Czy każdy administrator potrafi dobrze zabezpieczyć dane w swoim serwisie? Maciej Kołodziej



Podobne dokumenty
01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Bezpieczeństwo informacji w call center. Jak nim zarządzać? Warszawa, dn. 9 marca 2011 r.

REGULAMIN PORTALU ROLNICZA CHMURA USŁUG. 1 Definicje

Regulamin. 1 Postanowienia ogólne. 2 Definicje

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

POLITYKA PRYWATNOŚCI BE READY CONCIERGE SERVICE

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Polityka prywatności sklepu internetowego

POLITYKA BEZPIECZEŃSTWA

Umowa na przetwarzanie danych

Warsztaty KPRM-MF-MG-MPiPS MRR-MSWiA-MSZ 28 kwietnia 2011 r.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA E-BEZPIECZEŃSTWA

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Szczegółowe informacje o kursach

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Zał. nr 2 do Zarządzenia nr 48/2010 r.

PROGRAM NAUCZANIA KURS ABI

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Pursimiehenkatu 4 A, HELSINKI, Finlandia (FI ).

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

1 Ochrona Danych Osobowych

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Regulamin korzystania z Platformy DEKRA echeck. Postanowienia ogólne. Warunki techniczne

Procedura uzyskania uprawnień przez Operatora, proces weryfikacji oraz wydawanie Kwalifikowanego Podpisu Elektronicznego przez ADS

Regulamin usług świadczonych drogą elektroniczną dla strony

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Marcin Soczko. Agenda

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA PRYWATNOŚCI CZECZELEWSKA DOROTA FIRMA HANDLOWA PANDA

Definicje: Użytkownik w rozumieniu Polityki oznacza osobę fizyczną korzystającą z Serwisu.

Polityka prywatności. Celem niniejszego kompendium jest wyjaśnienie, czym jest polityka prywatności i jakie elementy powinna zawierać.

Oknonet Warunki użytkowania POSTANOWIENIA OGÓLNE

POLITYKA OCHRONY PRYWATNOŚCI

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

POLITYKA PRYWATNOŚCI

Szczegółowe warunki świadczenia drogą elektroniczną usług w zakresie rejestracji szkód.

Użytkownik każda osoba fizyczna, która korzysta ze Sklepu, w tym Klient.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

conjectmi Dane bezpieczeństwa technicznego

Regulamin elektronicznego Biura Obsługi Klienta HANDEN Spółka z o.o. z siedzibą w Warszawie. wprowadzony do stosowania dnia 01 września 2017 r.

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Dane osobowe w data center

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

REGULAMIN. I. Definicje

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

MINDSONAR OCHRONA PRYWATNOŚCI

Polityka Prywatności Serwisu Internetowego Linguo.nl

REGULAMIN KORZYSTANIE Z SYSTEMU SMARTFM.PL

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Regulamin świadczenia usług w programie wszystkoonadcisnieniu.pl

Polityka Prywatności

siedziby: ul. Bonifraterska 17, Warszawa, przetwarza Państwa dane osobowe w

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA PRYWATNOŚCI HOTELU JAKUBOWEGO

Polityka bezpieczeństwa informacji

POLITYKA PRYWATNOŚCI

POLITYKA OCHRONY DANYCH OSOBOWYCH

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA PRYWATNOŚCI. Administrator danych osobowych : Zakres zbieranych danych osobowych :

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Bezpieczeństwo IT w środowisku uczelni

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

Polityka Prywatności

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA PRYWATNOŚCI W SERWISIE SENTIONE.COM

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

System statlook nowoczesne zarządzanie IT w praktyce SPRZĘT * OPROGRAMOWANIE * INTERNET * UŻYTKOWNICY

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH PRZY KORZYSTANIU ZE STRONY INTERNETOWEJ

ZASADY PRZETWARZANIA DANYCH OSOBOWYCH PRZY KORZYSTANIU ZE STRONY INTERNETOWEJ

REGULAMIN Niniejszy Regulamin określa warunki i zasady świadczenia usług drogą elektroniczną polegających na:

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

POLITYKA PRYWATNOŚCI STRONY INTERNETOWEJ

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Transkrypt:

Czy każdy administrator potrafi dobrze zabezpieczyć dane w swoim serwisie? Co administrator powinien robić, aby prowadzić nowoczesny serwis internetowy? Maciej Kołodziej Administrator Bezpieczeństwa Informacji portalu nk.pl Specjalista informatyki śledczej, audytor FHU MatSoft matsoft@pro.onet.pl Katowice, 6 czerwca 2013 Gdzie pojawiają się problemy? Największym zagrożeniem dla systemu komputerowego jest użytkownik działający świadomie lub nieświadomie. Największe zagrożenie dla systemu teleinformatycznego znajduje się wewnątrz organizacji. /84 Skrypt str. 25 1

Cykl życia danych Użytkownika w systemie Gdzie pojawiają się problemy dla IT? Serwis internetowy + infrastruktura IT dostępność w sieci, ochrona, backupy, regulamin (umowa) i polityka ochrony prywatności (opis) Rejestracja Użytkownika bezpieczny formularz z niezbędnymi danymi, zbieranie zgody, notyfikacja, dane połączeń Potwierdzenie danych walidacja treści i kompletności danych, kontrola powtórzeń, mail aktywacyjny Kontrola dostępu hasła: zalecenia dla klienta, skomplikowane dla obsługi, zmiana i przypomnienie, hash+salt, Uprawnienia Użytkownika prywatność, zmiana danych, przekazywanie danych, odwołanie zgody, kontakt z usługodawcą Rozwiązanie umowy usunięcie konta usunięcie danych, okresy przechowywania informacji, odmowa usunięcia /84 Obsługa incydentów zabezpieczenie informacji, retencja, logi z połączeń i aktywności, blokady Notice & Takedown Skrypt str. 25 Projekt Rozporządzenia UE w sprawie ODO najważniejsze zmiany, dla projektanta systemów i administratora Problem udzielenia zgody (formularz elektroniczny) i jej udokumentowania (logi, rejestry, wiarygodność) Przenoszalność danych osobowych (data portability) Prawo do bycia zapomnianym (system produkcyjny i archiwa) Analiza ryzyka przetwarzania danych (audyty, decyzje biznesowe) Obowiązki informacyjne (czyli miejsce na beletrystykę) Pseudonimizacja vs anonimizacja danych osobowych Weryfikacja wieku usługobiorcy 2

Rejestracja zdarzeń czyli kiedy logi okazują się przydatne Logi dla administratora czy jako dokumentacja pracy systemu? Jak powinny wyglądać logi? Data, czas, ścieżka adresów IP Dane z transmisji HTTP REMOTE_ADDR - adres IP z którego klient łączy się z serwerem/serwisem HTTP_X_FORWARDED_FOR - nagłówek X-Forwarded-For HTTP_X_FORWARDED - nagłówek X-Forwarded HTTP_CLIENT_IP - nagłówek Client-IP HTTP_VIA - nagłówek Via SERVER_ADDR - adres IP serwera, na który klient wysyła żądanie /84 Skrypt str. 25 Zarządzanie dostępem Kontrola korzystania z aplikacji Uwaga na Cross-Site Request Forgery (CSRF lub XSRF) - to mało znana i dość rzadko opisywana metoda ataku na aplikacje polegająca na podszywaniu się pod użytkownika i wykonywaniu w jego imieniu operacji w serwisie lub aplikacji Ze względu na zagrożenia związane z dużym zaufaniem aplikacji do obsługi (użytkowników) zalecane jest aby okresowo, w sposób inicjowany przez aplikację, odbywała się kontrola uprawnień do korzystania z aplikacji Gdy jest to możliwe, należy odseparować od siebie systemy przetwarzające dane, a informacje udostępniać jedynie w niezbędnym, żądanym zakresie. Każdy system powinien mieć własne mechanizmy kontroli dostępu i uprawnień, aby zapobiec aktywności na zaufanego sąsiada 3

Jak sprawdzić użytkownika i jego uprawnienia czyli model AAA+A Ważna jest weryfikacja osób pragnących skorzystać z systemu Autentykacja, Autoryzacja, Accounting + Auditing Kto?, Do czego jest uprawniony?, Co zrobił? + Kontrola Weryfikacja może się odbywać w oparciu o trzy rodzaje kryteriów: coś, co masz klucze, karty magnetyczne coś, co wiesz PIN, hasła, poufne dane coś, kim jesteś metody biometryczne Hasła nietrywialne, często zmieniane, niezapisywane Problem bezpieczeństwa nośnika informacji zawierającej hasła lub wzorce wykorzystywane przy identyfikacji użytkownika i jego uprawnień Problem kopert z hasłami są przydatne, gdy zawiedzie człowiek Kompleksowe rozwiązania archiwizacyjne Czyli o czym nie powinno się zapominać BACKUP czyli zabezpieczamy dane RESTORE czyli odzyskujemy dane CONTROL czyli sprawdzamy czy to działa Problemy, najczęstsze błędy: Nawet najlepsi architekci zapominają o uwzględnieniu w projektach kopii zapasowych Kopie zapasowe przechowywane są razem z oryginałami Jedni backupy wykonują, inni będą wykonywać, tylko niektórzy sprawdzają czy to działa. Wielu administratorów bezgranicznie wierzy brakom błędów w logach Regularna kontrola funkcjonowania mechanizmów to nieuzasadnione wydatki? Kopiowane są tylko dane, bez aplikacji i systemów. 4

