Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012



Podobne dokumenty
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA E-BEZPIECZEŃSTWA

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Eduroam - swobodny dostęp do Internetu

SKRÓCONA INSTRUKCJA OBSŁUGI SYSTEMU ZARZĄDZANIA OBIEGIEM INFORMACJI (SZOI)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Polityka Bezpieczeństwa ochrony danych osobowych

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

1 Ochrona Danych Osobowych

REGULAMIN KORZYSTANIA Z INTERNETOWEGO SYSTEMU OBSŁUGI KLIENTÓW

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Kontrola dostępu. System Zarządzania Bezpieczeństwem Informacji od dobrych praktyk do certyfikacji ISO/IEC 27001

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Bezpieczeństwo systemów komputerowych.

biometria i bankomaty recyklingowe w praktyce

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Mechanizmy dostępu do bazy danych Palladion / Ulisses. I. Uwierzytelnianie i przyznawanie uprawnień dostępu do aplikacji Palladion

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

System Kancelaris. Zdalny dostęp do danych

Instrukcja Zarządzania Systemem Informatycznym

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

4 Zmiana zakresu usługi przez Bank wymaga zachowania warunków i trybu przewidzianego dla zmiany regulaminu.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

PolishAPI. Rekomendacje oraz podstawowe założenia do przygotowania interfejsu awaryjnego. Dokument opracowany przez Grupę Projektową ds.

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Bankowość internetowa

Bezpieczeństwo informacji w systemach komputerowych

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

mdokumenty Anna Streżyńska Minister Cyfryzacji Warszawa,

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

SZYFROWANIE POŁĄCZEŃ

POLITYKA BEZPIECZEŃSTWA

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Informacja o zasadach świadczenia usług zaufania w systemie DOCert Wersja 1.0

Warszawa, dnia 6 października 2016 r. Poz. 1626

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

BEZPIECZEŃSTWO BANKOWOŚCI DETALICZNEJ

Wykaz zmian w Regulaminie otwierania i prowadzenia igo lokat z miesięczną kapitalizacją odsetek

Zdalne logowanie do serwerów

POLITYKA PRYWATNOŚCI SERWIS:

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Przewodnik technologii ActivCard

Z roku na rok wzrasta liczba systemów informatycznych, co skutkuje coraz większym uzależnieniem od nich działalności biznesowej przedsiębiorstw.

WorkshopIT Komputer narzędziem w rękach prawnika

POLITYKA PRYWATNOŚCI SERWISU SIECI OPIEKI PRAWNEJ. radcadlamnie.pl. z dnia 31 maja 2017

Instytut-Mikroekologii.pl

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Bezpieczeństwo usług oraz informacje o certyfikatach

Szczegółowe informacje dotyczące przekazywania do Bankowego Funduszu Gwarancyjnego informacji kanałem teletransmisji

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 17 maja 2002 r. w sprawie Biuletynu Informacji Publicznej.

Dz.U ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI. z dnia 17 maja 2002 r. w sprawie Biuletynu Informacji Publicznej.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

RODO a programy Matsol

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

MILLENET: PRZEWODNIK UŻYTKOWNIKA DODANIE/AKTUALIZACJA NUMERU TELEFONU

11. Autoryzacja użytkowników

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

System automatycznego wysyłania SMSów SaldoSMS

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

KAMELEON.CRT OPIS. Funkcjonalność szyfrowanie bazy danych. Wtyczka kryptograficzna do KAMELEON.ERP. Wymagania : KAMELEON.ERP wersja

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

Rozdział I Zagadnienia ogólne

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Umowa użytkownika. 1. Uprawnienia. 2. Logowanie do platformy szkoleń elektronicznych

2.2 Monitory stanowisk, na których przetwarzane są dane osobowe muszą zostać tak ustawione, aby uniemożliwić osobom postronnym wgląd w te dane.

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

POLITYKA PRYWATNOŚCI STRONY INTERNETOWEJ P.P.U.H. i T. MEKTAL Obowiązujące od dnia Wstęp... 2

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Warszawa, dnia 6 października 2016 r. Poz ROZPORZĄDZENIE MINISTRA CYFRYZACJI 1) z dnia 5 października 2016 r.

Transkrypt:

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe Podstawy uwierzytelnienia dr Tomasz Barbaszewski Kraków, 2012 Podstawowym atrybutem jakości informacji jest jej dostępność. Jeśli informacja nie jest dostępna oznacza to przecież po prostu jej brak! W systemach informatycznych wykorzystujących technologie określane jako ICT naturalnym dążeniem jest dostępność do informacji przez całą dobę bez względu na dzień tygodnia. Strony internetowe są przecież dostępne na każde nasze życzenie, o ile tylko dysponujemy odpowiednim łączem. W praktyce profesjonalnej (korporacje, przedsiębiorstwa, firmy, urzędy...) mamy jednak do czynienia z różnymi informacjami od publicznych, które powinny być dostępne każdemu zainteresowanemu aż po informacje zastrzeżone jedynie do użytku wewnętrznego oraz w wielu przypadkach chronione z mocy prawa (dane osobowe, informacje niejawne itp.), do których dostęp powinien być kontrolowany. Zarządzanie informacją w organizacjach powinno więc być związane z jej kwalifikowaniem oraz selektywnym udzielaniem dostępu. Jeśli mamy podjąć decyzję o udzieleniu dostępu do informacji to powinniśmy oczywiście wiedzieć komu i na jakich warunkach tego dostępu udzielamy. Niezbędne jest więc bliższe przyjrzenie się procesom uwierzytelnienia. Powinny dać na one pewną odpowiedź na następujące podstawowe pytania: Komu personalnie udostępniamy informację? Czy udostępniona informacja będzie odpowiednio traktowana oraz chroniona? Czy wykorzystanie informacji lub wprowadzanie jej modyfikacji jest należycie dokumentowane? Jakie mechanizmy należy wdrożyć, aby znać odpowiedzi na powyższe pytania staram się wyjaśnić na kolejnych stronach... Strona 1 z 5

Uwierzytelnienie sprzętu Uwierzytelnienie sprzętu polega na sprawdzeniu, czy określone urządzenie (komputer PC, tablet, terminal, cienki klient itp.) może być wykorzystywany w celu uzyskania dostępu do określonych zasobów informacyjnych. Uwierzytelnienie sprzętu jest rzadko wykorzystywane w sieciach publicznych, jednak jest często stosowane w sieciach profesjonalnych np. w placówkach bankowych i innych punktach obsługi klienta. Uwierzytelnienia sprzętu nie należy mylić ze stosowanie dodatkowych urządzeń lub programów uwierzytelniających wspomagających uzyskiwanie dostępu do systemu (zwane popularnie logowaniem ) przez użytkownika (tokeny sprzętowe lub programowe, rozwiązania biometryczne). Uwierzytelnienie sprzętu ma na celu jego identyfikację za pomocą automatycznie wymienianych danych pomiędzy klientem i serwerem dostępowym i powinno być realizowane w oparciu o mechanizmy niezależne od procesu identyfikacji użytkownika. Przesyła żądanie dostępu oraz swe dane identyfikacyjne Baza danych uprawnień Klient sprawdza tożsamość serwera Klient komputer PC W przypadku pozytywnej weryfikacji danych zezwala na połączenie i wysyła swoje dane identyfikacyjne Klient generuje klucz sesji, szyfruje go i wysyła serwerowi Strony zestawiają połączenie szyfrowane kluczem sesji Serwer dostepowy Serwer dostępowy sprawdza, czy dane przesłane przez klienta są umieszczone w bazie uprawnień. Proszę zwrócić uwagę na dwustronny charakter uwierzytelnienia (klient przedstawia się serwerowi, a serwer klientowi). Istnieje szereg rozwiązań realizujących obustronne uwierzytelnienie i ich stosowanie powinno być regułą w systemach informatycznych, od których wymaga się zaawansowanej ochrony informacji. Z problemem konieczności obustronnego uwierzytelnienia mamy również do czynienia w przypadku połączeń telefonicznych. Instytucje finansowe stosują często procedury w celu uwierzytelnienia klienta podczas rozmowy telefonicznej (np. podanie daty urodzenia, imienia ojca, nazwiska panieńskiego matki itp.). Klienci na ogół podają te dane nie mając żadnej pewności (poza słowną informacją), kto do nich dzwoni. Otwiera to duże możliwości nadużyć, wyłudzania informacji itp. Uwierzytelnienie sprzętu umożliwia skuteczne zarządzanie dostępem do informacji. Zapobiega uzyskaniem dostępu do chronionych zasobów informacji przy użyciu przypadkowego komputera oraz umożliwia skuteczną interwencję w przypadku jego utraty (zagubienie, kradzież itp.), ponieważ administrator systemu może w każdej chwili usunąć dane komputera z bazy danych, co oczywiście wyklucza możliwość zestawienia połączenia i tym samym uzyskania dostępu. Warto dodać, że celowe jest przechowywanie danych uprawniających do dostępu na osobnym, dobrze zabezpieczonym urządzeniu (serwerze). Strona 2 z 5

Uwierzytelnienie użytkownika Proces uwierzytelnienia użytkownika jest (lub powinien być) znany wszystkim użytkownikom systemów komputerowych. W najprostszym przypadku polega on na podaniu nazwy użytkownika oraz jego hasła dostępu. Hasło powinno być oczywiście znane tylko użytkownikowi i odpowiednio chronione. Jeśli uwierzytelnienie następuje z wykorzystaniem sieci komputerowej powinno być bezwzględnie przesłane w postaci zaszyfrowanej, ponieważ większość współcześnie eksploatowanych sieci transmituje dane użytkowników w postaci jawnej, a więc możliwej do odczytania przez osoby niepowołane. Ponieważ użytkownicy często stosują zbyt proste hasła, zapisują je lub przekazują sobie nawzajem uwierzytelnienie użytkownika jest dość często uzupełniane o dodatkowe mechanizmy systemy haseł jednorazowych, tokeny typu pytanie-odpowiedź, karty chipowe a nawet czytniki biometryczne. Zmniejszają one prawdopodobieństwo uzyskania dostępu do systemu przez osoby nieuprawnione. W przeciwieństwie do uwierzytelnienia sprzętu uwierzytelnienie użytkownika jest najczęściej jednostronne użytkownik przesyła swe dane serwerowi (urządzeniu) dostępowemu, który porównuje przesłane dane z opisem użytkownika w odpowiedniej bazie. Przykładem wprowadzenia obustronnego uwierzytelnienia może być system pytanie-odpowiedź (Challenge-response), w którym serwer zadaje użytkownikowi pytanie (np. podaje pewną liczbę), na które użytkownik musi poprawnie odpowiedzieć (np. za pomocą tokena sprzętowego przypominającego kalkulator). Ponieważ oczekiwana odpowiedź jest uzależniona od oprogramowania serwera użytkownik uzyskuje pewność, że łączy się z właściwym serwerem. W innych rozwiązaniach użytkownik posiada możliwość sprawdzenia tożsamości serwera dostępowego (system taki wykorzystuje wiele interakcyjnych serwerów internetowych). W systemach o podwyższonym poziomie bezpieczeństwa uwierzytelnienie użytkownika jest realizowane po uwierzytelnieniu sprzętu, a którego użytkownik korzysta. Uwierzytelnienie sprzętu umożliwia zestawienie połączenia szyfrowanego (bezpiecznego kanału komunikacyjnego), dzięki czemu dane przesyłane podczas uwierzytelniania użytkownika są zabezpieczone przed podsłuchem. Również i w tym przypadku należy dobrze zabezpieczyć dane niezbędne do uwierzytelnienia np. stosując rozwiązania oparte o LDAP lub Kerberos. Strona 3 z 5

