ABI i ASI w organizacji

Podobne dokumenty
2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Podpis elektroniczny

WSIZ Copernicus we Wrocławiu

Przewodnik użytkownika

Podstawy systemów kryptograficznych z kluczem jawnym RSA

Technologie informacyjne - wykład 5 -

n = p q, (2.2) przy czym p i q losowe duże liczby pierwsze.

Zdalne logowanie do serwerów

REGULAMIN KORZYSTANIA Z INFRASTRUKTURY INFORMATYCZNEJ W JEDNOSTCE CENTRALNEJ INSTYTUTU ENERGETYKI W WARSZAWIE

Bezpieczeństwo usług oraz informacje o certyfikatach

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Bezpieczna poczta i PGP

ZARZĄDZENIE NR 20/2017 WÓJTA GMINY CZERNIKOWO z dnia 26 kwietnia 2017r.

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 ZABEZPIECZANIE DOSTĘPU DO SYSTEMÓW OPERACYJNYCH KOMPUTERÓW PRACUJĄCYCH W SIECI.

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Podstawy Secure Sockets Layer

Czym jest kryptografia?

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Technologia Internetowa w organizacji giełdy przemysłowej

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

systemów intra- i internetowych Platformy softwarowe dla rozwoju Architektura Internetu (2) Plan prezentacji: Architektura Internetu (1)

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Laboratorium nr 3 Podpis elektroniczny i certyfikaty

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Bringing privacy back

Laboratorium Programowania Kart Elektronicznych

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Polityka Bezpieczeństwa ochrony danych osobowych

ZARZĄDZENIE NR 2100/BIO/2018 PREZYDENTA MIASTA KĘDZIERZYN-KOŹLE. z dnia 22 maja 2018 r.

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 11

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Bezpieczeństwo danych, zabezpieczanie safety, security

RSA. R.L.Rivest A. Shamir L. Adleman. Twórcy algorytmu RSA

WorkshopIT Komputer narzędziem w rękach prawnika

Authenticated Encryption

Problemy z bezpieczeństwem w sieci lokalnej

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Netia Mobile Secure Netia Backup

Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Zarys algorytmów kryptograficznych

Rozdział 5. Bezpieczeństwo komunikacji

PGP - Pretty Good Privacy. Użycie certyfikatów niekwalifikowanych w programie PGP

Przewodnik SSL d l a p o c z ą t k u j ą c y c h

Praktyczne aspekty wykorzystania nowoczesnej kryptografii. Wojciech A. Koszek

Polityka prywatności i COOKIE Zasady przetwarzania danych osobowych Użytkowników

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

PuTTY. Systemy Operacyjne zaawansowane uŝytkowanie pakietu PuTTY, WinSCP. Inne interesujące programy pakietu PuTTY. Kryptografia symetryczna

Szczegółowy opis przedmiotu zamówienia:

REGULAMIN. 3 Korzystanie z komputerów służbowych

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Bezpieczeństwo w Internecie

Regulamin usług świadczonych drogą elektroniczną dla strony

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Regulamin Usługi Certyfikat SSL. 1 Postanowienia ogólne

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

BeamYourScreen Bezpieczeństwo

Polityka prywatności

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

POLITYKA PRYWATNOŚCI

Strategia gospodarki elektronicznej

Opinia w sprawie bezpieczeństwa danych przekazywanych przy użyciu poczty elektronicznej.

