Bezpieczeństwo systemów informatycznych - wstęp Materiały pomocnicze do wykładu



Podobne dokumenty
Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

Prz r e z st t pczo kompu kom pu e t row ow i n i t n e t rn r e n tow i i n i t n e t le l ktu kt al u n al a

Szkolenie. z zakresu ochrony. informacji niejawnych

KOMENDA WOJEWÓDZKA POLICJI W POZNANIU PCZOŚĆ KOMPUTEROWA

Odpowiedzialność karna i służbowa za naruszenie przepisów o ochronie informacji niejawnych.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

AGENDA. Prawne aspekty systemów pułapek. Obrona przez atak

Promotor: dr inż. Krzysztof Różanowski

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

C Y B E R P R Z E M O C. Rodzaje zagrożeń, sposoby

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Zagrożenia w Internecie z akcentem na ochronę i dochodzenie praw. Diagnoserw Dawid Stramowski, Chrząstowo 4, Nakło Nad Notecią

Przegląd rodzajów ataków hackerskich

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Dane osobowe: Co identyfikuje? Zgoda

Bezpieczeństwo systemów komputerowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

OPROGRAMOWANIE UŻYTKOWE

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

Bezpieczeństwo systemów komputerowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Elektrotechnika II stopień ogólnoakademicki. stacjonarne. przedmiot specjalnościowy. obowiązkowy polski semestr II semestr zimowy.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Zarządzanie bezpieczeństwem informacji w urzędach pracy

OCHRONA INFORMACJI NIEJAWNYCH

Rozdział I Zagadnienia ogólne

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Regulamin ochrony danych osobowych Spółdzielni Mieszkaniowej Lokatorsko - Własnościowej Młoda Rodzina w Warszawie

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Zał. nr 2 do Zarządzenia nr 48/2010 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Szkolenie otwarte 2016 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

epolska XX lat później Daniel Grabski Paweł Walczak

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

Krzysztof Świtała WPiA UKSW

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

I. O P I S S Z K O L E N I A

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

Szczegółowe informacje o kursach

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Regulamin ochrony danych osobowych w Spółdzielni Mieszkaniowej Lokatorsko - Własnościowej Młoda Rodzina, Warszawa, ul.

Polityka bezpieczeństwa

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Aspekty prawne wykorzystania nowych technologii w celu bezprawnego skopiowania danych z kart płatniczych

Semestr II Lp. Nazwa przedmiotu ECTS F. zaj. F. zal. Godz. 1. Standardy bezpieczeństwa informacji:

INSTRUKCJA W SPRAWIE TRYBU POSTĘPOWANIA PRZY PRZETWARZANIU DANYCH OSOBOWYCH PODLEGAJĄCYCH OCHRONIE W URZĘDZIE GMINY W KIKOLE

Uniwersytet Zielonogórski Wydział Zarzadzania Zakład Zarządzania Strategicznego Prowadzący: mgr Sławomir Kotylak

W dokumencie tym przedstawione zostaną:

PARTNER.

KONFERENCJA. Bezpieczeństwo systemów informatycznych

Deklaracja stosowania

Marcin Soczko. Agenda

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Pismo okólne Nr 31/2012/2013 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 12 marca 2013 r.

ISO bezpieczeństwo informacji w organizacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

Ochrona danych i bezpieczeństwo informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. w Zespole Szkół nr 1 im. Melchiora Wańkowicza w Błoniu

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Transkrypt:

Bezpieczeństwo systemów informatycznych - wstęp Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Pojęcia wstępne Zbigniew Suski 1 Literatura podstawowa D. R. Ahmad i inni, Hack Proofing Your Network, Syngress Publishing Inc. 2002 (tłum. Helion 2002 pod tym samym tytułem). E. Amoroso. Intrusion Detection. AT&T Inc. 1999 (tłum. RM 1999 - Wykrywanie intruzów). J. Scambray, S. McClure, G. Kurtz. Hacking Exposed McGraw-Hill 2001 (tłum. Translator 2001 - Hakerzy - cała prawda). M. Strebe, Ch. Perkins. Firewalls. SYBEX Inc. 2000 (tłum. MIKOM 2000 - Firewalls - ściany ogniowe). Literatura dodatkowa V. Ahuja. Network & Internet Security. Academic Press, Inc, 1996. (tłum. MIKOM 1997 Bezpieczeństwo w sieciach). D. Atkins i inni. Internet Security. Professional Reference. New Riders Publishing, 1997 (tłum. LT&P 1997 Bezpieczeństwo Internetu). S. Garfinkel, G. Spafford. Practical Unix and Internet Security, O Reilly&Associates Inc. 1996. (tłum. RM 1997 Bezpieczeństwo w Unixie i Internecie). M. Kaeo, Designing Network Security, CISCO Press 1999 (tłum. MIKOM 2000 Tworzenie bezpiecznych sieci). T. Kifner. Polityka bezpieczeństwa i ochrony informacji. Helion 1999. L. Klander. Hacker Proof. Jamsa Press, 1997. (tłum. MIKOM 1998). K. Liderman, Bezpieczeństwo teleinformatyczne, IAiR WAT 2001. W. Stallings, Network and Internetwork Security Principles and Practice, Prentice Hall 1994 (tłum. WNT 1997 Ochrona danych w sieci i intersieci w teorii i praktyce). Zbigniew Suski 2 Zaliczenie ćwiczeń Zbigniew Suski 3 Egzamin Każdy student otrzymuje wstępnie 12 punktów kredytowych. Za każdą nieobecność na ćwiczeniach lub nie zaliczone ćwiczenie traci z tej puli 1 punkt. Na zakończenie ćwiczeń przeprowadzony zostanie sprawdzian z materiału będącego przedmiotem ćwiczeń. Można na nim uzyskać 10 punktów. Ocena zaliczeniowa z ćwiczeń wynika bezpośrednio z ilości zdobytych punktów (sumy zachowanych punktów kredytowych i uzyskanych ze sprawdzianu): dst : ( 12, 14 > dst+: ( 14, 16 > db : ( 16, 18 > db+ : ( 18, 20 > bdb : ( 20, 22 > Egzamin jest realizowany w formie testu zawierającego 25 pytań. Oceny: dst : < 13, 14 > dst+ : < 15, 16 > db : < 17, 19 > db+ : < 20, 22 > bdb : < 23, 25 > Za dobre i bardzo dobre wyniki uzyskane w trakcie ćwiczeń studenci uzyskują premię punktową na egzaminie wg reguły: ocena bdb na zaliczeniu ćwiczeń: +5 pkt, ocena db+ na zaliczeniu ćwiczeń: +3 pkt, ocena db na zaliczeniu ćwiczeń: +2 pkt. Zbigniew Suski 4 Zbigniew Suski 5 Opracował: Zbigniew Suski 1

Bezpieczeństwo Komputer jest bezpieczny, jeżeli jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze stawianymi mu oczekiwaniami. S. Garfinkel Bezpieczeństwo w Unixie i Internecie Zaufanie: ufamy, że system będzie przechowywał i chronił nasze dane Kradzież informacji następuje w sposób ciągły i niewidoczny! Badania FBI i CSI (Computer Security Institute) 41% badanych potwierdziło włamanie do ich sieci lub użycie zasobów sieci przez niepowołane osoby; 37% stanowiły instytucje medyczne, a 21% instytucje finansowe. 50% ataków to szpiegostwo gospodarcze (wykradanie informacji biznesowych od konkurencji); 50% badanych nie miało opracowanej Polityki Bezpieczeństwa ochrony informacji ( z pozostałych 50% posiadających zasady ochrony informacji, aż połowa nie stosowała się do nich); 20% badanych nie wiedziało czy zostały zaatakowane czy też nie! Zbigniew Suski 6 Badania Ernst&Young Zbigniew Suski 7 Wojna informatyczna 54% badanych firm poniosło straty w wyniku włamań; 78% firm odnotowało straty z powodu wirusów komputerowych; 42% firm odnotowało niszczące ataki z zewnątrz (destabilizacja systemu jest gorsza w skutkach niż samo włamanie do niego); 25% firm straciło w wyniku włamań ponad 250 tys. dolarów, a 15% ponad 1 mln dolarów. Określa techniki ataku na systemy komputerowe stosowane przez hakerów, szpiegów, terrorystów, wywiad wojskowy. Zbigniew Suski 8 Haker (hacker) Zbigniew Suski 9 Kategorie bezpieczeństwa Osoba, której sprawia przyjemność poznawanie szczegółowej wiedzy na temat systemów komputerowych i rozszerzanie tej umiejętności, w przeciwieństwie do większości użytkowników komputerów, którzy wolą nauczyć się niezbędnego minimum. Osoba, która entuzjastycznie zajmuje się oprogramowaniem i nie lubi teorii dotyczącej tej dziedziny. Guy L.Steele i inni The Hacker s Dictionary Poufność (confidentiality) ochrona danych przed odczytem i kopiowaniem przez osobę nieupoważnioną. Jest to ochrona nie tylko całości danych, ale również ich fragmentów. Spójność danych (integrity) ochrona informacji (również programów) przed usunięciem lub jakimikolwiek nieuprawnionymi zmianami. Np. zapisy systemu rozliczania, kopie zapasowe, atrybuty plików. Dostępność (availability) ochrona świadczonych usług przed zniekształceniem i uszkodzeniem. Zbigniew Suski 10 Zbigniew Suski 11 Opracował: Zbigniew Suski 2

Pomarańczowa Księga (Orange Book) Trusted Computer System Evaluation Criteria (TCSEC) D - Ochrona minimalna (Minimal Protection) C1 - Ochrona uznaniowa (Discretionary Protection) C2 - Ochrona z kontrolą dostępu (Controlled Access Protection) B1 - Ochrona z etykietowaniem (Labeled Security Protection) B2 - Ochrona strukturalna (Structured Protection) B3 - Ochrona przez podział (Security Domains) A1 - Konstrukcja zweryfikowana (Verified Design) Inne kolorowe publikacje Czerwona Księga Trusted Networking Interpretation zawiera kryteria oceny bezpieczeństwa sieci komputerowych Zielona Księga Password Management Guideline zawiera wytyczne dotyczące stosowania i wykorzystania haseł Zbigniew Suski 12 Historia 1983 Trusted Computer System Evaluation Criteria TCSEC - "Orange Book 1990 powołanie zespołu w ramach ISO 1991 Information Technology Security Evaluation Criteria v. 1.2 (ITSEC) (Francja, Niemcy, Holandia, Wielka Brytania) 1993 Canadian Trusted Computer Product Evaluation Criteria v. 3.0 (CTCPEC) łączący cechy ITSEC i TCSEC (Kanada) 1993 Federal Criteria for Information Technology Security v. 1.0 (FC) (USA) Zbigniew Suski 14 Historia cd 2000 :2000 Code of Practice for Information Security Management (Praktyczne zasady zarządzania bezpieczeństwem informacji) 2001 Raport techniczny ISO/IEC 13335TR PN-I 13335-1- Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: terminologia, związki między pojęciami, podstawowe modele Zbigniew Suski 13 Historia cd 1993 organizacje, które opracowały CTCPEC, FC, TCSEC, ITSEC podjęły wspólną pracę w ramach projektu o nazwie Common Criteria (CC) mającego na celu połączeniu ww. standardów. 1996 aprobata ISO dla wersji 1.0 CC (Committee Draft) 1997 wersja beta CC v. 2.0 - podstawa do opracowania normy ISO/IEC 15408 o nazwie Evaluation Criteria for Information Technology Security. 1998 podpisanie umowy o wzajemnym uznawaniu certyfikatów bezpieczeństwa wydawanych na podstawie CC. Zbigniew Suski 15 Common Criteria CC mają na celu wprowadzenie ujednoliconego sposobu oceny systemów informatycznych pod względem bezpieczeństwa. Określają co należy zrobić, aby osiągnąć zadany cel ale nie określają jak to zrobić. CC są katalogiem schematów konstrukcji wymagań związanych z ochroną informacji. CC odnoszą się do produktów programowych i sprzętowych. CC nie zalecają ani nie wspierają żadnej znanej metodyki projektowania i wytwarzania systemów. Zbigniew Suski 16 Zbigniew Suski 17 Opracował: Zbigniew Suski 3

