logowanie do internetu bt

BSI – wykład 4
Dr inż. Małgorzata Langer
Co to jest bezpieczeństwo?
• System komputerowy jest bezpieczny, jeżeli
zainstalowane oprogramowanie działa zgodnie
ze specyfikacją, wprowadzone na stałe dane
nie zostaną utracone, zniekształcone i nie
będą pozyskane przez nikogo
nieuprawnionego, system jest odporny na
awarie, bezpieczny dla otoczenia i przyjazny
dla środowiska
18.05.2016r.
Digital Security Risk Management for
Economic and Social Prosperity
OECD 2015
• Istnieje potrzeba przyjęcia podejścia opartego o zarządzanie
ryzykiem zamiast traktowania problemu bezpieczeństwa sieci
wyłącznie jako przyjmowanie kolejnych rozwiązań
technicznych
• Ryzyko cyfrowe musi być traktowane w identyczny sposób, jak
ryzyko ekonomiczne i dlatego musi stanowić integralną część
całościowego zarządzania ryzykiem w każdej organizacji i
procesie podejmowania decyzji.
• Ryzyko dotyczące bezpieczeństwa informatycznego powinno
zostać zredukowane do poziomu uważanego za akceptowalny
w stosunku do spodziewanych na obecnym etapie korzyści
ekonomicznych.
18.05.2016r.
Osiem ogólnych zasad
1. Świadomość, umiejętności, szkolenia
2. Odpowiedzialność
3. Zachowanie praw osobowych i fundamentalnych
wartości
4. Współpraca
5. Badanie ryzyka i proces jego przetwarzania
6. Podejmowane środki ostrożności
7. Innowacje
8. Przygotowanie i wdrożenie planu ciągłego
zabezpieczania bezpieczeństwa
18.05.2016r.
Zapewnienie bezpieczeństwa
• W praktyce jest to ZARZĄDZANIE RYZYKIEM
• - Wskazywane są potencjalne zagrożenia
- Szacowane prawdopodobieństwo ich
wystąpienia
- Oceniany potencjał strat
- Podejmowane kroki zaradcze
(zapobiegawcze) W RACJONALNYM ZAKRESIE
Nowe wyzwania
• Powszechność stosowania systemów
komunikacji elektronicznej w zastosowaniach
administracji publicznej, przedsiębiorczości,
finansach, oświacie, itp.
• Planowany rozwój i wdrażanie systemów, np.
e-administracja, rozwój ofert usług sieciowych
i dodanych
Nowe wyzwania – c.d.
• Systemy informatyczne i teleinformatyczne
obejmują coraz większe obszary działalności
i powinny być dostępne przez cały czas
• Wzrost udziału sieci radiodostępowych
w technologiach dostępowych
• Rozwiązania techniczne są coraz bardziej
złożone i różnorodne
Nowe wyzwania – c.d.
• Wzrost zagrożeń (cyberterroryzm,
szpiegostwo, przestępstwa bankowe,
dotyczące praw własności intelektualnej, itp. )
• Konieczność funkcjonowania usług
w sytuacjach szczególnych zagrożeń (np. klęsk
żywiołowych), przynajmniej dla wybranych
użytkowników
Bezpieczeństwo strategiczne
• Ochrona danych wrażliwych i osobowych
• Przełamanie utrwalonego przez lata monopolu
Telekomunikacji; pojawienie się nowych
operatorów i dostawców usług; powstanie
warunków konkurencyjności
• Realizacja usług z uwzględnieniem
suwerenności państwa
NEUTRALNOŚĆ TECHNOLOGICZNA
• Tworzenie warunków do uczciwej konkurencji i
rozwoju, na podstawie obiektywnych kryteriów,
wszystkich rozwiązań technologicznych i
standardów oraz zakaz dyskryminowania lub
wspierania konkretnych rozwiązań
technologicznych lub standardów, chyba że
zgodnie z przepisami odrębnymi podejmowane są
uzasadnione, proporcjonalne środki dla
promowania niektórych specyficznych usług
[Ustawa Prawo Telekomunikacyjne weszła w życie
– 21.1. 2013]
Neutralność technologiczna państwa
oznacza, iż władze publiczne nie mogą
tworzyć prawa, a podmioty publiczne nie
mogą konstruować systemów
teleinformatycznych mających realizować
zadania publiczne w taki sposób, by
preferować (lub wręcz wskazywać) konkretne
rozwiązania technologiczne pochodzące od
konkretnych producentów, albo konkretne
rozwiązanie rynkowe
Zagrożenia płynące z neutralności
technologicznej
• Nieznany sposób budowy sieci
• Nieznane trasowanie i sposób przełączania
• Możliwość wykorzystania różnorodnych mediów,
operatorów i technologii jednocześnie
• Dostawca infrastruktury może nie być dostawcą
usługi
Zagrożenia płynące z neutralności
technologicznej – c.d.