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

x60bezpieczeństwo SYSTEMÓW KOMPUTEROWYCH Bezpieczeństwo poczty elektronicznej

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Zastosowanie teorii liczb w kryptografii na przykładzie szyfru RSA

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Regulamin świadczenia usług dla Partnerów

Polityka Prywatności

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Polityka prywatności strony www Wrocławski Internet

Polityka Prywatności

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Lekcja 8, 9 i 10. Konspekt lekcji Poczta elektroniczna. Materiał z podręcznika: Rozdział 5. Poczta elektroniczna

Program szkolenia: Bezpieczny kod - podstawy

Zastosowania informatyki w gospodarce Wykład 5

Zarządzanie systemami informatycznymi. Bezpieczeństwo przesyłu danych

POLITYKA PRYWATNOŚCI

REGULAMIN KORZYSTANIA Z POCZTY ELEKTRONICZNEJ. Procedura przyznania służbowego konta poczty elektronicznej pracownikowi

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

Polityka Ochrony Prywatności na platformie Szkolna24.pl

Bezpieczna poczta i PGP

Wstęp do systemów wielozadaniowych laboratorium 21 Szyfrowanie

Sieci komputerowe. Wykład 11: Podstawy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

trzy rozwiązania Zaszyfrowane wiadomości wysyłane do i od wszystkich! Podpisane wiadomości z oficjalnymi certyfikatami S/MIME!

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Sieci komputerowe i bazy danych

.1 Postanowienia Ogólne

Polityka prywatności 1. Informacje ogólne.

Jak bezpieczne są Twoje dane w Internecie?

Transkrypt:

ABI i ASI w organizacji Obecne i przyszłe wymagania w zakresie Ochrony Danych Osobowych Wrocław 30.11.2016

Kto jest właścicielem 0 i 1 i skąd one o tym wiedzą o różnicy między światem analogowym a cyfrowym w praktyce Mitologia bezpieczeństwa IT Dlaczego bezpieczne drogi zmierzają do szyfrowania słów kilka o tym czym jest szyfrowanie i jak to wykorzystać

Kto jest właścicielem 0 i 1 i skąd one o tym wiedzą o różnicy między światem analogowym a cyfrowym w praktyce 0 i 1 znajdują się na dowolnym nośniku i podlegają transferowi, tym co je identyfikuje są dane referencyjne oraz metadane Musimy więc znakować 0 i 1 i robimy to poprzez: o Szyfrowanie porcji danych przez co możliwość dostępu do nich oraz zmiany jest niemożliwe bez złamania szyfrowania o Tworzenie sum kontrolnych i podpisywanie przez co możliwość ich zmiany jest niemożliwa bez złamania zabezpieczeń Możemy też ograniczać dostęp do danych co pozwala zminimalizować ryzyko dostępu do danych i ich modyfikacji bez wiedzy osób odpowiedzialnych za dane Możemy też pseudonimizować dane co pozwala na ich przetwarzanie w mniej rygorystycznych warunkach bez ryzyka że dostęp do nich może pozwolić na wskazanie konkretnej osoby fizyczne

Mitologia bezpieczeństwa IT Moje dane są bezpieczne ponieważ użyłem technologicznego zabezpieczenia. Czy aby na pewno każda technologia posiada błędy, które pozwalają na nieautoryzowany dostęp dlatego dopiero kiedy zastosujesz co najmniej dwie różne technologie lub metody żeby zabezpieczyć dane jesteś zabezpieczony przed błędem w technologii (prawdopodobieństwo pojawienia się w jednym czasie błędów krytycznych w dwóch technologiach jest znikome)

Mitologia bezpieczeństwa IT Magiczna kula nie istnieje! Czy aby na pewno zobacz ten film https://www.youtube.com/watch?v=f7pyhn9ic9i&feature=youtu be_gdata_player

No właśnie weekware czyli człowiek Do danych jakie przetwarzamy muszą mieć dostęp ludzie, pracownicy współpracownicy, firmy współpracujące w których też pracują ludzie. Ludzie czyli pracownicy nie są robotami więc korzystają ze sprzętu firmowego do celów prywatnych a wtedy używają Facebook-a, ich dzieci grają w gry, wysyłają sobie maile. Korzystanie z tych samych urządzeń do celów służbowych i prywatnych to duże zagrożenie techniczne oraz formalne. Powinniśmy zadbać aby w firmie istniały i były aktualizowane procedury używania sprzętu firmowego oraz wyraźnie wskazane w jaki sposób i w jakim zakresie można lub też nie można używać go do celów prywatnych.

