Embed Size (px)
Citation preview
1 / 32
SMJERNICE ZA PRIMJERENO UPRAVLJANJE RIZICIMA INFORMACIJSKIH SUSTAVA
SUBJEKATA NADZORA
Dražen Kramarić, CISAHANFA
2 / 322
ZAKONSKI OKVIR ZA DONOŠENJE SMJERNICA
• temeljni ciljevi Agencije sukladno članku 13.
Zakona o HANFI
• promicanje i očuvanje stabilnosti financijskog
sustava
• nadzor zakonitosti poslovanja subjekata nadzora
3 / 323
ZAKONSKI OKVIR ZA DONOŠENJE SMJERNICA
• Zakon o HANFI, članak 15., točka 4.
„U obavljanju svojih javnih ovlasti, Agencija je
ovlaštena:
Poticati, organizirati i nadgledati mjere za
učinkovito funkcioniranje financijskih tržišta.”
4 / 324
SUBJEKTI NADZORA
• sve pravne ili fizičke osobe koje se bave
pružanjem financijskih usluga, savjetovanjem
na financijskom tržištu, prodajom,
posredovanjem ili upravljanjem imovinom
korisnika financijskih usluga, a koji posluju u
djelokrugu nadzora Agencije
5 / 325
INFORMACIJSKI SUSTAV
• sustav međusobno povezanih organizacijskih,
tehnoloških i ljudskih elemenata uključenih u
procese obrade podataka u cilju raspolaganja
informacijama potrebnim za ostvarivanje
poslovnih ciljeva
6 / 326
RIZIK INFORMACIJSKOG SUSTAVA
• vjerojatnost da određena prijetnja
iskorištavanjem ranjivosti resursa
informacijskog sustava ostvari negativan
učinak na poslovanje subjekta
7 / 327
UPRAVLJANJE RIZICIMA INFORMACIJSKOG SUSTAVA
1. identifikacija resursa
2. identifikacija prijetnji resursima
3. identifikacija ranjivosti resursa
4. procjena rizika i njihovog potencijalnog štetnog
učinka
5. odabir mjera za postupanje s procijenjenim rizicima
6. primjena mjera za postupanje s procijenjenim
rizicima
7. praćenje procijenjenih rizika te primijenjenih mjera i
postupaka za njihovo smanjenje
8. unaprjeđenje procesa upravljanja rizicima
8 / 328
CILJEVI SMJERNICA
• razvoj svijesti subjekata nadzora o rizicima
informacijskih sustava s osobitim naglaskom
na rizike vezane uz uporabu IT
• upoznavanje subjekata nadzora s dobrim
praksama ublažavanja rizika informacijskih
sustava
9 / 329
NAMJENA SMJERNICA
• subjektima nadzora, osobito• članovima uprava
• odgovornim osobama za upravljanje IT
• osobama odgovornim za sigurnost informacijskih
sustava odnosno IT
• osobama odgovornim za upravljanje odnosima s
vanjskim pružateljima usluga
• osobama odgovornim za upravljanje procesom
neprekinutosti poslovanja
• osobama koje obavljaju poslove unutarnjih
kontrola
10 / 3210
OPSEG SMJERNICA
• ključni aspekti upravljanja rizicima
informacijskog sustava (IS)
• mjere i postupci za smanjenje rizika IS
11 / 3211
KLJUČNI ASPEKTI UPRAVLJANJA RIZICIMA IS
• osnovna načela upravljanja rizicima IS
• identifikacija, procjena i postupanje s rizicima
IS
12 / 3212
KLJUČNI ASPEKTI UPRAVLJANJA RIZICIMA IS OSNOVNA NAČELA UPRAVLJANJA RIZICIMA IS
• informacija – najvažniji resurs IS
• ključna svojstva
• povjerljivost
• cjelovitost
• dostupnost
13 / 3213
KLJUČNI ASPEKTI UPRAVLJANJA RIZICIMA IS IDENTIFIKACIJA, PROCJENA I POSTUPANJE S RIZICIMA IS
• identifikacija svih resursa IS koji imaju ulogu u ostvarivanju poslovnih ciljeva i strategije te podršci poslovnim procesima
• procjena njihove važnosti u tim ulogama
• način postupanja s rizicima IS ovisi o samim rizicima te vrijednosti izloženih procesa i resursa
• načini upravljanja rizicima
• izbjegavanje
• smanjenje
• prihvaćanje
• prijenos
14 / 3214
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS
• organizacija i upravljanje IS
• razvoj i održavanje IS
• upravljanje promjenama u IS
• izdvajanje procesa IS
• neprekinutost poslovanja i oporavak nakon katastrofe
• fizička i okolišna sigurnost
• logičke kontrole pristupa
• sigurnost računalnih mreža
• sigurnost prijenosnih uređaja i medija za pohranu
podataka
• upravljanje incidentima
• upravljanje operativnim i sistemskim zapisima
• zaštita od malicioznog koda
15 / 3215
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISORGANIZACIJA I UPRAVLJANJE IS
• uprava subjekta• uspostava primjerene organizacijske strukture
• osiguravanje resursa
• imenovanje osobe odgovorne za upravljanje IT procesima i operacijama
• kontinuirano upoznavanje s relevantnim činjenicama
• usklađivanje strategije razvoja IS i poslovne strategije
• ljudski resursi• djelatnici imaju primjerena znanja i vještine za dužnosti
koje obavljaju
• djelatnici imaju primjerenu razinu svijesti o sigurnosti IS
16 / 3216
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS RAZVOJ I ODRŽAVANJE IS
• održavanje informacijske tehnologije• primjereno održavanje hardvera, softvera i podržavajuće
infrastrukture
• ograničiti ovlaštenja za izmjene na hardveru, softveru i podržavajućoj infrastrukturi
• primjereno nadzirati ključne pokazatelje funkcionalnosti IT
• razvoj aplikacija• uključiti krajnje korisnike u proces izrade specifikacija
aplikacije
• planirati sigurnosne kontrole u fazi razvoja
• zaštititi izvorni kod aplikacija od neovlaštenog pristupa
• testirati funkcionalnost i sigurnost novih i izmijenjenih aplikacija
17 / 3217
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISUPRAVLJANJE PROMJENAMA U IS
• odgovorne osobe za upravljanje IT upoznate s
planiranim promjenama i potencijalnim
rizicima tih promjena
• planirane promjene odobrene od strane
odgovorne osobe za upravljanje IT
• promjene primjereno testirane
• korisnici IS upoznati s promjenama
18 / 3218
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISIZDVAJANJE PROCESA IS
• izdvajanje procesa informacijskog sustava
• procijeniti rizike izdvajanja procesa
• procijeniti primjerenost pružatelja usluga
• definirati i sklopiti ugovor primjeren usluzi koja se
pruža
• osigurati primjeren nadzor
• osigurati pravodoban pristup informacijama
• planirati neprekinutost poslovanja
19 / 3219
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISIZDVAJANJE PROCESA IS
• uporaba usluga „Cloud Computinga” u izdvojenim procesima
• steći uvjerenje da će pružatelj obavljati uslugu u skladu s mjerodavnim propisima
• steći uvjerenje u primjerenost tehnološke i podržavajuće infrastrukture te sigurnosnih i okolišnih kontrola
• izdvajanje unutar iste grupe društava
• druga pravna osoba
• iste mjere i postupci kao i kod izdvajanja procesa informacijskog sustava izvan grupe društava
20 / 3220
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISNEPREKINUTOST POSLOVANJA I OPORAVAK NAKON KATASTROFE
• planiranje neprekinutosti poslovanja• identificirati ključne poslovne procese i resurse potrebne
za njihovo izvršavanje
• analizirati kako prekid poslovnih procesa utječe na poslovanje u cjelini
• usvojiti i dokumentirati planove nastavka poslovanja u slučaju prekida poslovnih procesa
• osigurati da su planovi razumljivi i stalno dostupni osobama odgovornima za njihovu provedbu
• periodički testirati učinkovitost planova
• planove korigirati sukladno rezultatima testova i periodički prilagođavati poslovnim potrebama i ciljevima
21 / 3221
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISNEPREKINUTOST POSLOVANJA I OPORAVAK NAKON KATASTROFE
• pričuvna pohrana podataka• identificirati podatke
• identificirati učestalost izrade pričuvnih kopija pojedinih podataka
• osigurati izradu pričuvnih kopija podataka
• zaštititi povjerljivost i cjelovitost pričuvnih kopija podataka
• periodički testirati mogućnost povrata podataka iz pričuvnih kopija
• dokumentirati aktivnosti izrade i testiranja povrata
• periodički odlagati pričuvne kopije podataka na udaljenu lokaciju
22 / 3222
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISFIZIČKA I OKOLIŠNA SIGURNOST
• fizička sigurnost
• smjestiti značajnu informatičku opremu u posebne prostorije
• ograničiti pravo pristupa prostorijama u kojima je smještena značajna informatička oprema
• osigurati da su osobe koje pristupaju prostorijama sa značajnom informatičkom opremom, a koje za to inače nemaju pravo pristupa, pod stalnim nadzorom ovlaštenih osoba
• osigurati kontrolu pristupa medijima za pohranu podataka koji su bez nadzora
23 / 3223
MJERE I POSTUPCI ZA SMANJENJE RIZIKA ISFIZIČKA I OKOLIŠNA SIGURNOST
• okolišna sigurnost
• ograničiti izloženost značajne informatičke opreme
prirodnim pojavama
• osigurati primjerenu zaštitu od požara
• osigurati temperaturu prostorije u kojoj je
smještena značajna informatička oprema
24 / 3224
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS LOGIČKE KONTROLE PRISTUPA
• logičke kontrole pristupa
• osigurati postojanje primjerenih logičkih kontrola
pristupa
• osigurati logičke kontrole pristupa informatičkoj
opremi koja je privremeno bez nadzora
25 / 3225
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS LOGIČKE KONTROLE PRISTUPA
• korisnički računi i prava pristupa• dodjelu, izmjenu i ukidanje korisničkih računa i prava
pristupa provoditi na temelju dokumentirane poslovne potrebe i minimalnih potrebnih prava za obavljanje radnih zadataka
• provoditi periodičku provjeru usklađenosti dodijeljenih korisničkih računa i prava pristupa s poslovnim potrebama
• svakom korisniku IS dodijeliti poseban korisnički račun
• korisnički računi s pravima povlaštenog pristupa• računi čija prava pristupa omogućavaju izmjenu sistemskih
postavki IT
• Iste mjere i postupci kao za ostale korisničke račune
26 / 3226
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS LOGIČKE KONTROLE PRISTUPA
• upravljanje lozinkama• identificirati i primijeniti minimalne standarde svojstava
lozinki za pristup pojedinim resursima IS
• čuvati tajnost lozinke
• lozinke pamtiti, nikad ih zapisivati na papir ili u elektroničke datoteke.
• izmijeniti lozinke na resursima IS koje su inicijalno postavljene od administratora sustava ili proizvođača opreme
• osigurati da su lozinke u sustavima pohranjene u nečitljivom obliku
• pri definiranju lozinki izbjegavati korištenje riječi iz rječnika, osobne podatke ili druge fraze koje se mogu lako pogoditi ili povezati s korisnikom računa
27 / 3227
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS SIGURNOST RAČUNALNIH MREŽA
• sigurnost računalnih mreža• ograničiti pristup konfiguracijskim sučeljima mrežnih uređaja
• primjereno zaštititi računala i poslužiteljske servise subjekta kojima je omogućen pristup putem javnih mreža
• računala i poslužiteljske servise kojima je omogućen pristup putem javnih mreža izdvojiti u mrežni segment odvojen od lokalne računalne mreže
• primjereno zaštititi prijenos osjetljivih podataka putem javnih mreža
• koristiti naprednu zaštitu bežičnih mreža
• udaljeni pristup• primjereno zaštititi podatke u prijenosu između udaljene lokacije i
točke pristupa računalnoj mreži subjekta
• osigurati izradu operativnih i sistemskih zapisa o aktivnostima korisnika udaljenog pristupa
28 / 3228
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS SIGURNOST PRIJENOSNIH UREĐAJA I MEDIJA ZA POHRANU PODATAKA
• sigurnost prijenosnih uređaja i medija za pohranu podataka• koristiti tehnike kriptiranja povjerljivih podataka
pohranjenih na prijenosnim uređajima i medijima za pohranu
• zaštititi pristup sučeljima operativnih sustava prijenosnih računala i „pametnih“ telefona metodama potvrde identiteta korisnika
• omogućiti udaljeno brisanje podataka pohranjenih na „pametnim“ telefonima
• otpis medija za pohranu podataka• potrebno je osigurati da su podaci obrisani na siguran
način
29 / 3229
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS UPRAVLJANJE INCIDENTIMA
• omogućiti korisnicima IS pravovremenu
prijavu uočenih incidenata
• odrediti obveze i odgovornosti u zaprimanju,
daljnjoj eskalaciji i rješavanju incidenata
• rješavati uočene incidente i primjenjivati
mjere u prevenciji pojave incidenata u
budućnosti
30 / 3230
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS UPRAVLJANJE OPERATIVNIM I SISTEMSKIM ZAPISIMA
• osigurati generiranje operativnih i sistemskih
zapisa u svim važnim komponentama IT
• zaštititi operativne i sistemske zapise važnih
komponenti IT od neovlaštenog pristupa
• izrađivati pričuvne kopije operativnih i sistemskih
zapisa važnih komponenti IT
• osigurati točnost mjerenja vremena u
komponentama IT koje generiraju operativne i
sistemske zapise
31 / 3231
MJERE I POSTUPCI ZA SMANJENJE RIZIKA IS ZAŠTITA OD MALICIOZNOG KODA
• osigurati primjerenu primjenu sustava zaštite komponenti IT od malicioznog koda
• osigurati ažurnost sustava za zaštitu komponenti IT od malicioznog koda
• osigurati redovnu primjenu sigurnosnih ispravaka operativnih sustava i aplikacija
• osigurati primjerenu uporabu preglednika internetskih stranica i klijenata elektroničke pošte od strane korisnika IS
32 / 32
HVALA NA PAŽNJI!
