Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Podobne dokumenty
Bezpieczeństwo systemów komputerowych

Bezpieczeństwo systemów komputerowych

Podstawy komunikacji sieciowej

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Technologia informacyjna

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

W dokumencie tym przedstawione zostaną:

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

POLITYKA E-BEZPIECZEŃSTWA

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Kopia zapasowa i analiza zagrożeń

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W ZESPOLE SZKÓŁ NR 1 IM. STANISŁAWA STASZICA W KUTNIE

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

KONFERENCJA. Bezpieczeństwo systemów informatycznych

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Bezpieczeństwo systemów informatycznych. Główne czynniki jakości systemu informacyjnego:

DZIEŃ BEZPIECZNEGO KOMPUTERA

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Bezpieczeństwa ochrony danych osobowych

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

PARTNER.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. w Zespole Szkół nr 1 im. Melchiora Wańkowicza w Błoniu

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Reforma ochrony danych osobowych RODO/GDPR

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. MARII KONOPNICKIEJ W HARKABUZIE

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Zał. nr 2 do Zarządzenia nr 48/2010 r.

ZARZĄDZENIE NR WÓJTA GMINY ŁĘCZYCE z dnia 31 października 2016 r.

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Czy technologie XX wieku mają szanse z cyberprzestępczością XXI wieku?

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

ISO bezpieczeństwo informacji w organizacji

sprawdzonych porad z bezpieczeństwa

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

PROCEDURY BEZPIECZNEJ EKSPLOATACJI NAZWA SYSTEMU WERSJA.(NUMER WERSJI DOKUMENTU, NP. 1.0)

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

1. Zakres modernizacji Active Directory

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Szczegółowe informacje o kursach

REKTORA UNIWERSYTETU RZESZOWSKIEGO z dnia r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Informatyka w kontroli i audycie

Samodzielny audit z zakresu ochrony danych osobowych oraz przygotowanie do kontroli z Biura Generalnego Inspektora Ochrony Danych Osobowych

Wykład 1 Inżynieria Oprogramowania

Wprowadzenie do Kaspersky Value Added Services for xsps

System Zarządzania Bezpieczeństwem Informacji. Na podstawie materiałów ISO27001Security Opracował Tomasz Barbaszewski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

ISO nowy standard bezpieczeństwa. CryptoCon,

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Karkonoskiej Państwowej Szkole Wyższej w Jeleniej Górze

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITECHNIKA KOSZALIŃSKA. Regulamin dostępu do sieci Internet Dział Domów Studenckich Politechniki Koszalińskiej

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Przykładowa lista zagroŝeń dla systemu informatycznego

Transkrypt:

Bezpieczeństwo danych i systemów informatycznych Wykład 1

1. WPROWADZENIE 2

Bezpieczeństwo systemu komputerowego System komputerowy jest bezpieczny, jeśli jego użytkownik może na nim polegać, a zainstalowane oprogramowanie działa zgodnie ze swoją specyfikacją. 3

Wiarygodność systemu 4

Bezpieczeństwo SI jest ważne bo: Systemy informatyczne (SI) są niezbędne do funkcjonowania współczesnej cywilizacji Trudno jest zbudować SI bezpieczny i niezawodny Procedury bezpieczeństwa wiążą się zwykle z niewygodą użytkowników i kosztami 5

Zagrożenia bezpieczeństwa Celowe (chęć zysku, uznania, zemsta) lub przypadkowe (nieświadomość użytkownika, zaniedbania, naiwność, wady sprzętu i oprogramowania) Z zewnątrz systemu () lub od środka (użytkownicy autoryzowani do korzystania) 6

Działania przeciw bezpieczeństwu komputerowemu 1. Włamanie do SI 2. Nieuprawnione pozyskanie informacji 3. Destrukcja danych lub systemów 4. Sabotaż SI (uniemożliwienie pracy) 5. Piractwo komputerowe, kradzież oprogramowania 6. Oszustwo komputerowe i fałszerstwo komputerowe 7. Szpiegostwo komputerowe 7

Jurysdykcja w Polsce (m.in.) Artykuły 267-269 kk (Kodeksu Karnego) Artykuł 287 kk Ścigane zazwyczaj na wniosek pokrzywdzonego, a nie z oskarżenia publicznego 8

Komponenty SI w kontekście bezpieczeństwa Stanowisko komputerowe Infrastruktura sieciowa System Operacyjny (SO) i usługi narzędziowe Aplikacje użytkowe 9

2. OGÓLNE ZASADY KONSTRUKCJI ZABEZPIECZEŃ 10

Nie istnieje bezpieczeństwo absolutne nie da się przewidzieć wszystkich możliwych zagrożeń zabezpieczać należy z wyprzedzeniem Szybki rozwój technologii powoduje powstawanie nowych zagrożeń i możliwości ataku 11

Napastnik zazwyczaj nie pokonuje zabezpieczeń, ale ich unika Atak na aktywny mechanizm bezpieczeństwa zwykle jest czasochłonny i niebezpieczny (łatwy do wykrycia, pozostawia ślady) Tańsze i szybsze jest znalezienie luki w zabezpieczeniach Większość ataków przeprowadzanych jest od środka (przez autoryzowanych użytkowników systemu, którzy przekraczają swoje uprawnienia) 12

Nie należy pokładać zaufania w jednej linii obrony Jedne (nawet najmocniejsze) zabezpieczenie może zostać ominięte czy dezaktywowane Powinno się konstruować wiele linii obrony (zabezpieczeń broniących tego samego aspektu SI) 13

Złożoność jest wrogiem bezpieczeństwa Skomplikowane systemy są trudne do opanowania i analizy Modularna konstrukcja ułatwia kontrolę nad SI, również w aspekcie bezpieczeństwa 14

Brak oznak ataku nie oznacza, że system jest bezpieczny Wykrycie ataku zwykle jest trudne Ewentualne oznaki ataku pojawiają się zwykle dopiero po jego zakończeniu, kiedy ponieśliśmy straty np. dezaktywacja składników SI, utracone dane, utracona reputacja 15

Mechanizmy bezpieczeństwa ograniczają wygodę użytkowników Użytkownicy zwykle nie są zainteresowani bezpieczeństwem, ale efektywnością i wygodą pracy Mechanizmy bezpieczeństwa stanowią tu przeszkodę (np. konieczność wielokrotnego wpisywania hasła, przeciągania identyfikatorem przy przechodzeniu przez drzwi, autoryzacji co ważniejszych transakcji, itp.) 16

3. STRATEGIA BEZPIECZEŃSTWA 17

Strategia bezpieczeństwa Określa: 1. Co chronić? 2. Przed czym chronić? 3. Jakie koszty opłaca się ponieść na ochronę? 18

1. Co chronić? 1. Sprzęt komputerowy 2. Infrastruktura sieciowa 3. Wydruki 4. Dane o znaczeniu strategicznym 5. Kopie zapasowe 6. Wersje instalacyjne oprogramowania 7. Dane osobowe 8. Dane audytu 9. Zdrowie pracowników 10. Prywatność pracowników 11. Zdolności produkcyjne 12. Wizerunek publiczny i reputacja organizacji 19

2. Przed czym chronić? 1. Włamywacze komputerowi 2. Infekcje wirusami 3. Destruktywność pracowników oraz personelu zewnętrznego (np. firmy sprzątającej, kominiarza) 4. Błędy w programach 5. Kradzież dysków przenośnych, laptopów 6. Utrata łączy komunikacyjnych 7. Bankructwo producenta sprzętu lub firmy serwisowej 8. Choroba administratora, kierownika (jednoczesna choroba/nieobecność wielu osób) 9. Klęski żywiołowe (pożar, powódź, trzęsienie ziemi, trąby powietrzne) 20

3. Jakie koszty opłaca się ponieść na ochronę? Wdrażanie i używanie mechanizmów bezpieczeństwa wiąże się z kosztami Chronione zasoby posiadają swoją wartość (można je odtworzyć lub zastąpić ponosząc określone koszty) Wybór stosowanych mech. bezp. wymaga więc oszacowania ryzyka i analizy kosztów 21

Polityka bezpieczeństwa Polityka bezpieczeństwa formalny dokument opisujący strategię bezpieczeństwa firmy Etapy tworzenia: 1. Projektowanie 2. Implementacja 3. Zarządzanie, monitorowanie i konserwacja 22

Zakres tematyczny polityki bezpieczeństwa (PB) Definicja celu i misji PB Wskazanie standardów i wytycznych, które są przestrzegane Wskazanie zadań do wykonania Przydzielenie zakresów odpowiedzialności (przyporządkowanie zadań określonym stanowiskom) 23

Specyfikacja środków PB Ochrona fizyczna Polityka proceduralno-kadrowa Mechanizmy techniczne 24

Normy i zalecenia zarządzania bezpieczeństwem Najważniejsza: ISO/IEC TR 13335 (ratyfikowana w Polsce jako PN-I-13335): Terminologia i modele Metodyka planowania i prowadzenia analizy ryzyka, specyfikacja wymagań stanowisk pracy Techniki zarządzania bezpieczeństwem Metodyka doboru zabezpieczeń Zabezpieczanie połączeń z sieciami zewnętrznymi i wiele innych norm 25

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres