Upload
pooky
View
62
Download
5
Embed Size (px)
DESCRIPTION
Systém manažérstva informačnej bezpečnosti ISO 27001:2006 . 4. Prednáška. SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTI - PowerPoint PPT Presentation
Citation preview
4. Prednáška
SÚVISLOSTI A TRENDY INFORMAČNEJ SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTIBEZPEČNOSTI
•Disciplína „počítačovej“ bezpečnosti (dnes informačnej bezpečnosti) evidentne nevznikla automaticky so vznikom prvých počítačov. Týchto bolo spočiatku málo, ich využívanie si vyžadovalo špeciálne znalosti a bolo teda obmedzené na malú skupinu špecialistov.
•Bezpečnosť - ak vôbec bola, bola vnímaná skôr ako fyzická ochrana celých počítačových systémov.
•Takéto vnímanie bezpečnosti nevymizlo ani s rastom počítačov a ich rýchlym využívaním na spracúvanie veľkých množstiev údajov, napr. sálové počítače boli štandardne prevádzkované vo vyhradených priestoroch s kontrolovaným prístupom.
SÚVISLOSTI A TRENDY INFORMAČNEJ SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTIBEZPEČNOSTI•Prvé prejavy o systematické riešenie počítačovej/IB - v druhej polovici 60. rokov 20 stor.,
•Na prelome 60. a 70. rokov sa zároveň vytvorili ďalšie predpoklady pre rýchly rozvoj IKT - prepojenie prvých počítačov do siete ARPANET, začali práce na systéme UNIX. V tom čase sa objavili aj prví hackeri.
•Vo februári 1970 bola v USA publikovaná prvá odborná práca venovaná otázkam bezpečnosti počítačových systémov, túto udalosť teda možno dodatočne označiť za vznik samostatnej disciplíny počítačovej, neskôr informačnej bezpečnosti.
Nemecký Lorenzov šifrovací prístroj, používaný v 2.svetovej vojne pre zašifrovanie správ na vysokej úrovni určené generálnemu štábu
•V r. 1973 americký National Bureau of Standards vyhlásil verejné výberové konanie pre šifrovací systém.
Výsledok - prvý verejný šifrovací štandard v histórii, bol publikovaný v r. 1975
The Da Vinci code
SÚVISLOSTI A TRENDY INFORMAČNEJ SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTIBEZPEČNOSTI•80. roky 20. stor. - nárast aktivity v oblasti počítačovej (informačnej) bezpečnosti v USA i v Európe - kryptologické konferencie, odborné konferencie o počítačovej bezpečnosti, vznik medzinárodnej federácie pre spracovanie informácií IFIP, odborný časopis Computers & Security.
•Koniec zákazu využívať Internet na komerčné účely začiatkom 90. rokov 20. stor. znamenal začiatok novej éry rozvoja tohto komunikačného média, ktorá pochopiteľne ovplyvnila aj rozvoj disciplíny informačnej bezpečnosti.
•Prvá dekáda 21. stor. je už obdobím s mnohými legislatívnymi postupmi s cieľom dostať informačnú bezpečnosť do právneho rámca (zákony, predpisy, normy) v mnohých štátoch sveta, EÚ a tým aj SR nevynímajúc.
• Minimalizuje prevádzkové škody
= Bezpečnosť informačných aktív v informačnom systéme= Bezpečnosť informačných aktív v informačnom systémeInformačný systémInformačný systém
◦ akékoľvek hmotné a nehmotné objekty, ktoré sú cielene vytvorené, vzájomne poprepájané za účelom zberu, výmeny, spracovania, uchovania, generovania a distribúcie informácií a údajov vo vopred definovanej štruktúre a čase
◦ súbor ľudí, technických prostriedkov a metód súbor ľudí, technických prostriedkov a metód zabezpečujúcich zhromažďovanie, prenos, spracovanie a uchovanie dát s cieľom prezentácie informácií pre potreby užívateľov pôsobiacich v systémoch riadenia.
Informačné aktívaInformačné aktíva◦ všetky spracovávané informácie, prostriedky a osoby
spracovania, príp. všetko ostatné, čo plní istú funkciu v procese spracovania informácií
InformácieInformácie majú pre subjekt nezanedbateľnú hodnotuo Strategické plány firiem, zdravotné záznamy, daňové
priznanie, bankové účty, elektronické platobné nástroje
Informačné technológie Informačné technológie - súhrnné označenie pre súbor súbor prostriedkov a postupovprostriedkov a postupov na zber, prenos, spracovávanie, uchovávanie a prezentáciu informácií.
Ochrana informácií Ochrana informácií musí zabezpečovaťo Aby k nim k nim mali prístup iba oprávnené osobyprístup iba oprávnené osobyo Aby sa spracovávali nesfalšované informáciespracovávali nesfalšované informácieo Aby sa dalo zistiť kto informáciu vytvoril, zmenil, odstránildalo zistiť kto informáciu vytvoril, zmenil, odstránilo Aby informácie neboli nekontrolovaným spôsobom informácie neboli nekontrolovaným spôsobom
zverejnenézverejnenéo Aby informácie boli dostupné vtedy, keď sú potrebné informácie boli dostupné vtedy, keď sú potrebné
6
Ide o ochranu investíciíinvestíciío HardvérHardvér je možné zničiť
Teroristi (bomby) Pomätení zamestnanci (ničenie) Prepustení zamestnanci (požiar)
o Hardvér je možné ukradnúť Kto by nekúpil lacnú vec
o SoftvérSoftvér je možné ukradnúť Mnohokrát vysoká, ťažko vyčísliteľná hodnota Konkurent ušetrí náklady na vývoj / zaobstaranie Porušenie licencie Neoprávnené používanie softvéru zamestnancom (2.
zamestnanie)o Informačný systém je možné používaťpoužívať neoprávnene
Zničenie systému, porušenie systému po krádeži hesla, rozbitie mechanizmu prístupu
Použitie systému autorizovanými zamestnancami k nepracovnej činnosti (osobnej / zárobkovej)
7
Informácia je tovartovaro Aktíva – údajeúdaje je možné ukradnúť
Je nezaujímavé prepadať na prepážkach / uliciach Vysoká hodnota (niekoľko desiatok miliárd SK) medzibankového
transferu denne Vysoká hodnota on-line transferov priamo z účtu klientov
o VýstupyVýstupy je možné ukradnúť Krádeže tlačových zostáv, diskiet, CD nosičov
o Existujú právne / morálne pravidlá, zákonné úpravy na ochranu pravidlá, zákonné úpravy na ochranu údajovúdajov
Zákon č. 428/2002 Z. Z. O ochrane osobných údajov Zákon č. 215/2004 Z. Z. O ochrane utajovaných skutočností Bankový zákon, Daňový zákon, Zákon o zdravotnom poistení, ...
o Údaje je potrebné chrániť pred konkurenciou Funkciu systému Funkciu systému je možné zneprístupniť
8
◦ Samotné spracované informácie a ich ekonomická, právna informácie a ich ekonomická, právna hodnotahodnota: výskumné a vývojové práce, projektová dokumentácia,
analýzy, … osobné údaje, utajované skutočnosti.
◦ know-how spracovania informáciíspracovania informácií: pracovné postupy, technológie spracovania, špecifické
metódy spracovania, centrálne databázy pomocných údajov, systémová dokumentácia, používateľské manuály, zácvikové materiály, prevádzkové, alebo podporné procedúry, plány kontinuity a náhradné postupy,
◦ know-how personálupersonálu: personál spracovania informácií, obslužný personál, riadiaci
personál.◦ KomplexnýKomplexný know-how firmy použitý pri spracovaní informácií:
výsledky výskumu a vývoja, informácie o obchodných partneroch, odmeňovanie zamestnancov, image, povesť, ekonomické a obchodné tajomstvo: ekonomické a obchodné správy a zhodnotenia,
◦ HWHW (servery, PC, periférne zariadenia – tlač., skenery, kopírky, zálohovacie jednotky…)
◦ Nosiče informácií Nosiče informácií (pevné disky, kompaktné disky, pásky, flash pamäte a pam. karty, pap. dokumenty, …),
◦ Komunikačné a prenosové linky a zariadenia (tel. a tel. linky, faxy, odkazovače, TCP/IP sieťové linky, smerovače, prepínače, FW, antény, komunikátory, modemy, …)
◦ Podporné zariadeniaPodporné zariadenia: (napájacie zdroje, klimatizačné jednotky)
◦ SWSW (systémový, aplikačný, vývojové nástroje a pomocné utility, zdrojové knižnice programov, databázové systémy, …),
◦ Prevádzkové vplyvy komunikačných systémov komunikačných systémov na sledovaný systém a závislosť systému na nich (internet, intranet, e-mail, tel. a faxové spojenie, rozhlas, televízia, …)
Chránia aktíva pred hrozbami využívajúcimi zraniteľné miesta aktív
Zvyšujú bezpečnostné riziká
Zvyšujú potenciálne bezpečnostné riziká, indikujú požiadavky na ochranu
1. Vývoj Bezpečnostnej politiky ITBezpečnostnej politiky IT2. Identifikácia rolí a zodpovedností - Identifikácia rolí a zodpovedností - Určenie kto je za čo v organizácii zodpovedný 3. Správa rizíkSpráva rizík
o IdentifikáciaIdentifikácia, zvládnutie, odstránenie alebo minimalizácia nepredvídateľných udalostínepredvídateľných udalostí, ktoré majú nežiaduci vplyv nežiaduci vplyv na aktíva organizácie
o Identifikácia a ohodnotenie Chránených aktív Chránených aktív (citlivé údaje a ich klasifikácia) Zraniteľných miest Zraniteľných miest a s nimi súvisiacich hrozieb (vrátane určenia
foriem útokov a typov útočníkov) Pravdepodobnosti s akými sa útočí Pravdepodobnosti s akými sa útočí a akým rizikám je IS vystavený Potenciálnych škôdPotenciálnych škôd Rešpektovaných obmedzení Rešpektovaných obmedzení (organizačných, finančných, daných
prostredím, personálnych, časových, právnych, technických, kultúrno-sociálnych)
4. Výber bezpečnostných opatrení bezpečnostných opatrení a ich implementácia bezpečnostnými mechanizmami5. Správa konfiguráciíSpráva konfigurácií6. Správa zmenového konaniaSpráva zmenového konania7. Vypracovanie havarijného plánuhavarijného plánu8. Školiace aktivity Školiace aktivity v oblasti bezpečnosti9. Prevádzková činnosť – Prevádzková činnosť – Údržba, Bezpečnostný audit, Monitorovanie, Posudzovanie, Reakcia na incidenty
14
Informačný systém, ISo Skúmame bezpečnosť IS bez ďalšej interpretácie
Výskum a vývoj, riadenie burzy, systém riadenia podniku, bankový systém, personálna agenda, systém certifikačnej autority
o Hardvér Procesor, pamäti, terminály, telekomunikácie
o Softvér Aplikačné programy, operačný systém
o Údaje Výsledky, databázy
o Ľudia Personál obsluhujúci IS, používatelia
Aktívao Hardvér, Softvér, Údaje
Čokoľvek, čo je pre organizáciu cenné (má hodnotu)o Citlivé informácie
Informácie, ktoré sú používané na riadenie chodu organizácie a na plnenie jej poslania, prípadne sú priamo produktom činnosti organizácie
o Bez explicitnej definície a ohodnotenia aktív nie je možné implementovať a udržovať žiadny bezpečnostný program
15
Objekt ISObjekt ISo Pasívna entita, ktorá obsahuje / prijíma informácie, objekt je
sprístupňovaný subjektmi IS (udeľovanie prístupových práv subjektom)
Subjekt ISSubjekt ISo Aktívna (identifikovateľná) entita
Osoba, proces alebo zariadenie činné na základe príkazu používateľa
o Autorizovateľná pre Získanie informácie z objektu Vydávanie príkazov ovplyvňujúcich udelenie práv prístupu
k objektu Zmenu stavu objektu
16
Obchodný zákonník č.513/1991, Zákon č. 428/2002 Z.z. o ochrane osobných údajov, ktorý
upravuje: -ochranu osobných údajov fyzických osôb pri ich
spracúvaní -zásady spracúvania osobných údajov -bezpečnosť osobných údajov a ochranu práv dotkn.
Osôb -cezhraničný tok osobných údajov -zriadenie, postavenie a pôsobnosť Úradu na ochranu
osobných údajov Zákon č. 215/2004 Z.z. o utajovaných skutočnostiach,ktorý
upravuje: -podmienky na ochranu utajovaných skutočností -práva a povinnosti právnických osôb a fyzických osôb -pôsobnosť Národného bezpečnostného úradu -zodpovednosť za porušenie povinností ustanovených
týmto zákonom Zákon č. 215/2002 Z.z. o elektronickom podpise, Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám
1. ISO/IEC 27000:2009 - základný prehľad, Je súhrnom definícii pojmov, terminológie a slovníkom pre všetky ostatné normy z danej série
2. ISO/IEC 27001:2006 (predtým známa ako BS 7799-2) - Systém riadenia informačnej bezpečnosti – požiadavky. Je hlavnou normou pre ISMS. Je komplexným systémom riadenia informačnej bezpečnosti od realizácie, udržiavania, a zlepšovania systému
3. ISO/IEC 27002:2005 – Informačné technológie, Bezpečnostné techniky, Praktická príručka/postupy pre riadenie informačnej bezpečnosti
4. ISO/IEC 27005:2008 – Riadenie a analýza bezpečnostných rizík
5. ISO/IEC 27006:2007 - Návod na certifikačný a registračný proces 6. ISO/IEC 27011:2008-určená pre riadenie SMIB v
telekomunikáciách7. ISO/IEC 27799:2008-riadenie požiadaviek a bezpečnosti informácii
v zdravotníckych zariadeniach
1. Rozhodnutím manažmentu organizácie o zavádzaní tohto systému
2. Formulácia a zverejnenie politiky informačnej bezpečnosti organizácie
3. Definovanie rozsahu pôsobnosti systému manažérstva bezpečnosti
4. Stanovenie možných rizík a spôsob ich riadenia a kontroly. 5. Samotná certifikácia
Cieľom normy je poskytnúť podporu pre vytvorenie, zavedenie, realizáciu, monitorovanie, udržiavanie a zlepšovanie systému manažérstva bezpečnosti informácií
Je určená k ochrane informácií
SMIB zabezpečuje adekvátnu kontrolu nad citlivými informáciami a tým poskytuje garanciu zainteresovaným stranám ako aj manažmentu organizácie
zachovanie dôvernosti, integrity, dostupnosti informácií a navyše sa môže týkať aj ďalších vlastností -autentičnosť,
sledovateľnosť, nemožnosť poprieť zodpovednosť a spoľahlivosť
informácie nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám alebo procesom.
Informačné systémy v organizácii pracujú s informáciami, ktoré sú dôverného charakteru. Majú priam existenčnú hodnotu pre danú organizáciu. Poskytujú organizácii konkurenčnú výhodu a podiel na trhu.
Je v záujme organizácie chrániť a dohliadať na to, aby mali k informáciám prístup len oprávnené a autorizované osoby.
základné spôsoby ochrany dôvernosti informácii = riadený prístup k informáciám (určenie stupňa priority ochrany a povolenia prístupu k informácii), kódovanie informácie a zabezpečenie pred možným útokom zvonku.
vlastnosť zabezpečujúca presnosť a kompletnosť aktív
Synonymom integrity je celistvosť, nedotknuteľnosť alebo neporušenosť systému. Je to stav, keď je systém nenarušený a nepodľahol nežiaducej zmene. Integrita sa zisťuje pomocou kontrolných súčtov, samoopravnými kódmi, hašovacími funkciami a digitálnym podpisom.
schopnosť byť dostupný a použiteľný na požiadanie autorizovanej entity
IS je schopný poskytnúť relevantné informácie v čase, kedy o to autorizovaná osoba, entita alebo proces požiada.
zabezpečuje sa buď archiváciou údajov a zálohovaním, alebo redundanciou zdrojov a systémov (súbežná činnosť viacerých zariadení, kedy v prípade výpadku jedného naskočí druhé)
1. Analýza stavu SRIB, 2. Určenie rámca SRIB, 3. Aktualizácia a dopracovanie dokumentácie SRIB, 4. Implementovanie procesov SRIB do praxe, 5. Predcertifikačný audit SRIB, 6. Certifikačný audit SRIB, 7. Udržiavanie a zlepšovanie SRIB.
Urob
Plánuj
1. Definovať opatrenia/procesy
2. Prideliť zodpovednosti
3. Formalizovať postupy
4. Schváliť vedením organizácie
5. Vyškoliť zamestnancov
6. Zaviesť opatrenia
7. Merať účinnosť opatrení
10. Vylepšovať opatrenia
8. Kontrolovať zhodu s politikou
9. Vyhodnocovať incidenty
• Bezpečnosť informácií je zameraná na širokú škálu hrozieb a zabezpečuje :▫ kontinuitu činností organizácie, ▫ minimalizuje obchodné straty a ▫ maximalizuje návratnosť investícii a podnikateľských
príležitostí
• Bezpečnosť informácií je možné dosiahnuť implementáciou sústavy opatrení, ▫ vo forme pravidiel, ▫ natrénovaných postupov, ▫ procedúr, organizačnej štruktúry a programových funkcií
Externé konkurenčné výhody:
• Certifikáciou ISMS sa zvyšuje imidž a osobná prestíž organizácie na trhu, u zákazníkov, dodávateľov, odberateľov a širokej verejnosti, čo prospieva jej dlhodobej stabilite a prosperite,
• ISMS poskytuje zrýchľovanie rastu konkurenčnej schopnosti organizácie,
• ISMS napomáha odstráneniu prístupových bariér ku svetovým aj domácim trhom
Interné organizačné výhody:
• Zvýšenie produktivity činnosti pozitívnou efektivitou motivácie, vzdelanosti, monitoringu, kontroly a sankcií
• Zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov, čím sa redukujú náklady na chyby
• Optimalizácia a zefektívnenie plánovania investícií do IS a IT• Objektívnejšie vyhodnocovanie a ochrana firemného know-how
• prečo chce či musí SMIB zaviesť• akých oblastí činností organizácie sa bude SMIB týkať• v akom rozsahu bude zavedený – (celá organizácia - všetky
činnosti, alebo len niektoré významné činnosti - napr. obchod, výroba, servis, apod.)
• „rozdelenie právomocí“ jednotlivým zamestnancom• akým spôsobom chce organizácia SMIB zaviesť
Čo je SA 8000? Kto je SAI? Je SA8000 aplikovateľná na všetky
odvetvia?
SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE
SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE NA SLOVENSKU
Prvá auditovateľná norma v tejto oblasti Je kompatibilná so štruktúrou :
◦ ISO 9001◦ ISO 14001◦ OHSAS 18001
Je založená na dohovoroch :◦ Medzinárodnej organizácie práce (ILO)◦ Všeobecnej deklarácií ľudských práv◦ Dohovore OSN o právach dieťaťa
“Social Accountability International” mimovládna medzinárodná odborná organizácia
venovaná zlepšovaniu pracovísk a komunít vyvíjaním a implementovaním štandardov sociálnej zodpovednosti
SAI zhromažďuje:◦ kľúčových odborníkov pre vývoj štandardov, ◦ akredituje audítorov, ◦ vykonáva školenia a technickú asistenciu, a ◦ asistuje organizáciám pri zlepšovaní sociálnej zhody v
ich dodávateľských reťazcoch
„schopnosť firmy usilovať sa o neustále rozmnožovanie bohatstva v súlade so životným prostredím a spoločnosťou.“
smerovanie k etickým princípom, ktoré by firmy mali dodržiavať v podnikaní
R. H. Bowen - prvý teoretik spoločensky zodpovedného podnikania
1971 - Spoločenské zodpovednosti obchodných korporácií...definovaný trojstupňový model SZP
Univerzálnosť Dobrovoľnosť Aktívna spolupráca so zainteresovanými
subjektmi (stakeholders) Záväzok prispievať k rozvoju kvality života Zdôrazňujú rozvoj, nie iba rast Pomenúvajú tri oblasti, v ktorých sa
zodpovedné podnikanie konkrétne prejavuje:◦ Ekonomické prostredie (etický kódex, ochrana
duševného vlastníctva, reklama)◦ Sociálna oblasť (BOZP, firemná filantopia, boj proti
korupcii)◦ Environmentálna oblasť(recyklácia, ekodizajn..)
je jednou z najdôležitejších príčin vzrastu významu spoločenskej zodpovednosti v podnikaní
1.Pokles významu hraníc medzi štátmi a zjednodušenie prepravy a komunikácie spôsobujú, že vzniká nový medzinárodný trh s investičnými podmienkami
2.Zjednodušený prístup k množstvu informácií, ktoré majú spotrebitelia k dispozícii v reálnom čase
3. Dlhodobo rastúci záujem o dodržiavanie ľudských práv
4. Zmena štruktúry ekonomiky
Návod na podstatné princípy spoločenskej zodpovednosti
Zahŕňa hlavné oblasti a problémy týkajúce sa spoločenskej zodpovednosti
Dá sa aplikovať na všetky typy organizácií Nie je určená na použitie vo vládnych
organizáciách pri uplatňovaní ich výkonnej, legislatívnej a právnej moci
90- te roky 20.storočia
Využitie vo firmách so zahraničnou účasťou
Novelizácia Zákona o dani s príjmu (561/2001) - slovenskí daňoví poplatníci mohli venovať neziskovým organizáciám 1% z dane z príjmu (v súčasnosti 2%)
Na Slovensku sa chápanie SZP často obmedzuje na filantropiu a charitu
Priama podpora Dobročinný, zdieľaný marketing Charitatívne aukcie a výstavy Firemná nadácia/firemný nadačný fond Nepeňažné darcovstvo Účasť v správnych radách a grantových
komisiách neziskových organizácií Strategické darcovstvo