Podatność informatyczna: Różnice pomiędzy wersjami

Z Encyklopedia Zarządzania
m (cleanup bibliografii i rotten links)
m (cleanup bibliografii i rotten links)
 
(Nie pokazano 10 wersji utworzonych przez 2 użytkowników)
Linia 1: Linia 1:
{{infobox4
|list1=
<ul>
<li>[[Bezpieczeństwo informacji]]</li>
<li>[[Polityka bezpieczeństwa informacji]]</li>
<li>[[Monitoring]]</li>
<li>[[Integralność danych]]</li>
<li>[[Disaster recovery]]</li>
<li>[[Cechy stanowiska pracy]]</li>
<li>[[Metoda BPM]]</li>
<li>[[System informacji strategicznej]]</li>
<li>[[Chmura obliczeniowa]]</li>
</ul>
}}
'''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika.
'''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika.
Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. [[Przydatność]] aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie [[bezpieczeństwo danych]] i komunikacji jest sprawą najwyższej rangi.
Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. [[Przydatność]] aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie [[bezpieczeństwo danych]] i komunikacji jest sprawą najwyższej rangi.
Linia 24: Linia 9:
==Zasoby informacyjne i ich funkcje==
==Zasoby informacyjne i ich funkcje==
[[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
[[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
<google>t</google>


'''Identyfikujemy [[zasoby]] informacji:'''
'''Identyfikujemy [[zasoby]] informacji:'''
 
* niezbędnym do wyprodukowania wartości wyjściowej
*niezbędnym do wyprodukowania wartości wyjściowej
* określającym [[sprawność]] działania całego systemu
*określającym [[sprawność]] działania całego systemu
* posiada swoją [[wartość]]
*posiada swoją [[wartość]]
* powstaje w wyniku procesów transformacji
*powstaje w wyniku procesów transformacji
* zasoby sprzętowe
*zasoby sprzętowe


'''[[Zasoby informacyjne]] w kontekście funkcji:'''
'''[[Zasoby informacyjne]] w kontekście funkcji:'''
* informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
* decyzyjnej, dokonanie wyboru przez wariantowanie
* motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
* modelującej, obrazującej przepływ informacji w ramach organizacji


*informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
<google>n</google>
*decyzyjnej, dokonanie wyboru przez wariantowanie
*motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
*modelującej, obrazującej przepływ informacji w ramach organizacji


==Bezpieczeństwo informacji==
==Bezpieczeństwo informacji==
Zasoby informacyjne postrzegane jako strategiczny [[zasób]] organizacji oraz czynnik określający [[skuteczność]] procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa.
Zasoby informacyjne postrzegane jako strategiczny [[zasób]] organizacji oraz czynnik określający [[skuteczność]] procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa.
Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.
Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.


'''Przechowywane [[dane]] muszą spełniać kryteria:'''
'''Przechowywane [[dane]] muszą spełniać kryteria:'''
*poufności (wykorzystywanie tylko przez uprawnione osoby)
* poufności (wykorzystywanie tylko przez uprawnione osoby)
*integralności (nienormalizowane i niemodyfikowane)
* integralności (nienormalizowane i niemodyfikowane)
*dostępności (zgodnie z zasadami wiedzy uzasadnionej)
* dostępności (zgodnie z zasadami wiedzy uzasadnionej)
*autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
* autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
*rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
* rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
*niezaprzeczalności ([[użytkownik]] zweryfikowany w dostępie do procesu informatycznego)
* niezaprzeczalności ([[użytkownik]] zweryfikowany w dostępie do procesu informatycznego)
*niezawodności (bezawaryjne [[działanie]] zapewniające stały dostęp w ustalonych przedziałach czasu)
* niezawodności (bezawaryjne [[działanie]] zapewniające stały dostęp w ustalonych przedziałach czasu)


Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa [[system]]. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej.
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa [[system]]. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej.
Linia 58: Linia 42:


'''[[Normy]] bezpieczeństwa:'''
'''[[Normy]] bezpieczeństwa:'''
*PN-ISO/IEC 27001:2014
* PN-ISO/IEC 27001:2014
*standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
* standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
*publikacje NIST - seria 800 (National Institute of Standards and Technology)
* publikacje NIST - seria 800 (National Institute of Standards and Technology)
*standardy COBIT (Control Objectives for Information and Related Technology)
* standardy COBIT (Control Objectives for Information and Related Technology)
*[[ITIL]] (Information Technology Infrastructure Library)
* [[ITIL]] (Information Technology Infrastructure Library)


==Przykłady podatności==
==Przykłady podatności==
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą.
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą.
Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy.
Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy.
Linia 71: Linia 54:


'''W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:'''
'''W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:'''
* zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
* pożar (wynikający z awarii lub podpalenia)
* atak grupy hackerskiej,
* kradzież danych przez osoby uprawnione i nieuprawnione
* fizyczne uszkodzenie nośników danych,
* [[awaria]] sprzętu towarzyszącego,
* brak zasilania,
* zagubienie / kradzież sprzętu zawierającego istotne dane,
* [[wyciek danych]] osobowych.


*zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
* Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".
*pożar (wynikający z awarii lub podpalenia)
*atak grupy hackerskiej,
*kradzież danych przez osoby uprawnione i nieuprawnione
*fizyczne uszkodzenie nośników danych,
*[[awaria]] sprzętu towarzyszącego,
*brak zasilania,
*zagubienie / kradzież sprzętu zawierającego istotne dane,
*[[wyciek danych]] osobowych.
 
Zasób „strona internetowa” został oznaczony zagrożeniem „atak grupy hackerskiej”.
 
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie [[zagrożenie]]. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie [[zagrożenie]]. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
 
* Zasób "serwerownia", zagrożenie "pożar".
Zasób „serwerownia”, zagrożenie „pożar”.
 
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
* Zasób "biznes portal", zagrożenie "wyciek danych osobowych".
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.


Zasób „biznes portal”, zagrożenie „wyciek danych osobowych”.
{{infobox5|list1={{i5link|a=[[Bezpieczeństwo informacji]]}} &mdash; {{i5link|a=[[Polityka bezpieczeństwa informacji]]}} &mdash; {{i5link|a=[[Monitoring]]}} &mdash; {{i5link|a=[[Integralność danych]]}} &mdash; {{i5link|a=[[Disaster recovery]]}} &mdash; {{i5link|a=[[Cechy stanowiska pracy]]}} &mdash; {{i5link|a=[[Metoda BPM]]}} &mdash; {{i5link|a=[[System informacji strategicznej]]}} &mdash; {{i5link|a=[[Chmura obliczeniowa]]}} &mdash; {{i5link|a=[[Ekwifinalność]]}} }}
 
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.


==Bibliografia==
==Bibliografia==
<noautolinks>
<noautolinks>
* Cieciura M. (2012). ''[https://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'' Wydanie III, Warszawa 2012
* Cieciura M. (2012), ''[https://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'', Warszawa
* Łydziński D. (2014). ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]''
* Łydziński D. (2014), ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]''
* Rot A. (2016). ''[https://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'' Informatyka ekonomiczna 2016
* Rot A. (2016), ''[https://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'', Informatyka ekonomiczna, nr 3
* Ryba M. (2017). ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]''
* Ryba M. (2017), ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'', wykłady
* Zaskórski P., Szwarc K. (2013). ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'' Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9
* Zaskórski P., Szwarc K. (2013), ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'', Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9
</noautolinks>
</noautolinks>
[[Kategoria:Zarządzanie ryzykiem]]
[[Kategoria:Zarządzanie ryzykiem]]



Aktualna wersja na dzień 18:56, 18 sty 2024

Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.

TL;DR

Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.

Zasoby informacyjne i ich funkcje

Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.

Identyfikujemy zasoby informacji:

  • niezbędnym do wyprodukowania wartości wyjściowej
  • określającym sprawność działania całego systemu
  • posiada swoją wartość
  • powstaje w wyniku procesów transformacji
  • zasoby sprzętowe

Zasoby informacyjne w kontekście funkcji:

  • informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
  • decyzyjnej, dokonanie wyboru przez wariantowanie
  • motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
  • modelującej, obrazującej przepływ informacji w ramach organizacji

Bezpieczeństwo informacji

Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.

Przechowywane dane muszą spełniać kryteria:

  • poufności (wykorzystywanie tylko przez uprawnione osoby)
  • integralności (nienormalizowane i niemodyfikowane)
  • dostępności (zgodnie z zasadami wiedzy uzasadnionej)
  • autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
  • rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
  • niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
  • niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)

Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.

Normy bezpieczeństwa:

  • PN-ISO/IEC 27001:2014
  • standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
  • publikacje NIST - seria 800 (National Institute of Standards and Technology)
  • standardy COBIT (Control Objectives for Information and Related Technology)
  • ITIL (Information Technology Infrastructure Library)

Przykłady podatności

Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.

W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:

  • zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
  • pożar (wynikający z awarii lub podpalenia)
  • atak grupy hackerskiej,
  • kradzież danych przez osoby uprawnione i nieuprawnione
  • fizyczne uszkodzenie nośników danych,
  • awaria sprzętu towarzyszącego,
  • brak zasilania,
  • zagubienie / kradzież sprzętu zawierającego istotne dane,
  • wyciek danych osobowych.
  • Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".

Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.

  • Zasób "serwerownia", zagrożenie "pożar".

Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.

  • Zasób "biznes portal", zagrożenie "wyciek danych osobowych".

Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.


Podatność informatycznaartykuły polecane
Bezpieczeństwo informacjiPolityka bezpieczeństwa informacjiMonitoringIntegralność danychDisaster recoveryCechy stanowiska pracyMetoda BPMSystem informacji strategicznejChmura obliczeniowaEkwifinalność

Bibliografia


Autor: Grzegorz Jaworek