Podatność informatyczna: Różnice pomiędzy wersjami
m (→Przykłady podatności: Usuwanie spacji, replaced: → (3)) |
m (cleanup bibliografii i rotten links) |
||
Linia 91: | Linia 91: | ||
* Rot A. (2016). ''[https://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'' Informatyka ekonomiczna 2016 | * Rot A. (2016). ''[https://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'' Informatyka ekonomiczna 2016 | ||
* Ryba M. (2017). ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'' | * Ryba M. (2017). ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'' | ||
* Zaskórski P., Szwarc K. (2013) | * Zaskórski P., Szwarc K. (2013), ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'', Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9 | ||
</noautolinks> | </noautolinks> | ||
[[Kategoria:Zarządzanie ryzykiem]] | [[Kategoria:Zarządzanie ryzykiem]] |
Wersja z 20:36, 13 lis 2023
Podatność informatyczna |
---|
Polecane artykuły |
Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.
TL;DR
Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.
Zasoby informacyjne i ich funkcje
Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
Identyfikujemy zasoby informacji:
- niezbędnym do wyprodukowania wartości wyjściowej
- określającym sprawność działania całego systemu
- posiada swoją wartość
- powstaje w wyniku procesów transformacji
- zasoby sprzętowe
Zasoby informacyjne w kontekście funkcji:
- informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
- decyzyjnej, dokonanie wyboru przez wariantowanie
- motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
- modelującej, obrazującej przepływ informacji w ramach organizacji
Bezpieczeństwo informacji
Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.
Przechowywane dane muszą spełniać kryteria:
- poufności (wykorzystywanie tylko przez uprawnione osoby)
- integralności (nienormalizowane i niemodyfikowane)
- dostępności (zgodnie z zasadami wiedzy uzasadnionej)
- autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
- rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
- niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
- niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.
Normy bezpieczeństwa:
- PN-ISO/IEC 27001:2014
- standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
- publikacje NIST - seria 800 (National Institute of Standards and Technology)
- standardy COBIT (Control Objectives for Information and Related Technology)
- ITIL (Information Technology Infrastructure Library)
Przykłady podatności
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.
W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:
- zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
- pożar (wynikający z awarii lub podpalenia)
- atak grupy hackerskiej,
- kradzież danych przez osoby uprawnione i nieuprawnione
- fizyczne uszkodzenie nośników danych,
- awaria sprzętu towarzyszącego,
- brak zasilania,
- zagubienie / kradzież sprzętu zawierającego istotne dane,
- wyciek danych osobowych.
- Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
- Zasób "serwerownia", zagrożenie "pożar".
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
- Zasób "biznes portal", zagrożenie "wyciek danych osobowych".
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.
Bibliografia
- Cieciura M. (2012). Wybrane problemy społeczne i zawodowe informatyki Wydanie III, Warszawa 2012
- Łydziński D. (2014). Analiza ryzyka w środowisku informatycznym
- Rot A. (2016). Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji Informatyka ekonomiczna 2016
- Ryba M. (2017). Analiza i zarządzanie ryzykiem systemów informatycznych
- Zaskórski P., Szwarc K. (2013), Bezpieczeństwo zasobów informacyjnych, Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9
Autor: Grzegorz Jaworek