Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
1. Zacznij od zabezpieczenia!
Ochrona zasobów w organizacji pozarządowej.
Tomasz Duma
Centrum Technologii Informacyjnych e-Misja
03 grudnia 2012, Rzeszów
2. Program prezentacji:
• Istota ochrony danych
• Co się wiąże z ochroną danych
• Backup - rodzaje
• Software
• Hardware
• Polityki bezpieczeostwa - bądź jeden dokument, zbiór polityk
• Warto uświadomid: po co, dla kogo i dlaczego?
• Podsumowanie, pytania
3.
4. Istota ochrony danych – słabe ogniwa:
1. Nie znamy zachowania poszczególnych użytkowników korzystających
z systemów informatycznych (każdy z nas jest inny, wyjątkowy).
2. Nie wiemy jakie będą konsekwencje kiedy użytkownik przekroczy
określone granice (nie wystarczająca wiedza z ochrony danych).
3. Nie wszyscy znają procedury postępowania dla zapobiegania i
minimalizowania skutków zagrożeo wynikające z korzystania z
systemów Informatycznych
5. Istota ochrony danych – słabe ogniwa:
4. Brak wiedzy na temat:
• Zabezpieczeo (np. jakie stosowad oprogramowanie: AntyWirusowe, Firewall)
• Ochrony przetwarzanych danych (Backupy, Szyfrowanie)
• Niezawodnośd funkcjonowania (posiadanie dostępu do danych, VPN)
5. Co w przypadku naruszenia zabezpieczeo systemu informatycznego?
Czy wiemy kiedy zostało naruszone zabezpieczenie systemu? Czy potrafimy to
weryfikowad?
6. Co w przypadku naruszenia zabezpieczeo danych?
Czy mamy zrobiony backup systemu i danych? Czy nośniki z kopiami są
wystarczająco bezpieczne?
6. Znaczenie poszczególnych określeo:
Rozliczalność – właściwośd zapewniająca, że działania
podmiotu mogą byd przypisane w sposób
jednoznaczny tylko temu podmiotowi.
Dostępność danych – własnośd zapewniająca
użytkownikowi możliwośd pracy na stanowisku
komputerowym zgodnie z założonymi wymaganiami
ochrony
Integralność danych – właściwośd zapewniająca, że dane
osobowe nie zostały zmienione lub zniszczone w
sposób nieautoryzowany.
Poufność danych – własnośd zapewniająca, że dane nie
są udostępniane nieupoważnionym podmiotom.
7. Akt prawny:
1. Ustawą z dnia 29 sierpnia 1997r. o ochronie danych osobowych (t.j. Dz.
U. z 2002 r. Nr 101, poz. 926 z późn. zm.)
8. Ochrona danych osobowych – Dane zwykłe:
1. Do danych osobowych zalicza się (w sytuacji kiedy naraz występuje kilka
elementów wymienionych niżej):
• Imię i Nazwisko
• Adres osoby,
• Przypisane numery,
• Dane o cechach fizjologicznych,
• Dane o cechach umysłowych,
• Dane o cechach ekonomicznych,
• Dane o cechach kulturowych
• Dane o cechach społecznych.
• Adres e-mail (w sytuacji kiedy w treści adresu e-mail występuje imię i nazwisko)
2. Przykładem pojedynczej informacji stanowiącej dane osobowe jest
numer PESEL (przy pomocy numeru PESEL jesteśmy w stanie
jednoznacznie określid osobę)
9. Ochrona danych osobowych – Dane szczególnie chronione:
1. Danymi szczególnie chronionymi (bardziej rygorystyczne obowiązki na
administratorze danych) są:
• informacje o pochodzeniu rasowym lub etnicznym,
• poglądy polityczne,
• poglądy religijne,
• poglądy filozoficzne,
• wyznanie,
• przynależnośd do partii lub związku,
• stan zdrowia,
• kod genetyczny,
• nałogi,
• życie seksualne,
• orzeczenia o ukaraniu,
• mandaty,
• informacje na temat odbytych lub odbywanych kar, wydanych w toku procesu karnego
• orzeczenia wydane w postępowaniu przed sądem lub urzędem.
10. Ochrona danych osobowych – Danymi osobowymi nie są:
1. Informacje o osobach zmarłych
2. Informacje o przedsiębiorcach
11. Akt prawny:
1. Rozporządzeniem Ministra Spraw
Wewnętrznych i Administracji z dnia 29
kwietnia 2004r. w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych i
organizacyjnych, jakim powinny
odpowiadad urządzenia i systemy
informatyczne służące do przetwarzania
danych osobowych (Dz. U. Nr 100, poz.
1024).
12. Co się wiąże z ochroną danych – Zasady zarządzania Systemami
Informatycznymi:
1. Wyznaczamy Administratora – użytkownik uprzywilejowany.
2. Stosujemy procedury nadawania i odbierania uprawnieo. ( Tworzenie,
modyfikacja, usuwanie* kont użytkownikom wykonuje administrator,
nadając unikalny login i hasło, )
3. Administrator nadaje uprawnienia użytkownikom do poszczególnych
funkcji programu zgodnie z zakresem upoważnieo.
4. Hasła (od 6 do 8 znaków np.: CJi98&^sD, zmiana co 30 dni)
5. Procedury rozpoczęcia, zawieszenia i zakooczenia pracy
6. Kopie zapasowe. (kopie baz danych, kopie systemu, kopie ustawieo)
7. Konserwacje – aktualizacja
*usuwanie – uwaga! Nie usuwamy konta, lecz odbieramy wszelkie uprawnienia, oraz zmieniamy hasło na inne.
16. Software (szyfrowanie, hasła):
1. TrueCrypt – program szyfrujący pliki, pendrive, całe dyski twarde
2. KeyPass – program do przechowywania haseł
3. Generator Haseł 1.0
4. FreeNas – system operacyjny – różnorodnośd usług
5. Clonezilla – kopiowanie całych systemów operacyjnych
Generator
Haseł 1.0
17. Software (wybrane programy AntyVirusowe):
1. KASPERSKY Internet Security 2012
(Cena: ok. 160zł)
2. G DATA Internet Security 2012
(Cena: ok. 150zł)
3. SYMANTEC Norton Internet Security 2012
(Cena: ok. 150zł)
4. MCAFEE Internet Security 2012
(Cena: ok. 170zł)
5. AVG anti-virus Free Edition 2012
(Cena: bezpłatny)
6. AVAST! Free AntiVirus 6.0
(Cena: bezpłatny)
7. AVIRA Internet Security 2012
(Cena: ok. 160zł)
8. AVIRA AntiVir Personal – Free AntiVirus
(Cena: bezpłatny)
18. Hardware:
• UPS – zasilanie awaryjne
• Uziemienie – zabezpieczenie przed porażeniem prądu (ochrona ludzi i
sprzętu)
• UTM – zaawansowane – wielofunkcyjna zapora ogniowa
• QNAP – Samodzielny serwer – duże możliwości backupu i nie tylko
• FreeNas Serwer – Zaawansowany serwer zrobiony na PC
• Router – z funkcją VPN, Firewall (Router SOHO np. TP-Link, LinkSYS)
• Sprzętowy Firewall (np. Cisco ASA)
22. Polityki bezpieczeostwa
1. Przepisy wprowadzające (użyte określania, zgodna z aktami prawnymi)
2. Podstawowe zasady związane z przetwarzaniem danych osobowych
3. Opis zdarzeo naruszających ochronę danych osobowych
4. Zabezpieczenie danych osobowych
5. Kontrola przestrzegania zasad zabezpieczenia danych osobowych
6. Postępowanie w przypadku naruszenia ochrony danych osobowych
7. oraz poszczególne załączniki
23. Załączniki do polityki bezpieczeostwa:
1. Wykaz pomieszczeo
2. Zasady korzystania z komputerów przenośnych
3. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów
zastosowanych do przetwarzania tych danych
4. Opis struktury zbiorów danych
5. Sposób przepływu danych
6. Raport z naruszenia bezpieczeostwa systemu informatycznego
7. Wykaz osób, które zostały zapoznane z Polityką bezpieczeostwa
8. Upoważnienie do przetwarzania danych osobowych
9. Obowiązki pracownicze osób zatrudnionych przy przetwarzaniu danych
osobowych wynikające z potrzeby zapewnienia ochrony danych
osobowych
10. Instrukcja zarządzania Systemem informatycznym
11. Instrukcja postępowania w sytuacji naruszenia ochrony danych
osobowych
25. Przykładowa sied w organizacji – co jest istotne?
Loginy i Hasła: do serwera NTL
Opisy sposobów logowania: SSH, VPN
Adresacja serwerów: 192.168.0.10-20 (Static)
Maska 255.255.255.0
Nazwa sieci: NTL
Brama: 192.168.0.254,
Login i Hasło: od operatora, Hasło: SekTor.3.0
DNS1: 8.8.8.8
Ustawienia sieci: VCI, VPI Rodzaj zabezp.: WPA2
DNS2: 8.8.4.4
Zew adresacja IP: 8.8.8.8/24 Zabezpieczenie: ACL
Login i Hasło: do urządzenia Login i Hasło: do urządzenia
Zabezpieczenie: ACL, Firewall, VPN, ACL
Nazwa sieci: Siec_NTL
Adresacja sieci: 192.168.0.1 /24 Loginy i Hasła Administratora: do urządzeo
Maska 255.255.255.0 Opisy sposobów logowania: VPN, VNC
Brama: 192.168.0.254, Adresacja serwerów: 192.168.0.100-200 (Dynamic)
DNS1: 8.8.8.8 Maska 255.255.255.0
DNS2: 8.8.4.4 Login i Hasło: do drukarki, Brama: 192.168.0.254,
Wew adresacja IP: 192.168.0.5-9/24 DNS1: 8.8.8.8
Sterowniki: na płycie CD lub na FTP DNS2: 8.8.4.4
26. Konfiguracja sieci:
- Loginy i Hasła do: Router, Firewall, VPN, AccessPoint, Switch, Serwery
- Adresacja IP: IP wewnętrzne, zewnętrzne, Statyczne, DHCP, DNS, VPN
- Access Control List – definiowanie uprawnieo do sieci
- Hasła: do sieci Wi-Fi
- Rodzaj szyfrowania: do sieci Wi-Fi
- Dokładne dane operatora ISP (login, hasło, ustawienia, IP, okres umowy,
prędkośd)
- Prosty schemat sieci LAN, WLAN (co, gdzie, jak podłączone)
- Dokładne dane do VPN (jeśli istnieje)
27. Konfiguracja stanowiska komputerowego:
- Konfiguracja jednego konta o uprawnieniach administratora
- Konta użytkowników chronione indywidualnymi hasłami i loginami
- Bios zabezpieczony hasłem
- Partycja dysku, lub kontener – zaszyfrowany przez TrueCrypt
- Instalacja oprogramowania AntyVirusowego
- Ustawienie logów systemowych
- Konfiguracja pod kontem optymalizacji systemu
28. Generalne zasady korzystania ze sprzętu służbowego:
• Komputery są chronione hasłami dostępowymi (BIOS, konto
administratora).
• Każdy użytkownik komputera posiada własne konto zabezpieczone hasłem.
• Hasło to składa się z min. 8 znaków i musi zawierad: duże i małe litery, cyfry
oraz znaki specjalny.
• Zabrania się wykorzystywania oferowanych przez standardowe
oprogramowanie mechanizmów umożliwiających zapamiętanie haseł.
• Komputer przypisany do Użytkownika nie może byd udostępniony osobie
nieuprawnionej.
• Użytkownik komputera przenośnego zabezpiecza przetwarzane za jego
pomocą informacje zapisując je na nośnikach (dysk twardy, pen-drive itp.) w
postaci zaszyfrowanej z wykorzystaniem oprogramowania "TrueCrypt".
29. Generalne zasady korzystania ze sprzętu służbowego:
• Użytkownik nie może dokonywad żadnych zmian w konfiguracji systemu
oraz innego oprogramowania mogącego mied wpływ na ich bezpieczeostwo,
oraz ingerowad w jakikolwiek sposób w komponenty będące częściami
składowymi komputera.
• Użytkownik zobowiązuje się do regularnego zapisywania stanu swojej pracy.
Administrator nie ponosi odpowiedzialności za brak zapisu czy też
modyfikacji wyników pracy Użytkownika.
• Pliki starsze, z których Użytkownik już nie korzysta, powinny byd regularnie
usuwane z dysku twardego lub archiwizowane.
30. Generalne zasady korzystania ze sprzętu służbowego:
• Zabrania się użytkownikowi instalowania programów nieposiadających
wykupionej licencji lub wykupionych praw użytkowania.
• Zabronione jest pozostawienie komputera bez nadzoru, podczas pracy z
uruchomionymi programami / aplikacjami.
• Użytkownikowi nie wolno wynosid sprzętu komputerowego poza budynek
organizacji.
• Wyżej wymienione zasady nie dotyczą sprzętu komputerowego
wykorzystywanego w „terenie”
31. Graficzne zobrazowanie zasady działania polityki
bezpieczeostwa
Planowanie
(modyfikacja)
Działanie Wykonanie
Sprawdzenie
32. Standardy bezpieczeostwa:
• PN ISO/IEC 17799:2007 Technika Informatyczna. Techniki
Bezpieczeostwa. Praktyczne zasady zarządzania bezpieczeostwem
informacji.
• PN ISO/IEC 27001:2007 Technika Informatyczna. Techniki
Bezpieczeostwa. Systemy zarządzania bezpieczeostwem informacji –
Wymagania.
• PN ISO/IEC 27006:2009 Technika Informatyczna. Techniki
Bezpieczeostwa. Wymagania dla jednostek Wymagania dla jednostek
prowadzących audyt i certyfikację systemów.
• PN ISO/IEC 2005:2008 Technika Informatyczna. Techniki
Bezpieczeostwa. Zarządzanie ryzykiem w bezpieczeostwie informacji.