Zarządzanie Bezpieczeństwem Informacji Dr Tomasz Barbaszewski Kraków, 2012

Transkrypt

1 Zarządzanie Bezpieczeństwem Informacji Dr Tomasz Barbaszewski Kraków, 2012

2 Właściwości informacji Relewantność Informacja odpowiada na potrzeby odbiorcy Informacja ma istotne znaczenie dla odbiorcy

3 Właściwości informacji Dokładność Informacja jest adekwatna do poziomu wiedzy odbiorcy Informacja dokładnie i precyzyjnie określa temat

4 Właściwości informacji Aktualność Informacja nie jest zakurzona Informacja jest aktualizowana zgodnie z naturalnymi potrzebami Prowadzone jest monitorowanie aktualności informacji

5 Właściwości informacji: Kompletność Informacja zawiera optymalną ilość danych Dane zawarte w informacji mogą być przetworzone w konkretną i przydatną odbiorcy wiedzę Szczegółowość informacji odpowiada potrzebom odbiorcy

6 Właściwości informacji: Spójność Poszczególne elementy i dane zawarte W informacji współgrają ze sobą Forma informacji jest adekwatna do treści System aktualizacji danych odpowiada celom, którym ma służyć

7 Właściwości informacji: Odpowiedniość Forma prezentacji informacji jest oczywista i nie prowadzi do błędnej interpretacji Wszystkie elementy informacji tekstowe, graficzne i multimedialne muszą być możliwe do odczytu przez użytkownika Dodatkowe opisy odpowiadają treści informacji

8 Właściwości informacji: Dostępność Informacja dostępna jest uprawnionym odbiorcom w każdym momencie oraz o każdym miejscu kiedy jest im potrzebna W systemach ICT należy preferować dostępność 24 godzinną w cyklu 7 dniowym Dostęp do informacji może podlegać weryfikacji i kontroli

9 Właściwości informacji: Przystawalność Informacja nie pozostaje w sprzeczność z innymi informacjami, którymi dysponuje odbiorca Informacja jest zgodna z rzeczywistością Informacja funkcjonuje w spójnym systemie wzajemnej komunikacji

10 Właściwości informacji: Wiarygodność Informacja zawiera prawdziwe dane Informacja potwierdza prawdziwość danych Informacja zawiera elementy upewniające co do rzetelność przekazu

11 Brak informacji lub jej niedostateczna jakość prowadzi do braku możliwości podjęcia decyzji Brak przesłanek prowadzi do zakłócenia procesu decyzyjnego

12 Prezentacja informacji może być nieadekwatna do jej faktycznej treści. Godna zaufania forma informacji może skutkować uznaniu jej za wiarygodną.

13 Dane PO PiS SLD PSL

14

15 Henryk Batuta Fikcyjna postać, której życiorys umieszczono w Wikipedii. Wystąpiono nawet o zmianę nazwy ulicy w Warszawie.

16 System Zarządzania Bezpieczeństwem Informacji Information Security Management System Wdrażanie SZBI (ISMS) w praktyce: Zdefiniowanie celów Rozpoznanie zagrożeń i analiza ryzyka Wyznaczenie punktów kontrolnych Wprowadzenie zmian, procedur i zaleceń Monitorowanie rezultatów

17 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Cel podstawowy: Zapewnienie wysokiej jakości informacji traktowanej jako ważny składnik aktywów instytucji lub przedsiębiorstwa warunkujący sprawą realizację procesów biznesowych.

18 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Ochrona danych osobowych: USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z późniejszymi zmianami (Dz.U )

19 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Ochrona własności intelektualnej: USTAWA z dnia 4 lutego 1994 r. o Prawie Autorskim i Prawach Pokrewnych z późniejszymi zmianami (Dz.U )

20 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Ochrona informacji niejawnych: USTAWA z dnia 5 sierpnia 2010 r. o Ochronie Informacji Niejawnych z późniejszymi zmianami (Dz.U )

21 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Dla podmiotów realizujących zadania publiczne: USTAWA z dnia 17 lutego 2005 r. o Informatyzacji Podmiotów Realizujących Zadania Publiczne z późniejszymi zmianami (Dz.U )

22 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji USTAWA z dnia 17 lutego 2005 r. o Informatyzacji Podmiotów Realizujących Zadania Publiczne jest uzupełniana przez Rozporządzenia Między innymi tzw. Krajowe Ramy Operacyjności (obecnie w końcowym etapie wprowadzania): Podmiot realizujący zadania publiczne opracowuje ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji...

23 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Spełnienie wymagań prawa: Dla podmiotów realizujących zadania publiczne: USTAWA z dnia 6 września 2001 r. o Dostępie do Informacji Publicznej z późniejszymi zmianami (Dz.U )

24 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Zabezpieczenie realizacji procesów realizowanych przez organizację: Informacje Proces Informacje Zasoby informacji

25 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Wspomaganie procesu decyzyjnego dzięki zapewnieniu wysokiej jakości dostarczanej informacji

26 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Wspomaganie procesu decyzyjnego dzięki zapewnieniu wysokiej jakości dostarczanej informacji

27 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Zapewnienie wysokiego poziomu zaufania do Partnera przy zachowaniu sprawnej wymiany informacji Formalizacja SZBI rodzina Norm ISO/IEC 27000

28 Podstawowe cele Systemu Zarządzania Bezpieczeństwem Informacji Ochrona przed utratą prestiżu organizacji:

29 Analiza zagrożeń Bez uświadomienia zagrożenia nie da się zbudować skutecznego systemu zabezpieczeń! Celem ustanowienia i prowadzenie SZBI jest OCHRONA INFORMACJI a nie ochrona sprzętu lub oprogramowania komputerowego. Mechanizmy ochrony sprzętu i oprogramowania pełnią rolę służebną w stosunku do ochrony INFORMACJI.

30 Analiza zagrożeń Podstawowe zagrożenie czynnik ludzki: Świadomość kadry zarządzającej o znaczeniu jakości informacji dla sprawnego działania organizacji oraz o konieczności jej ochrony Zrozumienie przez wszystkie osoby zaangażowane w proces przetwarzania informacji obowiązków wynikających konieczności jej ochrony

31 Analiza zagrożeń Podstawowe zagrożenie czynnik ludzki: Zakazy skuteczne w przypadku, gdy są znane i respektowane Wymuszanie określonych zachowań Jest często odbierane jako szykana Świadomość zagrożenia i dostosowanie zachowania do sytuacji... Skuteczne, lecz trudne w praktyce

32 Analiza zagrożeń Podstawowe zagrożenie czynnik ludzki: Zarówno kary jak i nagrody stanowią w każdej sytuacji czynnik silnie zniechęcający do podejmowania twórczej pracy, gdyż odbierają człowiekowi jego naturalną wewnętrzną motywację pozytywnego działania. Prof. A.J.Blikle w Doktryna Jakości

33 Analiza zagrożeń Dostęp do informacji: Zbiór partnera Kierownictwo Pracownicy Własny zbiór informacji Zbiór partnera Reszta Świata Zbiór partnera Klienci

34 Analiza zagrożeń Wprowadzanie informacji (KAŻDEJ!!!) Niekontrolowane wprowadzenie informacji do systemu jest poważnym zagrożeniem, Dopuszczenie do braku kontroli nad wprowadzanymi informacjami może doprowadzić do zagrożenia dla całego systemu!

35 Analiza zagrożeń Wprowadzanie informacji (KAŻDEJ!!!) Remedia: Ciągłe uświadamianie użytkowników systemu, Ustanowienie skutecznego system kontroli jakości (uwierzytelnienie, integralność, niezaprzeczalność...) informacji wprowadzanej do systemu.

36 Analiza zagrożeń Kopiowanie informacji (w dowolnej formie) Kopia cyfrowa (plik) nie jest odróżnialna od oryginału! Konieczne jest ustanowienie procedur związanych z wykonywaniem kopii (także papierowych ) oraz systemu zarządzania kopiami (kontrola zgodności z oryginałem, ilości, przechowywania oraz usuwania lub fizycznego niszczenia kopii.

37 Analiza zagrożeń Korzystanie z informacji bez jej modyfikowania Dostęp do informacji zawsze wiąże się z zagrożeniem jej upublicznienia. Co najmniej połowa naruszeń poufności informacji następuje przypadkowo, bez złej woli (a nawet świadomości) naruszającego.

