Bezpieczeństwo Informacji
Informacja biznesowa jest podstawowym źródłem rozwoju i dochodowości przedsiębiorstwa
Ø Poufność – udostępnienie informacji (różnymi metodami) tylko wybranym osobą lub instytucjom podczas procesu tworzenia, gromadzenia, przetwarzania i udostępniania.
Ø Dokładność – jakość informacji nie zmienia się wraz z upływem czasu. Początkowa postać informacji musi być podana z maksymalną (dostępną) dokładnością
Ø Integralność informacji – informacja nie może być zmieniona, zniekształcona przez nieuprawnione podmioty
Ø Dostępność informacji – możliwość wykorzystania istniejących zasobów informacyjnych dla właściwych grup użytkowników. Brak dostępu do zasobów informacji pomimo jej obecności jest równoznaczny dla podmiotów z brakiem informacji w określonym przedziale czasu.
Zapewnienie 100% bezpieczeństwa informacyjnego nie jest możliwe. Zwiększanie poziomu bezpieczeństwa wymusza zwiększone działania administracyjne i kontrolne oraz ograniczenia w swobodnym dostępie do informacji.
Poziom bezpieczeństwa całego systemu jest taki jak poziom bezpieczeństwa najgorzej zabezpieczonego miejsca – teoria - „najsłabszego ogniwa”.
Koszty związane z zapewnieniem odpowiedniego poziomemu bezpieczeństwa rosną nieproporcjonalnie do wzrostu bezpieczeństwa przedsiębiorstwa.
Wycena stosowanego poziomu zabezpieczeń musi uwzględniać nie tylko koszty zakupu i wdrożenia systemu ale również poniesione koszty będące konsekwencją zaniechania wprowadzenia zabezpieczeń.
DOSTĘP – Metoda pozyskiwania informacji. Sposób dostępu do źródeł danych. Sieci transmisyjne, telefon, faks, przesyłki pocztowe itp. Ochrona musi być adekwatna do ścieżki przekazywania danych.
IDENTYFIKACJA – Zdolność jednoznacznego rozróżniania podmiotów, które pragną wykorzystywać zasoby źródeł danych. Mogą to być osoby, procesy, programy, sprzęt (komputery, urządzenia sieciowe), sieci komputerowe.
UWIERZYTELNIANIE – Zdolność jednoznacznego wykazania że podmiot jest tym za kogo się podaje. Uwierzytelnienie dotyczy osób, ale również procesów, programów, zasobów sprzętowych. Źródło informacji musi mieć zaufanie do podmiotu, któremu przekazuje dane.
AUTORYZACJA (UPRAWNIENIA) – Zdolność jednoznacznego określenia jakie zasoby informacyjne mogą być określonemu podmiotowi udostępnione. Określanie uprawnień zawęża dostęp do źródła danych.
ROZLICZALNOŚĆ – Zdolność powiązania działań z tymi osobami lub procesami które je wykonywały. Uzyskanie informacji o rozliczalności jest możliwe pod warunkiem monitorowania procesów dostępu do informacji. Podmiot pozyskujący informację nie może wyprzeć się (zaprzeczyć), że takie działanie wystąpiło. Rozliczalność jest podstawą do uzyskania audytu w zakresie bezpieczeństwa (oceny systemu bezpieczeństwa przez niezależną instytucję).
UŚWIADOMIENIE – Zrozumienie i poznanie stosowanych metod ochrony informacji przez użytkowników. Celem uświadomienia jest uwrażliwienie użytkowników na stosowanie właściwych środków ochrony oraz zwrócenie uwagi na postać informacji (przekłamane lub niepełne dane)
ADMINISTRACJA – Proces zarządzania bezpieczeństwem systemu ochrony danych. Zakres administracji obejmuje nie tylko systemy informatyczne i zasoby sieciowe ale również dostęp fizyczny do źródeł danych, pracowników, itp.
INSPEKCJA – Określenie, które z podstawowych funkcji i zasobów przedsiębiorstwa podlegają ochronie i w jakim stopniu. Poznanie stanu aktualnego w dziedzinie ochrony.
OCHRONA – Działania aktywne mające na celu zmniejszenie ryzyka zakłócenia (przerwania) działalności przedsiębiorstwa. Wskazanie miejsc oraz metod ochrony.
