Ochrona danych i bezpieczeństwo informacji



Podobne dokumenty
Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Amatorski Klub Sportowy Wybiegani Polkowice

Krzysztof Świtała WPiA UKSW

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Polityka bezpieczeństwa przetwarzania danych osobowych

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Marcin Soczko. Agenda

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W W FIRMIE MIROSŁAWA BANDYK PROWADZĄCEGO DZIAŁALNOŚĆ GOSPODARCZĄ POD NAZWĄ BUD MI-K F.R.B.

Informatyka w kontroli i audycie

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Promotor: dr inż. Krzysztof Różanowski

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Bezpieczeństwo teleinformatyczne danych osobowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA DANYCH

W dokumencie tym przedstawione zostaną:

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

SYLABUS/KARTA PRZEDMIOTU

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa przetwarzania danych osobowych w SCANIX Sp. z o.o. w restrukturyzacji

POLITYKA BEZPIECZEŃSTWA

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Maciej Byczkowski ENSI 2017 ENSI 2017

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

Bezpieczeństwo danych w sieciach elektroenergetycznych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Rozdział I Zagadnienia ogólne

Inteligentne systemy transportowe

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Technologia informacyjna

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA. zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Polityka Bezpieczeństwa ochrony danych osobowych

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA E-BEZPIECZEŃSTWA

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka bezpieczeństwa przetwarzania danych osobowych

Opracowanie: Elżbieta Paliga Kierownik Biura Audytu Wewnętrznego Urząd Miejski w Dąbrowie Górniczej

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

w Publicznym Przedszkolu Nr 7 im. Pszczółki Mai w Pile

Wymogi wstępne dotyczą wiedzy pobranej przez studentów na przedmiotach: Systemy operacyjne, oraz Sieci komputerowe i Internet

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa przetwarzania danych osobowych w Fundacji Gospodarczej Euro Partner

POLITYKA BEZPIECZEŃSTWA INFORMACJI

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

Transkrypt:

Ochrona danych i bezpieczeństwo informacji Dr inż. Janusz Dudziak Ochrona danych i bezpieczeństwo informacji Literatura: 1. Kutyłowski, Mirosław; Strothmann, Willy-B, Kryptografia : teoria i praktyka zabezpieczania systemów komputerowych; Oficyna Wydawnicza Read Me, Warszawa 1998 2. Stallings, William Cryptography and Network Security Principles and Practices; Prentice Hall 2005 (Stallings, William; Ochrona danych w sieci i intersieci : W teorii i praktyce Wydawnictwo Naukowo-Techniczne 1997) 3. Niels Ferguson, Bruce Schneier; Kryptografia w praktyce; Helion 2004 4. Stokłosa, Janusz i innni; Ochrona danych i zabezpieczenia w systemach teleinformatycznych Wydawnictwo Politechniki Poznańskiej 2003 5. Ahuja, Vijay. w sieciach; Mikom 1997 6. Molski, Marian. Elementarz bezpieczeństwa systemów informatycznych Mikom 2002 7. Anderson, Ross Inżynieria zabezpieczeń Wydawnictwo Naukowo-Techniczne 2005 bezpieczeństwo 1

bezpieczeństwo to proces, nie produkt Bruce Schneier Ochrona danych i bezpieczeństwo informacji Podstawowe pojęcia. bezpieczeństwo 2

Informacja* (łac. informatio przedstawienie, wizerunek; informare kształtować, przedstawiać) termin interdyscyplinarny, definiowany różnie w różnych dziedzinach nauki; najogólniej właściwość pewnych obiektów relacja między elementami zbiorów pewnych obiektów, której istotą jest zmniejszanie niepewności (nieokreśloności) *Wikipedia Dane* Wg Gadomskiego metateorii TOGA dane są zdefiniowane tak: wszystko co jest/może być przetwarzane umysłowo lub komputerowo... W tym sensie dane są pojęciem relatywnym, istnieją tylko razem z pojęciem przetwarzania danych i mogą przyjmować takie postaci jak: znaki, mowa, wykresy i sygnały. Różne dane mogą dostarczać tę samą informację, ale jednocześnie te same dane mogą też dostarczać różnych informacji. Z drugiej strony, np. zbiory liczb czy wyrazów mogą być danymi, ale jeśli nie wiemy, co reprezentują, to nie są informacjami. *Wikipedia bezpieczeństwo 3

Za filary bezpieczeństwa uważa się Szerszym pojęciem jest pojęcie wiarygodności systemu. System jest wiarygodny, jeżeli jest dyspozycyjny (available) = dostępny na bieżąco niezawodny (reliable) = odporny na awarie bezpieczny (secure) = zapewniający ochronę danych bezpieczny (safe) = bezpieczny dla otoczenia, przyjazny dla środowiska bezpieczeństwo 4

w rozumieniu normy PN ISO/IEC 17799:2007 BEZPIECZEŃSTWO INFORMACJI oznacza jej ochronę przed szerokim spektrum zagrożeń w celu zapewnienia ciągłości działania, minimalizacji ryzyka i maksymalizacji zwrotu z inwestycji oraz możliwości biznesowych. PN ISO/IEC 13335-1:1999 BEZPIECZEŃSTWO SYSTEMU INFORMATYCZNEGO wszystkie aspekty związane z definiowaniem, osiąganiem i utrzymywaniem poufności, integralności oraz dostępności. Wymaga się również niezaprzeczalności, rozliczalności, autentyczności i niezawodności informacji i systemów, w których są one przetwarzane. integralność danych - właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany. integralność systemu - właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej niezaprzeczalność - brak możliwości wyparcia się swojego uczestnictwa w całości lub części wymiany danych przez podmiot uczestniczący w tej wymianie rozliczalność właściwość - zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. autentyczność - właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak deklarowana. Dotyczy takich podmiotów jak użytkownicy, procesy, systemy i informacja Niezawodność - własność oznaczająca spójne, zamierzone zachowanie i skutki PN ISO/IEC 13335-1:1999 bezpieczeństwo 5

Czynności wykonywane w systemie informacyjnym Gromadzenie Przechowywanie Aktualizacja Przetwarzanie Udostępnianie Przekazywanie Pozyskiwanie nowej wiedzy w oparciu o posiadane dane Cele wdrażania systemu informacyjnego w przedsiębiorstwie ułatwianie gromadzenia informacji niezbędnych do funkcjonowania danego procesu, usprawnianie analizy zebranych danych i informacji, możliwość przekształcenia nieustrukturalizowanego procesu w rutynowo przebiegającą transakcję, ułatwienie wprowadzania zmian w kolejności przebiegu procesu, umożliwienie łatwego dostępu do zasobów wiedzy i ekspertyz oraz ich swobodnego transferu, umożliwienie eliminacji zbędnych pośredników z procesu, umożliwienie łatwego monitorowania przebiegu zarówno całego procesu, jak i jego poszczególnych elementów, możliwość zastępowania czynnika ludzkiego w procesie lub też zmniejszanie jego udziału. bezpieczeństwo 6

Elementy systemu informatycznego Podstawowe źródła pozyskiwania informacji do określenia przez organizację swoich wymagań bezpieczeństwa informacji: Szacowanie ryzyka dotyczącego instytucji; Zbiór wymagań prawnych, statutowych, regulacyjnych i kontraktowych; Istniejący, specyficzny dla danej organizacji zbiór zasad, celów i wymagań dotyczących przetwarzania informacji. bezpieczeństwo 7

danych jest pochodną przyjętej polityki bezpieczeństwa Polityka bezpieczeństwa Polityka bezpieczeństwa stanowi element polityki biznesowej firmy. Jest to szeroko rozumiany plan działania, przyjęty w celu ochrony danych (i systemów je przetwarzających) realizowany jako skutek decyzji administracyjnych. Realizacja polityki bezpieczeństwa podlega oczywistym etapom: zaprojektowanie, zaimplementowanie, zarządzanie (w tym monitorowanie i okresowe audyty). bezpieczeństwo 8

Stosowane są dwa podejścia Co nie jest zabronione, jest dozwolone Co nie jest dozwolone, jest zabronione Modele bezpieczeństwa używają pojęcia Podmiotu jest to użytkownik lub proces działający w jego imieniu Obiektu jest tu element stanowiący element wyboru i operowania na nim. bezpieczeństwo 9

Zarówno obiekty jak i podmioty podlegają identyfikacji. Identyfikator jest elementem informującym o niepotwierdzonej tożsamości. Potwierdzenie tożsamości uzyskuje się na drodze uwierzytelnienia. Jest to proces polegający na sprawdzeniu, czy jednostka (podmiot lub obiekt) jest tym, za kogo się podaje. Wyróżnia się cztery podstawowe aspekty bezpieczeństwa danych: spójność: dotyczy baz danych i oznacza spełnienie warunków określonych w definicji bazy. bezpieczeństwo 10

zagrożenia (treats) Strategia bezpieczeństwa zagrożenia (treats) Strategia bezpieczeństwa źródło Wewnętrzne Zewnętrzne Celowość Przypadkowe Celowe Rodzaj Sprzęt ludzie bezpieczeństwo 11

Strategia bezpieczeństwa zagrożenia Losowe - środowisko Powodowane przez człowieka przypadkowe celowe pioruny wilgotność zanieczyszczenie powietrza zakłócenia w zasilaniu zakłócenia w łączności temperatura klęski żywiołowe awarie sprzętu pomyłkowe skasowanie pliku, pomyłkowe skierowanie wiadomości do niewłaściwego adresata, błędne oznaczenie połączeń kablowych, błędna interpretacja zdarzeń przez administratora, wypadki podszywanie się uniemożliwienie działania (DoS) usuwanie informacji ujawnianie zabezpieczeń zaprzeczenie wysłania lub odbioru podsłuch Awarie sprzętu. Zwykle są skutkiem błędów projektowych, wad produkcyjnych, temperatury, nadmiernej wilgotności, szkodliwych gazów, ładunków elektrostatycznych, pola elektromagnetycznego, nieprawidłowego napięcia zasilającego, drgań i wstrząsów. bezpieczeństwo 12

Nośniki danych. Trwałość zależy od: Technologii produkcji Jakość Warunki pracy Warunki przechowywania i transportu. Trwałość nośników papierowych to ok. 100lat, nośników magnetycznych i optycznych 10-30! Emisja ujawniająca Pracujące urządzenia elektroniczne emitują promieniowanie elektromagnetyczne, które może być odbierane, zapisywane i przetwarzane przez specjalne urządzenia. Możliwe jest np. zdalne odtworzenie obrazu z monitora ekranowego bezpieczeństwo 13

Strategia bezpieczeństwa zagrożenia Powodowane przez człowieka wewnętrzne zewnętrzne akty wewnętrznego sabotażu, kradzież informacji, błędy użytkowników niedbalstwo, nieprawidłowe stosowanie mechanizmów bezpieczeństwa podszywanie się ataki inżynieria społeczna wirusy Konie trojańskie Wirusy komputerowe programy potrafiące się rozmnażać, zakażać poprzez sieć lub nośniki danych, dopisujące się do danych i uruchamiające się w sobie tylko znanych celach. Odmiany: Wirusy Bakterie Robaki Bomby logiczne Konie trojańskie bezpieczeństwo 14

W roku 2006 57% firm doświadczyło problemów z wirusami komputerowymi, 34% z robakami, 18% padło ofiarą ataków DoS, 9% doświadczyło włamań sieciowych, a 8% padło ofiarą kradzieży tożsamości InformationWeek bezpieczeństwo 15

Internet Crime Complaint Center's (IC3) bezpieczeństwo 16

3000 2500 2000 1500 1000 500 0 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 Ilość zgłaszanych incydentów ogółem Serie1 bezpieczeństwo 17

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres