POLITYKA BEZPIECZEŃSTWA

1 POLITYKA BEZPIECZEŃSTWAWYBRANE ZAGADNIENIA dr inż. Andr...
Author: Wanda Żurek
0 downloads 3 Views

1 POLITYKA BEZPIECZEŃSTWAWYBRANE ZAGADNIENIA dr inż. Andrzej Wójcik II Konferencja OSPOIN r.

2 Polityka bezpieczeństwa Zakres oddziaływania

3 Polityka bezpieczeństwa informacji

4 Hierarchia polityk bezpieczeństwapolityka działania organizacji dotyczy celów i strategii działania organizacji polityka bezpieczeństwa organizacji dotyczy przetwarzania, przechowywania, dystrybucji, wykorzystania i prezentacji informacji polityka bezpieczeństwa informacji dotyczy informacji wrażliwej polityka bezpieczeństwa systemu informatycznego dotyczy koncepcji bezpieczeństwa interpretowanych jako wymagania systemowe polityka bezpieczeństwa systemu technologicznego dotyczy przetwarzania informacji wrażliwej i wykorzystywania zasobów

5 Bezpieczeństwo systemu informacyjnegopoufność ochrona przed ujawnieniem nieuprawnionemu odbiorcy integralność ochrona przed nieuprawnioną modyfikacją lub zniekształceniem dostępność uprawniony dostęp do zasobów informacyjnych rozliczalność określenie i weryfikowanie odpowiedzialności za wykorzystanie systemu informacyjnego autentyczność weryfikacja tożsamości podmiotów i prawdziwości zasobów niezawodność gwarancja oczekiwanego zachowania systemu i otrzymywanych wyników

6 Analiza ryzyka

7 Modele bezpieczeństwamodele bezpieczeństwa w sposób sformalizowany, precyzyjny i jednoznaczny wyrażają te aspekty polityki bezpieczeństwa, których realizacja jest wymagana w systemie informatycznym rzeczywistość opisują w terminach jednostek operacyjnych: podmiotów i obiektów dwa aspekty bezpieczeństwa: procesy – identyfikacja, uwierzytelnianie, autoryzacja właściwości zasobów – poufność, integralność, dostępność, spójność dwa podejścia projektowe: mniej restrykcyjne - to, co nie jest zabronione, jest dozwolone bardziej restrykcyjne - to, co nie jest dozwolone, jest zabronione

8 Model bezpieczeństwa Założenia ogólne

9 Model zintegrowanego systemu bezpieczeństwa teleinformatycznegowarstwa 5 zarządzanie bezpieczeństwem agenci bezpieczeństwa warstwa 4 protokoły bezpieczeństwa Zarządzania Bezpieczeństwem Baza Danych usługi bezpieczeństwa warstwa 3 warstwa 2 mechanizmy bezpieczeństwa warstwa 1 moduły podstawowe

10 Zagrożenia klasyfikacja i oddziaływanie

11 Bezpieczeństwo fizyczne wzorcowy modelSystem ACC System CCTV System sygnalizacji pożaru System zabezpieczenia mechanicznego System ochrony zewnętrznej System ewakuacji i antypanikowy Zintegrowany system nadzoru i monitoringu Chroniony obiekt Architektura, strefy

12 Projekt zabezpieczenia fizycznego na przykładzie Centrum Przetwarzania Danych

13 Zintegrowany system zarządzania bezpieczeństwem obiektu

14 Specjalizowany budynekSpecjalizowany budynek. Specjalnie skonstruowane pomieszczenia o wzmocnionej konstrukcji, odporne na działanie ognia, wyposażone w drenaż zapobiegający zalaniom, zabezpieczenia elektrostatyczne, specjalne strefy bezpieczeństwa. Wydzielone osobne strefy bezpieczeństwa dla sprzętu Całodobowy monitoring. Wnętrze i otoczenie budynku Centrum Zapasowego monitorowane w systemie 24x7x365 z wykorzystaniem telewizji przemysłowej. Centrum chronione jest przez strażnikówj. Niezależnie od tego cały teren, na którym znajduje się Centrum zapasowe chroniony jest przez system alarmowy umożliwiający zdalne powiadomienie grupy interwencyjnej. System przeciwpożarowy. Automatyczny system gaszenia poszczególnych pomieszczeń odpowiednimi środkami (np.gaz FM neutralny ludzi i sprzętu), zdublowane czujniki, ścianki i drzwi ognioodporne, specjalne procedury przeciwpożarowe opracowane dla tego typu pomieszczeń. Centrum zapasowe Architektura, strefy Zasilanie. Bezprzerwowe zasilanie z kilku niezależnych źródeł. Dodatkowo stosowane są UPS'y w układzie nadmiarowym oraz agregat prądotwórczy z automatycznym startem, który bez tankowania paliwa może pracować przez 6 dni. Praca systemu zasilania monitorowana jest przez specjalistyczny system zarządzania. Łącza telekomunikacyjne. Centrum Zapasowe podłączone jest do sieci Internet poprzez skalowalne łącza telekomunikacyjne o dużej przepustowości, które zapewniają szybkie i niezawodne połączenie. Dostęp do pomieszczeń. Procedura dostępu do Centrum Zapasowego wymaga, aby zgodę wyraziły trzy ośrodki kontrolne. Poszczególne pomieszczenia chronione są trójstopniowym poziomem zabezpieczeń (zamki, czytniki zbliżeniowych kart magnetycznych, kontrola linii papilarnych). System klimatyzacji i wentylacji. Monitorowany zdalnie system utrzymujący odpowiednie warunki pracy urządzeń w serwerowni oraz w pozostałych pomieszczeniach. Nadmiarowy system obejmujący serwerownię.

15 Plany awaryjne BCP Utrzymanie ciągłości pracy

16 Planowanie awaryjne

17 Andrzej Wójcik [email protected]Dziękuję za uwagę Andrzej Wójcik