informa n bezpe nos l.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
INFORMAČNÁ BEZPEČNOSŤ PowerPoint Presentation
Download Presentation
INFORMAČNÁ BEZPEČNOSŤ

Loading in 2 Seconds...

play fullscreen
1 / 28

INFORMAČNÁ BEZPEČNOSŤ - PowerPoint PPT Presentation


  • 217 Views
  • Uploaded on

INFORMAČNÁ BEZPEČNOSŤ. RNDr. Eva KOSTRECOVÁ, PhD . INFORMAČNÉ POKYNY. Začiatok zimného semestra 22.9.2008 Predloženie 1. seminárnej práce 21.10.2008 Téma 1. seminárnej práce „Popis 1 bezpečnostného mechanizmu a návrh Internej smernice s pokynmi o jeho používaní“

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'INFORMAČNÁ BEZPEČNOSŤ' - talitha


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
informa n bezpe nos

INFORMAČNÁ BEZPEČNOSŤ

RNDr. Eva KOSTRECOVÁ, PhD.

informa n pokyny
INFORMAČNÉ POKYNY

Začiatok zimného semestra 22.9.2008

Predloženie 1. seminárnej práce 21.10.2008

Téma 1. seminárnej práce

„Popis 1 bezpečnostného mechanizmu a návrh Internej smernice s pokynmi o jeho používaní“

Rozsah 1. seminárnej práce min. 2 strany

Hodnotenie 1. seminárnej práce max. 15 bodov

Kontrolný test 11.11.2008

Počet zatvorených otázok (1-3 alternatívy) 20

Bodové hodnotenie za 1 zatvorenú otázku 1 bod

Počet otvorených otázok 2

Bodové hodnotenie za 1 otvorenú otázku 2,5 boda

Maximálny počet bodov za test 25

informa n pokyny3
INFORMAČNÉ POKYNY

Predloženie prvej časti 2. seminárnej práce 18.11.2008

Téma 2. seminárnej práce

„Analýza a riadenie rizík“

Rozsah 2. seminárnej práce min. 5 strán

Predloženie celej 2. seminárnej práce 9.12.2008

Hodnotenie 2. seminárnej práce max. 25 bodov

Skúška (formou testu) 16.12.2008, 8:00 – 9:30

Počet zatvorených otázok (1 – 3 alternatívy) 20

Bodové hodnotenie za 1 zatvorenú otázku 1 bod

Počet otvorených otázok 6

Bodové hodnotenie za 1 otvorenú otázku 2,5 boda

Maximálny počet bodov za test 35

Maximálny počet bodov za predmet za semester 100

pr klad bezpe nostn ho mechanizmu
PRÍKLAD BEZPEČNOSTNÉHO MECHANIZMU

Autentizácia heslom

Použitie mechanizmu:

Proces autentizácie používateľov pri vstupe do informačného systému, kde to citlivosť procesu a úroveň režimových opatrení umožňuje, bude založený na princípe identifikácie a poznania hesla.

Minimálne požiadavky na bezpečnostný mechanizmus:

  • znalosť hesla výlučne používateľom,
  • možnosť používať v hesle alfanumerické a špeciálne znaky,
  • možnosť vynútenej zmeny hesla po stanovenej časovej perióde,
  • možnosť nastavenia počtu nesprávnych zadaní hesla s následným zablokovaním prístupu, alebo časovým oneskorením ďalšieho prihlásenia,
  • vynútená zmena hesla po prvom prihlásení,
  • možnosť voliteľnej zmeny hesla,
  • nezobrazovanie hesla v čitateľnej podobe,
  • prenos a ukladanie hesiel len v chránenej (šifrovanej) podobe,
  • ukladanie hesiel v systéme výlučne v tvare hash kódu, ktorý bude použitý na porovnanie správnosti zadaného hesla,
  • možnosť zamedzenia viacnásobného opakovania (použitia tých istých ) hesiel po sebe,
  • možnosť automatickej kontroly dodržiavania pravidiel konštrukcie hesiel,
  • povinnosť po zadaní hesla potvrdiť správnosť zadania (napríklad klávesou Enter),
informa n bezpe nos5
INFORMAČNÁ BEZPEČNOSŤ

Odporúčaná literatúra:

  • Britský štandard BS 7799
  • ISO/IEC 17799:1,2,
  • ISO/IEC 27001
  • B. Scheier: Appleid Cryptography. J.Wiley and Sons, Inc., 1996
informa n bezpe nos6
INFORMAČNÁ BEZPEČNOSŤ

Obsah prednášky:

  • Pojem informačnej bezpečnosti
  • Legislatívne normy z oblasti informačnej bezpečnosti
  • Štandardy platné v oblasti informačnej bezpečnosti
slide7
ÚVOD

Ochrana údajov v informačných systémoch, bezpečnosť manipulácie s nimi a bezpečnosť informačných sietí sa stáva čím ďalej, tým dôležitejšou súčasťou celkových bezpečnostných stratégií firiem a spoločností. O význame, ktorý je informačnej bezpečnosti prisudzovaný, svedčí aj stále rastúci záujem spoločností o koncipovanie, presadzovanie a implementáciu bezpečnostnej politiky. Informácie, ktoré predstavujú aktíva spoločnosti, sú vystavené širokej škále hrozieb.

Ochrana informácií v papierovej forme má dlhšiu históriu a prepracovanosť pravidiel a nástrojov pre zabezpečenie ich fyzickej bezpečnosti je na dosť vysokej úrovni. Horšia situácia je v oblasti elektronických dát. Mnoho informačných systémov bolo navrhovaných len so zreteľom na fyzickú bezpečnosť, ktorú možno dosiahnuť technickými prostriedkami. Tá je však obmedzená a nepokrýva všetky riziká, ktoré môžu nastať pri spracovaní, prenosoch a manipulácii s dátami v elektronickej forme. Fyzická bezpečnosť musí byť v tejto oblasti podporovaná riadením informačnej bezpečnosti, bezpečnostnými procedúrami a vhodnými mechanizmami, ktoré by pokryli prierezovo väčšinu potenciálnych identifikovaných hrozieb a všetky organizačné časti spoločnosti.

o je to inform cia
ČO JE TO INFORMÁCIA ?

Informácia je súbor nových poznatkov o určitej udalosti, objekte, procese. Informácia prináša pre príjemcu určitú novotu, informuje ho o skutočnosti, udalosti alebo jave očakávanom s určitou pravdepodobnosťou, ale nie s istotou. Má teda náhodný charakter.

Príklad informácie: Zajtra bude pršať.

Dáta alebo údaje označujú jednotlivé fakty alebo informácie, ktoré sú abstrakciou určitej reality a majú vlastnosti a charakteristiky reálnych objektov. Niektoré z týchto vlastností sú pri riešení problému vedľajšie a bezvýznamné, a preto sa zanedbávajú. Takáto abstrakcia predstavuje zjednodušenie skutočnosti.

Príklad údajov: Včera napršalo v Bratislave 10 cm vody na 1 m2 za 20 minút.

o je informa n bezpe nos
ČO JE INFORMAČNÁ BEZPEČNOSŤ ?

Informačná bezpečnosť je charakterizovaná ako uchovanie:

  • dôvernosti: zabezpečuje, že informácie sú dostupné len tým, ktorí majú k nim autorizovaný prístup;
  • integrity: zaisťuje presnosť a úplnosť informácií a metód spracovania;
  • dostupnosti: zabezpečuje, aby autorizovaní používatelia mali prístup k informáciám a súvisiacim aktívam vtedy, keď to potrebujú.
pre o informa n bezpe nos
PREČO INFORMAČNÁ BEZPEČNOSŤ ?

Informácie a podporné procesy, systémy a siete sú dôležitými obchodnými aktívami. Dôvernosť, integrita a dostupnosť informácií môžu byť kľúčové pre udržanie konkurenčných výhod, finančných tokov, ziskovosti, obchodného imidžu a pre dodržiavanie zákonov.

Stále viac musia organizácie a ich informačné systémy a siete čeliť bezpečnostným hrozbám zo širokej škály zdrojov, vrátane počítačových podvodov, špionáží, sabotáží, vandalizmu, požiarov alebo záplav. Zdroje škôd ako počítačové vírusy, počítačové hackerstvo a útoky s odoprením služieb, sa stali bežnejšími, cieľavedomejšími a stále viac premyslenými.

Mnoho informačných systémov nebolo navrhnutých so zreteľom na bezpečnosť. Bezpečnosť, ktorú možno dosiahnuť technickými prostriedkami, je obmedzená a mala by byť podporovaná vhodným riadením a procedúrami. Riadenie informačnej bezpečnosti si vyžaduje účasť všetkých zamestnancov organizácie, ale taktiež môže vyžadovať účasť dodávateľov, zákazníkov alebo akcionárov.

z kon 428 2002 z z o ochrane osobn ch dajov v informa n ch syst moch
Zákon č. 428/2002 Z. z. o ochrane osobných údajov v informačných systémoch

Cieľom zákona je:

  • chrániť základné práva a slobody fyzických osôb pri spracúvaní ich osobných údajov,
  • ustanoviť práva a povinnosti fyzických osôb pri poskytovaní osobných údajov do informačného systému a práva, povinnosti a zodpovednosť právnických osôb a fyzických osôb, ktoré sa zúčastňujú na spracúvaní osobných údajov,
  • ustanoviť práva a povinnosti prevádzkovateľov informačného systému, sprostredkovateľov a dotknutých osôb pri poskytovaní osobných údajov z informačného systému,
  • upraviť postavenie a pôsobnosť orgánu štátneho dozoru nad ochranou osobných údajov v informačných systémoch,
  • ustanoviť sankcie za porušenie zákona.
z kon 428 2002 z z o ochrane osobn ch dajov v informa n ch syst moch13
Zákon č. 428/2002 Z. z. o ochrane osobných údajov v informačných systémoch

Zákon stanovuje pojem osobné údaje:

„Osobnými údajmi sa pre účely tohto zákona rozumejú údaje týkajúce sa určitej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe identifikačného čísla alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“

z kon 215 2004 z z o ochrane utajovan ch skuto nost a o zmene a doplnen niektor ch z konov
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov

Cieľom zákona je:

  • špecifikovať tie organizácie a útvary, ktoré sú zodpovedné za ochranu údajov, ich neautorizované odhalenie a stratu, čím by mohla vzniknúť škoda Slovenskej republike.
  • určiť zodpovednosť a stanoviť sankcie, ktoré môžu byť použité v prípade porušenia zákona.
z kon 215 2004 z z o ochrane utajovan ch skuto nost a o zmene a doplnen niektor ch z konov15
Zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov

Zákon vymedzuje pojmy:

  • štátneho tajomstva,
  • služobného tajomstva,
  • šifrovej ochrany informácií.

Klasifikuje 4 stupne utajenia:

  • prísne tajné,
  • tajné,
  • dôverné,
  • vyhradené.
z kon 300 2005 z z trestn z kon
Zákon č. 300/2005 Z. z. Trestný zákon

Cieľom zákona je:

Zákon poskytuje prostriedky na trestný postih činov súvisiacich s prevádzkou informačného systému a jeho aktív.

z kon 300 2005 z z trestn z kon17
Zákon č. 300/2005 Z. z. Trestný zákon

Trestné právo poskytuje sankcie proti zámernému poškodeniu a ukradnutiu prvkov, alebo zariadení informačného systému. Možno ich rozdeliť na štyri skupiny:

  • trestné činy zamerané na ochranu duševného vlastníctva, súťažného prostredia, ochranných známok a proti nekalej súťaži sú postihnuteľné trestnými sankciami – prepadnutím veci, peňažným trestom alebo odňatím slobody až na 5 rokov,
  • trestné činy zamerané na všeobecnú ochranu osobnosti sú postihnuteľné trestnými sankciami - zákazom činnosti, peňažným trestom alebo odňatím slobody až na 2 roky,
  • trestné činy zamerané vyslovene proti počítačovej kriminalite a počítačovému pirátstvu sú postihnuteľné trestnými sankciami - zákazom činnosti, peňažným trestom, prepadnutím veci a odňatím slobody až do 5 rokov,
  • trestné činy všeobecnejšej povahy, ktoré však môžu mať vzťah aj k danej oblasti (ohrozenie štátneho tajomstva, hospodárskeho tajomstva, podvod, porušovanie tajomstva prepravovaných správ, a pod.).
z kon 618 2003 z z o autorskom pr ve a pr vach s visiacich s autorsk m pr vom autorsk z kon
Zákon č. 618/2003 Z. z. o autorskom práve a právach súvisiacich s autorským právom (autorský zákon)

Cieľom zákona je:

Zákon upravuje vzťahy vznikajúce v súvislosti s vytvorením, použitím a šírením literárnych, vedeckých a umeleckých diel tak, aby boli chránené práva a oprávnené záujmy autorov diel vrátane autorov počítačových programov a báz dát, výkonných umelcov, výrobcov zvukových záznamov, výrobcov zvukovo-obrazových záznamov, rozhlasových vysielateľov a televíznych vysielateľov.

slide19
Smernica 95/46/ES Európskeho parlamentu a Rady - O ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov

Cieľom smernice je:

V súlade s touto smernicou členské štáty chránia základné práva a slobody fyzických osôb, a najmä ich právo na súkromie v súvislosti so spracovaním osobných údajov. Členské štáty neobmedzujú, ani nebránia voľnému toku údajov medzi členskými štátmi z dôvodov spojených s ich ochranou.

slide20
Smernica 2002/58/ES Európskeho parlamentu a Rady - O spracovaní osobných údajov a ochrane súkromia v elektronickej komunikácii

Cieľom smernice je:

Touto smernicou sa harmonizujú predpisy členských štátov požadované pre zabezpečenie rovnocennej úrovne ochrany základných práv a slobôd, najmä práva na súkromie, so zreteľom na spracovanie osobných údajov v odvetví elektronických komunikácií, a pre zabezpečenie voľného pohybu týchto údajov a elektronických komunikačných zariadení a služieb.

tandard iso 17799
ŠTANDARD: ISO 17799

Cieľ:

Tento štandard je množinou najlepších postupov (best practicies), ktorými sú eliminované riziká pôsobiace na informačný systém.

„ISO 17799: Part 1:1995 Code of Practice for Information Security Management“ je súhrn najlepších bezpečnostných postupov určených na vytvorenie a implementáciu vlastného bezpečnostného systému.

Špecifikuje viac ako 100 bezpečnostných opatrení rozdelených do 10 sekcií:

  • Bezpečnostná politika
  • Organizácia bezpečnosti
  • Klasifikácia a riadenie aktív
  • Personálna bezpečnosť
  • Fyzická bezpečnosť a bezpečnosť prostredia
  • Správa počítačov a sietí
  • Systém riadenia prístupu
  • Vývoj a údržba systémov
  • Plány kontinuity činností (havarijné plány)
  • Zabezpečenie súladu
tandard iso 1779923
ŠTANDARD: ISO 17799

„ISO 17799 : Part 2:1998 Specifications for Information Security Management“ predstavuje špecifikáciu krokov ako hodnotiť bezpečnostný systém a je základom formálneho hodnotenia bezpečnostného systému.

Táto časť je rozdelená do troch sekcií. Prvá sekcia obsahuje výklad pojmov. V druhej sekcii sú stanovené požiadavky projektovania a prevádzky bezpečnostného systému. V tretej sekcii je uvedený zoznam aplikovateľných bezpečnostných opatrení.

tandard iso iec tr 13 335
ŠTANDARD: ISO/IEC TR 13 335

Cieľom tohto ISO technického šrandardu je poskytnúť organizáciám a manažmentom návod ako pristupovať k tvorbe a realizácii bezpečnosti informačných systémov.

tandard trusted computer evaluation criteria tcsec
ŠTANDARD: Trusted Computer Evaluation Criteria (TCSEC)

Cieľ

Predstavuje kritériá hodnotenia zabezpečených počítačových systémov, ktoré umožnia používateľom a hodnotiteľom informačných systémov jednotne ohodnotiť stupeň ochrany. Štandard definuje množinu kritérií pre tvorbu a hodnotenie systémov, ktoré poskytujú špecifické sady bezpečnostných funkcií.

tandard international trusted evaluation criteria itsec
ŠTANDARD: International Trusted Evaluation Criteria (ITSEC)

Cieľ

Harmonizované kritériá vypracované v spolupráci krajín EÚ umožnia používateľom a hodnotiteľom informačných systémov postupovať jednotne pri hodnotení stupňa ochrany systémov IT a produktov IT. Ich zámerom je doplniť štandard TCSEC.

Štandard určuje kritériá, ktoré je možné aplikovať na jednotlivé produkty alebo na celé informačné systémy. Bezpečnostné opatrenia v nich môžu byť implementované hardvérovými, softvérovými aj firmvérovými prostriedkami.

tandard iso iec 15408 common criteria for information technology security evaluation
ŠTANDARD ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation.

Cieľ

Common Criteria predstavujú výsledok medzinárodnej snahy zlúčiť existujúce európske (ITSEC) a americké (TCSEC) štandardy a kritériá hodnotenia aktív a ich zaradenia do tried bezpečnosti a použiť ich pri hodnotení produktov a informačných systémov štandardnou cestou celosvetovo.

porovnanie tandardov
Porovnanie štandardov

Štandard TCSEC:

Informačné systémy sú hodnotené ako jeden celok, nehodnotia sa jeho jednotlivé komponenty. Systémy sú zaraďované do 4 základných tried bezpečnosti, a to A, B, C, D, ktoré sa ešte delia na 7 podtried: A, B1, B2, B3, C1, C2, D, pričom trieda A predstavuje najvyššiu úroveň požadovanej bezpečnosti.

Štandard ITSEC:

Hodnotené sú celé informačné systémy, ale aj jednotlivé produkty. Štandard definuje 7 tried miery ručenia bezpečnosti E0, E1, E2, E3, E4, E5, E6, pričom trieda E0 predstavuje najnižšiu úroveň bezpečnosti.

Štandard Common Criteria:

Hodnotený je produkt informačného systému, samotný systém alebo jeho časť. Objekty hodnotenia sú zaraďované do 8 kvalitatívnych úrovní EAL0 – EAL7, pričom úroveň EAL0 predstavuje najnižšiu úroveň bezpečnosti.