Podatność informatyczna

Z Encyklopedia Zarządzania
Wersja z dnia 20:36, 13 lis 2023 autorstwa Zybex (dyskusja | edycje) (cleanup bibliografii i rotten links)
Podatność informatyczna
Polecane artykuły

Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.

TL;DR

Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.

Zasoby informacyjne i ich funkcje

Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.

Identyfikujemy zasoby informacji:

  • niezbędnym do wyprodukowania wartości wyjściowej
  • określającym sprawność działania całego systemu
  • posiada swoją wartość
  • powstaje w wyniku procesów transformacji
  • zasoby sprzętowe

Zasoby informacyjne w kontekście funkcji:

  • informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
  • decyzyjnej, dokonanie wyboru przez wariantowanie
  • motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
  • modelującej, obrazującej przepływ informacji w ramach organizacji

Bezpieczeństwo informacji

Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.

Przechowywane dane muszą spełniać kryteria:

  • poufności (wykorzystywanie tylko przez uprawnione osoby)
  • integralności (nienormalizowane i niemodyfikowane)
  • dostępności (zgodnie z zasadami wiedzy uzasadnionej)
  • autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
  • rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
  • niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
  • niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)

Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.

Normy bezpieczeństwa:

  • PN-ISO/IEC 27001:2014
  • standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
  • publikacje NIST - seria 800 (National Institute of Standards and Technology)
  • standardy COBIT (Control Objectives for Information and Related Technology)
  • ITIL (Information Technology Infrastructure Library)

Przykłady podatności

Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.

W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:

  • zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
  • pożar (wynikający z awarii lub podpalenia)
  • atak grupy hackerskiej,
  • kradzież danych przez osoby uprawnione i nieuprawnione
  • fizyczne uszkodzenie nośników danych,
  • awaria sprzętu towarzyszącego,
  • brak zasilania,
  • zagubienie / kradzież sprzętu zawierającego istotne dane,
  • wyciek danych osobowych.
  • Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".

Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.

  • Zasób "serwerownia", zagrożenie "pożar".

Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.

  • Zasób "biznes portal", zagrożenie "wyciek danych osobowych".

Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.

Bibliografia


Autor: Grzegorz Jaworek