Podatność informatyczna: Różnice pomiędzy wersjami
m (Dodanie MetaData Description) |
m (cleanup bibliografii i rotten links) |
||
Linia 13: | Linia 13: | ||
</ul> | </ul> | ||
}} | }} | ||
'''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | '''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | ||
Linia 28: | Linia 25: | ||
[[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | [[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | ||
<google>t</google> | <google>t</google> | ||
'''Identyfikujemy [[zasoby]] informacji:''' | '''Identyfikujemy [[zasoby]] informacji:''' | ||
*niezbędnym do wyprodukowania wartości wyjściowej | *niezbędnym do wyprodukowania wartości wyjściowej | ||
*określającym [[sprawność]] działania całego systemu | *określającym [[sprawność]] działania całego systemu | ||
*posiada swoją [[wartość]] | *posiada swoją [[wartość]] | ||
*powstaje w wyniku procesów transformacji | *powstaje w wyniku procesów transformacji | ||
*zasoby sprzętowe | *zasoby sprzętowe | ||
'''[[Zasoby informacyjne]] w kontekście funkcji:''' | '''[[Zasoby informacyjne]] w kontekście funkcji:''' | ||
*informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy | *informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy | ||
*decyzyjnej, dokonanie wyboru przez wariantowanie | *decyzyjnej, dokonanie wyboru przez wariantowanie | ||
*motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia | *motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia | ||
*modelującej, obrazującej przepływ informacji w ramach organizacji | *modelującej, obrazującej przepływ informacji w ramach organizacji | ||
Linia 48: | Linia 43: | ||
==Bezpieczeństwo informacji== | ==Bezpieczeństwo informacji== | ||
Zasoby informacyjne postrzegane jako strategiczny [[zasób]] organizacji oraz czynnik określający [[skuteczność]] procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. | Zasoby informacyjne postrzegane jako strategiczny [[zasób]] organizacji oraz czynnik określający [[skuteczność]] procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. | ||
Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami. | Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami. | ||
'''Przechowywane [[dane]] muszą spełniać kryteria:''' | '''Przechowywane [[dane]] muszą spełniać kryteria:''' | ||
Linia 60: | Linia 54: | ||
*niezawodności (bezawaryjne [[działanie]] zapewniające stały dostęp w ustalonych przedziałach czasu) | *niezawodności (bezawaryjne [[działanie]] zapewniające stały dostęp w ustalonych przedziałach czasu) | ||
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa [[system]]. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. | Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa [[system]]. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. | ||
[[Zagrożenia]] stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa. | [[Zagrożenia]] stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa. | ||
'''[[Normy]] bezpieczeństwa:''' | '''[[Normy]] bezpieczeństwa:''' | ||
Linia 73: | Linia 66: | ||
==Przykłady podatności== | ==Przykłady podatności== | ||
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. | Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. | ||
Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. | Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. | ||
Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy. | Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy. | ||
Linia 93: | Linia 86: | ||
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie [[zagrożenie]]. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu. | Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie [[zagrożenie]]. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu. | ||
Zasób „serwerownia”, zagrożenie „pożar”. | Zasób „serwerownia”, zagrożenie „pożar”. | ||
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia. | Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia. | ||
Zasób „biznes portal”, zagrożenie „wyciek danych osobowych”. | Zasób „biznes portal”, zagrożenie „wyciek danych osobowych”. | ||
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność. | Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność. | ||
==Bibliografia== | ==Bibliografia== | ||
<noautolinks> | |||
* Cieciura M. (2012). ''[http://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'' Wydanie III, Warszawa 2012 | * Cieciura M. (2012). ''[http://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'' Wydanie III, Warszawa 2012 | ||
* Łydziński D. (2014). ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]'' | * Łydziński D. (2014). ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]'' | ||
* Rot A. (2016). ''[http://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'' | * Rot A. (2016). ''[http://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'' Informatyka ekonomiczna 2016 | ||
* Ryba M. (2017). ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'' | * Ryba M. (2017). ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'' | ||
* Zaskórski P., Szwarc K. (2013). ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'' Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9 | * Zaskórski P., Szwarc K. (2013). ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'' Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9 | ||
</noautolinks> | |||
[[Kategoria:Zarządzanie ryzykiem]] | [[Kategoria:Zarządzanie ryzykiem]] |
Wersja z 11:42, 29 paź 2023
Podatność informatyczna |
---|
Polecane artykuły |
Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.
TL;DR
Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.
Zasoby informacyjne i ich funkcje
Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
Identyfikujemy zasoby informacji:
- niezbędnym do wyprodukowania wartości wyjściowej
- określającym sprawność działania całego systemu
- posiada swoją wartość
- powstaje w wyniku procesów transformacji
- zasoby sprzętowe
Zasoby informacyjne w kontekście funkcji:
- informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
- decyzyjnej, dokonanie wyboru przez wariantowanie
- motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
- modelującej, obrazującej przepływ informacji w ramach organizacji
Bezpieczeństwo informacji
Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.
Przechowywane dane muszą spełniać kryteria:
- poufności (wykorzystywanie tylko przez uprawnione osoby)
- integralności (nienormalizowane i niemodyfikowane)
- dostępności (zgodnie z zasadami wiedzy uzasadnionej)
- autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
- rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
- niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
- niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.
Normy bezpieczeństwa:
- PN-ISO/IEC 27001:2014
- standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
- publikacje NIST - seria 800 (National Institute of Standards and Technology)
- standardy COBIT (Control Objectives for Information and Related Technology)
- ITIL (Information Technology Infrastructure Library)
Przykłady podatności
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.
W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:
- zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
- pożar (wynikający z awarii lub podpalenia)
- atak grupy hackerskiej,
- kradzież danych przez osoby uprawnione i nieuprawnione
- fizyczne uszkodzenie nośników danych,
- awaria sprzętu towarzyszącego,
- brak zasilania,
- zagubienie / kradzież sprzętu zawierającego istotne dane,
- wyciek danych osobowych.
Zasób „strona internetowa” został oznaczony zagrożeniem „atak grupy hackerskiej”.
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
Zasób „serwerownia”, zagrożenie „pożar”.
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
Zasób „biznes portal”, zagrożenie „wyciek danych osobowych”.
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.
Bibliografia
- Cieciura M. (2012). Wybrane problemy społeczne i zawodowe informatyki Wydanie III, Warszawa 2012
- Łydziński D. (2014). Analiza ryzyka w środowisku informatycznym
- Rot A. (2016). Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji Informatyka ekonomiczna 2016
- Ryba M. (2017). Analiza i zarządzanie ryzykiem systemów informatycznych
- Zaskórski P., Szwarc K. (2013). Bezpieczeństwo zasobów informacyjnych Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9
Autor: Grzegorz Jaworek