WYKRYWANIE – Planowanie działań mających na celu wykrycie zdarzeń mogących naruszyć bezpieczeństwo danych. Symulowanie ataku na podstawie modelu atakującego. Opracowanie metod kontroli umożliwiających wykrycie ataku lub prób pozyskiwania informacji potrzebnych do przeprowadzenia ataku.
REAKCJA – Planowanie działań związanych z naruszeniem bezpieczeństwa informacji. Zdefiniowanie, udokumentowanie i przetestowanie różnych scenariuszy postępowania przy wystąpieniu określonego typu zdarzeń. Plan reagowania musi zapewnić ciągłość działania przedsiębiorstwa (reakcja nie może powodować większych strat niż atak). Należy utworzyć plan działań związanych z nieprzewidzianymi formami ataku.
REFLEKSJA – Proces analizy zdarzeń związanych z zakłóceniem ochrony danych. Ocena zastosowanych metod ochrony, wykrywania i planów reagowania. Wprowadzenie udoskonaleń do planu bezpieczeństwa na poziomie ochrony, wykrywania i reakcji.
INSPEKCJA
Ø Zasoby przedsiębiorstwa
o Ludzie,
o Własność (aktywa)
o Informacja
o Infrastruktura (telekomunikacyjna, informatyczna, energetyczna)
o Reputacja
Ø Określanie zagrożeń
o Błędy ludzkie
o Awarie systemu (hardware, software)
o Katastrofy naturalne
o Działania rozmyślne
Ø Typy potencjalnych szkód
o Odmowa usługi – utrata dostępności
o Ujawnienie – utrata poufności
o Zniszczenie lub uszkodzenie – utrata integralności
Podatność - słabość lub luka w systemie przetwarzania danych ( strukturze fizycznej, procedurach, organizacji, zarządzaniu, administrowaniu, sprzęcie lub oprogramowaniu), która może zostać wykorzystana do przeprowadzenia ataku. Wykrycie podatności następuje zwykle po ataku w wyniku analizy incydentu zagrażającego bezpieczeństwu.
Ø Wady projektowe programu (pod względem bezpieczeństwa)
Ø Stosowanie przestarzałego środowiska programowania.
Ø Wady oprogramowania niskopoziomowego (związanego ze sprzętem)
Ø Nieautoryzowane źródła oprogramowania
Ø Niepoprawne wdrożenia (domyślna instalacja, łatwiejsze zarządzanie i administracja systemem)
Ø Nadużycia w wykorzystaniu oprogramowania – innowacyjne (niezgodne z przeznaczeniem zastosowanie)
Ø Inżynieria społeczna
• Wyposażenie aktywa fizyczne (sprzęt komputerowy urządzenia sieciowe, systemy archiwizacji, itp.)
• Oprogramowanie (licencje, nośniki)
• Algorytmy (opatentowane, chronione stanowią własność przedsiębiorstwa)
• Informacja (zgromadzone dane uporządkowane w sposób hierarchiczny)
1. Twórca informacji – właściciel informacji
2. Utrzymujący – odpowiada za właściwą postać informacji zarządzający informacją.
3. Użytkownik – grupy osób mające prawo do korzystania z zasobów informacyjnych w stopniu określonym przez utrzymującego.
1. Koszt ponownego wytworzenia
2. Koszt niedostępności
3. Koszt ujawnienia
Na podstawie wartości i ryzyka następuje przypisanie odpowiedniej klasyfikacji bezpieczeństwa.
• Identyfikacja zagrożenia – wskazanie na procesy i użytkowników mogących potencjalnie spowodować straty.
• Określenie prawdopodobieństwa
Typowe zagrożenia:
♦ Błąd ludzki
♦ Naturalne katastrofy
♦ Niezawodność sprzętu – awarie sprzętu
♦ Niezawodność oprogramowania - dysfunkcja programu
o Złożoność oprogramowania
o Ewolucja oprogramowania
o Testowanie oprogramowania
§ Przepełnienie bufora
§ Zależności czasowe (wieloprocesorowość)
§ Obsługa wyjątków
§ Interfejs programistyczny
o Zarządzanie zmianami
♦ Niezawodność infrastruktury (telekomunikacyjnej, energetycznej, informatycznej)
♦ Działania złośliwe (włamania do systemów)
♦ Przepełnienie bufora pamięci
♦ Bomba logiczna – czasowa lub zdarzeniowa
♦ Pasożyt – program nieniszczący wykorzystywany do gromadzenia lub zmiany informacji
♦ Programy węszące (sniffer) –program wyszukujący określonych informacji (haseł, identyfikatorów, numerów kart płatniczych itp.)
♦ Podszywanie się (spoofing) – osoba lub program przechwytujący tożsamości innej osoby lub programu.
♦ „Koń trojański” – programy użytkowe zawierające ukryty kod wykonujący niepożądane działania
♦ Wirusy
♦ Robak - wykorzystywany do transportowania innych programów. Wykorzystuje luki i niedoskonałości oprogramowania sieciowego np. poczty elektronicznej.
1. Odmowa usługi
2. Kradzież zasobów
3. Uszkodzenie informacji
4. Zniszczenie informacji
5. Kradzież informacji
6. Ujawnienie informacji
7. Kradzież oprogramowania
8. Kradzież systemów
9. Uszkodzenie systemów nadzoru komputerowego
Spójność – działanie zabezpieczeń jest niezależne od platformy sprzętowej, systemu operacyjnego, miejsca i jednostki organizacyjnej.
Kompletność – systemy zabezpieczające w przedsiębiorstwie (organizacji) osiągają ten sam poziom ochrony we wszystkich obszarach działalności.
Efektywność kosztowa – koszty ochrony informacji są adekwatne do wartości informacji i prawdopodobieństwa ryzyka.
v Likwidowanie miejsc podatnych na uszkodzenia
v Ograniczenie dostępu
v Zwiększanie zabezpieczeń
v Przeniesienie ryzyka
v Ubezpieczenie
v Ograniczenie zakresu zniszczeń
v Ulepszenie systemów wykrywania (czasu wykrywania)
v Szybka reakcja
v Ocena procedur i zasad
v Ocena jakości zastosowanych rozwiązań
v Sprawdzenie zgodności procedur i zasad z rozwiązaniami stosowanymi w praktyce.
v Testowanie
o Analiza statyczna – metoda nieinwazyjna obejmuje przegląd programów ich konfiguracji wersji oprogramowania, zasad udzielania przywilejów i metod administracji. Sprawdzanie miejsc podatnych na atak.
o Analiza dynamiczna – metoda inwazyjna testowania systemu ochrony poprzez symulowany atak.
§ Testy bezpieczeństwa elektronicznego (informatycznego) próby wymuszenia nieautoryzowanego dostępu.
§ Testy bezpieczeństwa fizycznego - próby obejścia zabezpieczeń fizycznych zbierania informacji i wynoszenia poza siedzibę przedsiębiorstwa
§ Testy bezpieczeństwa związane z czynnikiem ludzkim – próby pozyskania informacji od osób mających do niej dostęp.
UŚWIADOMIENIE - bezpieczeństwa
v Modele właściwego zachowania (uprawnienia, zakres odpowiedzialności, kary)
v Programy uświadamiania(ciągłe, spójne, efektywne, aktualne, nagradzanie)
v Umożliwia jednoznaczne ustalenie tożsamości dotyczy to użytkowników, oprogramowania, sprzętu, sieci.
o Unikalny – jednoznaczność związku
o Uniwersalny (tego samego typu i formatu )
o Weryfikowalny
o Przenośny
o Łatwy w użyciu
o Trudny do sfałszowania
Identyfikacja fizyczna – utrzymanie bezpieczeństwa w zakresie dostępu fizycznego
Identyfikacja elektroniczna – utrzymanie bezpieczeństwa w zakresie dostępu fizycznego i dostępu elektronicznego.
v Dostęp fizyczny
v Dostęp bezpośredni (łącza dzierżawione)
v Dostęp sieciowy (sieci WAN, sieci korporacyjne, LAN)
v Dostęp zdalny (sieci telekomunikacyjne –przewodowe, bezprzewodowe)
v Dostęp społeczny (czynnik ludzki)
DOMENY BEZPIECZEŃSTWA – część systemu informacyjnego, znajdująca się pod wspólną kontrolą o określonym poziomie bezpieczeństwa. Domeny bezpieczeństwa łączą się z innymi domenami przez punkty dostępu. Punkty dostępu są...
darkbull