model w zarządzaniu IT akceptacja problem problem aktualny stan infrastruktury propozycja

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik konfiguracji i zarządzania Siemens 4YourSafety Konfiguracja Siemens 4YourSafety w zakresie systemu operacyjnego i supportu urządzenia może odbywać się w

Bardziej szczegółowo

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11 Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie

Bardziej szczegółowo

Laboratorium nr 4 Sieci VPN

Laboratorium nr 4 Sieci VPN Laboratorium nr 4 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom

Bardziej szczegółowo

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Wprowadzenie 13 Rozdział 1. Zdalny dostęp 17 Wprowadzenie 17 Typy połączeń WAN 19 Transmisja asynchroniczna kontra transmisja synchroniczna

Bardziej szczegółowo

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE? Przedstawiony pakiet usług ma za cel wspomaganie systemu zarządzania bezpieczeństwem informacyjnym, obejmującego strukturę zarządzania bezpieczeństwem IT oraz

Bardziej szczegółowo

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

Bardziej szczegółowo

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006

Bezpieczeństwo w sieciach bezprzewodowych WiFi. Krystian Baniak Seminarium Doktoranckie Październik 2006 Bezpieczeństwo w sieciach bezprzewodowych WiFi Krystian Baniak Seminarium Doktoranckie Październik 2006 Wprowadzenie Agenda Problemy sieci bezprzewodowych WiFi Architektura rozwiązań WiFi Mechanizmy bezpieczeństwa

Bardziej szczegółowo

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1 24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1 Norma bezpieczeństwa PCI DSS Korzyści i problemy implementacji Wojciech Śronek, Zespół Administratorów Sieci, Grupa Allegro

Bardziej szczegółowo

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH Paweł Pokrywka SSH - Secure Shell p.1/?? Co to jest SSH? Secure Shell to protokół umożliwiający przede wszystkim zdalne wykonywanie komend.

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL W Z Ó R INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Wzór ma charakter pomocniczy. Wzór może być modyfikowany

Bardziej szczegółowo

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( ) Dr inż. Elżbieta Andrukiewicz Przewodnicząca KT nr 182 Ochrona informacji w systemach teleinformatycznych

Bardziej szczegółowo

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1) Elementy wymagań ISO/IEC 27001 i zalecenia ISO/IEC 17799 osobowe dr inż. Bolesław Szomański bolkosz@wsisiz.edu.pl Filozofia prezentacji wymagań i zabezpieczeń zgodnie z załącznikiem A Nagłówek rozdziały

Bardziej szczegółowo

Załącznik VI do SOPZ. Standard określania klasy bezpieczeństwa systemu informatycznego resortu finansów

Załącznik VI do SOPZ. Standard określania klasy bezpieczeństwa systemu informatycznego resortu finansów Dane dokumentu Nazwa Projektu: Kontrakt Konsolidacja i Centralizacja Systemów Celnych i Podatkowych Studium Projektowe Konsolidacji i Centralizacji Systemów Celnych i Podatkowych (SPKiCSCP) Numer wersji

Bardziej szczegółowo

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM Rok szkolny 2013/2014 1 Obowiązki Administratorów Systemu Do obowiązków Administratorów

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH

POLITYKA BEZPIECZEŃSTWA DANYCH POLITYKA BEZPIECZEŃSTWA DANYCH XXXIV Liceum Ogólnokształcącego z Oddziałami Dwujęzycznymi im. Miguela de Cervantesa w Warszawie Polityka Bezpieczeństwa Danych XXXIV LO im. Miguela de Cervantesa w Warszawie

Bardziej szczegółowo

DOKUMENTACJA BEZPIECZEŃSTWA

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI> Załącznik nr 23 do Umowy nr... z dnia... MINISTERSTWO FINANSÓW DEPARTAMENT INFORMATYKI DOKUMENTACJA BEZPIECZEŃSTWA styczeń 2010 Strona 1 z 13 Krótki opis dokumentu Opracowano na

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania

Bardziej szczegółowo

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010

Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010 Zarządzanie i realizacja projektów systemu Microsoft SharePoint 2010 Geoff Evelyn Przekład: Natalia Chounlamany APN Promise Warszawa 2011 Spis treści Podziękowania......................................................

Bardziej szczegółowo

1. Zakres modernizacji Active Directory

1. Zakres modernizacji Active Directory załącznik nr 1 do umowy 1. Zakres modernizacji Active Directory 1.1 Opracowanie szczegółowego projektu wdrożenia. Określenie fizycznych lokalizacji serwerów oraz liczby lokacji Active Directory Określenie

Bardziej szczegółowo

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku o zmianie Zarządzenia nr 50/2013 z dnia 24 maja 2013r. w sprawie polityki bezpieczeństwa i zarządzania

Bardziej szczegółowo

Sieci VPN SSL czy IPSec?

Sieci VPN SSL czy IPSec? Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych

Bardziej szczegółowo

Laboratorium nr 5 Sieci VPN

Laboratorium nr 5 Sieci VPN Laboratorium nr 5 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom

Bardziej szczegółowo

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów: Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o. Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server Konfiguracja IPSec Aby zainstalować OpenSWAN w popularnej dystrybucji UBUNTU (7.10) należy użyć Menedżera Pakietów Synaptics lub w konsoli wydać polecenia: sudo apt-get install openswan. Zostaną pobrane

Bardziej szczegółowo

Załącznik VI do SOPZ. Standard określania klasy bezpieczeństwa systemu informatycznego resortu finansów

Załącznik VI do SOPZ. Standard określania klasy bezpieczeństwa systemu informatycznego resortu finansów Dane dokumentu Nazwa Projektu: Kontrakt Konsolidacja i Centralizacja Systemów Celnych i Podatkowych Studium Projektowe Konsolidacji i Centralizacji Systemów Celnych i Podatkowych (SPKiCSCP) Numer wersji

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo