Transcript mpa_zsiap_w8_drblizniuk

Zarządzanie systemami
informatycznymi w administracji
publicznej
WYKŁAD 8:
Bezpieczeństwo systemów informatycznych
Podpis elektroniczny
dr inż. Grzegorz Bliźniuk
Projekt :
„Odpowiedź na wyzwania gospodarki opartej na
wiedzy: nowy program nauczania na WSHiP”.
Projekt współfinansowany ze środków Unii
Europejskiej w ramach Europejskiego Funduszu
Społecznego.
Plan wykładu
1.
Bezpieczeństwo systemów informatycznych
– zagadnienie bezpieczeństwa informacji i danych
– przykłady zagrożeń bezpieczeństwa systemów teleinformatycznych
– normy techniczne i przepisy prawa regulujące bezpieczeństwo systemów
informatycznych
2.
Podpis elektroniczny
– pojęcia podstawowe
– przykłady infrastruktury podpisu elektronicznego
– regulacje prawne w zakresie podpisu elektronicznego
3.
Podsumowanie
3
1. Bezpieczeństwo systemów informatycznych
Zagadnienie bezpieczeństwa informacji i danych dotyczy stosowania
odpowiednich zabezpieczeń systemów informacyjnych i informatycznych, dzięki
czemu nie będzie możliwy niekontrolowany wyciek informacji poza system lub jej
uszkodzenie (zabezpieczenia logiczne), a także zniszczenie lub uszkodzenie
infrastruktury tego systemu (zabezpieczenia fizyczne). Zagadnienie to jest bardzo
ważne w dobie powszechnej internetyzacji technologii informacyjnych (przyp. aut.)
Bezpieczeństwo systemów informatycznych jest rozumiane jako niczym
niezakłócone funkcjonowanie tych systemów podczas realizacji wyznaczonych dla
nich zadań.
Bezpieczeństwo teleinformatyczne jest rozumiane jako zespół procesów
zmierzających do zdefiniowania, osiągnięcia i utrzymania założonego poziomu
ufności, integralności, dostępności autentyczności i niezawodności systemu, czyli
tzw. atrybutów bezpieczeństwa w systemach teleinformatycznych.
Bezpieczeństwo informacji ma szersze znaczenie niż bezpieczeństwo
teleinformatyczne, ponieważ obejmuje również informację znajdującą się poza
systemami informatycznymi, w więc występującą np. w postaci dokumentów
papierowych, mikrofilmów oraz w postaci zapamiętanej i wymienianej bezpośrednio
przez człowieka lub za pomocą środków łączności.
Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie,
WNT, Warszawa, 2006, ISBN 83-204-3155-7
4
1. Bezpieczeństwo systemów informatycznych
Atrybuty bezpieczeństwa według normy PN-13335-1:
Określenie
Nazwa
Poufność
(confidentiality)
Właściwość zapewniająca, że informacja nie jest udostępniana lub ujawniana
nieautoryzowanym osobom, podmiotom lub procesom
Autentyczność
(authenticity)
Właściwość zapewniająca, że tożsamość podmiotu lub zasobu jest taka jak
deklarowana. Dotyczy użytkowników, procesów, systemów lub instytucji. Związana
jest z badaniem, czy ktoś lub coś jest tym za co się podaje
Dostępność
(availability)
Właściwość bycia dostępnym i możliwym do wykorzystania na żądanie w założonym
czasie przez kogoś lub coś, kto lub co ma do tego prawo
Integralność danych
(data integrity)
Właściwość zapewniająca, że dane nie zostały zmienione lub zniszczone w sposób
nieautoryzowany
Integralność systemu
(system integrity)
Właściwość polegająca na tym, że system realizuje swoją zamierzoną funkcję w
nienaruszony sposób, wolny od nieautoryzowanej manipulacji, celowej lub
przypadkowej
Integralność
(integrity)
Integralność danych i integralność systemu
Rozliczalność
(accountability)
Właściwość zapewniająca, że działania podmiotu (np. użytkownika) mogą być
jednoznacznie przypisane tylko temu podmiotowi
Niezawodność
(reliability)
Właściwość oznaczająca spójne, zamierzone zachowanie i skutki
Na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie,
WNT, Warszawa, 2006, ISBN 83-204-3155-7
5
1. Bezpieczeństwo systemów informatycznych
Polityka bezpieczeństwa (security policy) jest planem lub sposobem działania
przyjętym w celu zapewnienia bezpieczeństwa systemów i ochrony danych wrażliwych.
Wrażliwość informacji (information sensibility) jest miarą ważności przypisaną
informacji przez jej autora lub dysponenta w celu wskazania konieczności jej ochrony.
Zasoby lub aktywa (sets), to wszystko, co dla instytucji ma wartość i co dla jej dobra
należy chronić, aby mogła funkcjonować w sposób niezakłócony.
Zagrożenie (threat), to potencjalna przyczyna niepożądanego incydentu, którego
skutkiem może być dla szkoda systemu teleinformatycznego, a w dalszej konsekwencji
dla instytucji.
Incydent bezpieczeństwa (security incident), to niekorzystne zdarzenie związane z
systemem teleinformatycznym, które według obowiązujących reguł lub zaleceń może być
uznane za awarię, faktyczne lub domniemane naruszenie zasad ochrony informacji lub
prawa własności.
Podatność (vulnerability), to słabość lub luka w systemie przetwarzania danych, która
może być wykorzystana przez zagrożenia, prowadząc do strat.
Ryzyko (risk) to prawdopodobieństwo albo możliwość tego, że określone zagrożenie
wykorzysta podatność zasobu lub grupy zasobów, aby spowodować naruszenie lub
zniszczenie zasobów.
Zabezpieczenie (safegurad), to praktyka, procedura, mechanizm redukujący ryzyko do
pewnego akceptowalnego poziomu, zwanego ryzykiem szczątkowym (residual risk).
Definicje na podstawie: Białas A., Bezpieczeństwo informacji i usług w nowoczesnej firmie,
6
WNT, Warszawa, 2006, ISBN 83-204-3155-7
1. Bezpieczeństwo systemów informatycznych
Podstawowe zagrożenia
pracujących w Internecie:
dla
bezpieczeństwa
systemów
i
użytkowników
1. Podsłuch danych transmitowanych w sieci i dostęp osób nieuprawnionych do
informacji,
2. Nieuprawnione korzystanie z zasobów komputerów, np. niedozwolone
uruchomienie programu (zużycie mocy obliczeniowej procesora),
3. Blokada usług systemu na przykład poprzez sztuczne przeciążenie systemu
nadmiarem zlecanych zbędnych zadań, co w konsekwencji blokuje system dla
normalnej pracy,
4. Utrata danych na skutek ich złośliwego zniszczenia lub uszkodzenia
poprzez na przykład włamanie się do systemu informatycznego (komputera),
5. Fałszowanie informacji i/lub podawanie się za innych użytkowników – na
przykład oszukiwanie uczestników czatów, rozsyłanie poczty z cudzego konta,
podszywanie się pod inną osobę na forach internetowych,
6. Fizyczne odcięcie źródła informacji od sieci – np. awaria zasilania, kradzież
infrastruktury systemowej,
Na podstawie: Cieciura M., Podstawy technologii informacyjnych z przykładami zastosowań,
wyd. Vizja Press&IT sp. z o.o., Warszawa, 2006, ISBN 13: 978-83-60283-50-9
7
1. Bezpieczeństwo systemów informatycznych
Polskimi aktami prawnymi, regulującymi obszar bezpieczeństwa informacji i
danych są szczególności wymienione poniżej ustawy wraz z rozporządzeniami
wydawanymi na ich podstawie:
1.
2.
3.
4.
5.
Ustawa o ochronie danych osobowych
Ustawa o ochronie informacji niejawnych
Ustawa o ochronie baz danych
Ustawa o świadczeniu usług drogą elektroniczną
Ustawa o podpisie elektronicznym
Niektóre normy dotyczące bezpieczeństwa informacji i danych
1. ISO/IEC 27001:2005 - międzynarodowy standard tworzenia Systemów Zarządzania
Bezpieczeństwem Informacji,
2. ISO/IEC 17799:2005 (BS 779, PN-ISO/IEC 17779) - szczegółowe zalecenia
związane z procesem wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji
w organizacji,
3. ISO/IEC 13335:2000 (PN-I-13335) – zarządzanie bezpieczeństwem informacji w
systemach teleinformatycznych
8
2. Podpis elektroniczny
Podpis elektroniczny, to dane w postaci elektronicznej, które wraz z innymi danymi,
do których zostały dołączone lub z którymi są logicznie powiązane, służą do identyfikacji
osoby składającej podpis elektroniczny.
Bezpieczny podpis elektroniczny - podpis elektroniczny, który:
a) jest przyporządkowany wyłącznie do osoby składającej ten podpis,
b) jest sporządzany za pomocą podlegających wyłącznej kontroli osoby składającej
podpis elektroniczny bezpiecznych urządzeń służących do składania podpisu
elektronicznego i danych służących do składania podpisu elektronicznego,
c) jest powiązany z danymi, do których został dołączony, w taki sposób, że
jakakolwiek późniejsza zmiana tych danych jest rozpoznawalna
Urządzenie służące do składania podpisu elektronicznego - sprzęt i oprogramowanie
skonfigurowane w sposób umożliwiający złożenie podpisu lub poświadczenia
elektronicznego przy wykorzystaniu danych służących do składania podpisu lub
poświadczenia elektronicznego.
Urządzenie służące do weryfikacji podpisu elektronicznego - sprzęt i
oprogramowanie skonfigurowane w sposób umożliwiający identyfikację osoby fizycznej,
która złożyła podpis elektroniczny, przy wykorzystaniu danych służących do weryfikacji
podpisu elektronicznego lub w sposób umożliwiający identyfikację podmiotu
świadczącego usługi certyfikacyjne lub organu wydającego zaświadczenia
certyfikacyjne, przy wykorzystaniu danych służących do weryfikacji poświadczenia
elektronicznego
9
Źródło: ZSIAP_w8_ustawa_o_podpisie_elektronicznym.pdf
2. Podpis elektroniczny
Podpis elektroniczny, oznacza dane w formie elektronicznej dodane do innych
danych elektronicznych lub logicznie z nimi powiązane i służące jako metoda
uwierzytelnienia.
Bezpieczny podpis elektroniczny oznacza podpis elektroniczny spełniający
następujące wymogi:
a) przyporządkowany jest wyłącznie podpisującemu;
b) umożliwia ustalenie tożsamości podpisującego;
Urządzenie służące do składania podpisu elektronicznego – oznacza
konfigurowane oprogramowanie lub sprzęt używane do wykorzystania danych
służących do składania podpisu.
Urządzenie służące do weryfikacji podpisów - oznacza skonfigurowane
oprogramowanie lub sprzęt używane do wykorzystywania danych służących do
weryfikacji podpisu;
Źródło: ZSIAP_w8_dyrektywa_o_podpisach_elektronicznych.pdf
Od wielu lat postuluje się faktyczne uzgodnienie polskiej ustawy z dyrektywą unijną.
Cały czas obowiązuje jednak ustawa z roku 2001.
Projekt nowelizacji:
10
ZSIAP_w8_projekt_nowej_ustawa_o_podpisach_elektronicznych.pdf
2. Podpis elektroniczny
Infrastruktura klucza publicznego (PKI - Public Key Infrastructure) jest to
szeroko pojęty kryptosystem, w skład którego wchodzą urzędy certyfikacyjne (CA),
urzędy
rejestracyjne
(RA),
subskrybenci
certyfikatów
(użytkownicy),
oprogramowanie i sprzęt.
Do podstawowych funkcji PKI należą:
1. Generowanie kluczy kryptograficznych.
2. Weryfikacja tożsamości subskrybentów.
3. Wystawianie certyfikatów.
4. Weryfikacja certyfikatów.
5. Podpisywanie przekazu.
6. Szyfrowanie przekazu.
7. Potwierdzanie tożsamości.
8. Znakowanie czasem.
9. Dodatkowo, w pewnych konfiguracjach, możliwe jest:
10. Odzyskiwanie kluczy prywatnych.
Ważniejsze pojęcia:
1. CA - Certification Authority - urząd certyfikacji - wystawia certyfikaty, listy CRL,
certyfikuje inne CA.
2. RA - Registration Authority - urząd rejestracji - zbiera wnioski o wydanie
certyfikatu, weryfikuje tożsamość subskrybentów.
3. Subskrybent - właściciel certyfikatu.
11
Źródło: Wikipedia
2. Podpis elektroniczny
Tzw. bezpieczny podpis elektroniczny w
Polsce bazuje na szyfrowaniu asymetrycznym,
w którym występuje tzw. klucz prywatny – znany
tylko osobie odbierającej np. podpisane
dokumenty elektroniczne i klucz publiczny –
znany wszystkim wysyłającym te dokumenty do
osoby z konkretnym kluczem prywatnym.
Znany algorytmem szyfrowania asymetrycznego i
tworzenia podpisów elektronicznych jest RSA –
1977 r. opracowany przez Rona Rivesta, Adi
Shamira oraz Leonarda Adlemana.
X.509 jest stanardem definiującym schemat dla
certyfikatów kluczy publicznych, unieważnień
certyfikatów oraz certyfikatów atrybutu służących
do budowania hierarchicznej struktury PKI.
Kluczowym elementem X.509 jest urząd
certyfikacji, który pełni rolę zaufanej trzeciej
strony w stosunku do podmiotów oraz
użytkowników
certyfikatów.
Koncepcja
certyfikatów, ich ważności oraz odwoływania
została przedstawiona po raz pierwszy w 1978
roku przez Lorena Kohnfeldra[1]. Pierwsza wersja
standardu X.509 została opublikowana w 1988
roku. W Polsce reguluje to norma PN-ISO/IEC
9594-8:2006.
12
Źródło: Wikipedia
Podsumowanie
1.
Bezpieczeństwo informacji
funkcjonowania organizacji
2.
Ma to ogromne znaczenie w dobie wszechobecnego Internetu i silnej
konwergencji cyfrowej
3.
Z uwagi na konieczność zapewnienia bezpieczeństwa przesyłania informacji i
świadczenia zdalnych usług rozwinięto standardy i technologie kryptograficzne
umożliwiające
elektroniczne
podpisywanie
(poświadczanie)
naszej
autentyczności i naszych dokumentów elektronicznych
4.
Złe zaimplementowanie dyrektywy unijnej o podpisach elektronicznych w
polskiej ustawie z roku 2001, czyli zastąpienie spójnika „lub” spójnikiem „i”
spowodowało de’facto zatrzymanie możliwości rozwoju zastosowań podpisu
elektronicznego w Polsce i otwartych standardów z nim związanych,
bazujących na XML
5.
Złe zjawiska wskazane w punkcie 4 zostały częściowo osłabione nowelizacją
ustawy o informatyzacji z roku 2010 (tzw. profil zaufany ePUAP), ale zostaną
całkowicie zniesione postulowaną od ponad 5 lat konieczną nowelizacją
ustawy o podpisie elektronicznym (o ile kiedykolwiek wejdzie w życie).
i
danych
13
jest
podstawą
dla
skutecznego
Dziękuję za uwagę i życzę sukcesów na egzaminie…
Projekt :
„Odpowiedź na wyzwania gospodarki opartej na
wiedzy: nowy program nauczania na WSHiP”.
Projekt współfinansowany ze środków Unii
Europejskiej w ramach Europejskiego Funduszu
Społecznego.