• BOK (Biuro Obsługi Klienta) może być poza
granicami kraju (dane osobowe wychodzą
poza granice państwa)
• Centrum Zarządzania Siecią może być poza
krajem, co implikuje inne przepisy dot.
Audytu, poziomu bezpieczeństwa, nadzoru…
Jerzy Paczocha,
2007r.
System zarządzania bezpieczeństwem
informacji operatora (SZBI)
• Część całościowego systemu zarządzania, opartego
na podejściu wynikającym z ryzyka zintegrowanej
infrastruktury teleinformatycznej, odnoszący się do
ustanawiania, wdrażania, eksploatacji,
monitorowania, utrzymywania i doskonalenia
bezpieczeństwa informacji
• Struktura organizacyjna, polityka, planowane
działania, zakresy odpowiedzialności, zasady,
procedury, procesy i zasoby
•
PN-ISO/IEC 27001 Systemy zarządzania bezpieczeństwem informacji - Wymagania
Składowe bezpieczeństwa informacji
• Bezpieczeństwo
teleinformatyczne
• Bezpieczeństwo
fizyczne
BT
BF
BP
BO-O
• Bezpieczeństwo
osobowoorganizacyjne
• Bezpieczeństwo
prawne
18.05.2016r.
Zagrożenia informacyjne
• Nieuprawnione ujawnienie informacji
- pomyłkowe
- celowe
• Szpiegostwo; podsłuch; piractwo
• Niszczenie informacji
• Brak kontroli nad stosowaniem nowoczesnych
technologii
• Naruszenie praw do poufności
• Naruszanie prywatności i dobrego imienia
•…
18.05.2016r.
FCAPS – Rekomendacja ITU-T M3400
• Fault Management (zarządzanie usterkami)
• Configuration Management (zarządzanie
konfigurac ją)
• Accounting Management (zarządzanie
rozliczeniami lub administrowanie)
• Performance Management (zarządzanie
wydajnością)
• Security Management (zarządzanie
bezpieczeństwem)
ZARZĄDZANIE
Ustalenie odpowiedzialności - poziomu zarządzania
przy podejmowaniu decyzji dot. bezpieczeństwa
cyfrowego (zależnie od poziomu ryzyka)
Audyt, testy zgodności,
Narzędzia pomocne w zarządzaniu
Inwentaryzacja
18.05.2016r.
Inwentaryzacja zapewnienia
bezpieczeństwa cyfrowego
Polityki,
standardy,
przepisy
Wymagania
Raporty
monitoring
poprawa
Narzędzia,
procesy,
procedury
Inwentaryzacja musi odpowiedzieć na
pytania strategiczne:
• Kto? - role i odpowiedzialności za
przeprowadzanie audytów, analiz itd.
• Co? – środki i procesy krytyczne/niekrytyczne
• Kiedy? - jak często przeprowadzać testy
zgodności i audyty
• Jak? - co zamieszczać w raporcie, komu
przekazywać raporty, lista priorytetów, plany
naprawy
18.05.2016r.
Przy każdym aktywie (materialnym i niematerialnym)
należy odpowiedzieć na pytania:
•
•
•
•
•
•
•
•
•
Kto ma prawo korzystania?
Po co potrzebne jest użytkownikowi (jaką on spełnia misję)?
Po co potrzebne jest organizacji?
Jak ważne jest dla organizacji, dla jej misji, dla użytkowników?
Jakie są wymagania dot. dostępności (np. maksymalny czas
naprawy…)?
Jaka informacja wymagana jest o aktywie przez organizację?
Jaką informację dana pozycja wytwarza, używa, przetwarza
lub przechowuje albo odzyskuje?
Ważność tej informacji dla misji organizacji?
Ścieżki przepływu informacji?
18.05.2016r.
c.d.
• Rodzaj i zakres przechowywanej informacji (kadry, sprzedaż.
Marketing, finanse, badania, dane produkcyjne, planowanie,
…)?
• Poziom klasyfikacji informacji (np. poufna, tylko do użytku
wewnętrznego, zastrzeżona, z prawem autorskim, dane
klienta, tajemnica handlowa, informacja publiczna)?
• Gdzie dana informacja jest przetwarzana lub przechowywana?
• Rodzaje używanych pamięci?
• Potencjalny wpływ na organizację po ujawnieniu informacji?
• Efekt na misję organizacji, jeżeli informacja nie jest
wiarygodna?
18.05.2016r.
Utrata lub uszkodzenie aktywów fizycznych może
zdegradować lub nawet zlikwidować możliwość
organizacji do prowadzenia biznesu, dostarczenia
produktów i świadczenia usług, które dają
dochód.
Utrata lub uszkodzenie aktywów
niematerialnych może zdegradować
lub nawet zlikwidować możliwość
organizacji do prowadzenia biznesu,
dostarczenia produktów i
świadczenia usług, które dają
dochód.
18.05.2016r.
Standardy i protokoły
• ISO/IEC 7498-1 (ITU-T X.200) – zarządzanie –
aplikacje, systemy, warstwa protokołów
• ISO/IEC 7498-4 (ITU-T X.700) – zarządzanie
bezpieczeństwem
• ITU-T X.800 – architektura bezpieczeństwa, usługi
bezpieczeństwa (autentyfikacja, dostęp,
poufność, integralność …); mechanizmy
zabezpieczające (podpis cyfrowy, szyfrowanie,
integralność danych, kontrola rutingu…)
• ISO/IEC 27002 (polityka bezpieczeństwa,
zarządzanie…)
18.05.2016r.
ISO/IEC 27991
(Standard Zarządzania
Bezpieczeństwem Informacji)
• Do używania przez:
- managerów do określania stanu działań
zarządzania InfoSec
- wewnętrzny i zewnętrzny audyt
- organizacje zbierające informacje, procedury
w stosunku do partnerów, klientów, itd…
18.05.2016r.
Zarządzanie InfoSec powinno:
• Zidentyfikować wrażliwość wszystkich aktywów
pod względem zabezpieczenia informacji
(publiczne, własność zastrzeżona, prawo
autorskie, poufna …..)
• Zidentyfikować grupy personelu pod względem
dostępu do know-how, uprawnień do
pozyskiwania i posiadania informacji itd.
• Zidentyfikować własność poszczególnych
aktywów
• Umożliwić opracowanie, aktualizację i działanie
programu bezpieczeństwa
18.05.2016r.
Zarządzanie ryzykiem
• Zarządzanie ryzykiem: zapewnienie, że zostały w
firmie wdrożone praktyki zarządzania ryzykiem IT
- ustalenie i utrzymywanie procedur
- ustalenie progów powodujących uruchomienie poszczególnych
działań
- promocja kultury bezpieczeństwa
- integracja z ogólnymi działaniami firmy dot. Bezpieczeństwa
- koordynacja strategii bezpieczeństwa IT z całościową strategią
firmy
- zabezpieczenie finansowe
- podejmowanie decyzji biznesowych ze świadomością zagrożeń
18.05.2016r.
Zarządzanie ryzykiem
• Ocena ryzyka: - identyfikacja, analiza, umieszczenie
ryzyka w procedurach warunkujących codzienną
działalność
- zbieranie danych
- identyfikacja czynników ryzyka
- informacje o naruszeniach
- analiza ryzyka
- analiza możliwych opcji reakcji
- regularne przeglądy analizy ryzyka IT
- mapa zasobów IT w procesach biznesowych
- określenie punktów i parametrów krytycznych
- aktualizacja
18.05.2016r.
Zarządzanie ryzykiem
• Odpowiedź na zidentyfikowane ryzyko –
zapewnienie, że związane z ryzykiem IT kwestie,
wydarzenia i okoliczności są właściwie,
efektywnie pod względem kosztów i zgodnie
z priorytetami biznesowymi firmy załatwione
- powiadomienie o rezultatach analizy ryzyka
- interpretacja audytu
- kontrola inwentaryzacji; wdrażanie kontroli i raporty
- monitorowanie i przestrzeganie ustalonych progów ryzyka
- reakcja na wydarzenia i „odrobienie lekcji na przyszłość”
18.05.2016r.
Elementy krytyczne (przykładowa
identyfikacja)
Programy antywirusowe
Serwery aplikacji
Zarządzanie konfiguracją
oprogramowania
Malware
Aplikacje na desktopach
Dostęp do zasobów
Usługi w katalogach
Serwery DNS
Serwery e-mail
Programy szyfrujące
Aplikacje firmowe
Serwery ogólnego
przeznaczenia
Urządzenia z ręczną
obsługą
Zarządzanie identyfikacją
osób i urządzeń
Systemy zarządzania
bazami danych
Przełączniki sieciowe
Rutery sieciowe
Urządzenia peryferyjne
Platformy aplikacji
biurowych
Systemy operacyjne
Wirtualizacja
Serwery bezpieczeństwa
Firewall
Poczta bezprzewodowa
Przeglądarki i strony
Serwery web
Sieci bezprzewodowe
18.05.2016r.
Polityka Info-Sec (przykładowa)
•
•
•
•
•
•
•
•
•
Zarządzanie infrastrukturą komputerową i siecią
Kontrola systemu dostępu
Rozwój i konserwacja systemu
Zabezpieczanie poczty elektronicznej
Programy antywirusowe i malware
Akceptowalne używanie internetu
Komunikacja elektroniczna
Zabezpieczenie internetu
Przetwarzanie zdalne i na urządzeniach
mobilnych
18.05.2016r.
Polityka Info-Sec – c.d.
•
•
•
•
•
•
•
•
•
•
Kontrola dostępu do aplikacji
Wymiana danych i oprogramowania
Kontrola dostępu do sieci
Operacje w systemie informatycznym
Dostęp użytkowników
Dostęp klientów
Hasła i autentyfikacja
Infrastruktura kluczy publicznych i certyfikaty cyfrowe
Firewall i prewencja przed intruzami
Inne zabezpieczenia dostępu do internetu
18.05.2016r.
Polityka Info-Sec – c.d.
• Każdy punkt z polityki Info-Sec musi zostać
rozpisany na szczegółowe wymagania
• Szczegółowe wymagania będą przydatne (i
przestrzegane!) np. przy zakupie nowych
systemów, sprzętu itd.
• Szczegółowe wymagania muszą być
weryfikowalne (inspekcja, testy, analiza,
dokumentacja)
18.05.2016r.
Procedury logowania
• Procedury logowania muszą ujawniać
możliwie jak najmniej informacji o systemie,
aplikacji lub usłudze
• Nie podpowiadać hasła i nie pokazywać przy
wpisywaniu
• Mieć ustalone dozwolone ilości prób
logowania i wdrażać określone procedury po
ich przekroczeniu
18.05.2016r.
Bezpieczeństwo „fizyczne”
• Czy nasz system i dane nie są zagrożone?
• Czy nasz system nie zagraża innym?
• Jak zabezpieczony jest przed zagrożeniami
losowymi?
• Czy jest prawidłowo konserwowany?
• Czy posiadamy procedury na wypadek awarii?
18.05.2016r.