Common Criteria Wynikiem oceny jest dokument stwierdzający: zgodność produktu z określonym profilem ochrony lub, spełnienie określonych wymagań bezpieczeństwa lub, przypisanie do konkretnego poziomu bezpieczeństwa (Evaluation Assurance Level). 2000 Code of Practice for Information Security Management Standard od grudnia 2000 Dotyczy zarządzania a nie techniki Powinna być modyfikowana do lokalnych warunków Zawiera wymagania minimalne, uzgodnione w długiej drodze tworzenia normy, w wielu organizacjach mogą się okazać niewystarczające Będzie standardem w Polsce w 2003 roku Zbigniew Suski 18 Zbigniew Suski 19 Rozdział 3 Polityka zaangażowanie kierownictwa, wskazanie kierunków działania Rozdział 4 Działania organizacyjne przemyślana, sprzyjająca celom struktura organizacyjna, współdziałanie i doskonalenie Rozdział 5 Klasyfikacja i kontrola zasobów świadomość, co należy chronić i gdzie to jest Rozdział 6 Personel świadomość, umiejętności, szkolenie Rozdział 7 Zabezpieczenie fizyczne organizacji i otoczenia ochrona fizyczna organizacji i jej otoczenia Rozdział 8 Zarządzanie działaniem urządzeń sprawność działania urządzeń i usług Rozdział 9 Kontrola dostępu do informacji uniemożliwienie dostępu do informacji przez osoby nieuprawnione, monitorowanie Rozdział 10 Opracowywanie i utrzymywanie systemów informatycznych działanie w sytuacji zmian w oprogramowaniu Zbigniew Suski 20 Zbigniew Suski 21 Raport techniczny ISO/IEC 13335TR Rozdział 11 Zarządzanie ciągłością biznesu działanie w sytuacjach awaryjnych Rozdział 12 Przestrzeganie przestrzeganie przepisów prawa i ustalonych procedur PN-I 13335-1- Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: terminologia, związki między pojęciami, podstawowe modele Zbigniew Suski 22 Zbigniew Suski 23 Opracował: Zbigniew Suski 4

Regulacje prawne w Polsce Ustawa z dn. 22.01.1999 O ochronie informacji niejawnych. Dz. U. z dn. 8.02.1999. Ustawa z dn. 29.08.1997 O ochronie danych osobowych. Dz. U. z dn. 29.10.1997. Rozporządzenie Prezesa Rady Ministrów z dn. 25.02.1999 W sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Dz. U. z dn. 5.03.1999. Rozporządzenie MSWiA z dn. 3.06.1998 W sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Dz. U. z dn. 30.06.1998. Art. 115. Dokumentem jest każdy przedmiot lub zapis na komputerowym nośniku informacji,. Art. 165. Kto sprowadza niebezpieczeństwo dla życia lub zdrowia wielu osób albo dla mienia zakłócając, uniemożliwiając lub w inny sposób wpływając na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. Zbigniew Suski 24 Zbigniew Suski 25 Art. 267. Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne jej szczególne zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat 2. Art. 268. Kto nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat 2. Jeżeli czyn ten dotyczy zapisu na komputerowym nośniku informacji sprawca podlega karze pozbawienia wolności do lat 3. Zbigniew Suski 26 Zbigniew Suski 27 Art. 269. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub organizacji samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. Tej samej karze podlega, kto dopuszcza się takiego czynu, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji. Art. 278. Kto, bez zgody osoby uprawnionej uzyskuje cudzy program komputerowy w celu osiągnięcia korzyści majątkowej podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Art. 287. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przesyłanie informacji lub zmienia, usuwa albo wprowadza nowy zapis na komputerowym nośniku informacji, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. Zbigniew Suski 28 Zbigniew Suski 29 Opracował: Zbigniew Suski 5

Art. 292. Kto, rzecz, o której na podstawie towarzyszących okoliczności powinien i może przypuszczać, że została uzyskana za pomocą czynu zabronionego, nabywa lub pomaga do jej zbycia albo tę rzecz przyjmuje lub pomaga do jej ukrycia, podlega grzywnie, karze ograniczenia wolności albo karze pozbawienia wolności do lat 2 (na mocy Art. 293. 1. przepis ten stosuje się również do programów komputerowych). Ogólne zasady bezpieczeństwa Skuteczność zabezpieczeń zależy od ludzi. Żaden system bezpieczeństwa nie obroni systemu informatycznego, jeżeli człowiek zawiedzie zaufanie. Nie ma bezwzględnej miary bezpieczeństwa. Poziom bezpieczeństwa można mierzyć tylko w odniesieniu do precyzyjnie określonych w tym zakresie wymagań stawianych systemowi. Nie istnieje żaden algorytm, który dla dowolnego systemu ochrony mógłby określić, czy dana konfiguracja jest bezpieczna. System bezpieczeństwa musi być systemem spójnym, tzn. muszą być stosowane łącznie różne metody ochrony, inaczej system bezpieczeństwa będzie posiadał luki. Zbigniew Suski 30 Programowo-sprzętowe metody ochrony Zbigniew Suski 31 Metody ochrony fizycznej stosowanie określonych procedur wytwarzania oprogramowania i sprzętu, stosowanie odpowiedniego oprogramowania systemowego i dodatkowego, stosowanie odpowiednich konfiguracji sprzętowych (UPS, nadmiarowość konfiguracji), stosowanie mechanizmów składowania, szyfrowanie informacji. Kontrola dostępu do obiektów i pomieszczeń Zabezpieczenie przeciw włamaniom Systemy przeciwpożarowe Ma na celu: uniemożliwienie dostępu osobom niepowołanym, wykrycie i zapobieżenie rozprzestrzenianiu się ognia i wody, zapobieganie skutkom przerw w dostawach energii elektrycznej. Zbigniew Suski 32 Urządzenia fizycznej kontroli dostępu Zbigniew Suski 33 Organizacyjne metody ochrony bariery mikrofalowe, bariery podczerwieni, systemy radarowe, wykrywacze zakłóceń w światłowodach sensory wibracyjne podsystemy włamania i napadu sygnalizatory pożaru i zalania systemy telewizji przemysłowej podsystemy kontroli dostępu Regulaminy dla osób korzystających z systemów informatycznych Polityka bezpieczeństwa Polityka zakupu sprzętu i oprogramowania ISO 9001 - Model zapewnienia jakości w projektowaniu, pracach rozwojowych, produkcji, instalowaniu i serwisie. ISO 9002 - Model zapewnienia jakości w produkcji, instalowaniu i serwisie. ISO 9003 - Model zapewnienia jakości w kontrolach i badaniach końcowych Zbigniew Suski 34 Zbigniew Suski 35 Opracował: Zbigniew Suski 6

Wykładnia ISO dla wytwarzania oprogramowania Kadrowe metody ochrony ISO 9000-3 Guideline for the application of ISO 9001 to the development, supplay and maintenance of software PN-ISO 9000-3 Wytyczne do stosowania normy ISO 9001 podczas opracowywania, dostarczania i obsługiwania oprogramowania Sprawdzanie pracowników dopuszczonych do danych o szczególnym znaczeniu Przestrzeganie odpowiednich procedur zwalniania i zatrudniania pracowników, Motywowanie pracowników, Szkolenia. Zbigniew Suski 36 Zasady ustalania zakresu obowiązków Zasada wiedzy koniecznej - prawa muszą wynikać z obowiązków (nic więcej). Zasada minimalnego środowiska pracy - prawo dostępu tylko do pomieszczeń związanych z obowiązkami. Zasada dwóch osób - funkcje, które mogą być wykorzystane do złamania zabezpieczeń, należy podzielić a ich wykonanie przydzielić różnym osobom. Zasada rotacji obowiązków - szczególnie odpowiedzialne funkcje powinny podlegać rotacji. Zbigniew Suski 37 Zbigniew Suski 38 Opracował: Zbigniew Suski 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres