Bezpieczny ośrodek przetwarzania informacji

1. Bezpieczny ośrodek przetwarzania informacji Damian Kopański Witold Wołejszo

2. Plan prezentacji • Cel tworzenia bezpiecznego ośrodka ... • Polityka zabezpieczeń • Metody wyboru zabezpieczeń ograniczających ryzyko • Zabezpieczenie ośrodka przetwarzania informacji • Wady wdrożenia systemu bezpieczeństwa

3. Cel tworzenia bezpiecznego ośrodka przetwarzania informacji • Wymogi prawne, np.: • w zakresie tajemnicy państwowej i służbowej - Ustawa z 14 grudnia 1982 r. o ochronie tajemnicy państwowej i służbowej, • w zakresie tajemnicy przedsiębiorstwa - Ustawa z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji. W zależności od specyfiki danej instytucji podstawą klasyfikacji mogą być inne akty prawne, np. prawo bankowe.

4. Cel ...., Wymogi prawne • Ustawa o ochronie danych osobowych: USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (t.j. Dz. U. z 2002 r. Nr 101, poz. 926) Artykuł 36: Administrator danych jest obowiązany do zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy, zmianą, utratą, uszkodzeniem lub zniszczeniem.

5. Cel tworzenia bezpiecznego ośrodka ... • Dane statystyczne : • 98% - Miało www • 52% - Używało Internetu w swojej działalności handlowej • 90% - wykryło luki w bezpieczeństwie • 80% - miało z tego powodu straty finansowe. Najkosztowniejsze: kradzież informacji, oszustwa finansowe • 85% - Wykryło wirusy • 78% - Nadużycia pracowników (pornografia, piractwo, prywatna poczta) • 70% - Wandalizm pracowników • 44% - ma zamiar dokładnie oszacować swoje straty • 33% - ataków zostało zgłoszonych • 40% - Ataki DOS • 38% - Wykryło próby ataku www • 12% - Wykryło przeciek informacji finansowych

6. Cel tworzenia bezpiecznego ośrodka ... • Stan bezpieczeństwa systemów informatycznych: • 273 organizacje z USA w 2001 roku zgłosiły straty na kwotę 265.589.940 $ (CSI & FBI) • liczba włamań w 2001 w USA – 53.000, tzn. 150% wzrostu wobec roku 2000 (McKisney, 2002) • 60% organizacji nie dysponuje procedurami obsługi naruszeń bezpieczeństwa (Ernst & Young) • 35% serwerów nie posiada systemu detekcji włamań (Ernst & Young) • 50% administratorów nie monitoruje nawiązywanych połączeń (Ernst & Young) • liczba luk wzrosła czterokrotnie w latach 1998 – 2000 (Bugtraq) • w 2000 roku Pentagon zanotował 22.144 incydentów związanych z bezpieczeństwem swojej sieci (Pentagon) • większość incydentów związanych z bezpieczeństwem ma swoje źródło wewnątrz organizacji (Power, 2000)

7. Cel tworzenia bezpiecznego ośrodka ... • Wymagania klienta • wartość informacji • straty wynikające z: • kradzieży informacji • utraty informacji • nieautoryzowanej zmiany • błędnego przetworzenia • czasowej niedostępności informacji ... • Należy pamiętać !!!!!!! Żadne zabezpieczenia nie zapewniają pełnego bezpieczeństwa !!!!

8. Polityka zabezpieczeń - cel • Zdefiniowanie wymagań w zakresie zabezpieczenia. • Określenie zakresu odpowiedzialności. • Określenie zasad dostępu do zasobów systemu informacyjnego

9. Polityka zabezpieczeń - analiza wpływu różnych czynników

10. Polityka zabezpieczeń - Minimalna zawartość: • definicję celów zabezpieczenia systemu informacyjnego, • strukturę organizacyjną oraz zdefiniowanie odpowiedzialności za wszystkie aspekty zabezpieczenia • opis strategii zarządzania ryzykiem • opis wybranych mechanizmów zabezpieczeń, • sposób akredytacji zabezpieczenia systemu informacyjnego.

11. Polityka zabezpieczeń - Minimalna zawartość ...: • określenie wymagań na zabezpieczenie systemu informacyjnego, w tym w szczególności: • zdefiniowanie klas poufności informacji, • określenie obszarów zabezpieczenia systemów informacyjnych, • zdefiniowanie i wdrożenie procedur i regulaminów postępowania, zapewniających osiągnięcie i utrzymanie stanu bezpieczeństwa systemu informacyjnego.

12. Metody wyboru zabezpieczeń ograniczających ryzyko

13. Zabezpieczenie ośrodka • Warunkiem uznania ośrodka przetwarzania informacji za bezpieczny jest spełnienie poniższych kryteriów: • poufności • integralności • dostępności • rozliczalności • autentyczności • niezawodności

14. Zapewnienie poufności danych czyli: Ochrona przed ujawnieniem informacji nieuprawnionemu odbiorcy • Zabezpieczenie budynku(portiernia, ochrona, identyfikatory, punkty kontrolne, ekranowanie, strefy zabezpieczeń ....) • Zabezpieczenie urządzeń (serwerownie ... ) • Zabezpieczenie sieci(firewall, podział sieci na segmenty, szyfrowanie, hasła, systemy wykrywania włamań) • Zabezpieczenie nośników danych (przechowywanie, etykietowanie, transport,niszczenie)

15. Zapewnienie integralności danych czyli Ochrona przed modyfikacją lub zniekształceniem danych • zdefiniowanie klas informacji • pozwolenie wydawane przez instancję nadrzędną (autorytet) – dostęp do określonych klas informacji • Śledzenie modyfikacji informacji(kto, kiedy , jakie dane, ) • Sygnatury, podpisywanie danych, ...

16. Zapewnienie dostępności czyli:Gwarancja uprawnionego dostępu do informacji przy zachowaniu określonych rygorów czasowych • Funkcjonowanie SI(niezawodność sprzętu, UPS, RAID, Cluster, HOT-Swap, ) • Ograniczenie szkód wynikłych z awarii, oraz czasu potrzebnego na jej usunięcie(Umowy serwisowe, backupy, redundancja sprzętu, ...)

17. Zapewnienie rozliczalności: – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi. Określenie i weryfikowanie odpowiedzialności za działania, usługi i funkcje realizowane za pośrednictwem SI. • Największym zagrożeniem jest nieuczciwy uczestnik systemu. Posiada on uprawnienia, które mogą być bazą do jego ataku na system. • każde działanie istotne z punktu widzenia bezpieczeństwa systemu powinno byc logowane • Miejscem składowania zapisów o akcjach są logi: • Bezpieczeństwa - najbardziej chroniony log, do którego trafiają wpisy najistotniejsze z punktu widzenia bezpieczeństwa systemu. • Aktywności - zawiera pozostałe wpisy o działaniu urządzenia. • Aplikacji - rejestruje aktywność aplikacji towarzyszących. • Identyfikacja dostępu do danych/ do procesów (kto, kiedy , jakie dane/proces, w jaki sposób ) • organ kontrolny nadzoruje funkcjonowanie systemu

18. Zapewnienie autentyczności :Weryfikacja tożsamości podmiotów lub prawdziwość aktywów SI. • sprawdzenie czy podmiot lub obiekt jest tym, za którego się podaje • karty identyfikacyjne z zdjęciem • identyfikacja na podstawie cech fizycznych (odcisk palca, tęczówka, DNA, ...) • sprawdzenie autentyczności danych(podpis elektroniczny, sygnatury,...) • Do zagrożeń autentyczności zaliczamy: • zniekształcanie danych, • powtarzanie danych, • wstawianie danych,

19. Zapewnienie niezawodności:Gwarancja odpowiedniego zachowania się SI i otrzymanych wyników • Dobór sprzętu • Budowa instalacji pozwalającej na uniezależnienie się od czynników zewnętrznych (UPS, Klimatyzacja) • Nadmiarowe przetwarzanie informacji (procesory, pamięci RAM, Dyski, Proces przetwarzania)

20. Wady wdrożenia systemu bezpieczeństwa • Wysoki koszt • Może spowodować obniżenie wydajności pracy • Poziom bezpieczeństwa ma tendencje do obniżania się (czynnik ludzki, technika)