Podatność informatyczna: Różnice pomiędzy wersjami
m (→Przykłady podatności: Usuwanie spacji, replaced: → (3)) |
m (cleanup bibliografii i rotten links) |
||
| (Nie pokazano 7 wersji utworzonych przez 2 użytkowników) | |||
| Linia 1: | Linia 1: | ||
'''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | '''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | ||
Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. [[Przydatność]] aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie [[bezpieczeństwo danych]] i komunikacji jest sprawą najwyższej rangi. | Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. [[Przydatność]] aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie [[bezpieczeństwo danych]] i komunikacji jest sprawą najwyższej rangi. | ||
| Linia 24: | Linia 9: | ||
==Zasoby informacyjne i ich funkcje== | ==Zasoby informacyjne i ich funkcje== | ||
[[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | [[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | ||
'''Identyfikujemy [[zasoby]] informacji:''' | '''Identyfikujemy [[zasoby]] informacji:''' | ||
| Linia 38: | Linia 22: | ||
* motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia | * motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia | ||
* modelującej, obrazującej przepływ informacji w ramach organizacji | * modelującej, obrazującej przepływ informacji w ramach organizacji | ||
<google>n</google> | |||
==Bezpieczeństwo informacji== | ==Bezpieczeństwo informacji== | ||
| Linia 84: | Linia 70: | ||
* Zasób "biznes portal", zagrożenie "wyciek danych osobowych". | * Zasób "biznes portal", zagrożenie "wyciek danych osobowych". | ||
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność. | Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność. | ||
{{infobox5|list1={{i5link|a=[[Bezpieczeństwo informacji]]}} — {{i5link|a=[[Polityka bezpieczeństwa informacji]]}} — {{i5link|a=[[Monitoring]]}} — {{i5link|a=[[Integralność danych]]}} — {{i5link|a=[[Disaster recovery]]}} — {{i5link|a=[[Cechy stanowiska pracy]]}} — {{i5link|a=[[Metoda BPM]]}} — {{i5link|a=[[System informacji strategicznej]]}} — {{i5link|a=[[Chmura obliczeniowa]]}} — {{i5link|a=[[Ekwifinalność]]}} }} | |||
==Bibliografia== | ==Bibliografia== | ||
<noautolinks> | <noautolinks> | ||
* Cieciura M. (2012) | * Cieciura M. (2012), ''[https://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'', Warszawa | ||
* Łydziński D. (2014) | * Łydziński D. (2014), ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]'' | ||
* Rot A. (2016) | * Rot A. (2016), ''[https://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'', Informatyka ekonomiczna, nr 3 | ||
* Ryba M. (2017) | * Ryba M. (2017), ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'', wykłady | ||
* Zaskórski P., Szwarc K. (2013) | * Zaskórski P., Szwarc K. (2013), ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'', Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9 | ||
</noautolinks> | </noautolinks> | ||
[[Kategoria:Zarządzanie ryzykiem]] | [[Kategoria:Zarządzanie ryzykiem]] | ||
Aktualna wersja na dzień 18:56, 18 sty 2024
Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.
TL;DR
Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.
Zasoby informacyjne i ich funkcje
Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
Identyfikujemy zasoby informacji:
- niezbędnym do wyprodukowania wartości wyjściowej
- określającym sprawność działania całego systemu
- posiada swoją wartość
- powstaje w wyniku procesów transformacji
- zasoby sprzętowe
Zasoby informacyjne w kontekście funkcji:
- informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
- decyzyjnej, dokonanie wyboru przez wariantowanie
- motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
- modelującej, obrazującej przepływ informacji w ramach organizacji
Bezpieczeństwo informacji
Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.
Przechowywane dane muszą spełniać kryteria:
- poufności (wykorzystywanie tylko przez uprawnione osoby)
- integralności (nienormalizowane i niemodyfikowane)
- dostępności (zgodnie z zasadami wiedzy uzasadnionej)
- autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
- rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
- niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
- niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.
Normy bezpieczeństwa:
- PN-ISO/IEC 27001:2014
- standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
- publikacje NIST - seria 800 (National Institute of Standards and Technology)
- standardy COBIT (Control Objectives for Information and Related Technology)
- ITIL (Information Technology Infrastructure Library)
Przykłady podatności
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.
W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:
- zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
- pożar (wynikający z awarii lub podpalenia)
- atak grupy hackerskiej,
- kradzież danych przez osoby uprawnione i nieuprawnione
- fizyczne uszkodzenie nośników danych,
- awaria sprzętu towarzyszącego,
- brak zasilania,
- zagubienie / kradzież sprzętu zawierającego istotne dane,
- wyciek danych osobowych.
- Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
- Zasób "serwerownia", zagrożenie "pożar".
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
- Zasób "biznes portal", zagrożenie "wyciek danych osobowych".
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.
| Podatność informatyczna — artykuły polecane |
| Bezpieczeństwo informacji — Polityka bezpieczeństwa informacji — Monitoring — Integralność danych — Disaster recovery — Cechy stanowiska pracy — Metoda BPM — System informacji strategicznej — Chmura obliczeniowa — Ekwifinalność |
Bibliografia
- Cieciura M. (2012), Wybrane problemy społeczne i zawodowe informatyki, Warszawa
- Łydziński D. (2014), Analiza ryzyka w środowisku informatycznym
- Rot A. (2016), Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji, Informatyka ekonomiczna, nr 3
- Ryba M. (2017), Analiza i zarządzanie ryzykiem systemów informatycznych, wykłady
- Zaskórski P., Szwarc K. (2013), Bezpieczeństwo zasobów informacyjnych, Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9
Autor: Grzegorz Jaworek
