1 / 46

Systém manažérstva informačnej bezpečnosti ISO 27001:2006 

Systém manažérstva informačnej bezpečnosti ISO 27001:2006 . 4. Prednáška. SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTI

pooky
Download Presentation

Systém manažérstva informačnej bezpečnosti ISO 27001:2006 

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Systém manažérstva informačnej bezpečnosti ISO 27001:2006  4. Prednáška

  2. SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTI • Disciplína „počítačovej“ bezpečnosti (dnes informačnej bezpečnosti)evidentne nevznikla automaticky so vznikom prvých počítačov. Týchto bolo spočiatku málo, ich využívanie si vyžadovalo špeciálne znalosti a bolo teda obmedzené na malú skupinu špecialistov. • Bezpečnosť - ak vôbec bola, bola vnímaná • skôr ako fyzická ochrana celých počítačových • systémov. • Takéto vnímanie bezpečnosti nevymizlo ani s rastom počítačov a ich rýchlym využívaním na spracúvanie veľkých množstiev údajov, napr. sálové počítače boli štandardne prevádzkované vo vyhradených priestoroch s kontrolovaným prístupom.

  3. SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTI • Prvé prejavy o systematické riešenie počítačovej/IB- v druhej polovici 60. rokov 20 stor., • Na prelome 60. a 70. rokov sa zároveň vytvorili ďalšie predpoklady pre rýchly rozvoj IKT - prepojenie prvých počítačov do siete ARPANET, začali práce na systéme UNIX. V tom čase sa objavili aj prví hackeri. • Vo februári 1970 bola v USA publikovaná prvá odborná práca venovaná otázkam bezpečnosti počítačových systémov, túto udalosť teda možno dodatočne označiť za vznik samostatnej disciplíny počítačovej, neskôr informačnej bezpečnosti. • Nemecký Lorenzov šifrovací prístroj, používaný v 2.svetovej vojne • pre zašifrovanie správ na vysokej úrovni určené generálnemu štábu • V r. 1973 americký NationalBureauofStandards vyhlásil • verejné výberové konanie pre šifrovací systém. • Výsledok - prvý verejný šifrovací štandard v histórii, • bol publikovaný v r. 1975 The Da Vinci code

  4. SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTI • 80. roky 20. stor. - nárast aktivity v oblasti počítačovej (informačnej) bezpečnosti v USA i v Európe - kryptologické konferencie, odborné konferencie o počítačovej bezpečnosti,vznik medzinárodnej federácie pre spracovanie informácií IFIP, odborný časopis Computers & Security. • Koniec zákazu využívať Internetna komerčné účely začiatkom 90. rokov 20. stor. znamenal začiatok novej éry rozvoja tohto komunikačného média, ktorá pochopiteľne ovplyvnila aj rozvoj disciplíny informačnej bezpečnosti. • Prvá dekáda 21. stor. je už obdobím s mnohými legislatívnymi postupmi s cieľom dostať informačnú bezpečnosť do právneho rámca (zákony, predpisy, normy) v mnohých štátoch sveta, EÚ a tým aj SR nevynímajúc.

  5. Čo je to informačná bezpečnosť? = Bezpečnosť informačných aktív v informačnom systéme • Informačný systém • akékoľvek hmotné a nehmotné objekty, ktoré sú cielene vytvorené, vzájomne poprepájané za účelom zberu, výmeny, spracovania, uchovania, generovania a distribúcie informácií a údajov vo vopred definovanej štruktúre a čase • súbor ľudí, technických prostriedkov a metód zabezpečujúcich zhromažďovanie, prenos, spracovanie a uchovanie dát s cieľom prezentácie informácií pre potreby užívateľov pôsobiacich v systémoch riadenia. • Informačné aktíva • všetky spracovávané informácie, prostriedky a osoby spracovania, príp. všetko ostatné, čo plní istú funkciu v procese spracovania informácií • Minimalizuje prevádzkové škody

  6. Prečo zabezpečovať informačné technológie ? • Informáciemajú pre subjekt nezanedbateľnú hodnotu • Strategické plány firiem, zdravotné záznamy, daňové priznanie, bankové účty, elektronické platobné nástroje • Informačné technológie - súhrnné označenie pre súbor prostriedkov a postupov na zber, prenos, spracovávanie, uchovávanie a prezentáciu informácií. • Ochrana informácií musí zabezpečovať • Aby k nim mali prístup iba oprávnené osoby • Aby sa spracovávali nesfalšované informácie • Aby sa dalo zistiť kto informáciu vytvoril, zmenil, odstránil • Aby informácie neboli nekontrolovaným spôsobom zverejnené • Aby informácie boli dostupné vtedy, keď sú potrebné 6

  7. Prečo zabezpečovať informačný systém? • Ide o ochranu investícií • Hardvér je možné zničiť • Teroristi (bomby) • Pomätení zamestnanci (ničenie) • Prepustení zamestnanci (požiar) • Hardvér je možné ukradnúť • Kto by nekúpil lacnú vec • Softvér je možné ukradnúť • Mnohokrát vysoká, ťažko vyčísliteľná hodnota • Konkurent ušetrí náklady na vývoj / zaobstaranie • Porušenie licencie • Neoprávnené používanie softvéru zamestnancom (2. zamestnanie) • Informačný systém je možné používať neoprávnene • Zničenie systému, porušenie systému po krádeži hesla, rozbitie mechanizmu prístupu • Použitie systému autorizovanými zamestnancami k nepracovnej činnosti (osobnej / zárobkovej) 7

  8. Prečo zabezpečovať informačný systém? • Informácia je tovar • Aktíva – údaje je možné ukradnúť • Je nezaujímavé prepadať na prepážkach / uliciach • Vysoká hodnota (niekoľko desiatok miliárd SK) medzibankového transferu denne • Vysoká hodnota on-line transferov priamo z účtu klientov • Výstupy je možné ukradnúť • Krádeže tlačových zostáv, diskiet, CD nosičov • Existujú právne / morálne pravidlá, zákonné úpravy na ochranu údajov • Zákon č. 428/2002 Z. Z. O ochrane osobných údajov • Zákon č. 215/2004 Z. Z. O ochrane utajovaných skutočností • Bankový zákon, Daňový zákon, Zákon o zdravotnom poistení, ... • Údaje je potrebné chrániť pred konkurenciou • Funkciu systému je možné zneprístupniť 8

  9. Informačné aktíva = Spracovávané informácie • Samotné spracované informácie a ich ekonomická, právna hodnota: • výskumné a vývojové práce, projektová dokumentácia, analýzy, … • osobné údaje, • utajované skutočnosti.

  10. Informačné aktíva = Know-how • know-howspracovania informácií: • pracovné postupy, technológie spracovania, špecifické metódy spracovania, centrálne databázy pomocných údajov, systémová dokumentácia, používateľské manuály, zácvikové materiály, prevádzkové, alebo podporné procedúry, plány kontinuity a náhradné postupy, • know-howpersonálu: • personál spracovania informácií, obslužný personál, riadiaci personál. • Komplexnýknow-how firmy použitý pri spracovaní informácií: • výsledky výskumu a vývoja, informácie o obchodných partneroch, odmeňovanie zamestnancov, image, povesť, ekonomické a obchodné tajomstvo: ekonomické a obchodné správy a zhodnotenia,

  11. Informačné aktíva = Fyzické aktíva • HW (servery, PC, periférne zariadenia – tlač., skenery, kopírky, zálohovacie jednotky…) • Nosiče informácií (pevné disky, kompaktné disky, pásky, flash pamäte a pam. karty, pap. dokumenty, …), • Komunikačné a prenosové linky a zariadenia (tel. a tel. linky, faxy, odkazovače, TCP/IP sieťové linky, smerovače, prepínače, FW, antény, komunikátory, modemy, …) • Podporné zariadenia: (napájacie zdroje, klimatizačné jednotky)

  12. Informačné aktíva = Software • SW (systémový, aplikačný, vývojové nástroje a pomocné utility, zdrojové knižnice programov, databázové systémy, …), • Prevádzkové vplyvy komunikačných systémov na sledovaný systém a závislosť systému na nich (internet, intranet, e-mail, tel. a faxové spojenie, rozhlas, televízia, …)

  13. Základné vzťahy medzi bezpečnostnými prvkami Zvyšujú potenciálne bezpečnostné riziká, indikujú požiadavky na ochranu Zvyšujú bezpečnostné riziká Chránia aktíva pred hrozbami využívajúcimi zraniteľné miesta aktív

  14. Aktivity manažmentu v IT bezpečnosti 1. Vývoj Bezpečnostnej politiky IT 2. Identifikácia rolí a zodpovedností - Určenie kto je za čo v organizácii zodpovedný 3. Správa rizík • Identifikácia, zvládnutie, odstránenie alebo minimalizácia nepredvídateľných udalostí, ktoré majú nežiaduci vplyv na aktíva organizácie • Identifikácia a ohodnotenie • Chránených aktív (citlivé údaje a ich klasifikácia) • Zraniteľných miest a s nimi súvisiacich hrozieb (vrátane určenia foriem útokov a typov útočníkov) • Pravdepodobnosti s akými sa útočí a akým rizikám je IS vystavený • Potenciálnych škôd • Rešpektovaných obmedzení (organizačných, finančných, daných prostredím, personálnych, časových, právnych, technických, kultúrno-sociálnych) 4. Výber bezpečnostných opatrení a ich implementácia bezpečnostnými mechanizmami 5. Správa konfigurácií 6. Správa zmenového konania 7. Vypracovanie havarijného plánu 8. Školiace aktivity v oblasti bezpečnosti 9. Prevádzková činnosť – Údržba, Bezpečnostný audit, Monitorovanie, Posudzovanie, Reakcia na incidenty 14

  15. Bezpečnosť IS • Informačný systém, IS • Skúmame bezpečnosť IS bez ďalšej interpretácie • Výskum a vývoj, riadenie burzy, systém riadenia podniku, bankový systém, personálna agenda, systém certifikačnej autority • Hardvér • Procesor, pamäti, terminály, telekomunikácie • Softvér • Aplikačné programy, operačný systém • Údaje • Výsledky, databázy • Ľudia • Personál obsluhujúci IS, používatelia • Aktíva • Hardvér, Softvér, Údaje • Čokoľvek, čo je pre organizáciu cenné (má hodnotu) • Citlivé informácie • Informácie, ktoré sú používané na riadenie chodu organizácie a na plnenie jej poslania, prípadne sú priamo produktom činnosti organizácie • Bez explicitnej definície a ohodnotenia aktív nie je možné implementovať a udržovať žiadny bezpečnostný program 15

  16. Objekt a subjekt v IS • Objekt IS • Pasívna entita, ktorá obsahuje / prijíma informácie, objekt je sprístupňovaný subjektmi IS (udeľovanie prístupových práv subjektom) • Subjekt IS • Aktívna (identifikovateľná) entita • Osoba, proces alebo zariadenie činné na základe príkazu používateľa • Autorizovateľná pre • Získanie informácie z objektu • Vydávanie príkazov ovplyvňujúcich udelenie práv prístupu k objektu • Zmenu stavu objektu 16

  17. Príslušná legislatíva • Obchodný zákonník č.513/1991, • Zákon č. 428/2002 Z.z. o ochrane osobných údajov, ktorý upravuje: -ochranu osobných údajov fyzických osôb pri ich spracúvaní -zásady spracúvania osobných údajov -bezpečnosť osobných údajov a ochranu práv dotkn. Osôb -cezhraničný tok osobných údajov -zriadenie, postavenie a pôsobnosť Úradu na ochranu osobných údajov • Zákon č. 215/2004 Z.z. o utajovaných skutočnostiach,ktorý upravuje: -podmienky na ochranu utajovaných skutočností -práva a povinnosti právnických osôb a fyzických osôb -pôsobnosť Národného bezpečnostného úradu -zodpovednosť za porušenie povinností ustanovených týmto zákonom • Zákon č. 215/2002 Z.z. o elektronickom podpise, • Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám

  18. NORMY ISO 27 000 1. ISO/IEC 27000:2009 - základný prehľad, Je súhrnom definícii pojmov, terminológie a slovníkom pre všetky ostatné normy z danej série 2. ISO/IEC 27001:2006 (predtým známa ako BS 7799-2) - Systém riadenia informačnej bezpečnosti – požiadavky. Je hlavnou normou pre ISMS. Je komplexným systémom riadenia informačnej bezpečnosti od realizácie, udržiavania, a zlepšovania systému 3. ISO/IEC 27002:2005 – Informačné technológie, Bezpečnostné techniky, Praktická príručka/postupy pre riadenie informačnej bezpečnosti 4. ISO/IEC 27005:2008 – Riadenie a analýza bezpečnostných rizík 5. ISO/IEC 27006:2007 - Návod na certifikačný a registračný proces 6. ISO/IEC 27011:2008-určená pre riadenie SMIB v telekomunikáciách 7. ISO/IEC 27799:2008-riadenie požiadaviek a bezpečnosti informácii v zdravotníckych zariadeniach

  19. Zavedenie systému manažérstva podľa normy ISO 27001 • Rozhodnutím manažmentu organizácie o zavádzaní tohto systému • Formulácia a zverejnenie politiky informačnej bezpečnosti organizácie • Definovanie rozsahu pôsobnosti systému manažérstva bezpečnosti • Stanovenie možných rizík a spôsob ich riadenia a kontroly. • Samotná certifikácia

  20. Norma ISO 27001 • Cieľom normy je poskytnúť podporu pre vytvorenie, zavedenie, realizáciu, monitorovanie, udržiavanie a zlepšovanie systému manažérstva bezpečnosti informácií • Je určená k ochrane informácií • SMIB zabezpečuje adekvátnu kontrolu nad citlivými informáciami a tým poskytuje garanciu zainteresovaným stranám ako aj manažmentu organizácie

  21. Informačná bezpečnosť podľa ISO/IEC 27002:2007 • zachovanie dôvernosti, integrity, dostupnosti informácií a • navyše sa môže týkať aj ďalších vlastností -autentičnosť, sledovateľnosť, nemožnosť poprieť zodpovednosť a spoľahlivosť

  22. Dôvernosť • informácie nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám alebo procesom. • Informačné systémy v organizácii pracujú s informáciami, ktoré sú dôverného charakteru. Majú priam existenčnú hodnotu pre danú organizáciu. Poskytujú organizácii konkurenčnú výhodu a podiel na trhu. • Je v záujme organizácie chrániť a dohliadať na to, aby mali k informáciám prístup len oprávnené a autorizované osoby. • základné spôsoby ochrany dôvernosti informácii = riadený prístup k informáciám (určenie stupňa priority ochrany a povolenia prístupu k informácii), kódovanie informácie a zabezpečenie pred možným útokom zvonku.

  23. Integrita • vlastnosť zabezpečujúca presnosť a kompletnosť aktív • Synonymom integrity je celistvosť, nedotknuteľnosť alebo neporušenosť systému. Je to stav, keď je systém nenarušený a nepodľahol nežiaducej zmene. Integrita sa zisťuje pomocou kontrolných súčtov, samoopravnými kódmi, hašovacími funkciami a digitálnym podpisom.

  24. Dostupnosť • schopnosť byť dostupný a použiteľný na požiadanie autorizovanej entity • IS je schopný poskytnúť relevantné informácie v čase, kedy o to autorizovaná osoba, entita alebo proces požiada. • zabezpečuje sa buď archiváciou údajov a zálohovaním, alebo redundanciou zdrojov a systémov (súbežná činnosť viacerých zariadení, kedy v prípade výpadku jedného naskočí druhé)

  25. SRIB v súlade s ISO/IEC 27001 postupnosť krokov: • 1. Analýza stavu SRIB, • 2. Určenie rámca SRIB, • 3. Aktualizácia a dopracovanie dokumentácie SRIB, • 4. Implementovanie procesov SRIB do praxe, • 5. Predcertifikačný audit SRIB, • 6. Certifikačný audit SRIB, • 7. Udržiavanie a zlepšovanie SRIB.

  26. Plánuj Kontroluj Konaj Desatoro SMIB • Definovaťopatrenia/procesy • Prideliťzodpovednosti • Formalizovať postupy • Schváliť vedením organizácie Urob • Vyškoliťzamestnancov • Zaviesťopatrenia • Meraťúčinnosťopatrení • Kontrolovaťzhodu s politikou • Vyhodnocovať incidenty • Vylepšovaťopatrenia

  27. Prečo zaviesť SMIB • Bezpečnosť informácií je zameraná na širokú škálu hrozieb a zabezpečuje : • kontinuitu činností organizácie, • minimalizuje obchodné straty a • maximalizuje návratnosť investícii a podnikateľských príležitostí • Bezpečnosť informácií je možné dosiahnuť implementáciou sústavy opatrení, • vo forme pravidiel, • natrénovaných postupov, • procedúr, organizačnej štruktúry a programových funkcií

  28. Počet udelených certifikátov SMIB vo svete

  29. Prínosy z implementácie SMIB Externé konkurenčné výhody: • Certifikáciou ISMS sa zvyšuje imidž a osobná prestíž organizácie na trhu, u zákazníkov, dodávateľov, odberateľov a širokej verejnosti, čo prospieva jej dlhodobej stabilite a prosperite, • ISMS poskytuje zrýchľovanie rastu konkurenčnej schopnosti organizácie, • ISMS napomáha odstráneniu prístupových bariér ku svetovým aj domácim trhom

  30. Prínosy z implementácie SMIB Interné organizačné výhody: • Zvýšenie produktivity činnosti pozitívnou efektivitou motivácie, vzdelanosti, monitoringu, kontroly a sankcií • Zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov, čím sa redukujú náklady na chyby • Optimalizácia a zefektívnenie plánovania investícií do IS a IT • Objektívnejšie vyhodnocovanie a ochrana firemného know-how

  31. Ako sa pripraviť na implementáciu SMIB • prečo chce či musí SMIB zaviesť • akých oblastí činností organizácie sa bude SMIB týkať • v akom rozsahu bude zavedený – (celá organizácia - všetky činnosti, alebo len niektoré významné činnosti - napr. obchod, výroba, servis, apod.) • „rozdelenie právomocí“ jednotlivým zamestnancom • akým spôsobom chce organizácia SMIB zaviesť

  32. Systém manažérstva sociálnej zodpovednostiSA 8000

  33. Čo je SA 8000? • Kto je SAI? • Je SA8000 aplikovateľná na všetky odvetvia? • SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE • SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE NA SLOVENSKU

  34. Čo je SA 8000? • Prvá auditovateľná norma v tejto oblasti • Je kompatibilná so štruktúrou : • ISO 9001 • ISO 14001 • OHSAS 18001 • Je založená na dohovoroch : • Medzinárodnej organizácie práce (ILO) • Všeobecnej deklarácií ľudských práv • Dohovore OSN o právach dieťaťa

  35. Kto je SAI? • “Social Accountability International” • mimovládna medzinárodná odborná organizácia venovaná zlepšovaniu pracovísk a komunít vyvíjaním a implementovaním štandardov sociálnej zodpovednosti • SAI zhromažďuje: • kľúčových odborníkov pre vývoj štandardov, • akredituje audítorov, • vykonáva školenia a technickú asistenciu, a • asistuje organizáciám pri zlepšovaní sociálnej zhody v ich dodávateľských reťazcoch

  36. Spoločensky zodpovedné podnikanie • „schopnosť firmyusilovať sa o neustále rozmnožovanie bohatstva v súlade so životným prostredím a  spoločnosťou.“ • smerovanie k etickým princípom, ktoré by firmy mali dodržiavať v podnikaní • R. H. Bowen - prvý teoretik spoločensky zodpovedného podnikania • 1971 - Spoločenské zodpovednosti obchodných korporácií...definovaný trojstupňový model SZP

  37. Trojstupňový model SZP

  38. Prienik 3 kruhov ...možnosť podniku existovať a fungovať v súlade s prostredím, kde pôsobí

  39. Charakteristiky SZP • Univerzálnosť • Dobrovoľnosť • Aktívna spolupráca so zainteresovanými subjektmi (stakeholders) • Záväzok prispievať k rozvoju kvality života • Zdôrazňujú rozvoj, nie iba rast • Pomenúvajú tri oblasti, v ktorých sa zodpovedné podnikanie konkrétne prejavuje: • Ekonomické prostredie (etický kódex, ochrana duševného vlastníctva, reklama) • Sociálna oblasť (BOZP, firemná filantopia, boj proti korupcii) • Environmentálna oblasť(recyklácia, ekodizajn..)

  40. Globalizácia a jej dôsledky • je jednou z najdôležitejších príčin vzrastu významu spoločenskej zodpovednosti v podnikaní • Pokles významu hraníc medzi štátmi a zjednodušenie prepravy a komunikácie spôsobujú, že vzniká nový medzinárodný trh s investičnými podmienkami • Zjednodušený prístup k množstvu informácií, ktoré majú spotrebitelia k dispozícii v reálnom čase

  41. Globalizácia • Dlhodobo rastúci záujem o dodržiavanie ľudských práv • Zmena štruktúry ekonomiky

  42. Medzinárodná norma ISO 26 000:2010Návod na spoločenskú zodpovednosť • Návod na podstatné princípy spoločenskej zodpovednosti • Zahŕňa hlavné oblasti a problémy týkajúce sa spoločenskej zodpovednosti • Dá sa aplikovať na všetky typy organizácií • Nie je určená na použitie vo vládnych organizáciách pri uplatňovaní ich výkonnej, legislatívnej a právnej moci

  43. Spoločensky zodpovedné podnikanie na Slovensku • 90- te roky 20.storočia • Využitie vo firmách so zahraničnou účasťou • Novelizácia Zákona o dani s príjmu (561/2001) - slovenskí daňoví poplatníci mohli venovať neziskovým organizáciám 1% z dane z príjmu (v súčasnosti 2%) • Na Slovensku sa chápanie SZP často obmedzuje na filantropiu a charitu

  44. Formy filantropie • Priama podpora • Dobročinný, zdieľaný marketing • Charitatívne aukcie a výstavy • Firemná nadácia/firemný nadačný fond • Nepeňažné darcovstvo • Účasť v správnych radách a grantových komisiách neziskových organizácií • Strategické darcovstvo

More Related