Podatność informatyczna: Różnice pomiędzy wersjami
(LinkTitles.) |
m (cleanup bibliografii i rotten links) |
||
(Nie pokazano 14 wersji utworzonych przez 2 użytkowników) | |||
Linia 1: | Linia 1: | ||
'''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | '''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | ||
Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. [[Przydatność]] aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie [[bezpieczeństwo danych]] i komunikacji jest sprawą najwyższej rangi. | Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. [[Przydatność]] aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie [[bezpieczeństwo danych]] i komunikacji jest sprawą najwyższej rangi. | ||
[[Informacja]] w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. | [[Informacja]] w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. | ||
Z perspektywy czasu określono, że [[jakość]] systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. [[Podejście procesowe]] obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane. | Z perspektywy czasu określono, że [[jakość]] systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. [[Podejście procesowe]] obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane. | ||
==TL;DR== | |||
Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych. | |||
==Zasoby informacyjne i ich funkcje== | ==Zasoby informacyjne i ich funkcje== | ||
[[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | [[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | ||
'''Identyfikujemy [[zasoby]] informacji:''' | '''Identyfikujemy [[zasoby]] informacji:''' | ||
* niezbędnym do wyprodukowania wartości wyjściowej | |||
*niezbędnym do wyprodukowania | * określającym [[sprawność]] działania całego systemu | ||
*określającym [[sprawność]] działania całego systemu | * posiada swoją [[wartość]] | ||
*posiada swoją [[wartość]] | * powstaje w wyniku procesów transformacji | ||
*powstaje w wyniku procesów transformacji | * zasoby sprzętowe | ||
*zasoby sprzętowe | |||
'''[[Zasoby informacyjne]] w kontekście funkcji:''' | '''[[Zasoby informacyjne]] w kontekście funkcji:''' | ||
* informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy | |||
* decyzyjnej, dokonanie wyboru przez wariantowanie | |||
* motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia | |||
* modelującej, obrazującej przepływ informacji w ramach organizacji | |||
<google>n</google> | |||
==Bezpieczeństwo informacji== | ==Bezpieczeństwo informacji== | ||
Zasoby informacyjne postrzegane jako strategiczny | Zasoby informacyjne postrzegane jako strategiczny [[zasób]] organizacji oraz czynnik określający [[skuteczność]] procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. | ||
Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami. | Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami. | ||
'''Przechowywane [[dane]] muszą spełniać kryteria:''' | '''Przechowywane [[dane]] muszą spełniać kryteria:''' | ||
*poufności (wykorzystywanie tylko przez uprawnione osoby) | * poufności (wykorzystywanie tylko przez uprawnione osoby) | ||
*integralności (nienormalizowane i niemodyfikowane) | * integralności (nienormalizowane i niemodyfikowane) | ||
*dostępności (zgodnie z zasadami wiedzy uzasadnionej) | * dostępności (zgodnie z zasadami wiedzy uzasadnionej) | ||
*autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane) | * autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane) | ||
*rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji) | * rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji) | ||
*niezaprzeczalności ([[użytkownik]] zweryfikowany w dostępie do procesu informatycznego) | * niezaprzeczalności ([[użytkownik]] zweryfikowany w dostępie do procesu informatycznego) | ||
*niezawodności (bezawaryjne [[działanie]] zapewniające stały dostęp w ustalonych przedziałach czasu) | * niezawodności (bezawaryjne [[działanie]] zapewniające stały dostęp w ustalonych przedziałach czasu) | ||
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa [[system]]. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. | Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa [[system]]. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. | ||
[[Zagrożenia]] stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa. | [[Zagrożenia]] stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa. | ||
'''[[Normy]] bezpieczeństwa:''' | '''[[Normy]] bezpieczeństwa:''' | ||
*PN-ISO/IEC 27001:2014 | * PN-ISO/IEC 27001:2014 | ||
*standard Common Criteria z normy PN-ISO/IEC 15408-1:2016 | * standard Common Criteria z normy PN-ISO/IEC 15408-1:2016 | ||
*publikacje NIST - seria 800 (National Institute of Standards and Technology) | * publikacje NIST - seria 800 (National Institute of Standards and Technology) | ||
*standardy COBIT | * standardy COBIT (Control Objectives for Information and Related Technology) | ||
*[[ITIL]] (Information Technology Infrastructure Library) | * [[ITIL]] (Information Technology Infrastructure Library) | ||
==Przykłady podatności== | ==Przykłady podatności== | ||
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. | |||
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. | Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. | ||
Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. | |||
Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy. | Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy. | ||
'''W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:''' | '''W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:''' | ||
* zalanie (w wyniku powodzi lub awarii sieci wodociągowej) | |||
* pożar (wynikający z awarii lub podpalenia) | |||
* atak grupy hackerskiej, | |||
* kradzież danych przez osoby uprawnione i nieuprawnione | |||
* fizyczne uszkodzenie nośników danych, | |||
* [[awaria]] sprzętu towarzyszącego, | |||
* brak zasilania, | |||
* zagubienie / kradzież sprzętu zawierającego istotne dane, | |||
* [[wyciek danych]] osobowych. | |||
* | * Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej". | ||
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie [[zagrożenie]]. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu. | Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie [[zagrożenie]]. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu. | ||
* Zasób "serwerownia", zagrożenie "pożar". | |||
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia. | Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia. | ||
* Zasób "biznes portal", zagrożenie "wyciek danych osobowych". | |||
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność. | |||
{{infobox5|list1={{i5link|a=[[Bezpieczeństwo informacji]]}} — {{i5link|a=[[Polityka bezpieczeństwa informacji]]}} — {{i5link|a=[[Monitoring]]}} — {{i5link|a=[[Integralność danych]]}} — {{i5link|a=[[Disaster recovery]]}} — {{i5link|a=[[Cechy stanowiska pracy]]}} — {{i5link|a=[[Metoda BPM]]}} — {{i5link|a=[[System informacji strategicznej]]}} — {{i5link|a=[[Chmura obliczeniowa]]}} — {{i5link|a=[[Ekwifinalność]]}} }} | |||
==Bibliografia== | ==Bibliografia== | ||
* Cieciura M. (2012) | <noautolinks> | ||
* Łydziński D. (2014) | * Cieciura M. (2012), ''[https://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'', Warszawa | ||
* Rot A. (2016) | * Łydziński D. (2014), ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]'' | ||
* Ryba M. (2017) | * Rot A. (2016), ''[https://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'', Informatyka ekonomiczna, nr 3 | ||
* Zaskórski P., Szwarc K. (2013) | * Ryba M. (2017), ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'', wykłady | ||
* Zaskórski P., Szwarc K. (2013), ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'', Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9 | |||
</noautolinks> | |||
[[Kategoria:Zarządzanie ryzykiem]] | [[Kategoria:Zarządzanie ryzykiem]] | ||
{{a|Grzegorz Jaworek}} | {{a|Grzegorz Jaworek}} | ||
{{#metamaster:description|Podatność informatyczna to słabość systemu wynikająca z błędów wewnętrznych lub użytkownika. Dowiedz się więcej o tym na naszej stronie encyklopedii.}} |
Aktualna wersja na dzień 18:56, 18 sty 2024
Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.
TL;DR
Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.
Zasoby informacyjne i ich funkcje
Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
Identyfikujemy zasoby informacji:
- niezbędnym do wyprodukowania wartości wyjściowej
- określającym sprawność działania całego systemu
- posiada swoją wartość
- powstaje w wyniku procesów transformacji
- zasoby sprzętowe
Zasoby informacyjne w kontekście funkcji:
- informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
- decyzyjnej, dokonanie wyboru przez wariantowanie
- motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
- modelującej, obrazującej przepływ informacji w ramach organizacji
Bezpieczeństwo informacji
Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.
Przechowywane dane muszą spełniać kryteria:
- poufności (wykorzystywanie tylko przez uprawnione osoby)
- integralności (nienormalizowane i niemodyfikowane)
- dostępności (zgodnie z zasadami wiedzy uzasadnionej)
- autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
- rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
- niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
- niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.
Normy bezpieczeństwa:
- PN-ISO/IEC 27001:2014
- standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
- publikacje NIST - seria 800 (National Institute of Standards and Technology)
- standardy COBIT (Control Objectives for Information and Related Technology)
- ITIL (Information Technology Infrastructure Library)
Przykłady podatności
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.
W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:
- zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
- pożar (wynikający z awarii lub podpalenia)
- atak grupy hackerskiej,
- kradzież danych przez osoby uprawnione i nieuprawnione
- fizyczne uszkodzenie nośników danych,
- awaria sprzętu towarzyszącego,
- brak zasilania,
- zagubienie / kradzież sprzętu zawierającego istotne dane,
- wyciek danych osobowych.
- Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
- Zasób "serwerownia", zagrożenie "pożar".
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
- Zasób "biznes portal", zagrożenie "wyciek danych osobowych".
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.
Podatność informatyczna — artykuły polecane |
Bezpieczeństwo informacji — Polityka bezpieczeństwa informacji — Monitoring — Integralność danych — Disaster recovery — Cechy stanowiska pracy — Metoda BPM — System informacji strategicznej — Chmura obliczeniowa — Ekwifinalność |
Bibliografia
- Cieciura M. (2012), Wybrane problemy społeczne i zawodowe informatyki, Warszawa
- Łydziński D. (2014), Analiza ryzyka w środowisku informatycznym
- Rot A. (2016), Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji, Informatyka ekonomiczna, nr 3
- Ryba M. (2017), Analiza i zarządzanie ryzykiem systemów informatycznych, wykłady
- Zaskórski P., Szwarc K. (2013), Bezpieczeństwo zasobów informacyjnych, Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki, Nr 9
Autor: Grzegorz Jaworek