1 / 15

ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM

Bezpečnost informací a IS/ICT v ÚZIS ČR Minimum informační bezpečnosti pro uživatele a aktuální informace z EU. ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM. Obsah. Co je informační bezpečnost Hrozby informační bezpečnosti – příklady z praxe Řízení informační bezpečnosti

borka
Download Presentation

ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpečnost informací a IS/ICT v ÚZIS ČRMinimum informační bezpečnosti pro uživatele a aktuální informace z EU ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM

  2. Obsah • Co je informační bezpečnost • Hrozby informační bezpečnosti – příklady z praxe • Řízení informační bezpečnosti • Postřehy z EU a RE • Shrnutí

  3. Co je informační bezpečnost (1) • Co chceme a musíme chránit? • Vše co má pro organizaci hodnotu (aktiva) • V případě IS/ICT to jsou informace v těchto systémech zpracovávané • Co je cílem informační bezpečnosti? • Upozornit na rizika spojená s využíváním ICT: • ztráta, • zneužití • Jakým způsobem snížíme nebo potlačíme rizika? • Implementací bezpečnostních protiopatření a jejich vysvětlením • návrh, • zavedení (technologických i organizačně-procesních) opatření, • kontrola jejich dodržování apod. •  Zvýšení efektivity ICT a celkové úrovně bezpečnosti organizace

  4. Motto informační bezpečnosti • Dokud uživatel neví, z jakého důvodu musí určitá pravidla dodržovat nebo proč je mu něco zakázáno, bude se snažit tato pravidla, která mu „znepříjemňují“ život, nějakým způsobem obcházet.

  5. Co je informační bezpečnost (2) • V IS je zajištěna: • C – Důvěrnost = Confidentiality • Informace je přístupná pouze tomu, kdo je k tomu oprávněn. • I – Integrita = Integrity • Zajištění správnosti i úplnosti informace a správnost metod zpracování. • A – Dostupnost = Availability • Informace je dostupná oprávněným uživatelům v okamžiku, kdy ji potřebují. • ------------------ • N – Nepopiratelnost = Non-repudition • Původce informace nemůže popřít autorství. • Někdy též popisováno jako autenticita (authenticity). Informační bezpečnost neznamená pouze zajištění důvěrnosti nebo dostupnosti informace, za kterou bývá izolovaně zaměňována.

  6. Statistiky a trendy z ČR 2009Výskyt bezpečnostních incidentů za poslední 2 roky a vnímání trenduPrůzkum stavu informační bezpečnosti v ČR Národního bezpečnostního úřadu

  7. Nebezpečí el. komunikace >> ochrana (1) • Email není bezpečný, protože není zajištěna DID Ochrana • Kryptografické techniky mají zajistit 3 aspekty: • Autentizaci • Důvěrnost • Integritu Kryptografické algoritmy - šifrovací algoritmy >> zajištění důvěrnosti - podpisové algoritmy >> zajištění autentizace - hašovací algoritmy >> zajištění integrity • Osvěta a vzdělávání • Bezpečné chování uživatelů Email není jen cílem, ale i zdrojem útoků…

  8. Nebezpečí el. komunikace >> ochrana (2) • Nebezpečné přílohy (trend: pokles) • Malware • Nebezpečný obsah (trend: vzestup) • Nevyžádaná pošta: SPAM,HOAXověřte si na http://www.hoax.cz • Sociální inženýrství (sociotechnika) - Phishing,Pharming • Potíže s aktivním obsahem (Java/Script,…) • Hacking Útoky necílí primárně na technologie, ale na uživatele!

  9. Poznáváte phishing ?

  10. Pharming: Jak ho rozpoznat a bránit se

  11. Nebezpečí el. komunikace >> ochrana (3) Chování uživatelů (7 rad) • Již dopředu přistupovat k e-mailu podezřívavě – nepředávat citlivé údaje nikdy na základě výzvy emailem. • Nespouštět neznámé soubory. • Nepoužívat připojení k WiFi a internetové kavárny k online bankovnictví. • Volit vhodné heslo a chránit jej! • Preferovat šifrovanou komunikaci (https), elektronický podpis. • Kontrolovat vydané certifikáty. • Na doma: Zřiďte si peněžní limit na online transakce, kontrolujte bankovní účet.

  12. aneb od chaosu k normám Důvody a příčiny Mezinárodně uznávané „bezpečnostní“ normy (ISO 2700x) Integrovaný přístup: Vyvážený přístup k řešení fyzické, technické, organizačně-procesní a personální bezpečnosti informací, založený na vyhodnocování rizik. Bez formálního přístupu (dle ISO) vždy hrozí opomenutí vedoucí k narušení celkové bezpečnosti. Informační bezpečnost je zejména o systému řízení, nejen o technologiích. Řízení informační bezpečnosti ISO 27001 = Procesní přístup pro ustavení, zavedení, provozování, monitorování, udržování, tj. efektivní řízení informační bezpečnosti ve společnosti.

  13. Postřehy z Evropské unie • Ochrana soukromí jednotlivce ve světle globalizace a pokroku v IT(Facebook, Cloud Computing) • Legislativa ochrany osobních údajů v kontextu ochrany lidských práv a svobod •  • Směrnice EU na ochranu osobních údajů z r.1995 a Úmluva Rady Evropy z r. 1981 > Nevyhovuje potřebám současné moderní informační společnosti •  • Od r.2009 vyhlásila Evropská komise konzultace k vytvoření nového komplexního rámce při zpracování osobních údajů, návrh na změnu směrnice bude zveřejněn v polovině r.2011. V roce 2008 Rada Evropy otevřela Úmluvu o ochraně osobních údajů č.108 k přistoupení jakémukoliv státu světa.

  14. Závěrečné shrnutí • Vzhledem k neustále narůstajícím hrozbám v prostředí ICT souvisejících s rozmachem technologií a Internetu je nezbytné průběžné vzdělávání všech uživatelů IS a zvyšování jejich bezpečnostního povědomí. • Porozumění pravidlům informační bezpečnosti povede k jejich dodržování. • Dodržování pravidel informační bezpečnosti pomůže zajistit nejen požadovanou ochranu informací, ale zároveň pomůže omezit výskyt bezpečnostních incidentů způsobených neznalostí nebo běžnou lidskou chybou – a tím vede ke zvýšení celkové efektivity IT.

  15. Děkuji za pozornost Ing.Jana Blažková, blazkova@uzis.cz, tel. 22497 2106

More Related