Zacznij od zabezpieczenia! Ochrona zasobów w organizacji pozarządowej.

Tomasz DumaCentrum Technologii Informacyjnych e-Misja03 grudnia 2012, Rzeszów

Program prezentacji:

• Istota ochrony danych• Co się wiąże z ochroną danych• Backup - rodzaje • Software• Hardware• Polityki bezpieczeństwa - bądź jeden dokument, zbiór polityk• Warto uświadomić: po co, dla kogo i dlaczego?• Podsumowanie, pytania

Istota ochrony danych – słabe ogniwa:

1. Nie znamy zachowania poszczególnych użytkowników korzystających z systemów informatycznych (każdy z nas jest inny, wyjątkowy).

2. Nie wiemy jakie będą konsekwencje kiedy użytkownik przekroczy określone granice (nie wystarczająca wiedza z ochrony danych).

3. Nie wszyscy znają procedury postępowania dla zapobiegania i minimalizowania skutków zagrożeń wynikające z korzystania z systemów Informatycznych

Istota ochrony danych – słabe ogniwa:

4. Brak wiedzy na temat:• Zabezpieczeń (np. jakie stosować oprogramowanie: AntyWirusowe, Firewall)• Ochrony przetwarzanych danych (Backupy, Szyfrowanie)• Niezawodność funkcjonowania (posiadanie dostępu do danych, VPN)

5. Co w przypadku naruszenia zabezpieczeń systemu informatycznego?Czy wiemy kiedy zostało naruszone zabezpieczenie systemu? Czy potrafimy to weryfikować?

6. Co w przypadku naruszenia zabezpieczeń danych?Czy mamy zrobiony backup systemu i danych? Czy nośniki z kopiami są wystarczająco bezpieczne?

Znaczenie poszczególnych określeń:

Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.

Dostępność danych – własność zapewniająca użytkownikowi możliwość pracy na stanowisku komputerowym zgodnie z założonymi wymaganiami ochrony

Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

Poufność danych – własność zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.

Akt prawny:

1. Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)

Ochrona danych osobowych – Dane zwykłe:

1. Do danych osobowych zalicza się (w sytuacji kiedy naraz występuje kilka elementów wymienionych niżej):• Imię i Nazwisko • Adres osoby, • Przypisane numery, • Dane o cechach fizjologicznych, • Dane o cechach umysłowych, • Dane o cechach ekonomicznych, • Dane o cechach kulturowych • Dane o cechach społecznych.• Adres e-mail (w sytuacji kiedy w treści adresu e-mail występuje imię i nazwisko)

2. Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL (przy pomocy numeru PESEL jesteśmy w stanie jednoznacznie określić osobę)

Ochrona danych osobowych – Dane szczególnie chronione:

1. Danymi szczególnie chronionymi (bardziej rygorystyczne obowiązki na administratorze danych) są:• informacje o pochodzeniu rasowym lub etnicznym, • poglądy polityczne, • poglądy religijne, • poglądy filozoficzne, • wyznanie, • przynależność do partii lub związku, • stan zdrowia, • kod genetyczny, • nałogi,• życie seksualne, • orzeczenia o ukaraniu, • mandaty,• informacje na temat odbytych lub odbywanych kar, wydanych w toku procesu karnego• orzeczenia wydane w postępowaniu przed sądem lub urzędem.

Ochrona danych osobowych – Danymi osobowymi nie są:

1. Informacje o osobach zmarłych2. Informacje o przedsiębiorcach

Akt prawny:

1. Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Co się wiąże z ochroną danych – Zasady zarządzania Systemami Informatycznymi:

1. Wyznaczamy Administratora – użytkownik uprzywilejowany. 2. Stosujemy procedury nadawania i odbierania uprawnień. ( Tworzenie,

modyfikacja, usuwanie* kont użytkownikom wykonuje administrator, nadając unikalny login i hasło, )

3. Administrator nadaje uprawnienia użytkownikom do poszczególnych funkcji programu zgodnie z zakresem upoważnień.

4. Hasła (od 6 do 8 znaków np.: CJi98&^sD, zmiana co 30 dni)5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy6. Kopie zapasowe. (kopie baz danych, kopie systemu, kopie ustawień)7. Konserwacje – aktualizacja

*usuwanie – uwaga! Nie usuwamy konta, lecz odbieramy wszelkie uprawnienia, oraz zmieniamy hasło na inne.

Backup – rodzaje:

• Backup – kopia na: CD i DVD-ROM• Backup – Pendrive• Backup – dysk twardy wewnętrzny• Backup – serwer zewnętrzny• Backup – on-line

Usługi backupu on-line (usługi darmowe) warto zajrzeć do:

• Dropbox• Syncplicity• LiveMesh• Memopal• Humyo

Usługi backup on-line (wersje płatne – komercyjne):

• BitBank• iBard24 Backup Online• Msejf • Opero Backup

Software (szyfrowanie, hasła):

1. TrueCrypt – program szyfrujący pliki, pendrive, całe dyski twarde2. KeyPass – program do przechowywania haseł3. Generator Haseł 1.04. FreeNas – system operacyjny – różnorodność usług5. Clonezilla – kopiowanie całych systemów operacyjnych

GeneratorHaseł 1.0

Software (wybrane programy AntyVirusowe):

1. KASPERSKY Internet Security 2012 (Cena: ok. 160zł)

2. G DATA Internet Security 2012 (Cena: ok. 150zł)

3. SYMANTEC Norton Internet Security 2012 (Cena: ok. 150zł)

4. MCAFEE Internet Security 2012 (Cena: ok. 170zł)

5. AVG anti-virus Free Edition 2012 (Cena: bezpłatny)

6. AVAST! Free AntiVirus 6.0 (Cena: bezpłatny)

7. AVIRA Internet Security 2012 (Cena: ok. 160zł)

8. AVIRA AntiVir Personal – Free AntiVirus (Cena: bezpłatny)

Hardware:

• UPS – zasilanie awaryjne• Uziemienie – zabezpieczenie przed porażeniem prądu (ochrona ludzi i sprzętu)• UTM – zaawansowane – wielofunkcyjna zapora ogniowa• QNAP – Samodzielny serwer – duże możliwości backupu i nie tylko• FreeNas Serwer – Zaawansowany serwer zrobiony na PC• Router – z funkcją VPN, Firewall (Router SOHO np. TP-Link, LinkSYS)• Sprzętowy Firewall (np. Cisco ASA)

QNAP

QNAP

Inne urządzenia NAS

Polityki bezpieczeństwa

1. Przepisy wprowadzające (użyte określania, zgodna z aktami prawnymi)2. Podstawowe zasady związane z przetwarzaniem danych osobowych3. Opis zdarzeń naruszających ochronę danych osobowych4. Zabezpieczenie danych osobowych5. Kontrola przestrzegania zasad zabezpieczenia danych osobowych6. Postępowanie w przypadku naruszenia ochrony danych osobowych7. oraz poszczególne załączniki

Załączniki do polityki bezpieczeństwa:

1. Wykaz pomieszczeń2. Zasady korzystania z komputerów przenośnych3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów

zastosowanych do przetwarzania tych danych4. Opis struktury zbiorów danych5. Sposób przepływu danych6. Raport z naruszenia bezpieczeństwa systemu informatycznego7. Wykaz osób, które zostały zapoznane z Polityką bezpieczeństwa8. Upoważnienie do przetwarzania danych osobowych9. Obowiązki pracownicze osób zatrudnionych przy przetwarzaniu danych

osobowych wynikające z potrzeby zapewnienia ochrony danych osobowych

10. Instrukcja zarządzania Systemem informatycznym11. Instrukcja postępowania w sytuacji naruszenia ochrony danych

osobowych

Przykładowa sieć w organizacji

Przykładowa sieć w organizacji – co jest istotne?

Nazwa sieci: NTLHasło: SekTor.3.0Rodzaj zabezp.: WPA2 Zabezpieczenie: ACLLogin i Hasło: do urządzenia

Login i Hasło: od operatora,Ustawienia sieci: VCI, VPIZew adresacja IP: 8.8.8.8/24Login i Hasło: do urządzeniaZabezpieczenie: ACL, Firewall, VPN, ACL

Nazwa sieci: Siec_NTLAdresacja sieci: 192.168.0.1 /24Maska 255.255.255.0Brama: 192.168.0.254,DNS1: 8.8.8.8DNS2: 8.8.4.4

Loginy i Hasła: do serwera NTLOpisy sposobów logowania: SSH, VPNAdresacja serwerów: 192.168.0.10-20 (Static)Maska 255.255.255.0Brama: 192.168.0.254,DNS1: 8.8.8.8DNS2: 8.8.4.4

Loginy i Hasła Administratora: do urządzeńOpisy sposobów logowania: VPN, VNCAdresacja serwerów: 192.168.0.100-200 (Dynamic)Maska 255.255.255.0Brama: 192.168.0.254,DNS1: 8.8.8.8DNS2: 8.8.4.4

Login i Hasło: do drukarki,Wew adresacja IP: 192.168.0.5-9/24Sterowniki: na płycie CD lub na FTP

Konfiguracja sieci:

- Loginy i Hasła do: Router, Firewall, VPN, AccessPoint, Switch, Serwery - Adresacja IP: IP wewnętrzne, zewnętrzne, Statyczne, DHCP, DNS, VPN - Access Control List – definiowanie uprawnień do sieci - Hasła: do sieci Wi-Fi - Rodzaj szyfrowania: do sieci Wi-Fi - Dokładne dane operatora ISP (login, hasło, ustawienia, IP, okres umowy,

prędkość) - Prosty schemat sieci LAN, WLAN (co, gdzie, jak podłączone) - Dokładne dane do VPN (jeśli istnieje)

Konfiguracja stanowiska komputerowego:

- Konfiguracja jednego konta o uprawnieniach administratora - Konta użytkowników chronione indywidualnymi hasłami i loginami - Bios zabezpieczony hasłem - Partycja dysku, lub kontener – zaszyfrowany przez TrueCrypt - Instalacja oprogramowania AntyVirusowego - Ustawienie logów systemowych - Konfiguracja pod kontem optymalizacji systemu

Generalne zasady korzystania ze sprzętu służbowego:

• Komputery są chronione hasłami dostępowymi (BIOS, konto administratora).

• Każdy użytkownik komputera posiada własne konto zabezpieczone hasłem.

• Hasło to składa się z min. 8 znaków i musi zawierać: duże i małe litery, cyfry oraz znaki specjalny.

• Zabrania się wykorzystywania oferowanych przez standardowe oprogramowanie mechanizmów umożliwiających zapamiętanie haseł.

• Komputer przypisany do Użytkownika nie może być udostępniony osobie nieuprawnionej.

• Użytkownik komputera przenośnego zabezpiecza przetwarzane za jego pomocą informacje zapisując je na nośnikach (dysk twardy, pen-drive itp.) w postaci zaszyfrowanej z wykorzystaniem oprogramowania "TrueCrypt".

Generalne zasady korzystania ze sprzętu służbowego:

• Użytkownik nie może dokonywać żadnych zmian w konfiguracji systemu oraz innego oprogramowania mogącego mieć wpływ na ich bezpieczeństwo, oraz ingerować w jakikolwiek sposób w komponenty będące częściami składowymi komputera.

• Użytkownik zobowiązuje się do regularnego zapisywania stanu swojej pracy. Administrator nie ponosi odpowiedzialności za brak zapisu czy też modyfikacji wyników pracy Użytkownika.

• Pliki starsze, z których Użytkownik już nie korzysta, powinny być regularnie usuwane z dysku twardego lub archiwizowane.

Generalne zasady korzystania ze sprzętu służbowego:

• Zabrania się użytkownikowi instalowania programów nieposiadających wykupionej licencji lub wykupionych praw użytkowania.

• Zabronione jest pozostawienie komputera bez nadzoru, podczas pracy z uruchomionymi programami / aplikacjami.

• Użytkownikowi nie wolno wynosić sprzętu komputerowego poza budynek organizacji.

• Wyżej wymienione zasady nie dotyczą sprzętu komputerowego wykorzystywanego w „terenie”

Graficzne zobrazowanie zasady działania polityki bezpieczeństwa

Planowanie (modyfikacja)

Wykonanie

Sprawdzenie

Działanie

Standardy bezpieczeństwa:

• PN ISO/IEC 17799:2007 Technika Informatyczna. Techniki Bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.• PN ISO/IEC 27001:2007 Technika Informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji – Wymagania.• PN ISO/IEC 27006:2009 Technika Informatyczna. Techniki Bezpieczeństwa. Wymagania dla jednostek Wymagania dla jednostek prowadzących audyt i certyfikację systemów.• PN ISO/IEC 2005:2008 Technika Informatyczna. Techniki Bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji.

Podsumowanie, pytania???

Źródła:

• www.giodo.gov.pl – Generalny Inspektor Ochrony Danych Osobowych.

• www.iniejawna.pl – Informacja Niejawna

• www.nsa.gov – National Security Agency

• Wszechwiedzące GOOGLE

Dziękuję za uwagę!

Tomasz Dumatomasz.duma@technologielokalnie.plwww.bezprzewodowo.pl