1 / 68

MBIS – Manažment bezpečnosti informačných systémov

MBIS – Manažment bezpečnosti informačných systémov. Každý systém je možné chrániť pred náhodným omylom, ale nie pred úmyselným zneužitím. Čo je to bezpečnosť. Bezpečnosť – je nutné chápať ako súčinnosť technických, programových, organizačných, legislatívnych a iných opatrení

krikor
Download Presentation

MBIS – Manažment bezpečnosti informačných systémov

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. MBIS – Manažment bezpečnosti informačných systémov Každý systém je možné chrániť pred náhodným omylom, ale nie pred úmyselným zneužitím

  2. Čo je to bezpečnosť • Bezpečnosť– je nutné chápať akosúčinnosť technických, programových, organizačných, legislatívnycha iných opatrení • Z pohľadu IS - základné úrovne • technicko-technologickú, • aplikačnú a • organizačnú vrstvu.

  3. Základné pojmy • Aktívum • Hrozba • Rizikováanalýza • Protiopatrenie

  4. Základné pojmy - aktívum Aktívum je všetko, čo má pre organizáciu z podnikateľského hľadiska hodnotu.

  5. Základné pojmy - aktívum • ľudské zdroje • informácie • dobré meno • fyzický majetok Všetko, čo má význam chrániť ...

  6. Základné pojmy – hrozba Hrozba (nebezpečenstvo) je objektívne existujúca možnosť vzniku akcie, udalosti alebo úmyslu, ktorá môže mať nepriaznivý účinok na aktíva organizácie, alebo môže viesť k ich znehodnoteniu.

  7. Základné pojmy - hrozba • strata • nehody • kriminalitu • zanedbanie • prírodné vplyvy • neetické konanie

  8. Základné hrozby • strata dôvernosti • strata integrity • strata dosiahnuteľnosti • strata autentickosti

  9. Strata dôvernosti • informácia je prezradená, stane sa teda známou mimo vymedzeného (oprávneného) okruhu subjektov, pre ktorý je určená,

  10. Strata integrity • informácia nie je celistvá, je neúplná, nie je v pôvodnom stave, alebo bola modifikovaná

  11. Strata dosiahnuteľnosti • informácia nie je tam, kde je očakávaná, nemožno ju okamžite použiť, alebo je inak nedostupná oprávnenému používateľovi,

  12. Strata autentičnosti • informácia je neoprávnená alebo nezodpovedá skutočnosti, ktorú by mala reprezentovať, prípadne nie je istota o jej zdroji.

  13. Základné pojmy - protiopatrenia • Minimalizácia hrozieb sa realizuje súborom protiopatrení na zníženie pravdepodobnosti vzniku hrozby a rozsahu možnej škody

  14. Protiopatrenia – úroveň • fyzické - EPS, EZS, strážna služba, trezory, biometrické sysétmy atď., • logické - zálohovacie jednotky, bezpečnostné karty, antivírusové programy a • organizačné - bezpečnostná dokumentácia, havarijné plány, kompetencia útvaru bezpečnosti.

  15. Protiopatrenia – čas • preventívne, pred narušením bezpečnosti • odstrašujúce, pred a počas pokusu narušenia • detekčné, v okamžiku pokusu o narušenie • reakčné, reakcia na narušenie • korekčné eliminčné, po vzniku narušenia

  16. Bezpečnosť IS • Bezpečnosť je súhrn objektov, subjektov, procesov, metód a opatrení, ktoré minimalizujú pravdepodobnosť hrozieb a ich následkov na prijateľnú hodnotu

  17. Bezpečný informačný systém je všeobecne definovaný ako systém, ktorý chráni informácie počas ich vstupu, spracovania, uloženia, prenosu a výstupuproti stratedostupnosti, integrity, autentičnosti a dôvernosti a po ich likvidácii proti strate dôvernosti. Celková bezpečnosť IS je daná bezpečnosťou jeho jednotlivých častí.

  18. Pohľad na bezpečnosť • ... kvalita • ... legislatíva a právo • ... definícia informácie • ... prenosu informácie • ... štandardov • ... architektúra systému • ... dokumentácie systému • ... bezpečnostnej politiky • Audit bezpečnosti

  19. BIS s pohľadu kvality Kvalita je súhrn vlastností a znakov produktu, procesu alebo služby, ktorý umožňuje plniť vopred stanovené požiadavky zo strany zákazníka a verejného záujmu Spokojnosť zákazníka a kvalita získavajú stále väčšiu celosvetovú pozornosť. Aktíva IS: • priamo súvisiace s IS • súvisiace s chodom organizácie • ostatné špecifické prvky

  20. priamo súvisiace s IS • technické a programové vybavenie, • dokumentácia, sieťové prvky, • obsluha informačného systému, • riadiaci manažment, • programátori a technický pracovníci,

  21. súvisiace s chodom organizácie • budovy, vybavenie, • komunikačná technika, • dopravná technika, • know-how,

  22. ostatné špecifické prvky • dokumenty, • údaje v databázach, • poradcovia, • metodici a pod.

  23. Kvalita pri vývoji programov • funkčnosť, • spoľahlivosť, • udržiavateľnosť, • účinnosť, • prenosnosť, • použiteľnosť a pod.

  24. ... legislatíva a právo Otázka spojené s: • právom na súkromie a rodinný život, • právom na dobré meno a povesť, • právom na slobodu a bezpečnosť, • právom na ochranu osobných údajov a pod.

  25. Ochrana osobných údajov • osobný údaj • spracovanie osobných údajov • informačný systém • poskytovanie osobných údajov • likvidácia osobných údajov • súhlas dotknutej osoby • prevádzkovateľ informačného systému • užívateľ systému

  26. ... definície informácie • Dáta a informácia, • Informačnýsystém, • Súbor, • Databanka alebo banka dát, • Databázový systém, • Program, • Programové vybavenie, • Okolie systému.

  27. ... prenos informácie - OSI

  28. ... štandardov • ISO - Medzinárodná organizácia pre štandardizáciu ISO (International Organization for Standardisation) • IEC - International Elecrtotechnical Commission, ktoré sa zaoberá hlavne technickými aspektmi a • ITU - International Telecommunication Union - Medzinárodná telekomunikačná únia, ktorej pôsobnosť je hlavne v oblasti legislatívnej.

  29. Návrh architektúry IS globálna stratégia celkový pohľad prehľad o procesoch informačná stratégia bezpečnostná politika požiadavký odberateľa ... architektúra systému

  30. Pre dosiahnutie efektívneho výsledku zabezpečenia musia byť vrstvy 1 – 3 implementované pred štvrtou vrstvou – samotným nákupom a implementáciou techniky,  technológie a ďalších produktov. Neoddeliteľnou časťou na najvyššej vrstve je audit a monitorovanie systému. Obr. 2 Model bezpečnosti ...model bezpečnosti

  31. ... dokumentácie systému • predprojektová príprava, • analýza systému, • dekompozícia a návrh systému, • jeho implementácia a testovanie, • skúšobná prevádzka, • zavádzanie do prevádzky, • prevádzka, údržba a rozvoj systému, • ukončenie jeho prevádzky.

  32. Dokumentácia projektu ... predstavuje súbor materiálov, ktorý vzniká v procese jeho tvorby a výstavby a ktorej účelom je : • systematicky dokumentovať výsledky jednotlivých etáp životného cyklu vývoja informačného systému, • vytvárať ucelený podkladový materiál pre rozhodovacie a schvaľovacie riadenie a pre predávanie výsledkov riešenia, • zabezpečiť testovanie, zavádzanie, prevádzku, vyhodnotenie efektívnosti, údržby a rozvoja informačného systému.

  33. ... bezpečnostnej politiky • bezpečnostná doktrína na úrovni celého podniku, • bezpečnostná línia na úrovni oddelenia alebo sekcie, • bezpečnostné praktiky vo forme smerníc a pokynov • bezpečnostné procedúry

  34. Princípy realizácie BP • zodpovednosti jedinej osoby za rozhodnutie, • oddelenia výkonných a kontrolných funkcií, • súčinnosti a aktuálnosti, • hierarchia dokumentov apod.,

  35. Bezpečnostná politika Odpoveď na nasledovné otázky : • čo musí byť chránené, • kto za to nesie zodpovednosť, • kedy to bude efektívne, • ako to bude zabezpečene v praxi, • kedy to bude v praxi, • ako to bude uvedené do praxe a pod.

  36. Konflikt dvoch aktivít • bezpečnostné ciele, ktoré na prvý pohľad nemusia byť (a väčšinou ani nie sú) totožné s • obchodnými cieľmi podniku a môže zdať stať, že sa vzájomne nepodporujú, prípadne že si odporujú.

  37. Audit bezpečnosti • zistiť mieru súladu medzi bezpečnostnou politikou a skutočnou situáciou, • poskytnúť primeranú istotu o tom, že bezpečnosť systému je na požadovanej úrovni a že bezpečnostný systém organizácie neobsahuje významné medzery, • odhaliť slabé miesta v bezpečnosti systému, • oznámiť zistené výsledky, prípadne • navrhnúť možné riešenia zistených nedostatkov.

  38. Náplň činnosti audítora BIS Audit - komplexný materiál v oblasti BIS a mal by byť zameraný hlavne na : • fyzickú bezpečnosť • režimovú bezpečnosť • personálnu bezpečnosť • bezpečnosť technických prostriedkov • bezpečnosť dát • bezpečnosť komunikácie

  39. Audit - fyzická bezpečnosť • budova a jej okolie, možnosť vniknutia cudzej osoby, spôsob stráženia • ohrozenie pri živelnej pohrome, • existencia a úroveň EZS, • existencia a úroveň EPS, • umiestenie kľúčov auditovaného systému a priestorov, • spôsob likvidácie dokumentov, skartačný poriadok • prístup upratovacej služby do kľúčových priestorov • existencia a umiestenie záložného pracoviska, záložný systém a pod.

  40. Audit – režimová bezpečnosť • organizačnýporiadok organizácie a jeho vzťah k BIS • existencia bezpečnostnejpolitiky • obsahzmlúv z hľadiska utajovania skutočností a mlčanlivosti, • smernice pre manipuláciu a pamäťovými médiami a ich skladovanie • smernice pri hlásení a riešení bezpečnostne významných udalostí, • normy (interné, národné, medzinárodné) a ich dodržiavanie, • zásady používania identifikačných a autentizačných prvkov • kompetencie a smernice pre tvorbu smernice a kompetencie pre inštaláciu nových programov, • plánobnovy technických a programových prostriedkov, • evakuačnýplán a pod.

  41. Audit – personálna bezpečnosť • zainteresovanosť zamestnancov na bezpečnosti organizácie, • príprava zamestnancov na prácu s citlivými údajmi, • podmienky v ktorých užívatelia systému pracujú • motivácia pracovníkov na kľúčových miestach • mechanizmus pri rozväzovaní pracovného pomeru, • školenia bezpečnosti, ich periodicita a obsahová stránka a preskúšanie zamestnancov, • smernice pre zastupovanie a pod.

  42. Audit - bezpečnosť technických prostriedkov • druh, kvalita a certifikácia technických prostriedkov, • zabezpečenie servisu, periodicita prevencie, spoľahlivosť, • zálohovanie systému UPS, náhradný zdroj energie • tvorba nových programových produktov, • zabudovanie bezpečnostných a kontrolných vlastností • ochrana proti vírusom, antivírová ochrana a prevencia, • mechanizmus testovania nových produktov a programov, • existencia a uloženie záložných verzií • právna a autorská čistota používaných programov, • správa hesiel a prístupov, • zálohovanie programových produktov a obnovy,

  43. Audit – bezpečnosť dát • kompetencie a smernice pre zadávanie dát, • mechanizmy autorizácie a rozlíšenie prístupu k údajom, • zálohovanie, archivácia a likvidácia údajov, • šifrovanie a kryptovanie dát,

  44. Audit – bezpečnosť komunikácie • spôsobkomunikácie medzi jednotlivými časťami siete, typ siete, jej zabezpečenie, zabezpečenie prenosu a pod, • existencia a používanie kryptografickýchmetód, • spôsob prepojenia informačného systému naokolie a externé subjekty, • smernice pre telefónny styk, používanie faxu, elektronickej pošty a pod, • fyzickáochrana komunikačných, • kontrolaprístupu do siete, a pod.

  45. Riziková analýza • Riziko je potencionálna možnosť, že daná hrozba využije zraniteľnosť aktíva alebo skupiny a spôsobí im stratu alebo škodu. • Riziková analýza je metóda, na základe ktorej môžeme zistiť aké hrozby predstavujú jednotlivé narušenia pre informačný systém, aké škody môžu spôsobiť a aké protiopatrenia možno použiť na elimináciu jednotlivých hrozieb.

  46. Postupy pri analýze • kvantitatívne - pracujeme s odhadovanými finančnými čiastkami - poistiteľné, • kvalitatívne - ak nevieme dané aktívum finančne ohodnotiť napr. Goodwill organizácie, dôverné informácie a pod alebo nevieme odhadnúť pravdepodobnosť výskytu hrozieb

  47. Analýza rizika

  48. Riziková analýza • Vytvorenie zoznamu aktív • Ohodnotenie aktív • Vytvorenie zoznamu hrozieb • Ohodnotenie vážnosti hrozieb • Odhad očakávaných škôd • Výber opatrení proti hrozbám

  49. Štandardy • TCSEC Trusted Computers evaluation Criteria - Oranžová kniha • ITSEC Information Technology Security Evaluation Criteria - Európske kritéria • Britishstandard BS 7799

  50. Oranžová kniha - kategórie • všeobecnej bezpečnostnej politiky, • prístupu a identifikovateľnosti a • oblasť záruk, • ako treba pristupovať k politike, • čo je treba poskytnúť ku kontrole pri prístupe k informáciám • ako je možné získať záruku, že tento prístup je v počítačovom systéme dostatočne prepracovaný

More Related