Szyfrowanie transmisji - Przekazywanie danych bezpieczne kanały dostępu oraz transmisji danych Komunikacja Przepływ informacji wewnątrz organizacji (sieć lokalna, intranet, sieć serwerowni), Obsługa użytkowników mobilnymi (vpn, tunele ssl, callback), Komunikacja z partnerami (extranet), Udostępnianie informacji w sieci Internet (szyfrowanie, tunelowanie) Dostęp do danych Ochrona bazująca na modelach AAA+ Mechanizmy API (w tym Social API) Pojedyncze logowanie (Single Sign-on) Push i pull, czyli otrzymywanie lub pobieranie informacji Nadzór nad urządzeniami przenośnymi Usuwanie przechowywanej informacji w przypadku utraty lub nieużywania urządzenia Dużą popularność, oprócz komputerów przenośnym, zdobywają urządzenia spełniające funkcje biurowe, w tym urządzenia prywatne użytkowników Bring Your Own Device Ze względu na utrudnione zarządzanie i brak możliwości stałego nadzoru zalecane jest aby urządzenia przenośne zostały skonfigurowane tak, aby w przypadku utraty urządzenia nie doszło do: naruszenia integralności danych służbowych utraty danych osobowych lub innych informacji przetwarzanych na komputerze zagrożenia nieuprawnionego dostępu do danych narażenia użytkownika na kradzież tożsamości i podszywanie się innej osoby Zalecane jest stosowanie oprogramowania umożliwiającego automatyczne usunięcie wskazanych informacji z utraconego (lub nieużywanego przez określony czas) komputera lub urządzenia. 5

Obsługa użytkowników i reakcja na incydenty Systemy CRM, obsługa zgłoszeń, rejestracja problemów Obowiązujące przepisy nakładają na Administratorów Danych Osobowych oraz na Przedsiębiorców świadczących usługi z wykorzystaniem Nowych Technologii szereg obowiązków dotyczących obsługi klientów i terminowego reagowania na zgłaszane wnioski i zastrzeżenia związane z przetwarzanymi danymi lub usługami. Nie jest to wymóg formalny, ale dobra praktyka, aby stosować oprogramowanie do obsługi klientów, obiegu korespondencji i dokumentów oraz prowadzić ewidencję incydentów bezpieczeństwa lub zgłaszanych usterek w świadczonych usługach. Informacje te pozwalają na czas i z odpowiednią bazą wiedzy wypełniać obowiązki i dbać o system informatyczny. Systemy obsługi klienta i punkt kontaktowy dla zgłaszania incydentów Przeznaczenie danych zamiast do archiwum, trafiają do okrągłych segregatorów Wydruki, płyty CD, notatki, dyski trafiają do śmietnika Aby dotrzeć do tego informatycznego zasobu nie trzeba się włamywać, ani przechodzić obok ochrony Ostatecznie zawsze można poczekać, aż zostaną wywiezione na wysypisko /84 6

Na co należy zwrócić największą uwagę? Szpieg/Hacker Zakłócanie Analiza Podsłuch Beztroska Przeciążenie Jak zapobiegać powstawaniu problemów? Zabezpieczać Filtrować i weryfikować Chronić Szyfrować Szkolić Porządkować Kontrolować 7

Niektóre z obowiązujących przepisów WiFi Szpieg/Hacker Art. 267 par. 1 KK Kto uzyska dostęp do informacji przełamując lub omijając zabezpieczenia Analiza Art. 267 par. 2 KK Kto bez uprawnienia uzyska dostęp do całości lub części systemu informatycznego Niektóre z obowiązujących przepisów Art. 267 par. 3 KK Kto w celu uzyskania informacji, do której nie jest uprawniony, posługuje się oprogramowaniem Podsłuch Art. 269b par 1. KK Kto wytwarza, pozyskuje, zbywa lub udostępnia urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. {}, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej 8

Niektóre z obowiązujących przepisów Zakłócanie Art. 268a par. 1 KK Kto, nie będąc do tego uprawniony, utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych Art. 285 par 1. KK Kto, włączając się do urządzenia telekomunikacyjnego, uruchamia na cudzy rachunek impulsy telefoniczne Niektóre z obowiązujących przepisów Art. 212 Kodeksu Karnego - pomówienie Art. 216 Kodeksu Karnego - znieważenie Art. 190a Kodeksu Karnego - stalking, nękanie, podszywanie się Art. 18 ust. 6 Ustawy o Świadczeniu Usług Drogą Elektroniczną - udzielenie informacji Art. 23 ust. 1.5 Ustawy o Ochronie Danych Osobowych - przetwarzanie i wydanie danych Art. 488 par. 1 Kodeksu Postepowania Karnego - tryb prywatnoskargowy Ustawa Prawo Telekomunikacyjne, Ustawa o Ochronie Baz Danych, Ustawy Skarbowe, Ustawa o Prawie Autorskim i Prawach Pokrewnych, przepisy branżowe 9

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres