informatyka.net

Pojęcia bezpieczeństwa i wiarygodności są bardzo często utożsamiane w języku potocznym. Warto jednak zaznaczyć, że nie są to jednak pojęcia tożsame i synonimiczne. Szczególnie w dziedzinie bezpieczeństwa informacji.

Tutaj napisałem, kiedy dane są bezpieczne. Poniżej przytaczam tylko definicję:

„Dane w systemie informatycznym są bezpieczne, jeśli są chronione przed nieupoważnionym odczytem i modyfikacją, a także jeśli są dostępne i wiarygodne dla uprawnionego użytkownika”. [1]

Z definicji tej można wnioskować, że pojęcie wiarygodności służy jako element definicji bezpieczeństwa danych, a więc możemy domniemywać, że nie oznaczają one tego samego.  Gdyby oznaczały to samo, definicja zostałaby zapewne zapisana w następujący sposób: dane są bezpieczne wtedy, kiedy są wiarygodne. Nie jest to jednak zgodne z prawdą. Nie zawsze o danych, które są jedynie wiarygodne dla upoważnionego użytkownika, możemy powiedzieć, że są bezpieczne.

Przykład:

Afery WikiLeaks. Coż z tego, że dane są wiarygodne (zapewne – można tak domniemywać, skoro rząd USA zachowuje się tak, jak się zachowuje), skoro została naruszona poufność i nie zostały one ochronione przed nieupoważnionych odczytem  i są publicznie dostępne…

Najpewniej osoby zajmujące się zawodowo tematyką bezpieczeństwa wytoczyłyby tutaj skomplikowane dla zwykłych śmiertelników definicje i wzory. Ja pomijam je ponieważ mój blog miał być “lekki” a nie “ceglasty. Mam nadzieję, że każdy zainresowany znajdzie wzory w publikacjach dostępnych na rynku.

Bibliografia

[1] Janusz Stokłosa, Tomasz Bilski, Tadeusz Pankowski „Bezpieczeństwo danych w systemach informatycznych”, Wyd. Naukowe PWN Warszawa – Poznań 2001.

Dostępność

Kiedy dane są dostępne?

Intuicja podpowiada, że o danych (informacjach, zasobach) z których możemy korzystać w momencie kiedy ich potrzebujemy powiemy, że są dostępne. Intuicja podpowiada dobrze, ponieważ dostępność oznacza, że upoważniony podmiot (osoba, aktywo…) może korzystać z danych przez cały, wcześniej określony czas w sposób nieograniczony (w zakresie przyznanych uprawnień). Zdefiniowany czas dostępności zależy głównie od określonych potrzeb biznesowych. Dostępność mogą naruszyć użytkownicy upoważnieni (uprawnieni) lub nieupoważnieni (nieuprawnieni) w sposób zamierzony lub niezamierzony. Na dostępność może wpływać zaplecze techniczne i programowe oraz obciążenie generowane przez użytkowników.

“Dostępność oznacza niczym nieograniczoną możliwość korzystania z danych przez uprawnionych do tego użytkowników”. [1]

Na przykład: departament księgowości w twojej organizacji twierdzi, że system finansowo – księgowy musi być dostępny dla użytkowników, którzy będą w nim pracować, w dni robocze w godz. 7.00 – 19.00. Oznacza to, że strona biznesowa zdefiniowała czas dostępności. Informatykom nie pozostaje nic innego, jak zapewnić dostępność systemu…

Bardzo popularne są ataki na dostępność usług, np. atak ang. Denial Of Service, w wyniku którego następuje odmowa usługi.

Bibliografia

[1] Janusz Stokłosa, Tomasz Bilski, Tadeusz Pankowski „Bezpieczeństwo danych w systemach informatycznych”, Wyd. Naukowe PWN Warszawa – Poznań 2001.

1. Integralność danych – w języku angielskim: data integrity. Poruszając się w obszarze bezpieczeństwa można przyjąć taką, uproszczoną definicję: dane są integralne wtedy, kiedy nie zostały zmodyfikowane, dodane lub usunięte przez osobę nieupoważnioną, w nieautoryzowany, celowy sposób. Czyli mówiąc, że dane są integralne, rozumiemy, że są nienaruszalne.

Poza intruzami, którzy z zasady są niepożądani i nieupoważnieni integralność danych może także naruszyć osoba upoważniona – celowo lub przez pomyłkę. Naruszenie integralności nie jest więc równoznaczne z naruszeniem poufności, ponieważ osoba upoważniona z zasady nadanych uprawnień i przywilejów ma dostęp do danych.

Integralność powinniśmy zapewniać podczas przesyłania, przechowywania i przetwarzania danych (informacji). Na integralność wpływa środowisko i sprzęt, na którym działa system. Dlaczego? Np. błędy tramsmisji danych czy kody złośliwe (takie jak wirusy komputerowe) mogą wpływać na zawartość dysku twardego w każdym komputerze czy systemie… Każdy kto choć raz miał wątpliwą przyjemność posiadania wirusa nadpisującego zawartość plików graficznych (zdjęć) czy dźwiękowych (mp3) w swoim komputerze, dotknął praktycznie problemu naruszenia integralności

Jakie są możliwości ochrony i zapewniania integralności danych?
Na przykład często stosuje się funkcje skrótu. Popularne są także kody wykrywające i korygujące błędy, które mogą uruchamiać się co jakiś czas, według zaplanowanego harmonogramu. Wybranie konkretnego mechanizmu uzależnione jest np. od celu jaki chcemy osiągnąć, otoczenia, sprzętu, systemu i danych, którym chcemy zapewnić integralność. W celu zapewnienia minimalnego stopnia bezpieczeństwa danych w komputerze domowym, należy przede wszystkim zainstalować skuteczny, legalny, automatycznie aktualizowany program antywirusowy.  Automatycznie aktualizowany – to taki program, który bez integrencji użytkownika “pamięta” o pobraniu najnowszej aktualizacji bazy sygnatur wirusów od producenta i “umie” sam się zaktualizować. I do tego jeszcze wykonuje te czynności automatycznie, np. co parę godzin.

2. Dane są spójne - wtedy, kiedy możemy powiedzieć: nie zachodzą przypadki sprzeczności danych, czyli dane są niesprzeczne.

Niektórzy teoretycy jako specyficzny przypadek integralności rozumieją spójność danych. [1]

3. Bibliografia

[1] Castano S., Fugini M., Martella G., Samarati P., “Database security”, Wyd. Addison – Wesley, Wokingham 1995.

Poufność (ang. confidentiality)

Wtedy, kiedy dana informacja (dane) są dostępne lub ujawniane wyłacznie uprawnionym podmiotom, aktywom, procesom lub osobom możemy napisać, że zachowana jest poufność. Danym wyjątkowo cennym, których ujawnienie byłoby kosztowne (kosztowne niekoniecznie w złotych, także np. dla wizerunku organizacji), przypisujemy wysoki stopień bezpieczeństwa.

Poufność bywa często mylona z integralnością lub rozliczalnością. Faktem jest, że często te zjawiska chodzą w parze jednak elementarnym błędem jest ich utożsamianie.

Na przykład: administrator utworzył w sieci zasób dostępny dla użytkowników, którzy korzystają z tego dobrodziejstwa zapisując i pracując w nim nad swoimi plikami. Do zasobu nadał uprawnienia – zapewnił więc poufność (do zasobu ma dostęp określony krąg osób o zdefiniowanych uprawnieniach), jednak takie rozwiązanie nie zapewnia o integralności. Bez dodatkowych mechanizmów nie zapewni też rozliczalności.

Najpopularniejszym sposobem zapewniania poufności jest szyfrowanie. W celu zapewnienia poufności wykorzystuje się także fizyczne ograniczenia w dostepie do środków przetwarzania informacji, np. bramki, kołowrotki, specjalne drzwi (deadman doors).

Safety a security… oba słowa tłumaczy się z języka angielskiego jako “bezpieczeństwo” / “bezpieczny”… w języku macierzystym słowa te mają jednak pewną subtelną różnicę w swoim znaczeniu.

Safety – system jest safety (bezpieczny), jeżeli jest bezpieczny dla otaczającego środowiska, czyli nie stwarza zagrożenia dla aktywów (jako aktywo rozumiem – nieściśle – także ludzi) znajdujących się poza systemem, np. wyobraźmy sobie system informatyczny, który kieruje ruchem samolotów – awaria czy błąd może spowodować katastrofę i śmierć wielu ludzi zlokalizowanych poza systemem, niepowiązanych z nim, czyli będących elementem otaczającego środowiska. Innym przykładem może być system informatyczny sterowania ruchem kolejowym i otwarciem /zamknięciem zapór na przejazdach kolejowych… sktuki błędnego otwarcia / zamknięcia zapór łatwo sobie wyobrazić.

Security - o systemie możemy powiedzieć, że posiada cechę security (bezpieczny) wtedy, kiedy możemy skutecznie ochronić system przed zagrożeniami płynącymi ze strony otaczającego środowiska w którym system ten pracuje i/lub posiada powiązania. Skutecznie chronić system to znaczy móc zapewnić ochronę systemu przed szkodliwymi działaniami intruzów, naruszeniami poufności, integralności, dostępności i spójności danych obecnych w tymże systemie.

Kiedy dane są bezpieczne w systemie informatycznym?

No właśnie. Nie łatwo jest  jednoznacznie stwierdzić “tutaj jest już bezpiecznie”. Tak naprawdę, to zawsze pozostaje pewien margines – niepewność, czy nasze dane są bezpieczne. W moim przekonaniu poniżej przytoczone określenie, kiedy dane są bezpieczne w systemie informatycznym, jest najbardziej trafne.

“Dane w systemie informatycznym są bezpieczne, jeśli są chronione przed nieupoważnionym odczytem i modyfikacją, a także jeśli są dostępne i wiarygodne dla uprawnionego użytkownika”. [1]

Zwracam uwagę, że napisano o systemie informatycznym. System informacyjny to inna para kaloszy

Bibliografia

[1] Janusz Stokłosa, Tomasz Bilski, Tadeusz Pankowski “Bezpieczeństwo danych w systemach informatycznych”, Wyd. Naukowe PWN Warszawa – Poznań 2001.

Popularne standardy i normy w bezpieczeństwie informacji

Znajdziesz tutaj odpowiedzi na następujące pytania:

1. Czy są jakieś wyznaczniki (normy) w zakresie bezpieczeństwa informacji?

Tak. Podobnie jak w każdej dziedzinie wiedzy, tutaj także możemy napotkać standardy, normy i dobre praktyki. Jest to obszar, który podlega opublikowanym i zaakceptowanym zasadom ustalonym w oficjalnych dokumentach.

2. Jakie normy są normami obowiązującymi na obszarze Polski?

W Polsce normy publikuje Polski Komitet Normalizacyjny (PKN). Są one obowiązujące na obszarze naszego państwa zgodnie z właściwym rozporządzeniem prezesa rady ministrów, tj. premiera. Każda opublikowana przez PKN norma to tzw. Polska Norma, w jej sygnaturze (nazwie) dodaje się dwie literki: PN. Polskie Normy są płatne i można je nabyć w PKN, także przez internet: www.pkn.pl.

Jednak wiele organizacji nie oczekuje na opublikowanie norm międzynarodowych w Polsce i spełnia kryteria określone przez standardy międzynarodowe (ISO), które jeszcze nie zostały przetłumaczone i opublikowane przez PKN w naszym kraju.

Poza standardami ISO w zakresie bezpieczeństwa informacji największą organizacją międzynarodową dostarczającą wiedzy jest ISACA (ang. Information Systems Audit and Control Association). Organizacja dostarcza uznanych na całym świecie wytycznych. Jej członkiem może zostać każda osoba fizyczna, po spełnieniu określonych kryteriów. Po zapisaniu się do organizacji uzyskuje się dostęp i możliwość wykorzystania stardardu COBIT (ang. Control Objectives for Information and related Technology).

Z kolei do posługiwania się tytułem CISA (ang. Certified Information Systems Auditor) mają prawo osoby które pozytynie złożą egzamin pisemny i posiadają odpowiednio długie doświadczenie w audycie systemów informatycznych (5lat). Szczegółowe zasady uzyskania i utrzymania tytułu (certyfikatu) CISA są przedstawione na stronie www.isaca.org

Zgodnie z właściwymi przepisami prawnymi obowiązującymi w Polsce po uzyskaniu tytułu (certyfikatu) CISA uzyskuje się z mocy ustawy (tj. bez zdawania dodatkowych egzaminów) kwalifikacje audytora wewnętrznego.

3.  Normy obowiązujące (zgodnie z przepisami prawa) w Polsce

To normy opublikowane przez PKN. Na dzień dzisiejszy są to normy 27001:2007 oraz 17799:2007. PKN pracuje nad aktualizacją norm. Nowe wersje międzynarodowe, nad przetłumaczeniem których pracuje PKN, ukazały się w 2007r. – to wtedy, kiedy PKN opublikowal poprzednią wersję międzynarodową i oznaczył ją w konwencji polskiej z przyrostkiem :2007.

Poza powyższymi, “najważniejszymi” normami są normy poboczne (uzupełniające), do których odwołuje się treść tychże norm.

4. Linki i odwołania do stron trzecich.

www.pkn.pl

www.isaca.org