Návrh bezpečnostnej politiky univerzity

1. Návrh bezpečnostnej politiky univerzity Darina Tothová, FEM SPU v NitreE-mail: Darina.Tothova@uniag.sk

2. Základné pojmy politika určuje, aké "boje" sa majú uskutočniť a prečo - určujú ju "prezidenti", stratégia je plánom "boja" - určujú ju "generáli", taktika je metódou realizácie stratégie - určujú ju všetci ostatní "velitelia" až po "pešiakov". politika, stratégia, taktika 1

3. Ciele a zámery bezpečnostnej politiky Bezpečnostná politika je súbor opatrení, ktoré spoločne určujú postoj organizácie k bezpečnosti. • Cieľom bezpečnostnej politiky je určiť hranice akceptovateľného konania a spôsob odpovede organizácie na ich prekročenie. • Jej zámerom je rozhodnúť, čo je a čo nie je povolené. • Mala by zahŕňať všetky komponenty IS: hardvér, softvér, dáta, užívateľov. 3

4. Tvorba bezpečnostnej politiky Analýza doterajšieho stavu organizácie informácií, ich formy spracovania, zabezpečenia. Analýza prostredia - hmotné a nehmotné aktíva, analýza rizika Doterajšia bezpečnostná politika Nákladya dosiahnutý efekt Profily slabých miest bezpečnosti Formuláciabezpečnostnej politiky univerzity 2

5. Základné hodnoty, ktroré sú predmetom ochrany: • Technické zariadenia - zraniteľnosť fyzického systému: • krádež, zámerné alebo náhodné poškodenie, bežné závady, prírodné katastrofy. • Systémové a programové vybavenie - zraniteľnosť softvéru: • strata dostupnosti - úmyselné alebo náhodné vymazanie programu, • modifikácia kódu programu - určenie rozsahu a následkov poškodenia je často veľmi obtiažne - nová inštalácia, • softvérové pirátstvo - neoprávnené kopírovanie 4

6. Základné hodnoty, ktroré sú predmetom ochrany: • Dátové štruktúry - dáta predstavujú najväčšiu hodnotu informačného systému. 5

7. Možné ohrozenia • Kompromitácia, narušenie, ... Možnosti ohrozenia: • Vnútorné ohrozenie. • Vonkajšie ohrozenie. • Ohrozenie počítačového systému. • Ohrozenie hardvéru. • Ohrozenie softvéru. • Ohrozenie informácií. 7

8. Analýza doterajšieho stavuorganizácie informácií, ich formy spracovania, zabezpečenia. Je potrebné oboznámiť sa so: • Štatútom BOZ, organizačným poriadkom univerzity, koncepciou rozvoja. • Organizáciou informácií, formou spracovania informácií, prijatými opatreniami na ochranu informácií zo strany vedenia univerzity. • V súvislosti so sieťovou bezpečnosťou - kontrola sieťového prístupu k jednotlivým počítačom a službám. Oboznámenie sa s existenciou firewallov. 7

9. Úlohou riešenia ochrany informačného procesu je minimalizovať možnosti jeho narušenia. Základné vlastnosti - atribúty informácií (údajov): Únik informácie, neúplný, nesprávny, nepoužiteľný údaj... • Dôvernosť - stav, kedy je informácia (údaj) utajená, známa vymedzenému okruhu subjektov. • Integrita - informácia (údaj) je celistvá, neporušená, v pôvodnom, nezmenenom stave. • Autenticita - informácia (údaj) je zodpovedajúca skutočnosti nespochybiteľného pôvodu. • Dosiahnuteľnosť - informácia (údaj) je k dispozícii, je schopná bezprostredného použitia. 8

10. Definícia bezpečnostných cieľov • Uvedomenie si predmetu ochrany. • Uvedomenie si pred kým je potrebné zabezpečiť ochranu: • užívatelia intranetu, predchádzajúci zamestnanci, vonkajší narušitelia, ... • Pred čím je potrebné zabezpečiť ochranu: • krádež, oheň, extrémne teploty, vlhkosť, výpadky el. siete, … • Stanovenie pravdepodobnosti výskytu potencionálneho ohrozenia, resp. poradia dôležitosti ohrozujúcich faktorov. 9

11. Vnútorné ohrozenie • Podcenenie dodržiavania pravidiel práce v PS. • Prezradenie hesla kamarátovi, svojmu dieťaťu, „nepoučenému kolegovi“. • Neodňatie práv zamestnancovi po rozviazaní prac. pomeru (nie je zabezpečená oznamovacia povinnosť správcovi servera), nepožadovanie odovzdania dokumentácie, médií. • Nezaviazanie zamestnanca k mlčanlivosti o utajovaných údajoch. 10

12. Vonkajšie ohrozenie • vniknutie, • odmietnutie služby, • krádež informácií: • sniffing - niekto číta informácie, ktoré prechádzajú korektne autorizovaným kanálom, • falošná autentikácia - niekto tvrdí, že má autorizáciu, i keď ju nemá). 12

13. Ohrozenie počítačového systému • Počítačový systém sa skladá z 3 hlavných komponentov, u ktorých existuje reálne nebezpečenstvo ohrozenia: • hardvér, • softvér, • dáta a dátové súbory. 13

14. Ohrozenie hardvéru • krádež hardvéru alebo jeho častí, • porušenie káblov, poškodenie disku, ... • prasknutie vodovodného potrubia, zatečenie z okien, požiar, ... 14

15. Ohrozenie softvéru • náhodné alebo úmyselné vymazanie, • krádež programu, • poškodenie programu: • vírusmi, • technickou závadou. • chyby v programe. 15

16. Ohrozenie informácií • vymazanie dátového súboru, • porucha spôsobená: • poruchou hardvéru, • chybou v programe. • krádežou dátových súborov. 16

17. Doterajšia bezpečnostná politika • Ak nebola formulovaná, tak všetky doterajšie pravidlá a pokyny: • Pravidlá pre prácu v počítačovej sieti. • Pravidlá pre tvorbu WWW stránok. • Pokyny pre prácu v počítačových cvičebniach. • ….. 17

18. Náklady • Finančné prostriedky sú v akademickom prostredí limitujúcim faktorom aj na zabezpečenie bezpečnosti IS. Je však potrebné zahrnúť finančné náklady do strategického plánu zabezpečenia IS a postupne realizovať nákup jednotlivých položiek. • Shareware, freeware. 18

19. Čo musí obsahovať Formulácia bezpečnostnej politiky univerzity • Popis počítačovej siete, popis IS. • Ciele bezpečnostnej politiky. • Legislatívne východiská. • Klasifikácia informácií na základe citlivosti. • Definícia hrozieb. • Definícia bezpečnostných služieb. • Bezpečnostné zásady personálnej politiky. • Bezpečnostné zásady organizačnej politiky. • Technicko-prevádzkové zabezpečenie bezpečnosti. 19

20. Formulácia bezpečnostnej politiky univerzity - pokračovanie • Politika zálohovania a archivácie. • Plán obnovy po havárii. • Metodika riešenia krízových stavov. • Pravidelná revízia a aktualizácia politiky

21. Ďakujem za pozornosť