Uwierzytelnienie transakcji Niektórym akcjom, które użytkownicy realizują w systemie stawiane są szczególne wymagania bezpieczeństwa. Może to dotyczyć np. operacji finansowych o znacznej wartości. W takim przypadku można je dodatkowo zabezpieczyć stosują uwierzytelnienie transakcji, które polega na podaniu dodatkowych informacji potwierdzających tożsamość osoby realizującej taką transakcję. Uwierzytelnienie transakcji powinno być realizowane za pomocą mechanizmów niezależnych od wykorzystywanych do uwierzytelnienia sprzętu lub użytkownika. Niezależne uwierzytelnienie transakcji jest bardzo często stosowane przez ogólnodostępne systemy bankowości internetowej. Ich przykładem są karty-zdrapki, różnego rodzaju tokeny sprzętowe oraz systemy pytanie-odpowiedź - np. kody SMS. Wykorzystywanie dodatkowych, niezależnych kanałów komunikacyjnych zwiększa bezpieczeństwo systemu. Do celów profesjonalnych lepiej nadaje się rozwiązanie oparte o podpis elektroniczny, które dodatkowo zabezpiecza integralność dokumentu elektronicznego opisującego transakcję. Podobny system powinien być również wykorzystywany w systemach obiegu dokumentów oraz w rozwiązaniach pracy zespołowej oraz w każdym przypadku, w którym wprowadzanie lub modyfikacja informacji wiąże się z realizacją ważnych decyzji. Podsumowanie Uwierzytelnienie decyduje o dostępie do informacji oraz służy do autoryzacji podejmowanych działań. Jest ono stosowane również w systemach informacyjnych nie wykorzystujących środków elektronicznych. Pracownicy firmy lub urzędu nie mają przecież wglądu do wszystkich dokumentów, nie mogą ich w dowolny kopiować lub modyfikować itp. Korzystanie z wielu dokumentów (np. zawierających dane osobowe) jest dozwolone jedynie w wyznaczonych pomieszczeniach (jest to wymaganie ustawowe!) i zabronione jest ich wynoszenie poza te pomieszczenia. Podobnie wiele decyzji lub planów podlega odpowiedniemu zatwierdzaniu i jest opatrywanych (uwierzytelnianych!) podpisami upoważnionych do tego osób. Przecież procedury postępowania z informacją w formie klasycznej ( papierowej ) nie zostały opracowane ze względu na dużą wartość jej nośnika (kartek papieru), lecz w celu ochrony informacji oraz zabezpieczenia procesów decyzyjnych. Kadra zarządzająca powinna wziąć pod uwagę różne podejście pracowników do informacji na nośnikach klasycznych i dostępnej w formie elektronicznej. Z reguły informacja zawarta w systemach komputerowych nie jest traktowana z równą starannością jak dostępna w formie klasycznej. Konieczne są więc działania uświadamiające, ponieważ świadomość znaczenia ochrony informacji wspomagana przez odpowiednio dobrane środki techniczne jest najskuteczniejszym bastionem ochronnym. Strona 4 z 5

Polecam Państwo zarówno materiały szkoleniowe na mojej stronie http://barbaszewski.pl oraz prowadzone przez mnie szkolenia w formie tradycyjnej. Z mojej oferty szkoleniowej wyłączone są profesjonalne szkolenia poświęcone systemom LINUX RedHat oraz Novell (SuSE), na które zapraszam wszystkich zainteresowanych do ośrodków szkoleniowych firmy COMPENDIUM ( www.compendium.pl ), z którą jestem związany umową jako Autoryzowany Instruktor oraz Egzaminator. Szczególnie polecam Państwu unikalne szkolenia interdyscyplinarne dla Kadry Zarządzającej, podczas których omawiane są w przystępnej formie zagadnienia techniczne związane z systemami informatycznymi, zarządzaniem bezpieczeństwem informacji oraz zagadnienia prawne i finansowe związane z wdrażaniem i eksploatacją takich systemów. Zajęcia mogą być zorganizowane w dowolnym miejscu, zaś ich tematyka i zakres ustalone indywidualnie. Zasadniczą formą realizacji kursów jest umowa o dzieło (z przeniesieniem praw autorskich lub bez ich przeniesienia). Zapewnia to konkurencyjność cen przy zachowaniu wysokiej jakości oraz osobistej odpowiedzialności. Zainteresowanych zapraszam do bezpośredniego kontaktu ze mną: Tomasz.Barbaszewski@gmail.com tel. 12 285 61 34 Strona 5 z 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres