1 / 66

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS. TEMA 4 RAZVOJ PROGRAMA, POLITIKE I PLANA ZAŠTITE. CILJ. Razumeti : generičku strukturu dokumenta Program zaštite obim i strukturu plana, politike i procedure zaštite opštu metodologiju za implementaciju programa/sistema zaštite

lynde
Download Presentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS TEMA 4 RAZVOJ PROGRAMA, POLITIKE I PLANA ZAŠTITE UNIVERZITET SINGIDUNUM - FPI

  2. CILJ • Razumeti: • generičku strukturu dokumenta Program zaštite • obim i strukturu plana, politike i procedure zaštite • opštu metodologiju za implementaciju programa/sistema zaštite • tok procesa implementacije programa/sistema zaštite • ključne komponente procesa implementacije programa/ sistema zaštite: obuku zaposlenih, kontrolu usklađenosti i nametanje obaveze izvršavanja • značaj metrike u oblasti zaštite: uticaj na digitalnu forenziku i metrika modela sazrevanja procesa zaštite (SSE CMM) • Naučiti: • samostalno razviti politiku i proceduru zaštite UNIVERZITET SINGIDUNUM - FPI

  3. Ključni termini • Program zaštite • Plan zaštite • Politika zaštite • Saopštenja politika zaštite • Procedura zaštite • Implementacija programa/sistema zaštite • Nadzor i revizija (auditing) • Digitalna forenzika • Merenje • Metrika • Merne jedinice UNIVERZITET SINGIDUNUM - FPI

  4. PROGRAM ZAŠTITE Program zaštite: • sve što neka organizacija čini da zaštiti svo IKTS • dokumentuje se kroz programsku politiku Programska politika (struktura): • kratak doument (1) stranica koja ističe nameru organizaije da zaštiti svoj IKTS i informacije • struktura programske politike: • namena, • obim, • odgovornost • usaglašenost (PRILOG II 6A) UNIVERZITET SINGIDUNUM - FPI

  5. PLAN ZAŠTITE • Usklađen sa: • zakonskim propisima, poslovnim ciljevima i arhitekturom IS • konzistentan i ima formu biznis plana • Struktura: 1.Uloge i odgovornosti: • menadzerske strukture i upravnih odbora organizacija • internog rukovodstva organizacije • zaposlenog osoblja 2. Upravljanje promenama: • U, O i T kontrole zaštite (PRILOG II 6B i C) UNIVERZITET SINGIDUNUM - FPI

  6. PLAN ZAŠTITE-Uloga upravne strukture- 1. Eksplicitna (Princip): • vodeću ulogu i odgovornost u kreiranju Programa, Plana i Politike zaštite • obezbedi superviziju sprovođenja programa zaštite • obezbedi uvođenje standarda zaštite • angažuje odgovorna, stručna i iskusna lica u zaštiti • definiše smernice za upravljanje politikom nadzora i kontrole (revizije) s/z UNIVERZITET SINGIDUNUM - FPI

  7. PLAN ZAŠTITE -Uloga internog tima organizacije- • implementaciju programa zaštite • razvoj i reviziju plana, politike i procedura zaštite • upravljanja rizikom • analizu usklađenosti prakse i politike i procedura zaštite • analizu rezultata nadzora i kontrole sistema zaštite • analizu rezultata upravljanja incidenatom i VD • analizu rezultata obuke u zaštiti • reviziju programa zaštite i (GAISP principa) UNIVERZITET SINGIDUNUM - FPI

  8. PLAN ZAŠTITE -Tipične greške uprave- • neshvatanje stvarne vrednosti informacija i ugleda • fiksiranje operativnim k/z samo nekoliko problema • imenovanje nekvalifikovanog osoblja za zaštitu • obezbeđenje neadekvatne obuke zaposlenih • neadekvatno finansiranje poslova zaštite • ignorisanje problema u IKT sistemu • oslanjanje samo na firewall zaštitu UNIVERZITET SINGIDUNUM - FPI

  9. PLAN ZAŠTITE-Uloga korisnika- • učestvuju u razvoju plana, politike i procedura zaštite (po potrebi) • implementiraju politiku/procedure zaštite • koriste mehanizme i protokole zaštite • sprovode procedure zaštite • obaveštavaju o greškama i incidentima • prate i poznaju poslovne procese i ranjivosti sistema • učestvuju u razvoju svesti o potrebi zaštite UNIVERZITET SINGIDUNUM - FPI

  10. PLAN ZAŠTITE-Upravljanje promenama- • Mandatna obaveza (princip, standard) • Sistemski način uvođenja svih vrsta promena IKTS • Obuhvata: • faktore promene okruženja, tehnologija zaštite, sw/hw IKTS • regularnu reviziju plana, politike i procedura zaštite • izradu procedure za upravljanje promenama • kontrolu primene kontrola zaštite (U, O, T) za upravljanje promenama UNIVERZITET SINGIDUNUM - FPI

  11. POLITIKA ZAŠTITE -Definicija- • izjava na visokom nivou relativno nepromenljiva u datom periodu!? • smernice uprave org. da se izradi program zaštite, uspostave bezbednosni ciljevi i pripišu odgovornosti • specifična pravila (izjave, saopštenja) zaštite (e-mail, AC, udaljeni pristup, IAA...) • ključna komponenta plana zaštite • okvir očekivanja,obaveza, tehnologija i procesa • utvrđuje ciljeve, očekivanja i verifikovane zahteve • koristi: instrukcije, procedure, uputstva, pravce aktivnosti i principe zaštite UNIVERZITET SINGIDUNUM - FPI

  12. POLITIKA ZAŠTITE-Funkcije- • okvir za donošenje odluka u oblasti zaštite IKTS • adaptivna za specifične situacije - kroz procedure i uputstva • sadrži standarde, najbolju praksu i preporuke za arhitekturu s/z i evaluaciju usaglašenosti • referenca (benchmark) za: • legalnu zaštitu od odgovornosti • demonstraciju pred sudom u slučaju kompjuterskog kriinala da su mere zaštite implementirane • obezbeđuje osnov za disciplinske mere UNIVERZITET SINGIDUNUM - FPI

  13. POLITIKA ZAŠTITE-Struktura i vrste- 1. Struktura: • sadržaj (jasan, koncizan) • zahteve za usklađenost i monitoring • komponente prinude (saopštenja politike) 2. Vrste: • programska (na nivou organizacije) • funkcionalna (za specifične radne funkcije) • IKT sistema ili sistema za upravljanje zaštitom informacija – ISMS (Information Security Management System) politika • komponenti sistema zaštite (npr. Pravila udaljenog pristupa) UNIVERZITET SINGIDUNUM - FPI

  14. Programska politika zaštite • Obuhvata osnovne instrukcije za: • bezbednost rada organizacije i zaštitu informacija • prihvatljivost korišćenja tehnologije zaštite • upravljanje bezbednosnim rizikom u IS (UR), • upravljanje VD i kompjuterskim incidentom i • obezbeđenje kontinuiteta poslovanja Primer: UR • definiše cilj, obim i odgovornosti • sugeriše izbor metoda analize i procene rizika • zahteva nadzor i kontrolu procesa UR (usaglašenost, monitoring) • odobrava nivo prihvatljivosti preostalog rizika (komponenta prinude) UNIVERZITET SINGIDUNUM - FPI

  15. Funkcionalna politika zaštite • odnosi se na specifičneradne funkcije organizacije • navodi razloge zašto je politika potrebna • opisuje funkcije koje pokriva (ZIS, FINIS, IS e-Uprave) • definiše odgovornosti i kontakte • obezbeđuje „balans zaštite i produktivnosti“ • određuje prioritet zaštite u odnosu na funkciju (poverljivost i/ili raspoloživost i/ili integritet) • predloži sankcije i tretman povreda politike Primer: Politika zaštite ZIS • podaci/informacije raspoložive za lekare/med.sestre/laboratoriju • podaci/informacije posebno zaštićene • podaci/informacije specificirane za pristup/rukovanje određenim licima • definiše način šifrovanja podataka/ informacija i destinacije slanja UNIVERZITET SINGIDUNUM - FPI

  16. Politika zaštite IKTS • Uspostavlja standarde za bezbednosno okruženje IS: • obezbeđenje raspoloživosti/pouzdanosti rada uređaja i mrežnih servisa • namenu zaštitnog softvera za okruženje hosta • uspostavljanje standarda kriptozaštite za radne stanice (PC i LapTop) • specifikaciju zahteva za upravljanje VD i kompjuterskim incidentom • bekapovanje i oporavak sistema • nastavak poslovanja i dr. Primer:Politika upravljanja konfiguracijom (promenama) IS • definiše metode testiranja novog hw/w, • definiše metode instalacije i neophodnu dokumentaciju, • sugeriše proces upravljanja svim promenama i • identifikuje pravo vlasništva nad sistemom • definiše ovlašćenja za izmenu konfiguracije UNIVERZITET SINGIDUNUM - FPI

  17. Politika sistema zaštite • Obezbeđuje bezbednosne zahteve za operativno upravljanje s/z: • upravljanje pasvordom • korišćenje tehnologija za autentifikaciju i autorizaciju • nadzor i kontrola sistema zaštite • upravljanje incidentom i VD • oporavak sistema • Primer: Upravljanje kompjuterskim incidentom • definiše ko/kako upravlja incidentom • način istrage napada i anomalija u sistemu • kako/kada se interni/eksterni napad dogodio • ko objavljuje incident, kome dostavljati izveštaj • ko/kako vrši forenzičku istragu/akviziciju/analizu digitalnih dokaza (PRILOZI 4.2 i 4.3) UNIVERZITET SINGIDUNUM - FPI

  18. Procedure zaštite • Redosled i načini primene precizno definisanih aktivnosti procesa zaštite - dokumentuju procese zaštite • spuštaju politiku zaštite na operativni nivo • značajno smanjuju ljudske greške (proboje s/z) • obezbeđuju usklađenost prakse i politike zaštite • Primer:Pristup dijagnostičkim izveštajima • specificira zahtevani proces autentifikacije i autorizacije • definiše zahteve za mere fizičke zaštite • definiše način unošenja dijagnostičke informacije • definiše kriptološki algoritam • identifikouje primaoce informacija • sugeriše načine izbegavanja uobičajenih grešaka i.t.d UNIVERZITET SINGIDUNUM - FPI

  19. Uputstvo za zaštitu 1. Za menadžere, admin. i specijaliste zaštite: • uopšten i sveobuhvatan, dovoljno detaljan, poverljiv dokument • definiše komponente s/z i upravljanje programom zaštite • definiše sadržaj i strukturu za izradu programa/plana/ politika/procedura zaštite (PPPPZ) • definiše načine projektovanja arhitektura i kontrola s/z • sadrži reference na kataloge U, O i T kontrola zaštite 2. Za korisnike IKT sistema • orijentisano na određenu grupu korisnika • obrađuje određenu komponentu zaštite (PRILOG 4.5) UNIVERZITET SINGIDUNUM - FPI

  20. Pregled i ažuriranje PPPPZ(ISO/IEC 27001) • bezbednost i zaštita su dinamičke kategorije • nove hw/sw metode napada i iskorišćenja ranjivosti • regularni pregled i revizija PPPPZ - najmanje 1/g • za veći stepen zaštite revizija i kontrola - češće • sredstvo - interna/eksterna revizija: • efikasnosti, usaglašenosti i ranjivosti (program zaštite) • tehnoloških promena IKTS i sistema zaštite • promena u arhitekturi IKTS • promena u poslovima, upravi i kulturi rada organizacije UNIVERZITET SINGIDUNUM - FPI

  21. Metodologija izrade Politike zaštite • Praktični principi: • Obezbediti »bezbednost« greške (sistem bezbedan i kad dođe do greške) • Evidentiranje bezbednosnih događaja (log bezbednosnih događaja) • Jednostavnost rešenja i upravljanja • Minimizacija privilegija • Nedopustivost prelaska sistema u nebezbedno stanje • Nemogućnost zaobilaženja mehanizama zaštite • Obezbeđenje sveopšte podrške sistemu zaštite • Odvajanje dužnosti i privilegija • Otvoreni dizajn arhitekture sistema zaštite • Jačanje zaštite samo slabih komponenti • Potpuna posrednost pristupa informacijama (proxy?) • Psihološka korisnička prihvatljivost • Slojevita zaštita UNIVERZITET SINGIDUNUM, FPI

  22. Standardi za izradu Politike zaštite • Standardi: ISO/IEC 27001, ISO/IEC 13335 TR-3, NIST SP 800-12, 18, 30. • Elementi strukture • uvod, obim, namena • organizaciona pitanja • bezbednosna klasifikacija i kategorizacija objekata IKTS • sistematizacija radnih mesta • fizička zaštita objekata • upravljanje • pravila pristupa objektima IS • redosled razvoja • mere za obezbeđenje kontinuiteta poslovanja • normativni deo (referenciranje) itd. UNIVERZITET SINGIDUNUM, FPI

  23. Proces izrade politike zaštite 1.Izrada politike zaštite u organizaciji je autorski rad • Specijalista za zaštituformira radnu grupu kojom rukovodi: • informatičara, menadžera org. jedinica i spoljnih saradnika • Konačan nacrt podnosi: • upravi na odobravanje • promoviše plitiku na regularan način u organizaciji 2. Opšti model za izradu politike zaštite • Odnosi se na sve aspekte zaštite IS • Povezuje sve komponente sistema zaštite • Pripisuje odgovornost svim zaposlenim • Obezbeđuje osnov za disciplinske mere • Zasniva se na upravljanju rizikom(slajd 24) UNIVERZITET SINGIDUNUM, FPI

  24. UNIVERZITET SINGIDUNUM, FPI

  25. Neprekidnost procesa održavanja politike zaštite UNIVERZITET SINGIDUNUM, FPI

  26. Preporuke za izradu politike zaštite • obezbedi podršku upravne strukture • laka za razumevanje i što je moguće kraća • usklađena sa kulturom rada i okruženjem • racionalna i da omogućava postizanje poslovnih ciljeva • obavezna i da nameće realizaciju • afirmativno ističe šta treba uraditi (treba, mora,..), • izbegava reči tipa nikada, zabranjeno i sl. 8. odnosi se na sve klase informacione imovine 9. uklapa se u druge politike organizacije 10. sadrži saopštenjašta treba zaštititi i u kom obimu 11. sadrži informaciju kada politika stupa na snagu i koje su sanakcije 12. sadrži informaciju na koga se odnosi i na koje std. referencira UNIVERZITET SINGIDUNUM, FPI

  27. Preporuke za izradu politike zaštite-1 13. sadrži razloge za propisivanje i ko je razvio 14. sadrži metod kojim će se monitorisati usklađenost 15. objašnjava kako će biti nametnuta i ko je odgovoran 16. objašnjava koja su odstupanja dopuštena 17. sadrži informaciju kada će se preispitivati i ko vrši reviziju 18. sadrži datum poslednje revizije i da li postoji arhiva 19. sadrži termin elektronski za informacije u el. formi 20. identifikuje kontaktne informacije za izveštavanje o incidentu 21. uravnotežava nivo kontrola zaštite i nivo efektivnosti s/z 22. prilagođena veličini organizacije 23. obezbeđuje poverenje korisnika u komponente zaštite UNIVERZITET SINGIDUNUM, FPI

  28. IZRADA POLITIKE ZAŠTITE • Osnovni skup atributa: • sadržaj, cilj, namena, obim, saopštenja, pristup u praksi,pogodnost za primenu, sankcije, kontaktne idruge informacije • u opštoj formi tvrdi šta je dopušteno, a šta nije u oblasti zaštite • obično nije sasvim specifična niti tehnološki orientisana • sugeriše šta treba, a ne kako treba postići bezbednosne ciljeve • zahteva sukcesivno usavršavanje i dogradnju • Osnovni kriterijumi za izradu - mogućnosti: • dopunjavanja • vidljivosti (transparentnosti) • menadžerske podrške • konzistentnosti • eksplicitnosti saopštenja UNIVERZITET SINGIDUNUM, FPI

  29. IZRADA POLITIKE ZAŠTITE • Izražavanje značaja politike zaštite: • formira osnovu za kontrolni okvir upravljanja zaštitom, • obezbeđuje uputstva, smernice, instrukcije, • definiše uloge i odgovornosti u zaštiti, • dokumentuje stav organizacije u odnosu na određeno pitanje zaštite • Identifikovanje/definisanje saopštenja: • uzorci saopštenja u bazama znanja (Internetu) • zavise od kulture rada i veličine organizacije • jednostavnija odgovaraju manjim, a preciznija sa više restrikcija–većim org. • teško izbeći preklapanja i ponavljanja Rešenje: definisanje standardne strukture - zajedničkih i specifičnih elemenata politike zaštite UNIVERZITET SINGIDUNUM, FPI

  30. IZRADA POLITIKE ZAŠTITE-NIST- • Tipična zajednička struktura politika zaštite: • Naslov • Autor • Verzija • Datum • Amandmani(.. kontrolni podaci o dokumentu) • Namena: bezbednosni cilj i ciljna grupa za koju je dokument namenjen UNIVERZITET SINGIDUNUM, FPI

  31. IZRADA POLITIKE ZAŠTITE • Standardna struktura sadržaja Politike zaštite (NIST): • Uvod • Struktura, obim i namena • Bezbednosni cilj • Saoštenja (specifični elementi za posebnu politiku zaštite na različitim nivoima, odgovornosti) • Usklađenosti i sankcijeza neusklađenost ....... n. Rečnik termina n+1. Odobrava UNIVERZITET SINGIDUNUM, FPI

  32. IZRADA POLITIKE ZAŠTITE • Identifikovanje strukture Programske politike zaštite • 1– 3. (Tipični deo opšte strukture politike zaštite). • Namena programa • Izjava upravne strukture • Definisanje obima programa zaštite IS • Strategijski pravac zaštite • Definisanje odgovornosti (menadžera, opšta, TTPS) • Druga referentna dokumenta • Pitanja usaglašenosti (disciplinske i druge sankcije): • opšte i specifične • Politika autorskog prava • Kontakti UNIVERZITET SINGIDUNUM, FPI

  33. IZRADA POLITIKE ZAŠTITE IS (ISMS politika, ISO/IEC 27001) • Treba da: • istakne odluke (uprave), • bude odobrena (akreditovane), fleksibilna (zavisno od bezb. ciljeva), saopštena kao pravila (ko,šta, pod kojim uslovima) • Struktura Politike zaštite na nivou IS: 1. – 3. (Tipični deo opšte strukture politike zaštite) 4. Saopštenja politike: 4.1. Funkcionalna: • Fizička zaštita IKTS • Upotreba kriptografije • Autentifikacija • Autorizacija i kontrola pristupa UNIVERZITET SINGIDUNUM, FPI

  34. IZRADA POLITIKE ZAŠTITE Struktura Politike zaštite IS-1 • Zaštita poverljivosti • Zaštita integriteta • Zaštita raspoloživosti • Logovanje i kontrolni tragovi • Upravljanje kompjuterskim incidentom • Druga razmatranja: kako politiku treba interpretirati, personalna zaštita, sertifikacija i akreditacija i dr. 4.2. Uloge i odgovornosti: • Glavne menadzerske strukture • Izvršnih menadzera • Krajnjih korisnika • Specijalista zaštite 5. Usklađenosti i sankcije za neusklađenost 6. Rečnik termina 7. Odobrava UNIVERZITET SINGIDUNUM, FPI

  35. IZRADAPRAVILA ZAŠTITE • Pravila (politika) komponente zaštite: • (1. – 3) Tipični opšti deo strukture politike zaštite • Obuhvati specifične oblasti (PRILOG GII P7A): • Pravilo zaštite privatnosti e-mail poruka • Pravilo povezivanja na Internet i dr. • Bude često ažurirana: • redovno ažuriranje bezbednosnih popravki • Sadrži saopštenje o obuhvaćenom pitanju: • primenljivost, uloge i odgovornosti, usaglašenost, sankcije i kontaktne informacije. UNIVERZITET SINGIDUNUM, FPI

  36. IZRADA POLITIKE ZAŠTITE PRIMER: StrukturaPravila zaštite privatnosti 1. – 3. (Tipični deo opšte strukture politike zaštite) 4. Saopštenja: • Uskladištene informacije • Metod skupljanja informacija • Upravljanje kolačićima • Pristup ličnim podacim • Ažuriranje ličnih podataka • Zahtev za isključivanje • Dostupnost za treću stranu 5-6. Ostale informacije UNIVERZITET SINGIDUNUM, FPI

  37. PROCEDURA ZAŠTITE (PRILOG GII 7E) • generalno dokumentuju procese zaštite • spuštaju politiku zaštite na operativni nivo • daju instrukcije kako se dnevno implementira politika zaštite • specifična usklađenost - kompletnost i usklađene sa Politikom zaštite • detaljne procedure - opis procese zaštite koji se ponavljaju (procedura za admin. zaštite za autorizaciju prava pristupa) • generalno za sve procese, tipično za U i Okontrole zaštite(proceduralne komponente zaštite) • T. procedure sastavni deo tehničke dokumentacije UNIVERZITET SINGIDUNUM, FPI

  38. OPŠTI METODI IMPLEMENTACIJE PROGRAMA/SISTEMA ZAŠTITE 1. Ublažavanjem ukupnog rizika na prihvatljivi nivo: • dugoročan, neprekidan i zahtevan proces • podrazumeva sveobuhvatni sistemski pristup i smanjenje svih faktora rizika na prihvatljiv nivo implementacijom rentabilnih U,O,T kontrola zaštite 2. Procesom 4-fazne tranzicije bezbednosnog stanja: • alternativni (cik-cak) metod implementacije • metod 4 - fazne tranzicije IS iz jednog u drugo (više) bezbednosno stanje • polazi od zaštite najkritičnijih objekata IS UNIVERZITET SINGIDUNUM, FPI

  39. IMPLEMENTACIJA PROGRAMA ZAŠTITE • Cilj programa zaštite: • efikasno upravljanje rizikom kojeg redukuje implementiran plan zaštite na prihvatljiv nivo rizika 2. Faze procesa implementacije: • izbor odgovarajućeg tima za koordinaciju i monitoring • identifikovanje faktora rizika • obavezna godišnja kontrola (revizija) i • prilagođavanje programa nalazima kontrole (revizije) 3. Funkcionalne komponente procesa implementac.: • obuka, kontrola usklađenosti,nametanje obaveze izvršavanja politika i procedura zaštite UNIVERZITET SINGIDUNUM - FPI

  40. Faze implementacije programa/sistema zaštite UNIVERZITET SINGIDUNUM, FPI

  41. PROCES IMPLEMENTACIJE PROGRAMA/SISTEMA ZAŠTITE • Izbor tima za koordinaciju i monitorisanje • Identifikovanjebezbednosnih faktora rizika • Obavezna kontrola (revizija) projekta • Integracija i prilagođavanje programa • Obavezne komponente sadržaja procesa: • obuka zaposlenih • kontrola usklađenosti • nametanje obaveze izvršavanja politika i procedura zaštite (disciplinske mere/sankcije) UNIVERZITET SINGIDUNUM, FPI

  42. Obuka zaposlenih • Svi zaposleni - izgraditi svest o potrebi zaštite • Tehničko osoblje - korišćenje i održavanje opreme i tehnologija zaštite • Sistem administratori i članovi CIRT - specijalizovanu obuku za administraciju s/z • Menadžerska struktura - razvija svest o potrebi zaštite, razume ulogu i odgovornost • Operativno osoblje - dodatnu obuku (po planu zaštite) UNIVERZITET SINGIDUNUM, FPI

  43. Integracija S/Z-Kontrola usklađenosti- • Stepen integracije implementiranog programa/SZ meri se stepenom opšte i specifične usklađenosti: 1. Kontrola opšte usklađenosti - upravna struktura: • monitoringom zaposlenih o korišćenju IS i • primeni normativa i standarda zaštite 2. Kontrola specifične usklađenosti – zaposl./izvršioci Verifikuje: • praksu zaštite sa politikom • podršku poslovnim procesima • operativno korišćenje tehnologija zaštite UNIVERZITET SINGIDUNUM, FPI

  44. Interni nadzor i revizija 1. Obezbeđuje: • ključnu ulogu u zaštiti kibernetičkog prostora • ključne informacije za nezavisnu procenu rizika • analizu kompetentnosti interne kontrole (npr. ISMS) • ispitivanje nivoa usklađenosti sa normativima • evaluaciju adekvatnosti i efikasnosti zaštite na Internetu • proaktivno aktiviranje uprave za ublažavanje rizika 2. Vrste: • posebni nadzor sistema zaštite RM, • procena adekvatnosti IDPS, ili • procena kapaciteta upravne strukture i.t.d. UNIVERZITET SINGIDUNUM, FPI

  45. Interni nadzor i kontrola -1 3. Učestanost monitoringa (nadzora): • treba da se zasniva na zdravoj logici 4. Metod monitoringa: • skeneri saobraćaja RM, IDPS, skeneri ranvosti RS i RM.…. 5. Obim monitoringa: • uspostavljena odgovornost, prava i ograničenja • provera postojanja ostalih komponenti zaštite... UNIVERZITET SINGIDUNUM, FPI

  46. Eksterna revizija (auditing) 1. Vrši neke dodatne kontrolne funkcije: • reinženjering procesa za povećanje efikasnosti • smanjenje troškova poslovanja 2. Unosi dodatni bezbednosni rizik 3. Treba da ima edukativnu i savetodavnu ulogu 4. Da se vrši u bezbednom okruženju i atmosferi poverenja 5. Revizori (auditors): • neprekidno prate razvoj tehnologija zaštite, najbolju praksu zaštite, trendove kompjuterskog kriminala, ... UNIVERZITET SINGIDUNUM, FPI

  47. Izveštavanje o reviziji zaštite-Namena- • ISACA (Information System Audit and Control Association) predlaže da izveštaj: • pokaže koji sistem mera je koristio kontrolor (auditor) • pomogne u planiranju, radu i kontroli rada auditor-a • olakša TTPS da izvrši reviziju rada kontrolora • evaluira sistem kvaliteta programa kontrole • obezbedi podršku za naplatu polise osiguranja • pomogne profesionalni razvoj specijalista zaštite i.t.d. UNIVERZITET SINGIDUNUM, FPI

  48. Izveštavanje o reviziji zaštite-1 -Sadržaj izveštaja- • Kontrola aplikacija • Automatizovana kontrola • Kontrola politika zaštite • Svest o potrebi zaštite • Strategijski ciljevi • Korišćenje pravnih saveta u procesu kontrole UNIVERZITET SINGIDUNUM, FPI

  49. Izveštavanje o reviziji zaštite-2 -Format izveštaja o kontroli S/Z- • plan i pripremne aktivnosti (definisani obim i ciljevi kontrole) • program kontrole (sadržaj rada) • faze izvođenja kontrole i dokazi koje treba skupljati • nalazi kontrole, zaključci i preporuke • pregled i nalaz supervizorske kontrole. UNIVERZITET SINGIDUNUM, FPI

  50. Nametanje obaveze izvršavanja i izveštavanja • Sledi obuku, nadzor i kontrolu usaglašenosti prakse i politike zaštite • Izveštaj o nadzoru i kontroli - ulazna informacija za reinženjering programa i politike zaštite • Kritičan faktor - implementacija politika/procedure bez represivnih mehanizama za obavezu izvršavanja • Sankcije za nesprovođenje politike zaštite: • dobro i unapred osmišljene, • od upozorenja do otpuštanja sa posla, ili sudskog gonjenja UNIVERZITET SINGIDUNUM, FPI

More Related