1 / 35

OSNOVE BEZBEDNOSTI I ZAŠTITE IKT SISTEMA

OSNOVE BEZBEDNOSTI I ZAŠTITE IKT SISTEMA. Tema 1 : BEZBEDNOST I ZAŠTITA INFORMACIONIH SISTEMA. METODOLOŠKO – TEHNOLOŠKE OSNOVE. Ciljevi. Razumeti : Značaj terminologije sigurnosti/bezbednosti i zaštite Semantičko značenje “ bezbednosti ” i “ zaštite ”

whilemina-dejesus
Download Presentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IKT SISTEMA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IKT SISTEMA Tema 1: BEZBEDNOST I ZAŠTITA INFORMACIONIH SISTEMA METODOLOŠKO – TEHNOLOŠKE OSNOVE UNIVERZITET SINERGIJA, BIJELJINA

  2. Ciljevi Razumeti: Značaj terminologije sigurnosti/bezbednosti i zaštite Semantičko značenje “bezbednosti” i “zaštite” Funkcionalnu zavisnost bezbednosti i zaštite Ključne faktore bezbednosnog stanja IKT sistema Pojam zaštite Okvir i sistem zaštite IS kao objekat zaštite Opšti funkcionalni model sistema zaštite Optimalni sistem zaštite UNIVERZITET SINERGIJA, BIJELJINA

  3. Terminologija zaštite-Koncept- 1. Naučiti osnovnu terminologiju zaštite (semantičko značenje=smanjiti kompleksnost) 2. Definisati ključne termine semantičko značenje u kontekstu b/z u toku svake teme (ne naknadno) 3. Ključni termini u ovoj temi bezbednost/sigurnost IKT sistema (IS, IKTS) zaštita IKT sistema sistem zaštite informacija/IS UNIVERZITET SINERGIJA, BIJELJINA

  4. Ključni termini 1.Zaštita: • Stanje komplementarno pojmu bezbednost; označava meru održavanja nivoa bezbednosti objekta zaštite na definisanom nivou (rizika) • Bezbedan sistem ≡ zaštićen (obezbeđen, osiguran) sistem od uticaja faktora pretnji 2. Sistem zaštite: • Realni skup hw-sw komponenti, mera ili ograničenja i njihovih međusobnih veza, primenjen na IS za održavanje raspoloživosti, poverljivosti i integriteta p/i (programa, servisa, aplikacija i IS) na zahtevanom nivou bezbednosti IS

  5. Filozofija zaštite IS identifikacija bezbednosnog stanja IKT sistema (revizija) Izlaz = ocena nivoa bezbednosti (n/b) 2. procena rizika (analiza ranjivosti) Izlaz = odobrenprihvatljivi nivo rizika (SOA) 3. projektovanje, implementacija i integracija sistema zaštite Izlaz= implementiran i funkcionalno operativan sistem zaštite 4. nadzor, revizija i održavanje sistema zaštite Izlaz = održavanje n/b na prihvatljivom nivou rizika u svim fazama životnog ciklusa sistema UNIVERZITET SINERGIJA, BIJELJINA

  6. Bezbednost/sigurnost IS(eng.security, rus. безопасность,nem.sicherheit) 1. Bezbednosno stanje IKT sistema: objektivna mera/ocena stanja rizika IKT sistema stanje sigurnog, pouzdanog i neometanog funkcionisanja sistema u odnosu na samog sebe ili okruženje, IKT sistem se smatra bezbednim, ako je obezbeđen-zaštićen od uticaja faktora pretnji (rizika). 2. Sigurnost IKT sistema: sinonim bezbednosti, mera subjektivnog osećaja/ubeđenja da je sistem bezbedan 3. Nivo bezbednosti: meraili ocenastanja bezbednosti IKT sistema UNIVERZITET SINERGIJA, BIJELJINA

  7. Promena stanja bezbednosti Proces promene stanja bezbednosti Pretnje Pretnje UNIVERZITET SINERGIJA, BIJELJINA

  8. Bezbednost IS -funkcija komponenti bezbednosti- UNIVERZITET SINERGIJA, BIJELJINA

  9. Bezbednost IS -funkcija komponenti bezbednosti- n Bu = ∑ kj ∙ Bj, j=1 j= 1....n – komponente bezbednosti kj = k1 .... kn - težinski faktori komponenti bezbednosti UNIVERZITET SINERGIJA, BIJELJINA

  10. Bezbednost IS -funkcija faktora rizika- UNIVERZITET SINERGIJA, BIJELJINA

  11. Bezbednost IS -funkcija faktora rizika- n Bu= ∑ kj (Bj/Ri), j=1 j= 1....n – komponente bezbednosti kj = k1 .... kn - težinski faktori uticaja faktora rizika, odgovarajućih komponenti bezbednost Ri = procenjeni, stohastički faktori rizika komponenti bezbednosti i= 1... n. UNIVERZITET SINERGIJA, BIJELJINA

  12. Faktori bezbednosnog stanja savremenih IS Uticaj funkcionalnih zahteva IKT sistema Uticaj organizacione strukture Uticaj razvoja tehnologije Uticaj ograničenog značaja politike zaštite Uticaj obuke i razvoja svesti o potrebi zaštite Faktori uticaja na praksu zaštite IKT sistema UNIVERZITET SINERGIJA, BIJELJINA

  13. Uticaj funkcionalnih zahteva poslovnih IS (PIS) Upravljanje/odlučivanje –presudno za PIS Automatizacija (IS) rada - skraćuje odlučivanje Kvalitetna informacija - kritična za odlučivanje, najznačajniji resurs, kritičan objekat zaštite 4. Kvalitet informacija: poverljivost, integritet i raspoloživost 5. Kvalitet IS čine: hardver, softver, bezbednost 6. Bezbednost (Z) - kompatibilna sa dinamikom e-poslovanja (vrednost informacija funkcija vremena, upravljanje rizikom, ravnomerno taktičke i strategijske planove zaštite) UNIVERZITET SINERGIJA, BIJELJINA

  14. Uticaj organizacione strukture 1.Problem: Česte promene organizacione strukture utiču na: obezbeđivanje specijalista zaštite obezbeđivanje poslovnih menadžera (odluke i odgovornosti) 2. Rešenje: Kombinovana primena upravljačkih i organizacionih kontrola zaštite UNIVERZITET SINERGIJA, BIJELJINA

  15. Uticaj razvoja tehnologije 1. Trend razvoja IKT-e - razvoj programa za: upravljanje integrisanim sistemima i procesima automatizaciju administrativnih poslova (IS, e-Uprave) veća ulaganja u IS (neposredno povećavaju vrednost) 2. Trend razvoja tehnologija zaštite - sledi ž/c IKT zaštita - pri kraju ž/c IS (Firewalls, AVP,...) admin. poslove zaštite - nemoguće automatizovati: um adekvatnije reaguje na dinamički promenljive pretnje (DPP) od ekspertskog sistema uloga čoveka u zaštiti - nezamenljiv i kritičan faktor UNIVERZITET SINERGIJA, BIJELJINA

  16. Uticaj politike zaštite Brz razvoj IKT utiče i na razvoj alata zaštite Procesi zaštite nisu dovoljno razvijeni: odluke na bazi predefinisanih politika zaštite, a ne procene rizika upravljanje zaštitom na bazi statičkih upravljačkih okvira pristup dobar za strategijske odluke, ne i taktičke 3. Dinamički promenljive pretnje, zahtevaju: razvoj scenarija pretnji proaktivnipristupibrzo reagovanje obezbeđenje realnijeg upravljačkog okvira zaštite usmeravanje procesa zaštite na poslovne zahteve i operativni rizik UNIVERZITET SINERGIJA, BIJELJINA

  17. Uticaj obuke i razvoja svesti o potrebi zaštite 1. Problemi: Složenost IKT i tehnologija zaštite zahtevaju aktuelna znanja Generalno nedostatak svesti o potrebi zaštite, znanja i veština: menadžera o potrebi upravljanja rizikom korisnika o potrebi kontrole zaštite i posledica uticaja rizika 2. Potreba: uvođenje procesa za upravljanje operativnim rizikom uvođenje regularnih programa obuke i razvoja svesti izbeći forsiranje primene tehničkih rešenja zaštite obezbediti razumevanje realnog rizika UNIVERZITET SINERGIJA, BIJELJINA

  18. Faktori uticaja na praksu zaštite IS 1.Kompleksnost IS glavni problem: ranjivosti u skrivenim funkcijama IS ozbiljna prepreka za koherentan sistem zaštite 2. Zahtev za skalabilnost raste sa: porastom kompleksnosti, distribuiranosti i umrežavanja IS 3. Poverljivost i privatnost dramatično rastu sa: povećavanjem broja umreženih aplikacija primenom Internet tehnologija i web servisa zahtevima za jaku autentifikaciju korisnika u e- poslovanju zahtevom za standard poverenja na Internetu (PKI) UNIVERZITET SINERGIJA, BIJELJINA

  19. SISTEM ZAŠTITE Organizovan i koherentan skup U, O i T kontrola zaštite i njihovih veza i ograničenja, primenjenih na IKTS, da bi se zaštitila: raspoloživost, poverljivosti, i integritet (uključujući neporecivost izvršenih aktivnosti i autentifikaciju korisnika ) procesiranih, skladištenih i prenošenih p/i, a time održao/povećao: željeni nivo bezbednosti IKTS, obezbedilo namenjeno funkcionisanje IKTS i izvršavanje poslovnih ciljeva i misije organizacije koju IKTS podržava. 17.11.2014. Univerzitet SINERGIJA, Bijeljina 19

  20. SISTEM ZAŠTITE- Funkcionalni model- 1. Upravljačkiokvir: • politike zaštite • upravljanja rizikom 2. Servisi zaštite: • Mehanizmi i protokoli zaštite • Kontrole zaštite 17.11.2014. Univerzitet SINERGIJA, Bijeljina 20

  21. Upravljačkiokvir Obezbeđuje: upravljanje sistemom zaštite kontrolu mehanizama i protokola zaštite 2. Obuhvata: U, OO i T kontrole zaštite 3. Kontrola zaštite: tipično neka Bf arhitekture sistema zaštite interfejs mehanizma zaštite i korisnika uključuje: el. signale unutar nekog tehničkog sistema (IDPS) org.operativne mere i aktivnosti (personalna, fizička itd.) upravljačke aktivnost (zakone, standarde, politike,..) 17.11.2014. Univerzitet SINERGIJA, Bijeljina 21

  22. Servis zaštite rezultat procesa izvršavanja Bf (kontrola) zaštite koji ima jedinstven cilj neprekidna aktivnost (nadzor) zaštite koja ima jedinstven cilj izvršava se izvršavanjem skupa mehanizama i protokola i drugih kontrola zaštite 17.11.2014. Univerzitet SINERGIJA, Bijeljina 22

  23. Mehanizmi i protokoli zaštite pojedinačni algoritmi i metodi, ili hw-sw moduli za izvršavanje Bf eliminišu bezbednosne probleme u IKT sistemu u logičkom smislu – sredstva za realizaciju servisa zaštite izražavaju se terminom – kontrole zaštite: upravljačke, organizaciono-operativne, tehničke 17.11.2014. Univerzitet SINERGIJA, Bijeljina 23

  24. IKT sistem kao objekat zaštite 1. U struktuiranom objektnom pristupu treba razmatrati opštu namenu IS, funkcionalne karakteristike i kvalitet informacija 2.Sa aspekta SZ treba razmatrati zaštitu objekata IS, procesa, procedura, sist. i aplik. programa, kanala veze, zaštitu od KEMZ itd. 3. Sa aspektakvaliteta informacija, u SZ dovoljno je razmatrati zaštitu raspoloživosti, integriteta i poverljivosti inf. 17.11.2014. Univerzitet SINERGIJA, Bijeljina 24

  25. Savremeni PIS 1. Osnovne karakteristike: OSI referentnog modela visoko-distribuiran višeslojne (3-, 4- slojne) arhitekture visoko umrežen/Internet tipa (intranet, ekstranet) računarski sistem (RS) - osnovna tehnička komponenta PIS 2. Sa aspekta zaštite osnovni zahtev: smanjenje kompleksnosti primenom sistem-inženjerske dekompozicije strukture (SA) i primena objektno-orijentisanog modela i procesnog pristupa u svim fazama razvoja ž/c IS i (pod)sistema zaštite 17.11.2014. Univerzitet SINERGIJA, Bijeljina 25

  26. Objektno orijentisani (OOM) pristup 1. Smanjuje kompleksnost (IS/SZ) uvođenjem: a.grana informacionih objekata (struktuira cilj zaštite): rapoloživost, integritet i poverljivost inform. b. grana objekata za zaštitu: (struktuira sredstva zaštite): upravljačke kontrole zaštite (normativi, standardi, regulative) organizaciono-operativne kontrole (proceduralne mere-politike, nadzor, kontrola i aktivnosti koje izvršavaj ljudi) tehničke kontrole (hardversko-softverski alati ili mehanizmi i protokoli koje izvršavaju tehnički sistemi) 17.11.2014. Univerzitet SINERGIJA, Bijeljina 26

  27. Osnovni zahtevi za (pod)sistem zaštite 1. Sprečavanje: ugrožavanja bezbednosti lica, organizacija i države; krađe, pronevere, gubitaka, izmene informacija; neovlašćenih aktivnosti u RS i RM; povreda intelektualne svojine, povreda privatnosti i poverljivosti ličnih podataka i poslovnih tajni; raznih zloupotreba RS/RM 2. Obezbeđivanje: kvalitetnog upravljanja zaštitom 17.11.2014. Univerzitet SINERGIJA, Bijeljina 27

  28. Opšti modeli sistem zaštite (SZ) SZ štiti informacionu imovinu (ISO/IEC 27001) od: Pretnji: potencijalni slučajni i namerni agenti-faktori rizika koji mogu izazvati štetu za IOZ (maliciozni kodovi, greške, bagovi hw-sw, ljudske aktivnosti, vanredni događaji…) Realizovana pretnja =napad: incident, bezbednosni događaju kojem pretnja koristi ranjivost sistema Kontrole zaštite (U, O/O, T) instaliraju vlasnici da: implementiraju zahteve politika zaštite vlasnika/menadžera, koji nastoje minimizirati rizik svim sredstvima redukuju uticaj pretnji na ranjivosti IKTS i štite IKTS na nivou preostalog prihvatljivog rizika (Rpp) smanjuju preostali rizik u neprekidnom (cikličnom) procesu zaštite 17.11.2014. Univerzitet SINERGIJA, Bijeljina 28

  29. GENERIČKI KONCEPT ZAŠTITE 17.11.2014. Univerzitet SINERGIJA, Bijeljina 29

  30. Optimalni sistem zaštite 1.Cilj procesa upravljanja zaštitom: postaviti bezbednosne ciljeve (ciljeve zaštite) i dostići ih razviti (projektovati, implementirati i održavati) optimalan-ekonomski rentabilan, funkcionalno efektivan sistem kontrola zaštite 2.Optimalno rešenje zaštite (generički koncept): najracionalnijom raspodelom resursa u datim uslovima, na najbolji način, zadovoljava sve uslove/zahteve zadataka zaštite. 17.11.2014. Univerzitet SINERGIJA, Bijeljina 30

  31. Optimalan sistem zaštite 17.11.2014. Univerzitet SINERGIJA, Bijeljina 31

  32. ZAKLJUČAK 1. Bezbednost ISje objektivna mera rizika IS ili stanjasigurnog funkcionisanja IS u odnosu na sebe ili okruženje. Sistem je bezbedan, ako je zaštićen od rizika. 3. Sigurnost IS jesubjektivnamera uverenja korisnika da je sistem bezbedan. Sistem je siguran onoliko koliko vlasnik veruje da jeste 3. Sistem zaštite održava stabilno bezbednosno stanje IS 4. Kvalitet informacija (poverljivost, integritet, raspoloživost) obezbeđuje kvalitetno odlučivanje i upravljanje PIS 5. Za savremene IS bezbednost - stanje zaštite poverljivosti, integriteta i raspoloživosti informacija UNIVERZITET SINERGIJA, BIJELJINA

  33. ZAKLJUČAK (1) 6. Informacije – najvažniji objekti zaštite IS 7. Smanjenje kompleksnosti IS/SZ obezbeđuje objektno-orijentisani pristup sa 2 grane: objekata zaštite (raspoloživost, integritet, poverljivost informacija) objekata za zaštitu (upravljačkih, org.-operativnih, tehničkih kontrola zaštite) 8. Opšti model zaštite opisuje sve funkcionalne komponente SZ 9. Cilj upravljanja zaštitom je razvoj optimalnog SZ 17.11.2014. Univerzitet SINERGIJA, Bijeljina 33

  34. PITANJA ZA PONAVLJANJE • Tendencija je da se terminologija oblasti zaštite informacija što je moguće više učini kompleksnom i nerazumljivom za krajnje korisnike iz bezbednosnih razloga. (DA ili NE). • Bezbednost IKT sistemajeobjektivna mera/ocenastanja rizika IKT sistema. (DA ili NE). • Nivo ukupne bezbednosti složenog sistema-Bu raste približno multiplikativno sa porastom nivoa bezbednosti njenih relativno nezavisnih bezbednosnih komponenti (B1, B2, ..., Bn). (DA ili NE). • Funkcija zavisnosti komponenti bezbednosti IKT sistema-Bi je linearno opadajuća od stohastički promenljivih faktora rizika-Ri. (DA ili NE). • Šta obezbeđuje stabilno održavanje stanja bezbednosti IKT sistema na određenom bezbednosnom nivou? • Koji ključni faktori savremenih IKT sistema utiču na njihovo bezbednosno stanje?   UNIVERZITET SINERGIJA, BIJELJINA

  35. PITANJA ZA PONAVLJANJA • Definišite svojim rečima sistem zaštite. • Sistem zaštite je aditivna funkcija intenziteta,kvaliteta i raznovrsnosti mera i metoda (kontrola) vektora zaštite. (DA ili NE). • Servis zaštite je proces ili neprekidna aktivnost, koja se izvršava izvršavanjem bezbednosnih funkcija kontrola zaštite (mehanizama i protokola zaštite). (DA ili NE). • Definišite pojam kontrole zaštite. • Sa aspekta obezbeđivanja kvaliteta informacija u IKT sistemu, koja su tri ključna svojstva nužna i dovoljna da se obezbedi zaštita? • Optimalni sistem zaštite je onaj koji u datim uslovima na najbolji način zadovoljavaju sve bezbednosne zahteve, a postiže se najracionalnijim troškovima resursa za akviziciju, implementaciju i održavanje sistema zaštite. (DA ili NE). 17.11.2014. Univerzitet SINERGIJA, Bijeljina 35

More Related