Duma narodowa – cecha ludzi wolnych. Obchody Narodowego Święta Niepodległości 11 Listopada
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
-
Upload
konferencja-sektor-30-technologie-w-organizacjach-pozarzadowych -
Category
Documents
-
view
554 -
download
1
Transcript of Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Zacznij od zabezpieczenia! Ochrona zasobów w organizacji pozarządowej.
Tomasz DumaCentrum Technologii Informacyjnych e-Misja03 grudnia 2012, Rzeszów
Program prezentacji:
• Istota ochrony danych• Co się wiąże z ochroną danych• Backup - rodzaje • Software• Hardware• Polityki bezpieczeństwa - bądź jeden dokument, zbiór polityk• Warto uświadomić: po co, dla kogo i dlaczego?• Podsumowanie, pytania
Istota ochrony danych – słabe ogniwa:
1. Nie znamy zachowania poszczególnych użytkowników korzystających z systemów informatycznych (każdy z nas jest inny, wyjątkowy).
2. Nie wiemy jakie będą konsekwencje kiedy użytkownik przekroczy określone granice (nie wystarczająca wiedza z ochrony danych).
3. Nie wszyscy znają procedury postępowania dla zapobiegania i minimalizowania skutków zagrożeń wynikające z korzystania z systemów Informatycznych
Istota ochrony danych – słabe ogniwa:
4. Brak wiedzy na temat:• Zabezpieczeń (np. jakie stosować oprogramowanie: AntyWirusowe, Firewall)• Ochrony przetwarzanych danych (Backupy, Szyfrowanie)• Niezawodność funkcjonowania (posiadanie dostępu do danych, VPN)
5. Co w przypadku naruszenia zabezpieczeń systemu informatycznego?Czy wiemy kiedy zostało naruszone zabezpieczenie systemu? Czy potrafimy to weryfikować?
6. Co w przypadku naruszenia zabezpieczeń danych?Czy mamy zrobiony backup systemu i danych? Czy nośniki z kopiami są wystarczająco bezpieczne?
Znaczenie poszczególnych określeń:
Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
Dostępność danych – własność zapewniająca użytkownikowi możliwość pracy na stanowisku komputerowym zgodnie z założonymi wymaganiami ochrony
Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
Poufność danych – własność zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom.
Akt prawny:
1. Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.)
Ochrona danych osobowych – Dane zwykłe:
1. Do danych osobowych zalicza się (w sytuacji kiedy naraz występuje kilka elementów wymienionych niżej):• Imię i Nazwisko • Adres osoby, • Przypisane numery, • Dane o cechach fizjologicznych, • Dane o cechach umysłowych, • Dane o cechach ekonomicznych, • Dane o cechach kulturowych • Dane o cechach społecznych.• Adres e-mail (w sytuacji kiedy w treści adresu e-mail występuje imię i nazwisko)
2. Przykładem pojedynczej informacji stanowiącej dane osobowe jest numer PESEL (przy pomocy numeru PESEL jesteśmy w stanie jednoznacznie określić osobę)
Ochrona danych osobowych – Dane szczególnie chronione:
1. Danymi szczególnie chronionymi (bardziej rygorystyczne obowiązki na administratorze danych) są:• informacje o pochodzeniu rasowym lub etnicznym, • poglądy polityczne, • poglądy religijne, • poglądy filozoficzne, • wyznanie, • przynależność do partii lub związku, • stan zdrowia, • kod genetyczny, • nałogi,• życie seksualne, • orzeczenia o ukaraniu, • mandaty,• informacje na temat odbytych lub odbywanych kar, wydanych w toku procesu karnego• orzeczenia wydane w postępowaniu przed sądem lub urzędem.
Ochrona danych osobowych – Danymi osobowymi nie są:
1. Informacje o osobach zmarłych2. Informacje o przedsiębiorcach
Akt prawny:
1. Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).
Co się wiąże z ochroną danych – Zasady zarządzania Systemami Informatycznymi:
1. Wyznaczamy Administratora – użytkownik uprzywilejowany. 2. Stosujemy procedury nadawania i odbierania uprawnień. ( Tworzenie,
modyfikacja, usuwanie* kont użytkownikom wykonuje administrator, nadając unikalny login i hasło, )
3. Administrator nadaje uprawnienia użytkownikom do poszczególnych funkcji programu zgodnie z zakresem upoważnień.
4. Hasła (od 6 do 8 znaków np.: CJi98&^sD, zmiana co 30 dni)5. Procedury rozpoczęcia, zawieszenia i zakończenia pracy6. Kopie zapasowe. (kopie baz danych, kopie systemu, kopie ustawień)7. Konserwacje – aktualizacja
*usuwanie – uwaga! Nie usuwamy konta, lecz odbieramy wszelkie uprawnienia, oraz zmieniamy hasło na inne.
Backup – rodzaje:
• Backup – kopia na: CD i DVD-ROM• Backup – Pendrive• Backup – dysk twardy wewnętrzny• Backup – serwer zewnętrzny• Backup – on-line
Usługi backupu on-line (usługi darmowe) warto zajrzeć do:
• Dropbox• Syncplicity• LiveMesh• Memopal• Humyo
Usługi backup on-line (wersje płatne – komercyjne):
• BitBank• iBard24 Backup Online• Msejf • Opero Backup
Software (szyfrowanie, hasła):
1. TrueCrypt – program szyfrujący pliki, pendrive, całe dyski twarde2. KeyPass – program do przechowywania haseł3. Generator Haseł 1.04. FreeNas – system operacyjny – różnorodność usług5. Clonezilla – kopiowanie całych systemów operacyjnych
GeneratorHaseł 1.0
Software (wybrane programy AntyVirusowe):
1. KASPERSKY Internet Security 2012 (Cena: ok. 160zł)
2. G DATA Internet Security 2012 (Cena: ok. 150zł)
3. SYMANTEC Norton Internet Security 2012 (Cena: ok. 150zł)
4. MCAFEE Internet Security 2012 (Cena: ok. 170zł)
5. AVG anti-virus Free Edition 2012 (Cena: bezpłatny)
6. AVAST! Free AntiVirus 6.0 (Cena: bezpłatny)
7. AVIRA Internet Security 2012 (Cena: ok. 160zł)
8. AVIRA AntiVir Personal – Free AntiVirus (Cena: bezpłatny)
Hardware:
• UPS – zasilanie awaryjne• Uziemienie – zabezpieczenie przed porażeniem prądu (ochrona ludzi i sprzętu)• UTM – zaawansowane – wielofunkcyjna zapora ogniowa• QNAP – Samodzielny serwer – duże możliwości backupu i nie tylko• FreeNas Serwer – Zaawansowany serwer zrobiony na PC• Router – z funkcją VPN, Firewall (Router SOHO np. TP-Link, LinkSYS)• Sprzętowy Firewall (np. Cisco ASA)
QNAP
QNAP
Inne urządzenia NAS
Polityki bezpieczeństwa
1. Przepisy wprowadzające (użyte określania, zgodna z aktami prawnymi)2. Podstawowe zasady związane z przetwarzaniem danych osobowych3. Opis zdarzeń naruszających ochronę danych osobowych4. Zabezpieczenie danych osobowych5. Kontrola przestrzegania zasad zabezpieczenia danych osobowych6. Postępowanie w przypadku naruszenia ochrony danych osobowych7. oraz poszczególne załączniki
Załączniki do polityki bezpieczeństwa:
1. Wykaz pomieszczeń2. Zasady korzystania z komputerów przenośnych3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych4. Opis struktury zbiorów danych5. Sposób przepływu danych6. Raport z naruszenia bezpieczeństwa systemu informatycznego7. Wykaz osób, które zostały zapoznane z Polityką bezpieczeństwa8. Upoważnienie do przetwarzania danych osobowych9. Obowiązki pracownicze osób zatrudnionych przy przetwarzaniu danych
osobowych wynikające z potrzeby zapewnienia ochrony danych osobowych
10. Instrukcja zarządzania Systemem informatycznym11. Instrukcja postępowania w sytuacji naruszenia ochrony danych
osobowych
Przykładowa sieć w organizacji
Przykładowa sieć w organizacji – co jest istotne?
Nazwa sieci: NTLHasło: SekTor.3.0Rodzaj zabezp.: WPA2 Zabezpieczenie: ACLLogin i Hasło: do urządzenia
Login i Hasło: od operatora,Ustawienia sieci: VCI, VPIZew adresacja IP: 8.8.8.8/24Login i Hasło: do urządzeniaZabezpieczenie: ACL, Firewall, VPN, ACL
Nazwa sieci: Siec_NTLAdresacja sieci: 192.168.0.1 /24Maska 255.255.255.0Brama: 192.168.0.254,DNS1: 8.8.8.8DNS2: 8.8.4.4
Loginy i Hasła: do serwera NTLOpisy sposobów logowania: SSH, VPNAdresacja serwerów: 192.168.0.10-20 (Static)Maska 255.255.255.0Brama: 192.168.0.254,DNS1: 8.8.8.8DNS2: 8.8.4.4
Loginy i Hasła Administratora: do urządzeńOpisy sposobów logowania: VPN, VNCAdresacja serwerów: 192.168.0.100-200 (Dynamic)Maska 255.255.255.0Brama: 192.168.0.254,DNS1: 8.8.8.8DNS2: 8.8.4.4
Login i Hasło: do drukarki,Wew adresacja IP: 192.168.0.5-9/24Sterowniki: na płycie CD lub na FTP
Konfiguracja sieci:
- Loginy i Hasła do: Router, Firewall, VPN, AccessPoint, Switch, Serwery - Adresacja IP: IP wewnętrzne, zewnętrzne, Statyczne, DHCP, DNS, VPN - Access Control List – definiowanie uprawnień do sieci - Hasła: do sieci Wi-Fi - Rodzaj szyfrowania: do sieci Wi-Fi - Dokładne dane operatora ISP (login, hasło, ustawienia, IP, okres umowy,
prędkość) - Prosty schemat sieci LAN, WLAN (co, gdzie, jak podłączone) - Dokładne dane do VPN (jeśli istnieje)
Konfiguracja stanowiska komputerowego:
- Konfiguracja jednego konta o uprawnieniach administratora - Konta użytkowników chronione indywidualnymi hasłami i loginami - Bios zabezpieczony hasłem - Partycja dysku, lub kontener – zaszyfrowany przez TrueCrypt - Instalacja oprogramowania AntyVirusowego - Ustawienie logów systemowych - Konfiguracja pod kontem optymalizacji systemu
Generalne zasady korzystania ze sprzętu służbowego:
• Komputery są chronione hasłami dostępowymi (BIOS, konto administratora).
• Każdy użytkownik komputera posiada własne konto zabezpieczone hasłem.
• Hasło to składa się z min. 8 znaków i musi zawierać: duże i małe litery, cyfry oraz znaki specjalny.
• Zabrania się wykorzystywania oferowanych przez standardowe oprogramowanie mechanizmów umożliwiających zapamiętanie haseł.
• Komputer przypisany do Użytkownika nie może być udostępniony osobie nieuprawnionej.
• Użytkownik komputera przenośnego zabezpiecza przetwarzane za jego pomocą informacje zapisując je na nośnikach (dysk twardy, pen-drive itp.) w postaci zaszyfrowanej z wykorzystaniem oprogramowania "TrueCrypt".
Generalne zasady korzystania ze sprzętu służbowego:
• Użytkownik nie może dokonywać żadnych zmian w konfiguracji systemu oraz innego oprogramowania mogącego mieć wpływ na ich bezpieczeństwo, oraz ingerować w jakikolwiek sposób w komponenty będące częściami składowymi komputera.
• Użytkownik zobowiązuje się do regularnego zapisywania stanu swojej pracy. Administrator nie ponosi odpowiedzialności za brak zapisu czy też modyfikacji wyników pracy Użytkownika.
• Pliki starsze, z których Użytkownik już nie korzysta, powinny być regularnie usuwane z dysku twardego lub archiwizowane.
Generalne zasady korzystania ze sprzętu służbowego:
• Zabrania się użytkownikowi instalowania programów nieposiadających wykupionej licencji lub wykupionych praw użytkowania.
• Zabronione jest pozostawienie komputera bez nadzoru, podczas pracy z uruchomionymi programami / aplikacjami.
• Użytkownikowi nie wolno wynosić sprzętu komputerowego poza budynek organizacji.
• Wyżej wymienione zasady nie dotyczą sprzętu komputerowego wykorzystywanego w „terenie”
Graficzne zobrazowanie zasady działania polityki bezpieczeństwa
Planowanie (modyfikacja)
Wykonanie
Sprawdzenie
Działanie
Standardy bezpieczeństwa:
• PN ISO/IEC 17799:2007 Technika Informatyczna. Techniki Bezpieczeństwa. Praktyczne zasady zarządzania bezpieczeństwem informacji.• PN ISO/IEC 27001:2007 Technika Informatyczna. Techniki Bezpieczeństwa. Systemy zarządzania bezpieczeństwem informacji – Wymagania.• PN ISO/IEC 27006:2009 Technika Informatyczna. Techniki Bezpieczeństwa. Wymagania dla jednostek Wymagania dla jednostek prowadzących audyt i certyfikację systemów.• PN ISO/IEC 2005:2008 Technika Informatyczna. Techniki Bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji.
Podsumowanie, pytania???
Źródła:
• www.giodo.gov.pl – Generalny Inspektor Ochrony Danych Osobowych.
• www.iniejawna.pl – Informacja Niejawna
• www.nsa.gov – National Security Agency
• Wszechwiedzące GOOGLE