Bezpieczeństwo systemów informatycznych. Główne czynniki jakości systemu informacyjnego:

Podobne dokumenty
Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Polityka bezpieczeństwa informacji Główne zagadnienia wykładu

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ISO bezpieczeństwo informacji w organizacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA E-BEZPIECZEŃSTWA

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Dz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW

Promotor: dr inż. Krzysztof Różanowski

Prezentacja specjalności studiów II stopnia. Inteligentne Technologie Internetowe

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Bezpieczeństwo systemu informatycznego banku. Informatyka bankowa, WSB w Poznaniu, dr Grzegorz Kotliński

Wybrane przestępstwa komputerowe w kodeksie karnym z dnia 2 sierpnia 1997r. (na podstawie komentarza dr Andrzeja Adamskiego)

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Co to jest bezpieczeństwo?

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Krzysztof Świtała WPiA UKSW

Polityka Bezpieczeństwa ochrony danych osobowych

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Marcin Soczko. Agenda

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Kryteria oceny Systemu Kontroli Zarządczej

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Zastosowania PKI dla wirtualnych sieci prywatnych

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Realizacja zasady integralności danych w zatrudnieniu zgodnie z podejściem PbD

Wprowadzenie do systemów informacyjnych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Warszawa, dnia 28 czerwca 2012 r. Poz. 93

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Szkolenie otwarte 2016 r.

ZARZĄDZANIE SIECIAMI TELEKOMUNIKACYJNYMI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

PARTNER.

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Kompleksowe Przygotowanie do Egzaminu CISMP

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

POLITYKA BEZPIECZEŃSTWA

Jak zorganizować skuteczne bezpieczeństwo informacyjne w szkole?

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

INSTRUKCJA. Rozdział 5 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Kopia zapasowa i analiza zagrożeń

System Zarządzania Bezpieczeństwem Informacji. Na podstawie materiałów ISO27001Security Opracował Tomasz Barbaszewski

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Bezpieczeństwo informacji w systemach komputerowych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

Regulamin Strony Internetowej spółki ENGIE Zielona Energia Sp. z o.o. ( Regulamin )

Wykład 1 Inżynieria Oprogramowania

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

DOKUMENTACJA SYSTEMU ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI URZĘDU MIASTA KĘDZIERZYN-KOŹLE

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA

PISMO OKÓLNE. Nr 8/2013. Rektora Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. z dnia 30 sierpnia 2013 r.

Transkrypt:

Bezpieczeństwo systemów informatycznych Główne czynniki jakości systemu informacyjnego: apoprawność określa, czy oprogramowanie wypełnia postawione przed nim zadania i czy jest wolne od błędów. a Łatwość użycia jest miarą stopnia łatwości korzystania z oprogramowania. aczytelność pozwala na określenie wysiłku niezbędnego do zrozumienia oprogramowania. aponowne użycie charakteryzuje przydatność oprogramowania, całego lub tylko pewnych fragmentów, do wykorzystania w innych produktach programistycznych. a Stopień strukturalizacji (modularność) określa, jak łatwo oprogramowanie daje się podzielić na części o dobrze wyrażonej semantyce i dobrze wyspecyfikowanej wzajemnej interakcji. aefektywność opisuje stopień wykorzystania zasobów sprzętowych i programowych stanowiących podstawę działania oprogramowania. aprzenaszalność mówi o łatwości przenoszenia oprogramowania na inne platformy sprzętowe czy programowe. askalowalność opisuje zachowanie się oprogramowania przy rozroście liczby użytkowników, objętości przetwarzanych danych, dołączaniu nowych składników, itp. a Współdziałanie charakteryzuje zdolność oprogramowania do niezawodnej współpracy z innym niezależnie skonstruowanym oprogramowaniem. Jakość systemu informatycznego można rozważać w różnych aspektach 1

