Podatność informatyczna

Z Encyklopedia Zarządzania
Wersja do druku nie jest już wspierana i może powodować błędy w wyświetlaniu. Zaktualizuj swoje zakładki i zamiast funkcji strony do druku użyj domyślnej funkcji drukowania w swojej przeglądarce.

Podatność informatyczna słabość danego systemu informatycznego wynikająca z błędów wewnętrznych lub błędów użytkownika. Poziom bezpieczeństwa jest jednym z aspektów użyteczności systemów informatycznych, które są gromadzone i eksploatowane przez podmioty gospodarcze oraz prywatnych użytkowników. Przydatność aplikacji jest tym większa im większy zapewnia poziom bezpieczeństwa. W XXI wieku istnieje wiele organizacji rozproszonych, biur wirtualnych ze strukturą sieciową gdzie bezpieczeństwo danych i komunikacji jest sprawą najwyższej rangi. Informacja w organizacji stanowi strategiczny komponent, gromadzenie, przetwarzanie i udostępnianie, wszystko co wpływa na wzrost ilości danych komplikuje kwestie automatyzacji procesów informatycznych, które wymagają odpowiednich środków ochrony. Z perspektywy czasu określono, że jakość systemu informatycznego określa skalę efektu synergii, tym samym pozycję konkurencyjną firmy. Podejście procesowe obecne w systemach transakcyjnych, informatyczno-raportujących, systemach wspomagania decyzji oraz sztucznej inteligencji wymaga integracji danych i usług, gdzie platformą integracji są systemy zintegrowane.

TL;DR

Artykuł omawia podatność informatyczną, czyli słabość systemu wynikającą z błędów wewnętrznych lub błędów użytkownika. Bezpieczeństwo informacji jest ważnym czynnikiem dla organizacji, a przechowywane dane muszą spełniać kryteria poufności, integralności, dostępności, autentyczności, rozliczalności, niezaprzeczalności i niezawodności. Do ochrony danych stosuje się normy bezpieczeństwa, takie jak PN-ISO/IEC 27001:2014, standardy Common Criteria, publikacje NIST, standardy COBIT i ITIL. Artykuł przedstawia również przykłady podatności, takie jak ataki hakerskie, zalanie, pożar, kradzież danych czy wyciek danych osobowych, oraz metody oceny zagrożeń i testów penetracyjnych.

Zasoby informacyjne i ich funkcje

Informacje należy traktować jako kategorię ekonomiczną , może być towarem bądź dobrem publicznym. Stwierdza się, że informacje są czynnikiem wytwórczym jak również wartością wyjściową działającego systemu.

Identyfikujemy zasoby informacji:

  • niezbędnym do wyprodukowania wartości wyjściowej
  • określającym sprawność działania całego systemu
  • posiada swoją wartość
  • powstaje w wyniku procesów transformacji
  • zasoby sprzętowe

Zasoby informacyjne w kontekście funkcji:

  • informacyjnej, odpowiedzialnej za rozpoznanie możliwości i potrzeb odbiorcy
  • decyzyjnej, dokonanie wyboru przez wariantowanie
  • motywująco-sterującej, wywołującej określonej reakcji u odbiorcy, wpływającej na zmianę otoczenia
  • modelującej, obrazującej przepływ informacji w ramach organizacji

Bezpieczeństwo informacji

Zasoby informacyjne postrzegane jako strategiczny zasób organizacji oraz czynnik określający skuteczność procesów biznesowych, oraz środek sterowania , kierowania, zarządzania wymagają odpowiedniego poziomu bezpieczeństwa. Bezpieczeństwo informacji , czyli stan zaufania dotyczy systemu informacyjnego ale również człowieka, który operuje informacjami.

Przechowywane dane muszą spełniać kryteria:

  • poufności (wykorzystywanie tylko przez uprawnione osoby)
  • integralności (nienormalizowane i niemodyfikowane)
  • dostępności (zgodnie z zasadami wiedzy uzasadnionej)
  • autentyczności (możliwość zidentyfikowania podmiotu dostarczającego dane)
  • rozliczalności (możliwość identyfikowania użytkownika oraz zakresu dostępnych dla niego informacji)
  • niezaprzeczalności (użytkownik zweryfikowany w dostępie do procesu informatycznego)
  • niezawodności (bezawaryjne działanie zapewniające stały dostęp w ustalonych przedziałach czasu)

Ochrona danych wymaga podejścia systemowego. Dotyczy to środowiska, w którym działa system. Różne środowiska będą obarczone lukami, które są konsekwencją błędów w projektowaniu systemu oraz niezapewnienia dostatecznych środków zabezpieczenia. Jednocześnie dynamika rozwoju systemów oraz zagrożeń powoduje konieczność wytwarzania elastycznych i podatnych na zmiany rozwiązań zabezpieczających, które pozwolą na modyfikację w krótkim czasie w przypadku zmiany środowiskowej. Zagrożenia stanowią działania ukierunkowane na składowe systemu informatycznego mogące powodować szkody. W celu zwiększenia bezpieczeństwa danych opisuje się zabezpieczenia normami i standardami bezpieczeństwa.

Normy bezpieczeństwa:

  • PN-ISO/IEC 27001:2014
  • standard Common Criteria z normy PN-ISO/IEC 15408-1:2016
  • publikacje NIST - seria 800 (National Institute of Standards and Technology)
  • standardy COBIT (Control Objectives for Information and Related Technology)
  • ITIL (Information Technology Infrastructure Library)

Przykłady podatności

Każdy zasób jest wrażliwy na szereg potencjalnych zagrożeń, problemy które dany zasób może realnie napotkać spisuje się i ocenia pod kątem możliwości wystąpienia i konsekwencji jakie im towarzyszą. Lista powstaje w oparciu o wiedzę ekspercką kierowaną zdrowym rozsądkiem. Analiza podatności jest trudna i żmudna ponieważ dla różnych zasobów zagrożenia powtarzają się ale wymagają kontekstowej analizy. Dlatego przyjmuje się poziom szczegółowości na jakim dokonuje się analizy. Wstępnie najlepiej jest zacząć od poziomu ogólnego, a w przypadku stwierdzenia konieczności przejść do bardziej szczegółowej analizy.

W pierwszej kolejności określa się listę potencjalnych zagrożeń dla różnych zasobów:

  • zalanie (w wyniku powodzi lub awarii sieci wodociągowej)
  • pożar (wynikający z awarii lub podpalenia)
  • atak grupy hackerskiej,
  • kradzież danych przez osoby uprawnione i nieuprawnione
  • fizyczne uszkodzenie nośników danych,
  • awaria sprzętu towarzyszącego,
  • brak zasilania,
  • zagubienie / kradzież sprzętu zawierającego istotne dane,
  • wyciek danych osobowych.
  • Zasób "strona internetowa" został oznaczony zagrożeniem "atak grupy hackerskiej".

Sprawdzamy czy i w jakim stopniu nasz zasób jest podatny na takie zagrożenie. W tym przypadku do oceny zagrożenia wykonuje się testy penetracyjne, będące symulacją ataku hackerskiego, którego zadaniem jest obnażenie słabości (podatności) zasobu.

  • Zasób "serwerownia", zagrożenie "pożar".

Jeśli pomieszczenie znajduje się w starym budynku, bez odpowiedniej wentylacji, z przestarzałą instalacją elektryczną wskazuje to, że pomieszczenie jest potencjalnie obarczone wystąpieniem takiego zagrożenia.

  • Zasób "biznes portal", zagrożenie "wyciek danych osobowych".

Jeśli portal umożliwia nieautoryzowany dostęp do informacji np. przez dostęp bez logowania to wskazuje to na potencjalną podatność.


Podatność informatycznaartykuły polecane
Bezpieczeństwo informacjiPolityka bezpieczeństwa informacjiMonitoringIntegralność danychDisaster recoveryCechy stanowiska pracyMetoda BPMSystem informacji strategicznejChmura obliczeniowaEkwifinalność

Bibliografia


Autor: Grzegorz Jaworek