logowanie do internetu bt
Transkrypt
logowanie do internetu bt
BSI – wykład 4 Dr inż. Małgorzata Langer Co to jest bezpieczeństwo? • System komputerowy jest bezpieczny, jeżeli zainstalowane oprogramowanie działa zgodnie ze specyfikacją, wprowadzone na stałe dane nie zostaną utracone, zniekształcone i nie będą pozyskane przez nikogo nieuprawnionego, system jest odporny na awarie, bezpieczny dla otoczenia i przyjazny dla środowiska 18.05.2016r. Digital Security Risk Management for Economic and Social Prosperity OECD 2015 • Istnieje potrzeba przyjęcia podejścia opartego o zarządzanie ryzykiem zamiast traktowania problemu bezpieczeństwa sieci wyłącznie jako przyjmowanie kolejnych rozwiązań technicznych • Ryzyko cyfrowe musi być traktowane w identyczny sposób, jak ryzyko ekonomiczne i dlatego musi stanowić integralną część całościowego zarządzania ryzykiem w każdej organizacji i procesie podejmowania decyzji. • Ryzyko dotyczące bezpieczeństwa informatycznego powinno zostać zredukowane do poziomu uważanego za akceptowalny w stosunku do spodziewanych na obecnym etapie korzyści ekonomicznych. 18.05.2016r. Osiem ogólnych zasad 1. Świadomość, umiejętności, szkolenia 2. Odpowiedzialność 3. Zachowanie praw osobowych i fundamentalnych wartości 4. Współpraca 5. Badanie ryzyka i proces jego przetwarzania 6. Podejmowane środki ostrożności 7. Innowacje 8. Przygotowanie i wdrożenie planu ciągłego zabezpieczania bezpieczeństwa 18.05.2016r. Zapewnienie bezpieczeństwa • W praktyce jest to ZARZĄDZANIE RYZYKIEM • - Wskazywane są potencjalne zagrożenia - Szacowane prawdopodobieństwo ich wystąpienia - Oceniany potencjał strat - Podejmowane kroki zaradcze (zapobiegawcze) W RACJONALNYM ZAKRESIE Nowe wyzwania • Powszechność stosowania systemów komunikacji elektronicznej w zastosowaniach administracji publicznej, przedsiębiorczości, finansach, oświacie, itp. • Planowany rozwój i wdrażanie systemów, np. e-administracja, rozwój ofert usług sieciowych i dodanych Nowe wyzwania – c.d. • Systemy informatyczne i teleinformatyczne obejmują coraz większe obszary działalności i powinny być dostępne przez cały czas • Wzrost udziału sieci radiodostępowych w technologiach dostępowych • Rozwiązania techniczne są coraz bardziej złożone i różnorodne Nowe wyzwania – c.d. • Wzrost zagrożeń (cyberterroryzm, szpiegostwo, przestępstwa bankowe, dotyczące praw własności intelektualnej, itp. ) • Konieczność funkcjonowania usług w sytuacjach szczególnych zagrożeń (np. klęsk żywiołowych), przynajmniej dla wybranych użytkowników Bezpieczeństwo strategiczne • Ochrona danych wrażliwych i osobowych • Przełamanie utrwalonego przez lata monopolu Telekomunikacji; pojawienie się nowych operatorów i dostawców usług; powstanie warunków konkurencyjności • Realizacja usług z uwzględnieniem suwerenności państwa NEUTRALNOŚĆ TECHNOLOGICZNA • Tworzenie warunków do uczciwej konkurencji i rozwoju, na podstawie obiektywnych kryteriów, wszystkich rozwiązań technologicznych i standardów oraz zakaz dyskryminowania lub wspierania konkretnych rozwiązań technologicznych lub standardów, chyba że zgodnie z przepisami odrębnymi podejmowane są uzasadnione, proporcjonalne środki dla promowania niektórych specyficznych usług [Ustawa Prawo Telekomunikacyjne weszła w życie – 21.1. 2013] Neutralność technologiczna państwa oznacza, iż władze publiczne nie mogą tworzyć prawa, a podmioty publiczne nie mogą konstruować systemów teleinformatycznych mających realizować zadania publiczne w taki sposób, by preferować (lub wręcz wskazywać) konkretne rozwiązania technologiczne pochodzące od konkretnych producentów, albo konkretne rozwiązanie rynkowe Zagrożenia płynące z neutralności technologicznej • Nieznany sposób budowy sieci • Nieznane trasowanie i sposób przełączania • Możliwość wykorzystania różnorodnych mediów, operatorów i technologii jednocześnie • Dostawca infrastruktury może nie być dostawcą usługi Zagrożenia płynące z neutralności technologicznej – c.d. • BOK (Biuro Obsługi Klienta) może być poza granicami kraju (dane osobowe wychodzą poza granice państwa) • Centrum Zarządzania Siecią może być poza krajem, co implikuje inne przepisy dot. Audytu, poziomu bezpieczeństwa, nadzoru… Jerzy Paczocha, 2007r. System zarządzania bezpieczeństwem informacji operatora (SZBI) • Część całościowego systemu zarządzania, opartego na podejściu wynikającym z ryzyka zintegrowanej infrastruktury teleinformatycznej, odnoszący się do ustanawiania, wdrażania, eksploatacji, monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji • Struktura organizacyjna, polityka, planowane działania, zakresy odpowiedzialności, zasady, procedury, procesy i zasoby • PN-ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji - Wymagania Składowe bezpieczeństwa informacji • Bezpieczeństwo teleinformatyczne • Bezpieczeństwo fizyczne BT BF BP BO-O • Bezpieczeństwo osobowoorganizacyjne • Bezpieczeństwo prawne 18.05.2016r. Zagrożenia informacyjne • Nieuprawnione ujawnienie informacji - pomyłkowe - celowe • Szpiegostwo; podsłuch; piractwo • Niszczenie informacji • Brak kontroli nad stosowaniem nowoczesnych technologii • Naruszenie praw do poufności • Naruszanie prywatności i dobrego imienia •… 18.05.2016r. FCAPS – Rekomendacja ITU-T M3400 • Fault Management (zarządzanie usterkami) • Configuration Management (zarządzanie konfigurac ją) • Accounting Management (zarządzanie rozliczeniami lub administrowanie) • Performance Management (zarządzanie wydajnością) • Security Management (zarządzanie bezpieczeństwem) ZARZĄDZANIE Ustalenie odpowiedzialności - poziomu zarządzania przy podejmowaniu decyzji dot. bezpieczeństwa cyfrowego (zależnie od poziomu ryzyka) Audyt, testy zgodności, Narzędzia pomocne w zarządzaniu Inwentaryzacja 18.05.2016r. Inwentaryzacja zapewnienia bezpieczeństwa cyfrowego Polityki, standardy, przepisy Wymagania Raporty monitoring poprawa Narzędzia, procesy, procedury Inwentaryzacja musi odpowiedzieć na pytania strategiczne: • Kto? - role i odpowiedzialności za przeprowadzanie audytów, analiz itd. • Co? – środki i procesy krytyczne/niekrytyczne • Kiedy? - jak często przeprowadzać testy zgodności i audyty • Jak? - co zamieszczać w raporcie, komu przekazywać raporty, lista priorytetów, plany naprawy 18.05.2016r. Przy każdym aktywie (materialnym i niematerialnym) należy odpowiedzieć na pytania: • • • • • • • • • Kto ma prawo korzystania? Po co potrzebne jest użytkownikowi (jaką on spełnia misję)? Po co potrzebne jest organizacji? Jak ważne jest dla organizacji, dla jej misji, dla użytkowników? Jakie są wymagania dot. dostępności (np. maksymalny czas naprawy…)? Jaka informacja wymagana jest o aktywie przez organizację? Jaką informację dana pozycja wytwarza, używa, przetwarza lub przechowuje albo odzyskuje? Ważność tej informacji dla misji organizacji? Ścieżki przepływu informacji? 18.05.2016r. c.d. • Rodzaj i zakres przechowywanej informacji (kadry, sprzedaż. Marketing, finanse, badania, dane produkcyjne, planowanie, …)? • Poziom klasyfikacji informacji (np. poufna, tylko do użytku wewnętrznego, zastrzeżona, z prawem autorskim, dane klienta, tajemnica handlowa, informacja publiczna)? • Gdzie dana informacja jest przetwarzana lub przechowywana? • Rodzaje używanych pamięci? • Potencjalny wpływ na organizację po ujawnieniu informacji? • Efekt na misję organizacji, jeżeli informacja nie jest wiarygodna? 18.05.2016r. Utrata lub uszkodzenie aktywów fizycznych może zdegradować lub nawet zlikwidować możliwość organizacji do prowadzenia biznesu, dostarczenia produktów i świadczenia usług, które dają dochód. Utrata lub uszkodzenie aktywów niematerialnych może zdegradować lub nawet zlikwidować możliwość organizacji do prowadzenia biznesu, dostarczenia produktów i świadczenia usług, które dają dochód. 18.05.2016r. Standardy i protokoły • ISO/IEC 7498-1 (ITU-T X.200) – zarządzanie – aplikacje, systemy, warstwa protokołów • ISO/IEC 7498-4 (ITU-T X.700) – zarządzanie bezpieczeństwem • ITU-T X.800 – architektura bezpieczeństwa, usługi bezpieczeństwa (autentyfikacja, dostęp, poufność, integralność …); mechanizmy zabezpieczające (podpis cyfrowy, szyfrowanie, integralność danych, kontrola rutingu…) • ISO/IEC 27002 (polityka bezpieczeństwa, zarządzanie…) 18.05.2016r. ISO/IEC 27991 (Standard Zarządzania Bezpieczeństwem Informacji) • Do używania przez: - managerów do określania stanu działań zarządzania InfoSec - wewnętrzny i zewnętrzny audyt - organizacje zbierające informacje, procedury w stosunku do partnerów, klientów, itd… 18.05.2016r. Zarządzanie InfoSec powinno: • Zidentyfikować wrażliwość wszystkich aktywów pod względem zabezpieczenia informacji (publiczne, własność zastrzeżona, prawo autorskie, poufna …..) • Zidentyfikować grupy personelu pod względem dostępu do know-how, uprawnień do pozyskiwania i posiadania informacji itd. • Zidentyfikować własność poszczególnych aktywów • Umożliwić opracowanie, aktualizację i działanie programu bezpieczeństwa 18.05.2016r. Zarządzanie ryzykiem • Zarządzanie ryzykiem: zapewnienie, że zostały w firmie wdrożone praktyki zarządzania ryzykiem IT - ustalenie i utrzymywanie procedur - ustalenie progów powodujących uruchomienie poszczególnych działań - promocja kultury bezpieczeństwa - integracja z ogólnymi działaniami firmy dot. Bezpieczeństwa - koordynacja strategii bezpieczeństwa IT z całościową strategią firmy - zabezpieczenie finansowe - podejmowanie decyzji biznesowych ze świadomością zagrożeń 18.05.2016r. Zarządzanie ryzykiem • Ocena ryzyka: - identyfikacja, analiza, umieszczenie ryzyka w procedurach warunkujących codzienną działalność - zbieranie danych - identyfikacja czynników ryzyka - informacje o naruszeniach - analiza ryzyka - analiza możliwych opcji reakcji - regularne przeglądy analizy ryzyka IT - mapa zasobów IT w procesach biznesowych - określenie punktów i parametrów krytycznych - aktualizacja 18.05.2016r. Zarządzanie ryzykiem • Odpowiedź na zidentyfikowane ryzyko – zapewnienie, że związane z ryzykiem IT kwestie, wydarzenia i okoliczności są właściwie, efektywnie pod względem kosztów i zgodnie z priorytetami biznesowymi firmy załatwione - powiadomienie o rezultatach analizy ryzyka - interpretacja audytu - kontrola inwentaryzacji; wdrażanie kontroli i raporty - monitorowanie i przestrzeganie ustalonych progów ryzyka - reakcja na wydarzenia i „odrobienie lekcji na przyszłość” 18.05.2016r. Elementy krytyczne (przykładowa identyfikacja) Programy antywirusowe Serwery aplikacji Zarządzanie konfiguracją oprogramowania Malware Aplikacje na desktopach Dostęp do zasobów Usługi w katalogach Serwery DNS Serwery e-mail Programy szyfrujące Aplikacje firmowe Serwery ogólnego przeznaczenia Urządzenia z ręczną obsługą Zarządzanie identyfikacją osób i urządzeń Systemy zarządzania bazami danych Przełączniki sieciowe Rutery sieciowe Urządzenia peryferyjne Platformy aplikacji biurowych Systemy operacyjne Wirtualizacja Serwery bezpieczeństwa Firewall Poczta bezprzewodowa Przeglądarki i strony Serwery web Sieci bezprzewodowe 18.05.2016r. Polityka Info-Sec (przykładowa) • • • • • • • • • Zarządzanie infrastrukturą komputerową i siecią Kontrola systemu dostępu Rozwój i konserwacja systemu Zabezpieczanie poczty elektronicznej Programy antywirusowe i malware Akceptowalne używanie internetu Komunikacja elektroniczna Zabezpieczenie internetu Przetwarzanie zdalne i na urządzeniach mobilnych 18.05.2016r. Polityka Info-Sec – c.d. • • • • • • • • • • Kontrola dostępu do aplikacji Wymiana danych i oprogramowania Kontrola dostępu do sieci Operacje w systemie informatycznym Dostęp użytkowników Dostęp klientów Hasła i autentyfikacja Infrastruktura kluczy publicznych i certyfikaty cyfrowe Firewall i prewencja przed intruzami Inne zabezpieczenia dostępu do internetu 18.05.2016r. Polityka Info-Sec – c.d. • Każdy punkt z polityki Info-Sec musi zostać rozpisany na szczegółowe wymagania • Szczegółowe wymagania będą przydatne (i przestrzegane!) np. przy zakupie nowych systemów, sprzętu itd. • Szczegółowe wymagania muszą być weryfikowalne (inspekcja, testy, analiza, dokumentacja) 18.05.2016r. Procedury logowania • Procedury logowania muszą ujawniać możliwie jak najmniej informacji o systemie, aplikacji lub usłudze • Nie podpowiadać hasła i nie pokazywać przy wpisywaniu • Mieć ustalone dozwolone ilości prób logowania i wdrażać określone procedury po ich przekroczeniu 18.05.2016r. Bezpieczeństwo „fizyczne” • Czy nasz system i dane nie są zagrożone? • Czy nasz system nie zagraża innym? • Jak zabezpieczony jest przed zagrożeniami losowymi? • Czy jest prawidłowo konserwowany? • Czy posiadamy procedury na wypadek awarii? 18.05.2016r.