Podatność informatyczna: Różnice pomiędzy wersjami
m (Infobox update) |
(LinkTitles.) |
||
| Linia 17: | Linia 17: | ||
'''Podatność informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | '''[[Podatność]] informatyczna''' słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. | ||
Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. | Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. [[Przydatność]] aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie [[bezpieczeństwo danych]] i komunikacji jest sprawą najwyższej rangi. | ||
Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. | [[Informacja]] w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. | ||
Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane. | Z perspektywy czasu określono, że [[jakość]] systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. [[Podejście procesowe]] obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane. | ||
==Zasoby informacyjne i ich funkcje== | ==Zasoby informacyjne i ich funkcje== | ||
Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | [[Informacje]] należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu. | ||
<google>t</google> | <google>t</google> | ||
'''Identyfikujemy zasoby informacji:''' | '''Identyfikujemy [[zasoby]] informacji:''' | ||
*niezbędnym do wyprodukowania wartości wyjściowej | *niezbędnym do wyprodukowania wartości wyjściowej | ||
*określającym sprawność działania całego systemu | *określającym [[sprawność]] działania całego systemu | ||
*posiada swoją wartość | *posiada swoją [[wartość]] | ||
*powstaje w wyniku procesów transformacji | *powstaje w wyniku procesów transformacji | ||
*zasoby sprzętowe | *zasoby sprzętowe | ||
'''Zasoby informacyjne w kontekście funkcji:''' | '''[[Zasoby informacyjne]] w kontekście funkcji:''' | ||
*informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy | *informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy | ||
| Linia 44: | Linia 44: | ||
==Bezpieczeństwo informacji== | ==Bezpieczeństwo informacji== | ||
Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. | Zasoby informacyjne postrzegane jako strategiczny [[zasób]] organizacji oraz czynnik określający [[skuteczność]] procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. | ||
Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami. | Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami. | ||
'''Przechowywane dane muszą spełniać kryteria:''' | '''Przechowywane [[dane]] muszą spełniać kryteria:''' | ||
*poufności (wykorzystywanie tylko przez uprawnione osoby) | *poufności (wykorzystywanie tylko przez uprawnione osoby) | ||
*integralności (nienormalizowane i niemodyfikowane) | *integralności (nienormalizowane i niemodyfikowane) | ||
| Linia 54: | Linia 54: | ||
*autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane) | *autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane) | ||
*rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji) | *rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji) | ||
*niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego) | *niezaprzeczalności ([[użytkownik]] zweryfikowany w dostępie do procesu informatycznego) | ||
*niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu) | *niezawodności (bezawaryjne [[działanie]] zapewniające stały dostęp w ustalonych przedziałach czasu) | ||
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. | Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa [[system]]. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. | ||
Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa. | [[Zagrożenia]] stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa. | ||
'''Normy bezpieczeństwa:''' | '''[[Normy]] bezpieczeństwa:''' | ||
*PN-ISO/IEC 27001:2014 | *PN-ISO/IEC 27001:2014 | ||
*standard Common Criteria z normy PN-ISO/IEC 15408-1:2016 | *standard Common Criteria z normy PN-ISO/IEC 15408-1:2016 | ||
*publikacje NIST - seria 800 (National Institute of Standards and Technology) | *publikacje NIST - seria 800 (National Institute of Standards and Technology) | ||
*standardy COBIT (Control Objectives for Information and Related Technology) | *standardy COBIT (Control Objectives for Information and Related Technology) | ||
*ITIL (Information Technology Infrastructure Library) | *[[ITIL]] (Information Technology Infrastructure Library) | ||
==Przykłady podatności== | ==Przykłady podatności== | ||
| Linia 81: | Linia 81: | ||
*kradzież danych przez osoby uprawnione i nieuprawnione | *kradzież danych przez osoby uprawnione i nieuprawnione | ||
*fizyczne uszkodzenie nośników danych, | *fizyczne uszkodzenie nośników danych, | ||
*awaria sprzętu towarzyszącego, | *[[awaria]] sprzętu towarzyszącego, | ||
*brak zasilania, | *brak zasilania, | ||
*zagubienie / kradzież sprzętu zawierającego istotne dane, | *zagubienie / kradzież sprzętu zawierającego istotne dane, | ||
*wyciek danych osobowych. | *[[wyciek danych]] osobowych. | ||
Zasób „strona internetowa” został oznaczony zagrożeniem „atak grupy hackerskiej”. | Zasób „strona internetowa” został oznaczony zagrożeniem „atak grupy hackerskiej”. | ||
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu. | Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie [[zagrożenie]]. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu. | ||
Zasób „serwerownia”, zagrożenie „pożar”. | Zasób „serwerownia”, zagrożenie „pożar”. | ||
| Linia 101: | Linia 101: | ||
* Cieciura M. (2012). ''[http://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'' Wydanie III, Warszawa 2012 | * Cieciura M. (2012). ''[http://cieciura.net/pi/pdf/PSZI.pdf Wybrane problemy społeczne i zawodowe informatyki]'' Wydanie III, Warszawa 2012 | ||
* Łydziński D. (2014). ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]'' | * Łydziński D. (2014). ''[https://4itsecurity.pl/assets/files/Raporty%20i%20publikacje/Analiza%20ryzyka%20w%20%C5%9Brodowisku%20informatycznym.pdf Analiza ryzyka w środowisku informatycznym]'' | ||
* Rot A. (2016). ''[http://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'' Informatyka ekonomiczna 2016 | * Rot A. (2016). ''[http://www.dbc.wroc.pl/Content/36974/Rot_Wybrane_Podatnosci_i_Zagrozenia_Bezpieczenstwa_Srodowiska_2016.pdf Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji]'' [[Informatyka]] ekonomiczna 2016 | ||
* Ryba M. (2017). ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'' | * Ryba M. (2017). ''[https://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/ey2.pdf Analiza i zarządzanie ryzykiem systemów informatycznych]'' | ||
* Zaskórski P., Szwarc K. (2013). ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'' Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9 | * Zaskórski P., Szwarc K. (2013). ''[https://yadda.icm.edu.pl/baztech/element/bwmeta1.element.baztech-e5f25c32-d487-46ac-b46e-e86d3d34efe1/c/Zaskorski_P_Bezpieczenstwo_9_2013.pdf Bezpieczeństwo zasobów informacyjnych]'' Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9 | ||
Wersja z 03:07, 21 maj 2020
| Podatność informatyczna |
|---|
| Polecane artykuły |
Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika.
Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi.
Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony.
Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.
Zasoby informacyjne i ich funkcje
Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.
Identyfikujemy zasoby informacji:
- niezbędnym do wyprodukowania wartości wyjściowej
- określającym sprawność działania całego systemu
- posiada swoją wartość
- powstaje w wyniku procesów transformacji
- zasoby sprzętowe
Zasoby informacyjne w kontekście funkcji:
- informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
- decyzyjnej, dokonanie wyboru przez wariantowanie
- motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
- modelującej, obrazującej przepływ informacji w ramach organizacji
Bezpieczeństwo informacji
Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.
Przechowywane dane muszą spełniać kryteria:
- poufności (wykorzystywanie tylko przez uprawnione osoby)
- integralności (nienormalizowane i niemodyfikowane)
- dostępności (zgodnie z zasadami wiedzy uzasadnionej)
- autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
- rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
- niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
- niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)
Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.
Normy bezpieczeństwa:
- PN-ISO/IEC 27001:2014
- standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
- publikacje NIST - seria 800 (National Institute of Standards and Technology)
- standardy COBIT (Control Objectives for Information and Related Technology)
- ITIL (Information Technology Infrastructure Library)
Przykłady podatności
Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.
W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:
- zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
- pożar (wynikający z awarii lub podpalenia)
- atak grupy hackerskiej,
- kradzież danych przez osoby uprawnione i nieuprawnione
- fizyczne uszkodzenie nośników danych,
- awaria sprzętu towarzyszącego,
- brak zasilania,
- zagubienie / kradzież sprzętu zawierającego istotne dane,
- wyciek danych osobowych.
Zasób „strona internetowa” został oznaczony zagrożeniem „atak grupy hackerskiej”.
Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.
Zasób „serwerownia”, zagrożenie „pożar”.
Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.
Zasób „biznes portal”, zagrożenie „wyciek danych osobowych”.
Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.
Bibliografia
- Cieciura M. (2012). Wybrane problemy społeczne i zawodowe informatyki Wydanie III, Warszawa 2012
- Łydziński D. (2014). Analiza ryzyka w środowisku informatycznym
- Rot A. (2016). Wybrane podatności i zagrożenia bezpieczeństwa środowiska wirtualnego w organizacji Informatyka ekonomiczna 2016
- Ryba M. (2017). Analiza i zarządzanie ryzykiem systemów informatycznych
- Zaskórski P., Szwarc K. (2013). Bezpieczeństwo zasobów informacyjnych Zeszyty Naukowe Warszawskiej Wyższej Szkoły Informatyki Nr 9
Autor: Grzegorz Jaworek
