Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti

Konferencija : Zagreb IPC PAES 2008

Predavač : mag. oec. Saša Aksentijević, univ. spec. za intel. el. posl.

E-mail: axy@vip.hr

Studeni 2008

Sadržaj

UVOD POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST PLAN INFORMACIJSKE SIGURNOSTI RIZIK KONTROLA I UPRAVLJANJE RIZIKOM SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA

INFORMACIJSKE SIGURNOSTI ULOGA KLJUČNIH ADMINISTRATORA ZAKLJUČAK DISKUSIJA – PITANJA I ODGOVORI

Povijest sigurnosti informacijskih sustava

“cezarevo šifriranje” Razvoj sigurnosti informacijskih

sustava u početku prati vojna osvajanja

Prijelomni trenutak – Drugi svjetski rat Pojava elektroničkog poslovanja (“e-

business”)

Plan informacijske sigurnosti I

Identificira se kritična dokumentacija kao podloga za pripremu Plana te standardi koji će biti primijenjeni

Procjenjuje se postojeće stanje informacijske sigurnosti unutar poduzeća ili organizacije

Definiraju se prioriteti informacijske sigurnosti

Identificiraju se odjeli te funkcije koje u operativnoj fazi rade s povjerljivim informacijama ili podacima

Identificiraju se mogući rizici po sigurnost sustava

Predlažu se metode za umanjenje ili potpuno uklanjanje rizika

Plan informacijske sigurnosti II

Privatnost, povjerljivost i sigurnost informacija

Pravila dobrog ponašanja „Need to know“ princip Nivoi diskrecije

Plan informacijske sigurnosti III

Povjerljivost Integritet Raspoloživost

Kontrole:

Administrativne Logičke Fizičke

CIA trijada

Integralna korporativna (organizacijska) sigurnost

Rizik I

Identificiranje rizika

Rizik II

Pristup povjerljivim informacijama od strane neovlaštene osobe Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane

„hakera“ Presretanje podataka tijekom transakcije Gubitak podataka ili povjerljivosti informacija zbog greške korisnika Fizički gubitak podataka uslijed katastrofe Nekompletnost i nedokumentiranost transakcije Neautorizirani pristup povjerljivim informacijama od strane zaposlenika Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama

(„phishing“) Neautorizirani pristup preko papirnih dokumenata i izvještaja Neautorizirani transfer povjerljivih informacija preko treće strane

Rizik III – kontrola i upravljanje rizikom Kontrola prikupljanja informacija Kontrola pristupa informacijama Obrazovanje korisnika sustava Kontrola fizičkog pristupa Kontrola čuvanja dokumenata Kontrola uništavanja dokumenata Izrada odjelnih planova čuvanja privatnosti podataka Kontrola zahtjeva prema trećim stranama Kontrola pristupa informacijama sadržanim unutar

informacijskog sustava (u nastavku...)

Rizik IV – Kontrola pristupa informacijama sadržanim unutar informacijskog sustava poduzeća

kreiranje kriterija pristupa računalnoj mreži kreiranje korisničkih grupa kontrola pristupa elektroničkoj pošti kontrola pristupa Internet servisima kontrola pristupa telefonskom sustavu kontrola daljinskog pristupa kontrola pristupa preko virtualnih privatnih mreža

SURADNJA ORGANIZACIJSKIH CJELINA U

PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI

Odnos strateškog, operativnog i taktičkog se isprepliće unutar poslovnog konteksta

Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važećeg Plana informacijske sigurnosti

Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji

mora biti odobren od odgovarajuće instance

Primjer godišnjeg izvješća o sigurnosti

Uloga ključnih administratora

Rad s povjerljivim informacijama Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti Profesionalni i osobni rast Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata

poduzeća:

1. Zakon o zaštiti osobnih podataka

2. Zakon o informacijskoj sigurnosti

3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka

4. Zakon o zaštiti na radu

5. Zakon o bankama

6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika

7. Odluka o primjerenom upravljanju informacijskim sustavom

8. Zakon o osiguranju

9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i revizorskog izvješća društava za osiguranje

Razgraničenje odgovornosti za informacijsku sigurnost

Statistika

55 % korisničkih računala je zaraženo spyware-ima 7% tvrtki koristi Windows Service Pack 2 25 % kompjutora su zombiji 33 % tvrtki dozvoljava Instant Messaging u 52 % tvrtki perimetar mreže je zadnja linija obrane 14 % korisnika čita spam a 4 % kupuje proizvode koje spam

reklamira (!) 21 % spama je pornografija 20 % korisnika u Velikoj Britaniji kupuje softver koji

reklamira spam

Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti

Hvala na pažnji - vrijeme je za diskusiju!