Prywatne dane w pracy Pracodawca ma prawo kontrolować pracowników wyłącznie przy jednoczesnym przestrzeganiu przepisów Konstytucji RP oraz prawa cywilnego w świetle art. 23 kodeksu cywilnego i prawa pracy na podstawie art. 11(1) Kodeksu pracy zapewniającego pracownikowi prawo do godności, prywatności i poszanowania jego dóbr osobistych. Kodeks pracy regulując kwestię zobowiązania pracownika do sumiennego wykonywania swoich obowiązków czy przestrzegania czasu pracy już sam w sobie w pewien sposób wyklucza możliwość zajmowania się prywatnymi sprawami w godzinach czasu pracy. Ponadto, sprzęt udostępniony pracownikowi przez pracodawcę stanowi narzędzie pracy - jest własnością pracodawcy podlegającą zwrotowi po zakończeniu stosunku pracy.

Prywatne dane w pracy Pracodawca wyposażając pracowników w odpowiednie narzędzia pracy takie jak komputer czy telefon, nie musi zezwalać na wykorzystywanie ich do celów prywatnych- może uregulować te kwestie wewnętrznym dokumentem, w którym znajdą się wszystkie wymagania odnośnie przebiegu pracy, informacja o kontroli pracy pracownika jak i ewentualne sankcje. Aby więc kontrola pracownika oraz sprzętu służbowego udostępnionego mu do pracy przebiegła zgodnie z obowiązującymi przepisami, pracodawca musi przed podjęciem takiego działania poinformować pracownika o fakcie przeprowadzania kontroli, celu oraz jej zakresie.

Prywatne dane w pracy Kwestia możliwości sprawdzania służbowego telefonu czy komputera bez wiedzy pracownika nie jest wprost uregulowana przepisami prawa i wymaga ostrożnego podejścia. Tego typu monitoring ze strony pracodawcy jest dopuszczalny, o ile: pracodawca poinformował uprzednio pracowników o stosowaniu takiej formy kontroli ich pracy (np. w regulaminie pracy) oraz sprawdzanie nie odbywa się stale a podejmowane czynności są następstwem istnienia uzasadnionych podejrzeń, iż mogło dojść do naruszenia obowiązków służbowych przez pracownika. Brak informacji o możliwości kontroli pracownika przez pracodawcę stanowi o naruszeniu prawa przez pracodawcę kontrolującego pracownika.

Prywatne dane w pracy Pracodawca ma prawo sprawdzić, czy treść służbowej korespondencji nie narusza tajemnicy przedsiębiorstwa handlowej. Jednocześnie, podczas kontroli poczty elektronicznej, Pracodawca nie może naruszyć tajemnicy korespondencji. Pracodawca żadnego z maili oznaczonych jako prywatne nie powinien czytać, być czytany przez pracodawcę. Jeżeli jednak zdarzy się, że pracodawca przeczyta prywatny list pracownika, to nie może nikomu przekazać informacji w nim zawartych ani w żaden sposób ich wykorzystać.

Mitologia bezpieczeństwa IT Moje dane są bezpieczne ponieważ używam zagranicznego oprogramowania i moje dane są tam niedostępne. Czy aby na pewno Apple ogłosiło że za okres 1.01.2015 30.06.2015 otrzymało z polskich urzędów (skarbowego i celnego) 53 zapytania o 241.509 urządzeń lub kont. Dla 28 zapytań udzieliło częściowej odpowiedzi co stanowi 53% wszystkich zapytań. http://www.apple.com/legal/privacy/transparency/requests- 20150914-en.pdf

Mitologia bezpieczeństwa IT Moje dane są moje i kontroluję dostęp do nich wiem co przesyłam mailem i składuję w chmurze oraz kto ma do tego dostęp. Czy aby na pewno co robi Apple, Google, Microsoft i inni: Przesyłając, wgrywając, dostarczając, zapisując, przechowując, wysyłając lub odbierając materiały do lub za pośrednictwem Usług, użytkownik udziela firmie Google (i jej współpracownikom) ważnej na całym świecie licencji na wykorzystywanie, udostępnianie, przechowywanie, reprodukowanie, modyfikowanie, przesyłanie, publikowanie, publiczne prezentowanie i wyświetlanie oraz rozpowszechnianie tych materiałów, a także na tworzenie na ich podstawie opracowań (dzieł pochodnych, na przykład przez wykonanie tłumaczenia, adaptacji lub innych zmian w celu zapewnienia lepszego działania z Usługami).

Mitologia bezpieczeństwa IT Przechowuję swoje dane w chmurze czołowego dostawcy rozwiązań IT. Moje dane są bezpieczne. Czy aby na pewno jak firma ma swoją siedzibę na terenie USA to musi przekazać całość Twoich danych w zdeszyfrowanej formie odpowiednim instytucjom: https://www.onlinevideoconverter.com/pl/success?id=e4c2h7h7j9a0h7b1f5&t=1

Mitologia bezpieczeństwa IT

Mitologia bezpieczeństwa IT

Mitologia bezpieczeństwa IT Jestem osobą fizyczną więc nie można mnie ukraść. Czy aby na pewno zobacz ten film https://www.youtube.com/watch?v=rn4rupla11m

Dlaczego bezpieczne drogi zmierzają do szyfrowania słów kilka o tym czym jest szyfrowanie i jak to wykorzystać Szyfrowanie co to jest Szyfrowaniem określa się proces przekształcania tekstu lub innej dowolnej (wizualnej, dźwiękowej) informacji w formie czytelnej dla człowieka na niezrozumiały ciąg znaków w celu jej utajnienia przechowywania w takiej postaci lub przekazywania niezabezpieczonymi kanałami.

Szyfrowanie podstawy naukowe Większość metod szyfrowania polega na trudności rozwiązywania problemów matematycznych będących celem badań w zakresie teorii liczb. Czyli u podstaw szyfrowania stoi zasada, według której bardzo łatwo wykonać niektóre czynności, lecz bardzo trudno je cofnąć i przywrócić pierwotny stan. Podobne fenomeny występują w dziedzinie matematyki i są przedmiotem badań w ramach teorii liczb. Na przykład mnożenie dowolnie dużych liczb nie przysparza żadnych problemów. Tymczasem znacznie trudniej rozłożyć iloczyn na nieznane czynniki.

Szyfrowanie Klucz Klucz jest jednym z podstawowych elementów szyfru. To on służy do szyfrowania i deszyfrowania tekstu. W wielu szyfrach rolę klucza odgrywa hasło, za pomocą którego szyfruje się tekst jawny w celu jego utajnienia. Z drugiej strony tego samego hasła używa się do uzyskania tekstu jawnego z tekstu zaszyfrowanego. W szyfrowaniu komputerowym klucz jest ciągiem bitów. O skuteczności szyfrowania, a więc o jego odporności na próby złamania, decyduje w dużej mierze długość klucza. W uproszczeniu długość klucza to liczba możliwych kombinacji klucza. W szyfrowaniu przy użyciu komputera można ustalić długość klucza na podstawie liczby bitów (np. klucz 40-bitowy, 56-bitowy, 128- bitowy, 256-bitowy). Wraz z długością klucza wzrasta liczba możliwych kombinacji. Szyfrowanie 128-bitowe jest bilion razy silniejsze od szyfrowania 40-bitowego.

Szyfry symetryczne i asymetryczne W metodach symetrycznych używa się tego samego klucza do szyfrowania i deszyfrowania wiadomości. Przed przekazaniem poufnych informacji nadawca i odbiorca muszą więc wspólnie ustalić tajny klucz i dostarczyć go sobie bezpiecznym kanałem. W asymetrycznych metodach szyfrowania zarówno nadawca, jak i odbiorca dysponują oddzielną parą kluczy. Para ta składa się z klucza publicznego (public key) i klucza prywatnego (private key). Pierwszy z wymienionych jest jawny i dostępny do publicznej wiadomości, drugi zaś musi być przechowywany w ukryciu. Nadawca używa klucza publicznego odbiorcy w celu zaszyfrowania depeszy. Adresat może ją odczytać za pomocą swojego tajnego klucza prywatnego. Asymetria wynika z tego, że dane szyfrowane kluczem publicznym wspomnianej pary mogą być zdeszyfrowane tylko przy użyciu klucza prywatnego pary.

Szyfrowanie utajnianie transmisji danych w internecie Do utajniania transmisji danych w internecie używa się przeważnie protokołu SSL (Secure Socket Layer), który szyfruje informacje przekazywane z przeglądarki internetowej do serwera i w odwrotnym kierunku. Począwszy od wersji 3 protokół SSL jest rozwijany jako TLS (Transport Layer Security). Zabezpiecza tylko kanał transmisyjny. Odbierając dane, serwer docelowy deszyfruje je i zapisuje w lokalnym systemie plików.

Szyfrowanie utajnianie poczty elektronicznej Rozpatrując bezpieczeństwo poczty elektronicznej, należy rozróżnić dwa aspekty szyfrowanie transmisji danych i szyfrowanie treści wiadomości. Za bezpieczne przesyłanie danych w wielu urządzeniach odpowiadają łącza SSL. Zadanie zaszyfrowanie treści przesyłanych depesz można zrealizować za pomocą algorytmu S/MIME lub PGP (GPG).

Zasady działania cyfrowego podpisu W użyciu podpisu cyfrowego nie chodzi o zachowanie poufności, lecz jedynie o potwierdzenie tożsamości nadawcy i zagwarantowanie nienaruszalności treści wiadomości. Odbiorca weryfikuje autentyczność podpisu, sprawdzając wartość haszowania kluczem publicznym. Jeśli procedura powiedzie się, może zakładać, że wiadomość pochodzi od właściciela klucza prywatnego, a jej treść nie została zmanipulowana podczas transmisji Aby użytkownik mógł opatrywać dokumenty cyfrowym podpisem, musi dysponować kluczami sygnującymi. Dla każdego uczestnika komunikacji trzeba wygenerować odrębną parę kluczy składającą się z klucza prywatnego i klucza publicznego. Jawny klucz publiczny umożliwia weryfikowanie podpisu cyfrowego. Klucz prywatny natomiast służy do składania podpisu i winien być przechowywany w bezpiecznym miejscu. Aby sporządzić cyfrowy podpis, należy utworzyć wartość haszowania z wysyłanej wiadomości i sygnować ją kluczem prywatnym. Wiadomość i podpis wysyła się następnie do adresata, przy czym nie trzeba szyfrować treści dokumentu.

Życie Szyfrowanie korespondencji ma dwie zasadnicze wady. Choć są dostępne szczegółowe instrukcje, instalowanie wymaganych narzędzi okazuje się zbyt trudne dla początkujących użytkowników. Na domiar złego nie wystarczy wyposażyć komputera nadawcy w wirtualny pęk kluczy. Również klienty pocztowe u odbiorców muszą obsługiwać PGP lub S/MIME. Tylko wówczas można wymieniać się zaszyfrowaną korespondencją. Dlatego opisane metody nie cieszą się dużą popularnością wśród użytkowników.

To co można zrobić? 1. być zgodnym z przepisami prawa ABI/IOD/ASI itp.. 2. edukować użytkowników oraz wprowadzić politykę i procedury używania sprzętu firmowego do celów prywatnych 3. do wrażliwej komunikacji używać rozwiązań które używają zawsze co najmniej dwóch technologii lub metod do szyfrowania danych 4. unikać oprogramowania made in USA jeśli to możliwe Zachować zdrowy rozsądek we wprowadzaniu wszelkich zmian

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres