Szkolenie z Bezpieczeństwa Informacji przetwarzanych
w Systemie Obsługi Wniosków Aplikacyjnych (SOWA)
z dnia 12 czerwca 2017 r.
Rozdział I
Bezpieczeństwo informacji wprowadzenie
1. Bezpieczeństwo systemów informacyjnych to ochrona przed nieuprawnionym dostępem do informacji lub jej modyfikacją.
2. Ochrona powinna obejmować:
1) przechowywanie, przetwarzanie, transmisję;
2) zabezpieczenie przed odmową usługi (Denial of Services, DoS - atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania);
3) środki umożliwiające wykrycie, dokumentację oraz przeciwdziałanie zagrożeniom.
3. Na bezpieczeństwo informacji składaja się 7 elementów:
1) Poufność - zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom,
2) Integralność - zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany,
3) Dostępność - zapewnienie bycia osiągalnym i możliwym do wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot,
4) Rozliczalność - zapewnienie, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi,
5) Autentyczność - zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana (autentyczność dotyczy użytkowników, procesów, systemów i informacji),
6) Niezaprzeczalność - brak możliwości wyparcia się swego uczestnictwa w całości lub w części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie,
7) Niezawodność - zapewnienie spójności oraz zamierzonych zachowań i skutków.
Rozdział II
Wymagania sprzętowe pozwalające na korzystanie z SOWA.
1. W celu prawidłowego korzystania z SOWA niezbędne są:
1) połączenie z siecią Internet;
2) indywidualne konto poczty elektronicznej e-mail;
3) zainstalowana przeglądarka internetowa: Internet Explorer, Mozilla Firefox, Google Chrome lub Opera w najnowszej stabilnej wersji (nie starszej niż dwie wersje wstecz);
4) włączenie obsługi technologii Java Script, tzw. "cookie" oraz wyłączenie blokowania wyskakujących okien w przeglądarce internetowej;
5) zainstalowanie rozszerzenia Szafir SDK (tylko w przypadku przeglądarki Google Chrome) do obsługi kwalifikowanego podpisu elektronicznego.
Rozdział III
Dostęp do systemu
1. System jest dostępny pod domeną https://www.sowa.efs.gov.pl przez 24 godziny na dobę, 7 dni w tygodniu z wyjątkiem przerw niezbędnych do wykonania czynności związanych z prawidłowym jego funkcjonowaniem.
2. Użytkownikiem jest każda osoba, która posiada zarejestrowane konto w SOWA. Poziom uprawnień uzależniony jest od pełnionej w systemie roli.
Rozdział IV
Zasady bezpieczeństwa w systemie
1. Hasła:
1) Hasła należy utrzymywać w tajemnicy i nie ujawniać ich innym osobom.
2) Kryteria w zakresie długości, złożoności oraz częstotliwości zmiany haseł:
a) hasło składa się z minimum 8 znaków i z maksimum do 30 znaków;
b) hasło zawiera: wielkie litery, małe litery, cyfry oraz znaki specjalne;
c) hasło jest zmieniane nie rzadziej niż co 30 dni;
d) nowe hasło musi różnić się od 24 haseł ostatnio wykorzystywanych przez użytkownika.
3) Czas trwania nieaktywnej sesji (czas bezczynności) po jakim następuje automatyczne wylogowanie użytkownika z systemu wynosi 30 minut.
4) Przy opuszczaniu miejsca pracy dostęp do komputera osobistego powinien być blokowany przez wybranie jednej z poniższych opcji:
a) zastosowanie mechanizmu zawieszania pracy systemu operacyjnego;
b) wylogowania się użytkownika (zakończenia pracy w SOWA).
5) Nie należy ujawniać danych służących do logowania innym osobom. W przypadku pozyskania hasła przez osobę nieuprawnioną lub podejrzenia takiego pozyskania, należy bezzwłocznie dokonać zmiany hasła na nowe.
6) W przypadku zapomnienia hasła należy wykorzystać funkcjonalność Przypomnij hasło.
7) Użytkownik powinien przestrzegać zasady czystego biurka. W szczególności przed opuszczeniem swego stanowiska pracy użytkownik powinien schować wszelkie dokumenty związane z używanym SOWA oraz informatyczne nośniki danych (dyskietki, płyty CD, DVD, pendrive itp.).
Rozdział V
Konfiguracja sprzętu komputerowego użytkownika
1. Komputer użytkownika powinien posiadać oprogramowanie antywirusowe, którego sygnatury wirusów powinny być aktualizowane nie rzadziej niż raz na tydzień. Oprogramowanie antywirusowe powinno być stale aktywne.
2. Użytkownik powinien stale monitorować komunikaty pochodzące z oprogramowania antywirusowego zainstalowanego na stacji roboczej i reagowć na nie.
3. Komputer użytkownika powinien być chroniony zaporą sieciową (firewall).
4. Podczas pracy z SOWA na komputerze użytkownika nie powinien być uruchomiony żaden serwer, w szczególności nie powinien być uruchomiony serwer WWW oraz FTP (TFTP).
5. Oprogramowanie komputera powinno być regularnie aktualizowane, w szczególności dotyczy to systemu operacyjnego oraz przeglądarki internetowej.
Rozdział VI
Rozpoczynanie, zawieszanie i kończenie pracy użytkowników w systemie
1. Użytkownik podczas logowania się do SOWA powinien sprawdzić:
1) czy w pasku adresowym przeglądarki adres zaczyna się od https;
2) czy w obrębie okna przeglądarki znajduje się mała kłódka informująca o bezpieczeństwie;
3) czy po kliknięciu na kłódkę pojawia się informacja o tym, że certyfikat został wydany dla: *.sowa.efs.gov.pl i jest on ważny.
2. Rozpoczęcie pracy użytkownika w systemie następuje po uruchomieniu przeglądarki oraz wprowadzeniu adresu https://www.sowa.efs.gov.pl/
3. Po poprawnym zalogowaniu użytkownik otrzymuje w przeglądarce ekran startowy SOWA zawierający kafle modułów, do których użytkownik ma nadany dostęp.
4. W celu chwilowego zawieszenia pracy w SOWA, należy zablokować ekran (zablokować pulpit lub włączyć wygaszacz ekranu zabezpieczony hasłem). Jeśli komputer użytkownika nie pozwala na zabezpieczenie ekranu hasłem, należy wylogować się z SOWA.
5. Po zakończeniu pracy należy wylogować się z SOWA poprzez wybranie funkcji Wyloguj zlokalizowanej w prawym górnym rogu ekranu. Nie należy kończyć pracy poprzez zamknięcie okna przeglądarki znakiem x.
Rozdział VII
Zgłaszanie zagrożeń bezpieczeństwa w SOWA
1. Użytkownik powinien niezwłocznie powiadamiać o podatności lub o zdarzeniu bądź serii niepożądanych czy też niespodziewanych zdarzeń związanych z bezpieczeństwem informacji, które stwarzają znaczne prawdopodobieństwo zakłóceń i zagrażają bezpieczeństwu informacji w systemie.
2. Każdy użytkownik, w przypadku podejrzenia wystąpienia podatności lub zdarzenia bądź serii zdarzeń, o których mowa w pkt 1, powinien niezwłocznie poinformować o tym fakcie poprzez funkcję Zgłoś problem, która dostępna jest na dole strony w SOWA wybierając w polu Typ zgłoszenia opcję Incydent bezpieczeństwa.
Rozdział VIII
Internet - zasady bezpiecznego surfowania po stronach WWW
1. Korzystaj z pakietu typu internet security, który łączy oprogramowanie antywirusowe, zaporę ogniową, technologię pozwalającą na wykrywanie i blokowanie zagrożeń sieciowych oraz mechanizm blokowania ataków poprzez luki w przeglądarce internetowej. Takie oprogramowanie pozwala na zwiększenie poziomu ochrony przed złośliwym kodem i innymi zagrożeniami w odróżnieniu od tradycyjnych programów antywirusowych.
2. Regularnie aktualizuj wszystkie aplikacje zainstalowane na stacji roboczej, w szczególności zwracaj uwagę na programy najbardziej podatne na zagrożenia - np. pakiety biurowe, przeglądarki biurowe czy kodeki.
3. Uaktualniaj definicje wirusów. Dzięki temu możesz chronić swój komputer przed najnowszymi znanymi wirusami krążącymi w sieci Internet. Najlepszym rozwiązaniem jest posiadanie programu ochronnego, który automatycznie pobiera najnowsze definicje.
4. Stosuj trudne do odgadnięcia hasła, które są kombinacjami liter - zarówno małych, jak i dużych, cyfr oraz znaków specjalnych. Hasła nie powinny składać się ze słów czy wyrazów, które mogłyby być łatwe do odgadnięcia, na przykład z imienia i daty urodzenia. Regularnie zmieniaj lub modyfikuj hasła.
5. Nie przeglądaj, nie otwieraj ani nie pracuj z żadnym załącznikiem przesłanym drogą e-mail, którego nie oczekiwałeś lub przeznaczenia, którego nie jesteś pewien.
6. Unikaj klikania na linki i załączniki w wiadomościach e-mail lub komunikatorach internetowych. Tego typu odnośniki mogą stanowić zagrożenie.
7. Systematycznie sprawdzaj, czy Twój system operacyjny może być podatny na zagrożenia. Możesz skorzystać z darmowych skanerów systemów dostępnych w sieci Internet.
8. Zastosuj rozwiązania przeciwko zagrożeniom typu phishing (phishing metoda oszustwa, w której przestępca podszywa się pod inną osobę lub instytucję, w celu wyłudzenia określonych informacji lub nakłonienia ofiary do określonych działań), np. instalując dodatkowy pasek narzędzi w przeglądarce internetowej, który może ostrzec przed potencjalnie niebezpieczną witryną. Nigdy nie ujawniaj poufnych danych osobistych lub finansowych, dopóki nie będziesz miał pewności, że prośba o podanie tych informacji pochodzi z legalnego, bezpiecznego źródła.
9. Jeżeli korzystasz z bankowości online lub robisz zakupy w sklepach internetowych, wykonuj te czynności wyłącznie na własnym komputerze, nigdy na sprzęcie publicznym. Nie przechowuj haseł ani numerów kart bankowych w plikach na komputerze.
10. Pamiętaj, że złośliwy kod może zostać zainstalowany na twoim komputerze automatycznie podczas przeglądania internetu, czy pobierania z niego plików.
11. Uważnie czytaj umowy licencyjne (EULA) zanim zaakceptujesz ich warunki. Niektóre zagrożenia bezpieczeństwa mogą zostać zainstalowane po tym jak zaakceptujesz umowę.
12. Uważaj na programy, które wyświetlają reklamy w interfejsie użytkownika. Wiele programów typy spyware/adware śledzi, w jaki sposób użytkownik reaguje na takie reklamy. Potraktuj obecność takich reklam jako ostrzeżenie - potencjalne zagrożenie typu spyware.
Rozdział IX
Poczta elektroniczna - zasady korzystania i ograniczenia
1. Poczta elektroniczna stanowi podstawową broń w arsenale cyberprzestępców jest narzędziem do wysyłania spamu, wirusów oraz przeprowadzania ataków phishingowych.
2. Właściwe korzystanie z poczty elektronicznej wiąże się z umiejętnością zabezpieczenia komputera przed działaniami przestępców oraz eliminacji zagrożeń pochodzących z zewnątrz, do których należą:
1) spam, czyli niezamawiane wiadomości zawierające m.in. reklamy różnych usług i produktów,
2) złośliwe oprogramowanie, czyli wirusy, trojany, rootkity, scareware, ransomware przesyłane w postaci załączników do e-maili lub pobierane po kliknięciu w odnośnik zawarty w wiadomości pochodzącej od przestępcy,
3) phishing, czyli atak, którego celem jest wyłudzenie poufnych danych użytkownika poczty e-mail.
3. Przeglądając wiadomości w skrzynce e-mail, wyrób w sobie nawyk odpowiadania na kilka prostych pytań opracowanych przez ekspertów ds. bezpieczeństwa z organizacji CERT. Celem tych pytań jest pomoc w identyfikacji niebezpiecznych e-maili.
1) Czy znasz nadawcę wiadomości?
2) Czy otrzymywałeś już inne wiadomości od tego nadawcy?
3) Czy spodziewałeś się otrzymać tę wiadomość?
4) Czy tytuł wiadomości i nazwa załącznika mają sens?
5) Czy wiadomość nie zawiera złośliwego oprogramowania jaki jest wynik skanowania antywirusowego?
4. Pozytywne odpowiedzi na powyższe pytania zwiększą prawdopodobieństwo, że dana wiadomość nie będzie stanowiła zagrożenia dla Twojego systemu.
5. Negatywna odpowiedź na przynajmniej jedno z pytań powinna wzbudzić Twoją czujność i zachęcić do podjęcia działań, które zabezpieczą Cię przed atakiem, takich jak rezygnacja z odpowiedzi na wiadomość, nieklikanie w odnośniki umieszczone w e-mailu lub skasowanie wiadomości bez jej otwierania.
Oświadczam, że zapoznałem/zapoznałam się ze Szkoleniem z zakresu bezpieczeństwa Systemu Obsługi Wniosków Aplikacyjnych.