Students and Academics of All Countries, Unite! :-)

Zwiększone bezpieczeństwo czy zagrożenie?

Odnosząc się do normy PN-ISO/IEC 17799:2007 a dokładniej jej punktu 10.5.1 Zapasowe kopie informacji , której celem jest "Zapewnienie integralności i dostępności informacji oraz środków przetwarzania informacji, (…)" chciałbym poruszyć ten problem na forum i zapytać jakie jest Wasze stanowisko i sposoby rozwiązań na postawione niżej pytania…

Jakie znaczenie dla firm ma tworzenie kopii zapasowych ważnych dla przedsiębiorstwa danych? Czy większa ilość nośników danych poufnych, ważnych nie tylko dla przedsiębiorstw ale także dla polityki państwa( tu: wojskowej, zbrojnej) jest dla danej jednostki formą zabezpieczenia czy raczej zwiększonym zagrożeniem, mimo iż” (…) w sytuacjach , gdy ważna jest poufność, zaleca się szyfrowanie kopii zapasowych” [ PN-ISO/IEC 17799:2007]
Czy bardzo wygodne, automatyczne zapisywanie zapasowych kopii danych jest rzeczywiście bezpieczne?
W jaki inny sposób można zabezpieczyć dane fizycznie i przed wpływem środowiska?
Jaki wybrać rodzaj nośnika? Czy warto kopiować cenne informacje, kiedy dysponujemy środkami o coraz większym postępie technicznym, umożliwiającym odzyskanie już nawet w 98% utraconych danych i czy przywracanie danych przez firmy się tym zajmujące nie jest również pewnym zagrożeniem?
Jak myślicie co jest bezpieczniejsze?
Myślę, że dodany rysunek zawiera kolejne ważne pytanie powiązane z postawionymi powyżej… Proszę o Wasze zadanie…

0 members like this

Attachments:

x.jpg, 94 KB

Replies to This Discussion

Permalink Reply by Paweł Grygier on May 19, 2010 at 1:24am

Kopia zapasowa jest po to aby uchroniła nas przed utratą danych. Tworzenie kopii jest konieczne gdy dane są szczególnie ważne i ich utrata byłaby bardzo kosztowna. Mimo, iż w grę wchodzi często poufność, dobrze zabezpieczona kopia jest czasami ostatnią deską ratunku.

Automatyczne zapisywanie jest coraz częściej stosowane. Nawet przeglądarki internetowe mają już takie funkcje. Czy to jest bezpieczne? Oczywiście, często kilkugodzinna praca może zostać przerwana przez awarię sprzętu, lub odłączenie prądu. Automatyczne zapisywanie często i mnie uchroniło od straty kilku godzin i nerwów.

Środowisko ma bardzo duży wpływ na nośniki danych. Należy nieustannie sprawdzać ich stan oraz w razie potrzeby wymieniać na nowy. Technologia typów danych w obecnych czasach ulega coraz to większemu przyspieszeniu. Myślę, że szczególnie rozwinie się zapisywanie danych w pamięci serwerów, gdyż dane w ten sposób zapisane są ogólnie dostępne i istnieją odpowiednie środki aby te informacje były w odpowiedni sposób zabezpieczone.

Mimo możliwości odzyskania aż 98% utraconych danych, nie zaprzestawałbym robieniu dobrze zabezpieczonych kopii zapasowych.

Permalink Reply by Beata Owsianna on January 18, 2011 at 11:24pm

Witam,

"Jakie znaczenie dla firm ma tworzenie kopii zapasowych ważnych dla przedsiębiorstwa danych?"

Odnosząc się do w/w zapytania nasuwa mi się przykład dotyczący m.in z dziedziny finansów.

Wejście w życie uproszczonej procedury przesyłania i przechowywanie faktur kosztowych, tzw. e-faktur stanowi krok milowy w życiu i pracy małych i dużych przedsiębiorców, księgowych, biur rachunkowych i US.

Bardzo istotne znaczenie ma dla przedsiębiorców sporządzających faktury kosztowe w wersji elektronicznej forma ich przechowywania a nastęnie gromadzenia przez okres wymagany min. 5 lat.

Do tej pory dokumenty finansowe były najczęściej zapisywane poprzez scanowanie na nośnikach typu płyta CD/DVD, co wiązało sie z ogromną ich pracochłonnością, coraz częściej jednak stosuje się zewnętrzne nośniki typu pendive.

– Nowe przepisy oznaczają, że już nie musimy czekać na faktury kosztowe w formie papierowej, które zostały do nas wysłane pocztą lub kurierem. Wystarczy, iż otrzymamy je drogą mailową, np. w formacie PDF, co umożliwi również ich archiwizowanie w formie elektronicznej.

http://msp.money.pl/wiadomosci/prawo/artykul/e-faktury;jak;archiwiz...

Wszystkie mobilne nośniki danych zawsze obarczone są zagrożeniem zagubienia lub co gorsze łatwością przekazania w niepowołane ręce.

Kolejną nowoczesną zdigitalizowaną formą jest umieszczanie kopii poufnych danych na zewnętrznych serwerach firmy. Jest to forma łatwodostępna dzięki możliwości dostępu do internetu.

Zaineresowanych odsyłam do strony:

http://twojbiznes.infor.pl/index.php/dzialy/praktyka/artykul-180085...

Każda innowacja techniczna niesie jednak ze soba szereg niebezpieczeństw, tutaj niezbędna jest instalacja programów antywirusowych. Niestety, nawet najnowocześniejsze formy nie są w stanie zapobiec skutkom fizycznego uszkodzenia sprzętu IT lub kradzieży.

Wyważając jednak wszystkie plusy i minusy, konieczność tworzenia kopii zapasowych dokumentów ma dla przedsiębiorstwa decydujące znaczenie.

Permalink Reply by Justyna Kornaga on January 21, 2011 at 8:19pm

Uważam, że tworzenie kopii jest bardzo istotne dla przedsiębiorstw jak również dla przeciętnego użytkownika. Szczególnie dziś, w czasach dobrze rozwiniętej technologii.

Praktycznie moi poprzednicy wymienili już wszystkie rodzaje możliwości stworzenia kopii zapasowych.

Osobiście uważam, że najlepszym sposobem kopiowania swoich danych jest stosowanie dysków zewnętrznych. Wydaja mi się one bardziej trwalszą metodą aniżeli delikatne pendrive, przestarzałe dyskietki (w nowych komputerach nie zawsze są montowane stacje dyskietek), czy łamliwe płyty.

I przede wszystkim systematyczność w zapisywaniu swoich kopii na nośnikach jest bardzo ważna:-)

Permalink Reply by Marta Olejniczak on January 21, 2011 at 10:14pm

Kopie zapasowe, pozornie bardzo przydatna rzecz, zarówno w dużych firmach, jak i dla nas pojedynczych użytkowników. Nikt przecież nie chciał by stracić efektu swojej wielogodzinnej pracy ,ostatnio sama miałam taką sytuację, pracowałam nad projektem i szukając czegoś w Internecie ściągnęłam wirusa który zablokował mi dostęp do wszystkich plików , oczywiście nie zrobiłam kopii zapasowej. Na szczęście dane udało się odzyskać, bo tak jak wspomniał wcześniej Paweł w dzisiejszych czasach istnieje możliwość odzyskania utraconych danych.

Niestety wydaje mi się, że dla dużych firm czy dla informacji ściśle tajnych może być to niebezpieczne. Zapisując takie informacje w dwóch miejscach istnieje większe ryzyko, że wejdą one w posiadanie osób trzecich. Więc jeżeli już robi się takie kopie trzeba je odpowiednio zabezpieczyć, bo samo jej stworzenie może tylko zaszkodzić.

Reasumując, uważam, że prywatny użytkownik jak najbardziej powinien tworzyć takie kopie i tak jak zauważyła Justyna najlepszym nośnikiem takich danych jest dysk zewnętrzny, najbardziej trwały i większy od pendrive czy płyty CD a więc trudniejszy do zgubienia;)

Natomiast jeżeli chodzi o duże firmy czy różne instytucje powinni uważać z kopiami zapasowymi, a jeżeli już je tworzą to dodatkowo je zabezpieczyć.

Permalink Reply by Tadeusz Lemańczyk on January 22, 2011 at 3:43am

Pani Marto, tym stwierdzeniem "Zapisując takie informacje w dwóch miejscach istnieje większe ryzyko, że wejdą one w posiadanie osób trzecich. Więc jeżeli już robi się takie kopie trzeba je odpowiednio zabezpieczyć, bo samo jej stworzenie może tylko zaszkodzić." dowiodła Pani najlepiej, że uchwyciła Pani bardzo dobrze istotę studiowanego w tym semestrze przedmiotu ( http://fedcba.ning.com/group/zbsi ).

Permalink Reply by Łukasz Kiełbasa on April 11, 2011 at 4:07pm

Odpowiadając autorce tematu na poszczególne pytania, nie sposób wpaść w zakłopotanie, gdyż trudno wybrać tą prawidłowa odpowiedź, wybrać to „mniejsze zło”. Mówiąc o „mniejszym zło” , uważam, że nie ma jednoznacznej i w pełni poprawnej odpowiedzi na tak zadane pytania. Tworzenie kopii jest zabezpieczeniem danych przed ich utratą w kontekście ich zniknięcia, skasowania. Natomiast druga strona medalu to fakt, że każda kolejna kopia stwarza większe szanse, by wgląd do nich otrzymały osoby, które w naszym założeniu nie powinny.

Nie uważam by automatyczne tworzenie kopii przez system było czymś bezpiecznym. Tworzenie kopii powinno być czynnością świadomą , a termin ten powinno rozumieć się jednoznacznie z natychmiastowym jej zabezpieczeniem, najczęściej poprzez umieszczenie w miejscu gdzie nie każdy ma dostęp, a informacja o tym miejscu posiadamy tylko my i co najwyżej zaufane osoby. Mając na uwadze tutaj wszelkie nośniki danych jakimi są przenośne twarde dyski, płyt Cd, czy bardzo popularny pendrive. Odmienny problem stanowią kopie zapasowe umieszczane w Internecie, tutaj czyhają na nas o zupełnie inne zagrożenia, częściej o wiele groźniejsze. Skłoniłbym się w tym momencie do tworzenia kopii zapasowych na własnych nośnikach, zarówno w kontekście prywatnym jak i firm. Oczywiście problem z zabezpieczeniem danych w firmach jest o wiele poważniejszy, gdyż najczęściej istnieje wymiana informacji pomiędzy różnymi placówkami, znajdującymi się w różnych miejscach geograficznych. W takim przypadkach zalecałbym powołanie odpowiedniej komórki funkcyjnej, zatrudniającej właściwych specjalistów, zajmującej się zabezpieczaniem ważnych danych.

Porównując co jest bezpieczniejsze, czy tworzenie kopii czy ich nie tworzenie, to już zależy od decyzji jednostki, zarówno obydwa zagadnienia stwarzają wiele zagrożeń. Pragnąłbym namawiać do świadomości tego co się robi, zachowując za każdym razem rozsądek. Strach nie może nam mówić co mamy robić, gdyż nie oto tutaj chodzi. Ryzyko niepowodzenia związane jest z każda czynnością przez nas wykonywaną w życiu.

Permalink Reply by Mateusz Kowalski on April 11, 2011 at 5:20pm

Odpowiadając kolejno na każde kolejne pytanie autorki tematu:

1:"Czy bardzo wygodne, automatyczne zapisywanie zapasowych kopii danych jest rzeczywiście bezpieczne?"

- automatyczne zapisywanie kopii danych faktycznie jest bardzo wygodne. Bezpieczne jest tylko wtedy gdy uzywane jest do zabezpieczania pracy w toku przed nagłą awarią komputera, wyczerpaniem baterii bądź zwyczajnym zawieszeniem się programu. osobiście uzywam kopii zapasowych podczas projektowania które są usuwane zaraz po zapisaniu wykonanej pracy i wyłączeniu programu. Dzięki temu wiem gdzie znajdują się pliki które stworzyłem.

2:"W jaki inny sposób można zabezpieczyć dane fizycznie i przed wpływem środowiska?"

-najlepszym wyjściem jest oddawanie dysków twardych bądź dokumentacji do firm zajmujących się utrzymywaniem i archiwizacją danych i dokumentów. W każdym z miast jest conajmniej jedna taka firma.
3:Jaki wybrać rodzaj nośnika?

Myślę że ta prosta tabela wyjaśnia żywotność i trwałość danych na różnych nośnikach.

4:Czy warto kopiować cenne informacje, kiedy dysponujemy środkami o coraz większym postępie technicznym, umożliwiającym odzyskanie już nawet w 98% utraconych danych.

- Uważam że warto kopiować cenne informację na zapasowe nośniki ponieważ pliki odzyskane z zepsutego dysku często są niepełne, uszkodzone bądź mieszczą się w tych 2% plików nieodzyskanych.

5: czy przywracanie danych przez firmy się tym zajmujące nie jest również pewnym zagrożeniem?
- uważam że jest to pewne zagrożenie. Lecz takie firmy często posiadają umowy w których jest napisane że żadne informacje odzyskane z dysku nie będą przez nich udostępniane oraz uzywane. A po drugie dla niektórych firm lepiej jest zaryzykować bezpieczeństwo własnych plików niż stracić je na zawsze.

Permalink Reply by Aneta Bednarczyk on April 27, 2011 at 6:33pm

Ja również jestem zwolenniczką robienia kopi ważnych dokumentów. Pamiętam jak jedna z moich koleżanek utraciła swoją prace licencjacka, z powodu awarii systemu. Na bieżąco zapisywała poprawki w swojej pracy jednakże to nie wystarczyło. Na szczęście udało jej się odzyskać utracone dane, ale zajęło to trochę czasu, oraz nerwów. Dlatego tak ważne jest aby robić kopie istotnych plików i przechowywać je w bezpiecznym miejscu. Należy zdefiniować wyrażenie „bezpieczne miejsce”. Dla kopi moich plików i podejrzewam, że dla większości Waszych czyli takie które maja cenną wartość tylko dla nas samych będzie to miejsce, o którym będziemy pamiętać, aby nie było sytuacji, że zapomnimy gdzie schowaliśmy ową kopie :-) .

Jeżeli chodzi o robienie kopi tajnych informacji firmy, to mam tu pewne wątpliwości. Zgadzam się z p. Martą, że kopie informacji zwiększają prawdopodobieństwo ich wycieku. Ponieważ w takim przypadku należy chronić przed osobami niepowołanymi nie jeden, lecz dwa egzemplarze tajnych danych. Należy zadać sobie pytanie co jest gorsze : wyciek informacji, czy też całkowita ich utrata? Ja nie potrafię jednoznacznie odpowiedzieć na to pytanie. Jeżeli informacje wpadną w nie powołane ręce to czy maja dla nas jeszcze jakąś wartość? Wiec może lepiej byłoby skupić się na ochronie oryginału danych, zabezpieczać je w taki sposób, aby ich utrata była niemożliwa, albo przynajmniej mało prawdopodobna. Z drugiej jednak strony strata danych nie musi być spowodowana przez ich wyciek lecz np. przez awarie systemu, wtedy warto jest mieć duplikat dokumentów. Tak jak już moi przedmówcy wspominali owe kopie należy szyfrować, zabezpieczać i chronić.

Permalink Reply by Paulina Grabowska on May 24, 2011 at 10:26pm

Rozumiem, że studiowanie inżynierii bezpieczeństwa zobowiązuje, ale nie popadajmy w paranoję… Podczas śledzenia dyskusji na forum nie raz napotkałam na skrajne przypadki typu odcięcie palca w celu uzyskania linii papilarnych do odczytu danych z komputera (wypowiedź Agnieszki Krajewskiej http://fedcba.ning.com/group/bi/forum/topics/wynoszenie-mienia ), które owszem należy brać pod uwagę, w końcu naszym zadaniem jest przede wszystkim dostrzeganie zagrożeń, a dopiero potem ich eliminacja i im zapobieganie, ale ryzyko wystąpienia takiej sytuacji jest na tyle małe, że możemy je pominąć. To samo odnosi się do tego tematu. Moim zdaniem ryzyko związane z przechowywaniem dodatkowej kopii jest niewspółmiernie małe do szansy, jaką daje jej obecność w razie sytuacji awaryjnej. Oczywiście nie podlega to wątpliwości, że nośniki zawierające dane poufne powinny być zabezpieczone hasłem.
Przy okazji pragnę jeszcze wrócić do wypowiedzi Izy „Zastanawia mnie tu słowo „zaleca się”. Czy nie są one na tyle istotne żeby ich szyfrowanie było wręcz konieczne? Wiadomo, że stanowi to jakieś utrudnienie, ale czy jest ono na tyle uciążliwe i pracochłonne żeby można było to zaniechać? Kto tak naprawdę decyduje o tym czy kopia zapasowa zawiera na tyle poufne informacje/dane żeby musiały być one szczególnie chronione? Ta kwestia tego tematu bardzo mnie zaciekawiła. Wydaje mi się, że jest to za mało sprecyzowane i daje szerokie możliwości manipulowania tym zaleceniem.” Otóż kompletnie nie rozumiem jej dylematu. Norma mówi, że „zaleca się” czyli przedsiębiorca sam decyduje czy ponosi ryzyko związane z niezabezpieczaniem nośnika danych. Nie widzę także potrzeby precyzowania tych zaleceń, bo jak sama nazwa mówi są to zalecenia, a nie wymogi, za niespełnienie których grozi postępowanie karne. Zastanawia mnie jednak jak można „manipulować zaleceniem”.
Wracając do tematu jestem zwolenniczką sporządzania kopii zapasowych, jednak przy zwracaniu uwagi na sposób ich przechowywania. Powinno to być miejsce bezpieczne (tj. zamykane i niedostępne dla wszystkich), a kiedy w grę wchodzą naprawdę istotne dane najlepiej przechowywać je w sejfach.

Permalink Reply by Jacek Stawicki on January 19, 2012 at 6:39pm

Wszystko zależy od naszych potrzeb, , a także wartości przechowywanych danych. Większość z nas zapewne nie robi kopii zapasowych z kilku powodów: bagatelizujemy sprawę ewentualnego uszkodzenia sprzętu, „(…)przecież działa 5 lat bez najmniejszej usterki, to nagle się nie zepsuje”, a innym powodem może być po prostu niedocenienie wartości naszych danych. Dopiero gdy coś się stanie mądry Polak po szkodzie, spostrzega utratę prawie skończonej pracy inżynierskiej, zdjęć z najważniejszych wydarzeń w życiu itp.
Odzyskiwanie danych ? Ok, ale po pierwsze - drogie (nie orientuję się dokładnie, ale ok. 1000-2000zł), po drugie, czas oczekiwania, po trzecie skuteczność odzyskiwania (myślę, że ok. 70-80%).
Co do bezpieczeństwa to głównym aspektem będzie dobre miejsce przechowywania (wymieniony wcześniej sejf) i nośnik. Wrzucona przez Mateusza tabela żywotności i trwałości danych nie jest moim zdaniem obiektywna, ponieważ wartości w niej zawarte są jedynie szacunkowe, jeśli chodzi np. o płytę CD (trzeba by było przeżyć te 50 lat i sprawdzić stan naszych danych, tylko pytanie czy za 50 lat będzie można gdziekolwiek te płytę otworzyć? :-) )
Na koniec ciekawy film który mi się skojarzył z tym wątkiem. I pytanie do Was co byście zrobili w tak spontanicznej sytuacji? :)
http://www.youtube.com/watch?v=dk0EhLntpEE

Permalink Reply by Przemysław Łoziński on January 22, 2012 at 11:01pm

Kopie zapasowe danych powinny być wykonywane regularnie. Dla oszczędności miejsca, po wykonaniu pierwszej pełnej kopii zapasowej, kolejne kopie należy wykonywać jako tzw. przyrostowe kopie zapasowe. Wówczas przechowywane są tylko te pliki, które zostały zmodyfikowane lub dodane od momentu wykonania pełnego backupu.

Kopie zapasowe powinny być przechowywane na nośnikach wymiennych lub wymiennych dyskach twardych. Jeśli kopia zapasowa zostanie zapisana na innej partycji dysku twardego, wówczas w przypadku jego awarii dysku również zostanie utracona.

Permalink Reply by Paweł Weil on January 23, 2012 at 10:37pm

Wydaje się, że trzeba rozdzielić dwie sprawy. Czy kopia zapasowa ma służyć użytkownikowi prywatnemu, czy też firmie lub instytucji. W pierwszym przypadku tworzenie kopii wszyskich plików jest w mojej opinii niepotrzebne. Jedynie mały odsetek plików jest dla nas ważny. No chyba, że akurat płyta DVD z ulubionym serialem jest już na wykończeniu:)

Jednak gdy mówimy o firmach, albo instytucjach to kopie bezpieczeństwa są bardzo ważne, nawet mimo możliwości wycieku ich do niepowołanych rąk.

Nie mniej często stosuje się oprócz zapisu na dyskach optycznych, tworzenie kopii zapasowych na osobnych serwerach, który łączone są z siecią główną firmy tylko i wyłącznie w czasie tworzenia backupów. Przy użyciu dobrze napisanego programu wszystko tworzy się automatycznie, przy znikomym zaangażowaniu właścicieli plików. I napewno nie jest tak czasochłonne i pracochłonne jak zapis na płytach.

A jeżeli zaszyfrujemy te dane, a klucz zostanie wypalony fizycznie na dyskach, a nie będzie przechowywany na komputrach z dostępem do sieci, to daje nam to duże prawdpodobieństwo utrzymania naszych z daleka od niepowołanych oczu.

Choć jeśli ktoś czytał "Sztukę podstępu" K. Mitnicka to wie, że i taki rodzaj zabezpieczeń to za mało..