można rozważać różne kategorie ryzyka
DESCRIPTION
Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania. Można rozważać różne kategorie ryzyka. Przeciętny koszt godzinnej awarii systemu informacyjnego. Etapy przygotowania strategii zabezpieczeń. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/1.jpg)
Z problemem jakości systemów informacyjnych wiąże się problem
zapewnienia odpowiedniej
niezawodnościniezawodności ich działania
![Page 2: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/2.jpg)
Można rozważać różne kategorie ryzyka
![Page 3: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/3.jpg)
Przeciętny koszt godzinnej awarii systemu informacyjnego
Charakter Firmy Koszt jednogodzinnej awarii
w tys. dolarów Brokerska 6480
Energetyczna 2800 Karty Kredytowe 2580
Telekomunikacyjna 2000 Wytwórcza 1600 Finansowa 1500
Sprzedaż detaliczna 1100 Farmaceutyczna 1000
Chemiczna 704 Ochrona Zdrowia 636
Rezerwacja Biletów Lotniczych 90
![Page 4: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/4.jpg)
Etapy przygotowania strategii zabezpieczeń
1. Sprecyzowanie, co i przed czym mamy chronić, czyli określenie zasobów chronionych i zagrożeń.
2. Określenie prawdopodobieństwa poszczególnych zagrożeń
3. Określenie zabezpieczeń, czyli, w jaki sposób chronimy zasoby
4. Ciągłe analizowanie SI i zabezpieczeń w celu aktualizacji procedur zabezpieczających poprawiania jego ewentualnych błędów
![Page 5: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/5.jpg)
Ryzyka można unikać albo można nim świadomie sterować
![Page 6: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/6.jpg)
![Page 7: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/7.jpg)
![Page 8: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/8.jpg)
Wybór strategii
zarządzania ryzykiem
w procesie planowania
zabezpieczeń
![Page 9: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/9.jpg)
Główne przyczyny awarii systemów
Sieć 17%
Ludzkie błędy 18%
Inne 7%
Oprogramowanie 27%
Klęski żywiołowe i czynniki zewnętrzne 8%
Sprzęt 23%
![Page 10: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/10.jpg)
Sposoby zapewnienia dostępności pracy systemu informatycznego oraz ich koszty
Odzyskiwanie danych po katastrofie
K lastry
Usługi i aplikacje
Zarządzanie klientami
Otoczenie lokalne
K opie Bezpieczeństwa
Zagadnienia siec iowe
Zarządzanie przestrzenią dyskową
Projektowanie i administrac ja systemu
DOSTEPNOŚĆ
NAKŁADY FINANSOWE
Replikacja
![Page 11: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/11.jpg)
Co oznacza określony poziom niezawodności i dostępności systemu
informatycznego
I lość "dziewiątek"
Procentowa dostępność systemu w
roku
Czas trwania awarii w roku
J ednostka
Czas trwania awarii w tygodniu
J ednostka
1 90% 37 Dni 17 Godziny
2 99% 3,65 Dni 1,41 Godziny
3 99,9% 8,45 Godziny 10,5 Minuty
4 99,99% 52,5 Minuty 1 Minuty
5 99,999% 5,25 Minuty 6 Sekundy
6 99,9999% 31,5 Sekundy 0,6 Sekundy
![Page 12: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/12.jpg)
Ze sprawami bezpieczeństwa nie należy przesadzać!
Pożądany poziom zabezpieczeń zależy od profilu instytucji:
Profil instytucji i poziom zabezpieczenia
Profil instytucji
Poziom
zabezpieczenia
systemu
informacyjnego
Uszkodzenie systemu informacyjnego prowadzi do całkowitego załamania
instytucji i może mieć poważne konsekwencje polityczne, społeczne lub
ekonomiczne.
maksymalny
W przypadku uszkodzenia systemu informacyjnego część organizacji nie może
funkcjonować. Dłuższe utrzymywanie się tego stanu może mieć poważne
konsekwencje dla instytucji lub jej partnerów.
wysoki
Konsekwencją poważnego i długotrwałego uszkodzenia systemu informacyjnego
może być upadek instytucji.średni
Uszkodzenie systemu informacyjnego może spowodować jedynie niewielkie
perturbacje w funkcjonowaniu instytucji.niski
![Page 13: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/13.jpg)
Schemat aplikacji internetowej wraz z elementami jej zabezpieczenia
Baza Danych
Server Plików
Server Aplikacji (WWW)
Server FTP
Internet
Firewall
Stacje Klienckie
Użytkownicy
![Page 14: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/14.jpg)
Przykładowe rozwiązanie systemu o zwiększonej dostępności
Lokalizacja Kraków
Lokalizacja Gdańsk
UŻYTKOWNICY
INTERNETWIRTUALNE IP
DYSKI WSPÓŁDZIELONE SERVER 2SERVER 1
PODWÓJNA SIEĆ HEARTBEAT
WIRTUALNE IP
DYSKI WSPÓŁDZIELONE SERVER 4SERVER 3
PODWÓJNA SIEĆ HEARTBEAT
Podwójna szybka sieć geograficzna
![Page 15: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/15.jpg)
VERITAS Cluster Server przed i po awarii jednego komputera
FTP
ORACLE
NFS
POCZTA
WWW
DRUK
SWITCH
SAN 2SAN 1
Serwer 1 Serwer 2 Serwer 3
FTP
ORACLE
NFS
POCZTA
WWW
DRUK
SWITCH
SAN 2SAN 1
Serwer 1 Serwer 2 Serwer 3
WWW DRUK
![Page 16: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/16.jpg)
Ważne jest, żeby do właściwych celów używać właściwych narzędzi
![Page 17: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/17.jpg)
Sposoby budowy wysokiego poziomu bezpieczeństwa systemu
ProceduryWytyczne i Plany
ProceduryWytyczne i Plany
DLACZEGO
CO
JAK
StandardyStandardy
PolitykaPolityka
![Page 18: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/18.jpg)
Techniki ograniczania ryzyka są kosztowne, więc trzeba ustalić
opłacalny poziom zabezpieczeń
-0,1
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
1,1
100% 95% 90% 85% 80% 75% 70% 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%
Koszt poniesiony w przypadku wystąpienia incydentu
Koszt zmniejszenia ryzyka
Równowaga
![Page 19: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/19.jpg)
Punkt równowagi zależy od stopnia
krytyczności zabezpieczanego
systemu
-0,1
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
1,1
100% 95% 90% 85% 80% 75% 70% 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%
Koszt poniesiony w przypadku wystąpienia incydentu
Koszt zmniejszenia ryzyka
Równowaga
-0,1
0
0,1
0,2
0,3
0,4
0,5
0,6
0,7
0,8
0,9
1
1,1
100% 95% 90% 85% 80% 75% 70% 65% 60% 55% 50% 45% 40% 35% 30% 25% 20% 15% 10% 5% 0%
Koszt poniesiony w przypadku wystąpienia incydentu
Koszt zmniejszenia ryzyka
Równowaga
![Page 20: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/20.jpg)
Typy najczęściej spotykanych zagrożeń w sieci komputerowej
fałszerstwo komputerowe, włamanie do systemu, czyli tzw. hacking, oszustwo, a w szczególności manipulacja danymi, manipulacja programami, oszustwa, jakim są manipulacje wynikami, sabotaż komputerowy, piractwo, podsłuch, niszczenie danych oraz programów komputerowych
![Page 21: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/21.jpg)
Klasyfikacja ataków na systemy komputerowe:
atak fizyczny,
atak przez uniemożliwienie działania,
atak przez wykorzystanie „tylnego wejścia”,
atak poprzez błędnie skonfigurowaną usługę,
atak przez aktywne rozsynchronizowanie tcp
![Page 22: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/22.jpg)
Wpływ poszczególnych czynników na bezpieczeństwo
systemów komputerowych:
![Page 23: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/23.jpg)
Na tworzenie warunków bezpieczeństwa
systemów komputerowych
w firmie składają się działania technicznetechniczne
i działania organizacyjneorganizacyjne
![Page 24: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/24.jpg)
Dla zachowania bezpieczeństwa przetwarzania
informacji stosowane są różne techniki:
![Page 25: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/25.jpg)
Łatwiejsze do zdefiniowaniai do wyegzekwowaniawyegzekwowania są
z reguły działania techniczne
Najważniejsze z działań technicznych polegają na szyfrowaniuszyfrowaniu przesyłanych
i przechowywanych informacji oraz korzystanie z techniki
podpisówpodpisów elektronicznychelektronicznych
![Page 26: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/26.jpg)
Bezpieczne algorytmy realizacji transakcji w
sieciach komputerowych oparte są na kryptografii
Najczęściej stosowanymi algorytmamialgorytmami kryptograficznymi z kluczem kryptograficznymi z kluczem
jawnym,jawnym, mającymi na celu ochronę danych podczas transmisji
internetowych wykorzystywanych w handlu elektronicznym, są algorytmy
RSA i ElGamala.
![Page 27: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/27.jpg)
Schemat algorytmu RSA
![Page 28: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/28.jpg)
Schemat algorytmu podpisów cyfrowych ElGamala
![Page 29: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/29.jpg)
W zakresie działań
organizacyjnych trzeba zapewnić
bezpieczeństwo informacji
poprzez odpowiednią
strukturę służb informacyjnych
:
![Page 30: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/30.jpg)
Struktura ta może być
uproszczona dla małej
firmy, jednak nie może być zredukowan
a do zera
![Page 31: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/31.jpg)
Przykład, jak to może być zorganizowane w konkretnej firmie
![Page 32: Można rozważać różne kategorie ryzyka](https://reader036.vdocuments.pub/reader036/viewer/2022081508/56814fcd550346895dbd904e/html5/thumbnails/32.jpg)
Bardzo ważna jest
w tym kontekście
analiza ryzyka