38 Analiza zagrożeń Modyfikowanie informacji Możliwość niekontrolowanego modyfikowania informacji jest bardzo poważnym zagrożeniem Konieczne jest ustanowienie systemu zarządzania modyfikowaniem informacji uwzględniającego każdorazowe i bezsporne odnotowanie tego faktu oraz towarzyszących mu okoliczności (tożsamości osoby, która modyfikacji dokonała)

39 Analiza zagrożeń Przechowywanie informacji Podczas przechowywania informacji nieuchronnie występuje zagrożenie jej utraty Utrata wielu informacji (know-how, dokumentacje techniczne i finansowe, archiwa wydanych decyzji) może mieć katastrofalne skutki dla realizacji zadań organizacji

40 Mechanizmy i praktyki Klasyfikacja informacji Klasyfikacja informacji jest niezbędnym składnikiem Systemu Zarządzania Bezpieczeństwem Informacji Sposób klasyfikacji informacji powinien zostać precyzyjnie opisany w odpowiednim dokumencie oraz być zintegrowany z system zarządzania jakością wykorzystywanym przez organizację (podejście procesowe)

41 Mechanizmy i praktyki Klasyfikacja informacji W najprostszym przypadku klasyfikacja informacji powinna uwzględniać następujące atrybuty: 1) Wartość aktywu informacji dla organizacji 2) Poziom zagrożenia 3) Poziom podatności Poszczególnym atrybutom możemy przyporządkować liczby naturalne miarą zagrożenia jest ich suma

42 Mechanizmy i praktyki Klasyfikacja informacji Wartość aktywu informacji - wynika przede wszystkim z analizy skutków utraty informacji dla realizacji zadań organizacji. - przyjęta wartość aktywu powinna wynikać z powiązania aktywu informacji z realizowanymi procesami biznesowymi oraz ich znaczenia dla organizacji i powinna uwzględniać uwarunkowania prawne

43 Mechanizmy i praktyki Klasyfikacja informacji Poziom zagrożenia - określa się w zależności od niezbędnego stopnia udostępniania informacji (im szerzej jest udostępniana informacja tym zagrożenie jest większe), konieczności jej kopiowania itp... - Ocena poziomu zagrożenia jest subiektywna i może być określana w ramach organizacji, lecz powinna ją charakteryzować konsekwencja

44 Mechanizmy i praktyki Klasyfikacja informacji Podatność - jest zależna od rodzaju udostępnianej informacji oraz technicznego sposobu jej udostępniania - Podatność jest miarą określającą możliwość jakiegokolwiek zakłócenia dostępu do inorformacji, jej zniekształcenia (celowego lub przypadkowego), nieuprawnionego rozpowszechnienia itp.

45 Mechanizmy i praktyki Klasyfikacja informacji macierz ryzyka Z P Wartość aktywu 9

46 Mechanizmy i praktyki Klasyfikacja informacji Jest wprowadzana przez organizację według przyjętego przez nią schematu. Klasyfikacja informacji nie podlegających zewnętrznym przepisom prawa może być dowolna, jednakże stosowany system musi być odpowiednio udokumentowany

47 Mechanizmy i praktyki Klasyfikacja informacji niezbędne elementy: 1) Inwentaryzacja informacji objętych SZBI 2) Opis wartości informacji dla organizacji 3) Opis sposobu postępowania z informacjami

48 Mechanizmy i praktyki Klasyfikacja informacji w praktyce 1) Nie powinna pokrywać wymagań prawnych (np. wymagań GIODO) 2) Powinna być przejrzysta i ograniczona do kilku (3-5 grup) informacji 3) Musi pozwolić użytkownikom na szybkie i jednoznaczne zakwalifikowanie dokumentu do odpowiedniej grupy 4) Informować użytkowników o sposobie postępowania z informacjami

49 Mechanizmy i praktyki Dostęp do informacji 1) Uwierzytelnienie potwierdzenie tożsamości osoby lub urządzenia żądających dostępu do systemu informacyjnego 2) Autoryzacja Sprawdzenie, czy osoba lub urządzenie są uprawnione do korzystania z określonej funkcji systemu (np. dostępu do informacji)

50 Mechanizmy i praktyki Uwierzytelnienie Najprostszy system: Login / password

51 Mechanizmy i praktyki Uwierzytelnienie Karta chipowa lub token: ę

52 Mechanizmy i praktyki Uwierzytelnienie Metody biometryczne

53 Mechanizmy i praktyki Uwierzytelnienie Czy dane są prawidłowe NIE Akcja bezpieczeństwa TAK Dostęp do systemu

54 Mechanizmy i praktyki Uwierzytelnienie akcje bezpieczeństwa Zablokowanie możliwości powtórnej autoryzacji na określony czas np. 30 sekund Zablokowanie konta w systemie np. po 3-5 nieudanych próbach uwierzytelnienia Zanotowanie zdarzenia w dzienniku systemowym Włączenie alarmu bezpieczeństwa Awaryjne wyłączenie systemu

55 Mechanizmy i praktyki Uwierzytelnienie urządzeń Jednostronne klient przekazuje informacje uwierzytelniające Serwerowi Dwustronne uwierzytelniają się obie strony

56 Mechanizmy i praktyki Zarządzanie informacjami uwierzytelniającymi Informacje uwierzytelniające identyfikują użytkownika lub urządzenie w systemie muszą być więc skutecznie chronione! Należy opracować i wdrożyć odpowiednie procedury zarządzania informacjami uwierzytelniającymi oraz przeszkolić użytkowników w korzystaniu z nich

57 Mechanizmy i praktyki Reguły nadawania nazwy użytkownika (LOGIN NAME) - muszą być jednakowe dla w ramach organizacji, - nazwa użytkownika powinna być zrozumiała dla ludzi, - hasło dostępu powinno być znane jedynie użytkownikowi, - użytkownik powinien mieć możliwość zmiany hasła, - trudność hasła powinna być kontrolowana, - należy określić warunki obowiązkowej zmiany haseł, - w przypadku stosowania zaawansowanych metod uwierzytelnienia (karty, biometria) należy opracować odpowiednie procedury.

58 Mechanizmy i praktyki Zarządzanie dostępem użytkowników do systemu: - udzielanie dostępu do systemu (wydanie danych uwierzytelniających musi następować w zgodnie z wdrożoną procedur, które muszą uwzględniać aktualny status użytkownika (stosunek pracy, wykonywanie zlecenia itp.), - Należy opracować i wdrożyć procedury związane z czasowymi nieobecnościami użytkownika (urlop, wyjazd służbowy, choroba) oraz postępowaniem w przypadku zakończenia pracy z systemem (odejście, zakończenie zlecenia itp.).

59 Mechanizmy i praktyki Zarządzanie dostępem użytkowników do systemu: - procedury związane z uzyskiwaniem dostępu do systemu muszą być skorelowane z klasyfikacją informacji oraz stanowiskiem służbowym użytkownika - wszelkie informacje utworzone, przetworzone lub pozostające w dyspozycji użytkownika w przypadku ustania stosunku służbowego nie są usuwane, lecz podlegają archiwizacji na okres przewidziany procedurą.

60 Mechanizmy i praktyki Zarządzanie dostępem użytkowników do systemu: - udzielanie dostępu do systemu (wydanie danych uwierzytelniających musi następować w zgodnie z wdrożoną procedur, które muszą uwzględniać aktualny status użytkownika (stosunek pracy, wykonywanie zlecenia itp.), - Należy opracować i wdrożyć procedury związane z czasowymi nieobecnościami użytkownika (urlop, wyjazd służbowy, choroba) oraz postępowaniem w przypadku zakończenia pracy z systemem (odejście, zakończenie zlecenia itp.).

61 Mechanizmy i praktyki Zestawienie zastosowanych środków: Opracowana Polityka Bezpieczeństwa Informacji dział Zarządzanie dostępem do systemu wraz z odpowiednimi załącznikami (wzory rejestrów itp.).

62 Mechanizmy i praktyki Cel: zapewnienie w siedzibie podmiotu ochrony przetwarzanych informacji przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami Środki: Wprowadzenie obszarów chronionych fizycznie, w których są przechowywane lub przetwarzane Informacje (np. dane osobowe).

63 Mechanizmy i praktyki Środki (cd.): Zabezpieczenie serwerowni, Zabezpieczenie stacji roboczych, Kontrola dostępu i wykorzystywania urządzeń peryferyjnych, Przechowywanie kopii papierowych (hard copies) oraz zarządzanie nimi.

64 Mechanizmy i praktyki Zestawienie zastosowanych środków: Opracowana Polityka Bezpieczeństwa Informacji dział Bezpieczeństwo Fizyczne

65 Mechanizmy i praktyki Udział stron trzecich : Rozbudowa lub modernizacja systemu, Serwisowanie systemu, Wykorzystywanie zewnętrznych usług informatycznych (outsourcing, przetwarzanie w chmurze), Postępowanie z wycofywanymi urządzeniami.

66 Mechanizmy i praktyki Udział stron trzecich : Wzory umów z dostawcami i usługodawcami uwzględniające zachowanie bezpieczeństwa informacji Wykorzystywanie zewnętrznych usług informatycznych (outsourcing, przetwarzanie w chmurze), Postępowanie z wycofywanymi urządzeniami.

67 Mechanizmy i praktyki Zestawienie zastosowanych środków: Opracowana Polityka Bezpieczeństwa Informacji wymagania wobec dostawców sprzętu, oprogramowania oraz usług. W uzasadnionych przypadkach należy Wymagać certyfikacji ISO 20000

68 Mechanizmy i praktyki Cel: Minimalizacja ryzyka awarii systemów oraz zapewnienie ciągłości ich działania. Środki: Procedury serwisowania sprzętu, Kontrola integralności oprogramowania oraz plików systemowych, instalacji poprawek i uzupełnień.

69 Mechanizmy i praktyki Cel: Ochrona informacji transmitowanych przez sieci komputerowe Środki: Ochrona fizyczna okablowania i urządzeń, Filtracja przesyłanych informacji, Ochrona kryptograficzna.

70 Mechanizmy i praktyki Norma TEMPEST Ochrona przed ujawniającą emisją elektromagnetyczną Informacje niejawne

71 Mechanizmy i praktyki Realizacja bezpiecznych transmisji sieciowych wymaga stosowania specjalnych urządzeń oraz ekranowanego okablowania Niezbędne do ochrony Informacji niejawnych

72 Mechanizmy i praktyki

73 Mechanizmy i praktyki Szyfrowanie transmisji - metoda ochrony transmisji w sieciach niechronionych fizycznie. - w warstwie fizycznej (sieci militarne), - w warstwie połączenia (rzadko), - w warstwie sieci, - w warstwie aplikacji (niebezpieczne!)

74 Mechanizmy i praktyki

75 Mechanizmy i praktyki Ochrona kryptograficzna transmisji wymaga ustanowienia procedur zarządzania kluczami

76 Mechanizmy i praktyki Działania organizacyjne: Precyzyjna delegacja zadań związanych obsługą systemu informatycznego: Administrator Systemu Informatycznego (ASI), Administrator Bezpieczeństwa Informacji (ABI).

77 Mechanizmy i praktyki ASI: Sprawuje nadzór nad pracą systemu informatycznego, Odpowiada za instalację oraz konfigurację oprogramowania, wprowadzanie aktualizacji oraz poprawek i uzupełnień, Realizuje wszelkie zadania związane z bieżącą eksploatacją i serwisem systemu, Świadczy pomoc dla użytkowników.

78 Mechanizmy i praktyki ABI: Prowadzi nadzór nad bezpieczeństwem informacji w organizacji, Zarządza kwalifikacją informacji, Prowadzi ewidencję osób uprawnionych do wykorzystywania oraz przetwarzania informacji kwalifikowanych, Wydaje odpowiednie zalecenia dla ASI związane z ochroną informacji.

79 Mechanizmy i praktyki ABI: Podejmuje odpowiednie działania w razie stwierdzenie naruszenia bezpieczeństwa informacji lub podejrzenia takich naruszeń, Prowadzi nadzór nad serwisowaniem, naprawami oraz likwidacją urządzeń, na których składowane są informacje kwalifikowane.

80 Mechanizmy i praktyki ABI: Sprawuje nadzór nad obiegiem dokumentów zawierających informacje kwalifikowane, Opracowuje oraz nadzoruje procedury archiwizacji danych kwalifikowanych, Opracowuje procedury obowiązujące w przypadku awarii systemu informacyjnego oraz organizuje przeszkolenie pracowników w tym zakresie.

81 Mechanizmy i praktyki ABI: Monitoruje na bieżąco i w razie potrzeby wprowadza modyfikacje SZBI, Organizuje oraz nadzoruje działania związane z prowadzeniem audytów SZBI (zarówno wewnętrznych, jak i zewnętrznych), Składa okresowe raporty z działania SZBI zarządowi organizacji.

82 Mechanizmy i praktyki Cel: Ochrona informacji nie komputerów! Ochrona fizyczna: Urządzenia techniczne, które umożliwiają składowanie danych powinny być chronione fizycznie. Polityka bezpieczeństwa powinna definiować obszary przetwarzania danych, mechanizmy kontroli dostępu do tych obszarów oraz warunki, które powinny spełniać osoby z nich korzystające.

83 Mechanizmy i praktyki Lp. Adres - budynek Nr pomieszczenia Kraków, ul. Kowalskiego 10 12, 201, 203, Warszawa, ul. Batuty 2 401, Lublin, ul. Hoża 12 11, 12, 13, 14 Kopie zapasowe danych są przechowywane w szafie ogniotrwałej w pomieszczeniu nr.12 w Krakowie, ul.kowalskiego 10. Klucze awaryjne są dostępne:

84 Mechanizmy i praktyki Środki ochrony fizycznej: - dostęp do pomieszczeń (zamki patentowe, szyfrowe, systemy kontroli dostępu), - Monitorowanie dostępu do pomieszczeń, - Przechowywanie kopii papierowych, - Niszczenie zbędnych kopii dokumentów, - Procedury wykorzystywania komputerów przenośnych i przenośnych nośników danych.

85 Mechanizmy i praktyki Bezpieczeństwo dostępu sieciowego: Systemy klient-serwer, Systemy scentralizowane, VDI Virtual Desktop Infrastructure, Cloud Computing.

86 Mechanizmy i praktyki System Klient Serwer: Użytkownicy korzystają z komputerów PC, Serwery udostępniają użytkownikom zasoby niezbędne do przetwarzania danych, Przetwarzanie danych odbywa się lokalnie z wykorzystaniem oprogramowania pracującego na komputerach osobistych użytkowników.

87 System Klient-Serwer

88 System Klient-Serwer

89 System Klient-Serwer Technologia terminalowa (cienkiego klienta): - przetwarzanie centralne, - brak składowania danych na stanowiskach pracy, - przetwarzanie danych odbywa się na komputerach centralnych w bezpiecznej serwerowni. Ułatwia opracowywanie Polityki Bezpieczeństwa

90 System terminalowy

91 System terminalowy

92 System terminalowy Wirtualizacja pulpitu: Użytkownik posiada przydzielony odrębny komputer PC (fizyczny lub wirtualny), katóry jest zlokalizowany w zabezpieczonetj strefie, Użytkownik korzysta z przydzielonego mu komputera za pomocą końcówki (terminala) graficznego.

93 Wirtualny pulpit - VDI

94 Wirtualny pulpit - VDI

95 VDI w sieci rozległej

96 Cloud Computing Użytkownicy korzystają z uniwersalnego interfejsu najczęściej przeglądarki, Wszelkie zasoby moc obliczeniowa, oprogramowanie, pamięć dyskowa itp. są udostępniane w sieci, Użytkownicy nie korzystają z tych zasbów na zasadach usługi.

97 Cloud Computing

98

99 Network Security

100 Network Security Filtracja ruchu (Firewalls), Ochrona przed złośliwymi programami, Filtracja niechcianych informacji (SPAM), Uwierzytelnienie stron, Uwierzytelnienie użytkownika, Niezaprzeczalność i integralność, Poufność. ABI powinien wybrać określić poziomy ochrony oraz wykorzystywane mechanizmy.

101 Network Security

102 Network Security Złośliwe programy (wirusy): Wykorzystywanie terminali, Zdalne przeglądanie poczty elektronicznej, Praca w środowisku chmury (cloud Computing), Wykorzystywanie odpowiedniego oraz Aktualnego oprogramowania antywirusowego.

103 Network Security Mechanizmy kryptograficzne: Uwierzytelnianie stron szyfry niesymetryczne, klucze prywatno / publiczne, Niezaprzeczalność i integralność funkcje skrótu i podpis cyfrowy, Poufność szybkie szyfry symetryczne.

104 Network Security

105 Podstawowe czynniki sukcesu: Przejrzysty i konsekwentny projekt systemu, Starannie opracowana Polityka Bezpieczeństwa, Właściwy dobór mechanizmów zabezpieczejących.