Bezpieczeństwo systemu komputerowego stan systemu komputerowego, w którym ryzyko urzeczywistnienia się zagrożeń związanych z jego funkcjonowaniem jest ograniczone do akceptowalnego poziomu. Klasyfikacja zagrożeń: - ze względu na charakter przyczyny: a) świadoma i celowa działalność człowieka - chęć rewanżu, szpiegostwo, wandalizm, terroryzm, chęć zaspokojenia własnych ambicji b) wydarzenie losowe - błędy i zaniedbania ludzkie, awarie sprzętu i oprogramowania, temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia w zasilaniu, klęski żywiołowe, wyładowania atmosferyczne, katastrofy - ze względu na umiejscowienie źródła zagrożenia a) wewnętrzne - mające swoje źródło wewnątrz organizacji użytkującej system informacyjny b) zewnętrzne - mające swoje źródło na zewnątrz organizacji (poprzez sieć komputerową, za pośrednictwem wirusów komputerowych) Sposoby budowy wysokiego poziomu bezpieczeństwa systemu: Typy najczęściej spotykanych zagrożeń w sieci komputerowej: - fałszerstwo komputerowe, - włamanie do systemu, czyli tzw. hacking, - oszustwo, a w szczególności manipulacja danymi, - manipulacja programami, - oszustwa, jakim są manipulacje wynikami, - sabotaż komputerowy, - piractwo, - podsłuch, - niszczenie danych oraz programów komputerowych, Klasyfikacja ataków na systemy komputerowe: atak fizyczny, atak przez uniemożliwienie działania, atak przez wykorzystanie tylnego wejścia, atak poprzez błędnie skonfigurowaną usługę, atak przez aktywne rozsynchronizowanie tcp, Na tworzenie warunków bezpieczeństwa systemów komputerowych w firmie składają się działania techniczne i działania organizacyjne. 2

Techniki stosowane dla zachowania bezpieczeństwa przetwarzania informacji: Bezpieczne algorytmy realizacji transakcji w sieciach komputerowych oparte są na kryptografii. Najczęściej stosowanymi algorytmami kryptograficznymi z kluczem jawnym, mającymi na celu ochronę danych podczas transmisji internetowych wykorzystywanych w handlu elektronicznym, są algorytmy: - RSA - ElGamala Etapy przygotowania strategii zabezpieczeń: a) Sprecyzowanie, co i przed czym mamy chronić, czyli określenie zasobów chronionych i zagrożeń. b) Określenie prawdopodobieństwa poszczególnych zagrożeń. c) Określenie zabezpieczeń, czyli, w jaki sposób chronimy zasoby. d) Ciągłe analizowanie SI i zabezpieczeń w celu aktualizacji procedur zabezpieczających poprawiania jego ewentualnych błędów. Atrybuty systemu informacyjnego, wynikające z wymogu jego bezpieczeństwa: Dostępność - system i informacje mogą być osiągalne przez uprawnionego użytkownika w każdym czasie i w wymagany przez niego sposób. Poufność - informacje ujawniane są wyłącznie uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób. Prywatność - prawo jednostki do decydowania o tym, w jakim stopniu będzie się dzielić z innymi swymi myślami, uczuciami i faktami ze swojego życia osobistego. 3

Integralność - cecha danych i informacji oznaczająca ich dokładność i kompletność oraz utrzymanie ich w tym stanie. Uwierzytelnianie osób zagwarantowanie, że osoba korzystająca z systemu jest rzeczywiście tą, za którą się podaje. Uwierzytelnianie informacji zagwarantowanie, że informacja rzeczywiście pochodzi ze źródła, które jest w niej wymienione. Niezaprzeczalność brak możliwości zaprzeczenia faktowi wysłania lub odebrania informacji. Pamiętajmy, że zagadnieniom bezpieczeństwa systemów informatycznych poświęcone są liczne normy i standardy (polskie i międzynarodowe): PN-I-13335-1:1999, PN-ISO/IEC 17799:2003, ISO/IEC JTC 1-SC27, ISO/IEC JTC 1-SC6... i wiele innych. Zasoby systemu informacyjnego zapewniające jego prawidłowe i bezpieczne funkcjonowanie: ludzkie - potencjał wiedzy ukierunkowany na rozwiązywanie problemów systemu; użytkownicy pełniący role nadawców i odbiorców informacji oraz adresaci technologii informacyjnych; informacyjne - zbiory danych przeznaczone do przetwarzania (bazy danych, metod, modeli, wiedzy); proceduralne - algorytmy, procedury, oprogramowanie; techniczne - sprzęt komputerowy, sieci telekomunikacyjne, nośniki danych. Techniki ograniczania ryzyka są kosztowne, więc trzeba ustalić opłacalny poziom zabezpieczeń. 1,1 1 0,9 0,8 Koszt poniesiony w przypadku wystąpienia incydentu Koszt zmniejszenia ryzyka 0,7 0,6 0,5 0,4 0,3 Równowaga 0,2 0,1 0-0,1 100% 95% 90% 85% 80% 75% 70% 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0% 4

Sama wartość zasobu to nie wszystko. Przy szacowaniu należy również wziąć pod uwagę kilka czynników: straty spowodowane jego utratą, straty wynikające z nieosiągniętych zysków, koszty straconego czasu, koszty napraw i zmian, koszty pozyskania nowego zasobu. Głównym kryterium przy tworzeniu hierarchii ważności zasobów jest ich wpływ na funkcjonowanie systemu: zasoby strategiczne - decydują o strategii przedsiębiorstwa. Wymagania ochronne bardzo wysokie, zasoby krytyczne mają wpływ na bieżące funkcjonowanie przedsiębiorstwa. Wymagania ochronne wysokie, zasoby autoryzowane podlegają ochronie na podstawie ogólnie obowiązujących przepisów. Wymagania ochronne umiarkowane, zasoby powszechnie dostępne ogólnie dostępne. Wymagania ochronne brak. Zabezpieczenia realizują jedną lub wiele następujących funkcji: zapobieganie uśw iadamianie ograniczanie wykryw anie Funkcje zabezpieczeń monitorow anie odstraszanie odtw arzanie popraw ianie Podział zabezpieczeń: Podział Z abezpieczenia fizyczne Z abezpieczenia techniczne Z abezpieczenia personalne Z abezpieczenia organizacyjne 5

Zabezpieczenia techniczne: - kopie zapasowe, - firewall, - wirtualne sieci prywatne(vpn), - zabezpieczenia poczty elektronicznej, - programowe i sprzętowe systemy uwierzytelniania użytkowników, - programy antywirusowe. Kopie zapasowe można podzielić ze względu na strategie dodawania plików do tworzonej kopii: Kopia pełna - kopiowaniu podlegają wszystkie pliki, niezależnie od daty ich ostatniej modyfikacji. WADA: wykonywania kopii jest czasochłonne. ZALETA: odzyskiwanie danych jest szybkie. Kopia przyrostowa - kopiowane są jedynie pliki, które zostały zmodyfikowane od czasu tworzenia ostatniej pełnej lub przyrostowej kopii. WADA: przed zrobieniem tej kopii należy wykonać kopie pełną oraz odtworzenie danych wymaga odtworzenia ostatniego pełnego backupu oraz wszystkich kopii przyrostowych. ZALETA: czas wykonywania kopii jest dość krótki. Kopia różnicowa - kopiowane są pliki, które zostały zmodyfikowane od czas utworzenia ostatniej pełnej kopii. WADA: odtworzenie danych wymaga odtworzenia ostatniego pełnego backupu oraz ostatniej kopii różnicowej. ZALETA: czas wykonywania kopii jest stosunkowo krótki (na początku!). Każdy projekt systemu informatycznego jest przedsięwzięciem wysokiego ryzyka. Źródła ryzyka i zagrożenia: Podejście do TI - Strach przed zmianą. Nieumiejętność celowego zakupu i wykorzystania TI. Niespójny system gospodarczy i prawny. Zmiany sytuacji na rynku. - Zmiana celów i zadań organizacji. Konieczność częstych zmian oprogramowania. Niedostosowanie do wymogów klientów. Niewydolność systemu. System edukacji - Nieumiejętność pracy zespołowej. Nieznajomość zarządzania. Nieumiejętność wykorzystania narzędzi. Brak standardów - Niespójność danych. Czasochłonność wprowadzania i uzyskiwania danych. Niska kultura informacyjna - Nieskuteczność zabezpieczeń. Nieumiejętność wykorzystania większości funkcji TI. Niedorozwój telekomunikacji - Opóźnienia w przesyłaniu danych i ich. Przekłamania. Utrudniony dostęp do informacji. Wysokie koszty eksploatacji. Brak standardów przesyłania danych - Pracochłonność opracowywania danych. Nieczytelność danych. Niewielkie możliwości wykorzystania danych. Przewaga techniki mikrokomputerowej - Nieznajomość innych technologii. Niedopasowanie technologii do potrzeb. Duże wydatki na TI. Nieokreślone cele oraz brak wizji i strategii - Nieokreślone cele systemu informacyjnego. Komputeryzowanie istniejących procedur. Nieuwzględnienie potrzeb wynikających ze wzrostu firmy. Niechęć, niezdolność do zmiany - Wykorzystywanie TI jako kalkulatora. Brak poczucia celowości zastosowań TI. Niezgodność zastosowań z organizacją. Relacje władzy i własności - Trudności w ustaleniu potrzeb informacyjnych. Nieustalona odpowiedzialność za zamierzenie. Utrudnienia w sterowaniu projektem. 6

Brak współpracy kierownictwa i użytkowników - Niemożliwość sprecyzowania potrzeb. Niedopasowanie SI do rzeczywistych potrzeb. Opóźnienia projektu i przekroczenie budżetu. Brak standardów i procedur - Dominacja TI nad organizacją. Nieumiejętność określenia zadań. Nagłe zmiany struktury - Odchodzenie użytkowników i zmiany potrzeb. Nieustalone role organizacyjne. Doraźne zmiany procedur i standardów. Zatrudnienie i podnoszenie kwalifikacji - Nieznajomość, brak zrozumienia i obawa przed TI. Nieumiejętność formułowania i rozwiązywania problemów. Brak motywacji i zainteresowania użytkowników. Nierozpoznane umiejętności firmy - Nietrafne zastosowania zakłócające procedury. Nieprzydatność, niefunkcjonalność narzędzi. Niesprawność kontroli - Niesprecyzowane potrzeby dotyczące kontroli. Celowe omijanie mechanizmów kontrolnych. Niesprawność zarządzania TI - Nieumiejętność planowania i niecelowe wydawanie środków. Nietrafione zakupy wyposażenia i oprogramowania. Zaniechanie planowania i egzekwowania efektów. Nieumiejętność pracy zespołowej - Zakłócenia w wykonywaniu prac. Błędna strukturyzacja systemu. Niespójne, błędne rozwiązania. Podejście do zamierzenia - Zaniechanie lub powierzchowność analizy. Pomijanie badania pracy. Dostosowanie użytkowników do TI, a nie SI do potrzeb Komputeryzacja zamiast zmiany. Nieznajomość metod, technik i narzędzi - Stosowanie metod znanych zamiast potrzebnych. Niekompletna analiza, niespójna specyfikacja. Niewykorzystywanie możliwości narzędzi. Nietrafne oceny kosztów, efektów i czasu trwania projektu. Obszerność i złożoność zadania projektowego - Brak analizy problemów. Trudność opanowania złożoności, nietrafna strukturyzacja. Wycinkowe projektowanie i oprogramowywanie SI - Niewłaściwa kolejność opracowywania i wdrażania modułów. Niespójność modułów systemu. Brak business planu - Nieświadomość celów oraz kosztów i efektów. Nieliczenie się z kosztami, pomijanie oczekiwanych efektów. Postępowanie w razie wykrycia zagrożenia z zewnątrz: 1. PROTECT AND PROCEED (chroń i kontynuuj) 2. PURSUE AND PROSECUTE (ścigaj i oskarż) PROTECT AND PROCEED: Strategię tą obierają organizacje, w których: 1. Zasoby nie są dobrze chronione 2. Dalsza penetracja mogłaby zakończyć się dużą stratą finansową 3. Nie ma możliwości lub woli ścigania intruza 4. Nieznane są motywy włamywacza 5. Narażone są dane użytkowników 6. Organizacja nie jest przygotowana na działania prawne w wypadku strat doznanych przez użytkowników PURSUE AND PROSECUTE: W myśl strategii pursue and prosecute pozwala się intruzowi kontynuować niepożądane działania dopóki się go nie zidentyfikuje, aby został oskarżony i poniósł konsekwencje. 7

Ważna jest weryfikacja ludzi pragnących się znaleźć wewnątrz systemu (autoryzacja i autentykacja) Weryfikacja może się odbywać w oparciu o trzy rodzaje kryteriów: coś, co masz klucze, karty magnetyczne coś, co wiesz PIN, hasła, poufne dane coś, czym jesteś metody biometryczne Bezpieczeństwo systemów informatycznych i prawo: Do podstawowych aktów prawnych, które mają wpływ na bezpieczeństwo i ochronę danych w systemach informatycznych polskich przedsiębiorstw należą: Ustawa Kodeks Karny [k.k. 1997], Ustawa o rachunkowości [1994], Ustawa o ochronie danych osobowych [ustawa ODO 1997], Ustawa o ochronie informacji niejawnych [ustawa OIN 1999], Ustawa o prawie autorskim i prawach pokrewnych [ustawa PAiPP 1994], Ustawa o systemie ubezpieczeń społecznych [ustawa SUS 1998], Ustawa o podpisie elektronicznym [ustawa PE 2001], Ustawa o zwalczaniu nieuczciwej konkurencji [ustawa ZNK 1993]. 8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres