1 / 15

Upravljanje informacijskom sigurnosti

Upravljanje informacijskom sigurnosti. Ante Projić. Što je sigurnost? Osnovni principi sigurnosti Osnovni ciljevi Sigurnost kao proces Dobre prakse Sigurnost kroz slojevitost Mehanizmi zaštite Tehničke mjere zaštite Networking Hardening Neki korisni alati. Sadržaj.

bruno
Download Presentation

Upravljanje informacijskom sigurnosti

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Upravljanje informacijskom sigurnosti Ante Projić

  2. Što je sigurnost? • Osnovni principi sigurnosti • Osnovni ciljevi • Sigurnost kao proces • Dobre prakse • Sigurnost kroz slojevitost • Mehanizmi zaštite • Tehničke mjere zaštite • Networking • Hardening • Neki korisni alati Sadržaj

  3. Proces održavanja prihvatljivog nivoa rizika • „well-informed sense of assurance that the information risks and controls are in balance” Što je sigurnost?

  4. Osnovne sastavnice informacijskog sustava • Hardver • Softver • Komunikacije • Ljudi • CIA • Mehanizmi kontrole • Administrativne kontrole • Logičke kontrole • Fizičke kontrole Osnovni principi sigurnosti

  5. Prevencija • Detekcija • Odgovor Osnovni ciljevi

  6. Sigurnost kao proces

  7. Politika sigurnosti • Definiranje odgovornosti • Interni akti (pravilnici, procedure, upute, itd.) • Kontrola pristupa resursima • Kontrola povlaštenog i udaljenog pristupa • Fizička zaštita kritičnih prostorija i samih resursa • Praćenje i analiza operativnih i sistemskih zapisa • Zaštita od malicioznog koda • NAJVAŽNIJE – konstantan nadzor i redovita poboljšanja Dobre prakse

  8. Organizaciju upravljanja sigurnošću informacijskog sustava • Upravljanje rizikom sigurnosti informacijskog sustava • Klasifikaciju informacija • Upravljanje korisničkim pravima i kontrola pristupa • Upravljanje operativnim i sistemskim zapisima • Upravljanje imovinom, konfiguracijama i dokumentacija sustava • Upravljanje razvojem informacijskog sustava • Upravljanje promjenama • Upravljanje eksternalizacijom • Edukaciju korisnika iz području sigurnosti • Fizičku sigurnost • Pričuvnu pohranu • Upravljanje sigurnošću komunikacijskih i distribucijskih kanala • Primjereno korištenje resursa informacijskog sustava • Zaštitu od malicioznog koda • Upravljanje • Upravljanje kontinuitetom poslovanja i plan oporavka • Nadzor pridržavanja sigurnosne politike • Obaveze pridržavanja sigurnosne politike Sigurnosna politika informacijskog sustava

  9. Sigurnost kroz slojevitost

  10. Zaštita povjerljivosti • Enkripcija • IP tuneliranje • Skrivanje privatnih adresa • Zaštita integriteta • Upravljanje promjenama • Zaštita od malicioznog koda • Hashing/dig.potpis/... • Zaštita raspoloživosti • Redudancija • Fault tolerance oprema • Backup • Load balancing • Kontrola pristupa Mehanizmi zaštite

  11. Kompromitacije informacijskih sustava se najčešće događaju zbog korištenja nesigurnih protokola, portova i servisa. • Definiranje svih dopuštenih protokola i komunikacijskih portova, npr. eksplicitna zabrana korištenja nesigurnih protokola kao što je Telnet, POP3, FTP, itd. • Ukratko, onemogućiti sve protokole i servise koji nisu poslovno opravdani. Tehničke mjere zaštite - networking

  12. Implementacija DMZ-a • „ingress filtering” • Virtualni LAN-ovi • UTM • IPS / IDS [H/N] Tehničke mjere zaštite - networking

  13. Operacijski sustavi, baze podataka, aplikacije i ostali dijelovi informacijskog sustava inherentno sadrže slabosti koje omogućavaju kompromitaciju inf. sustava. • Sigurnosno ojačavanje komponenti inf. sustava: • CIS • NIST Tehničke mjere zaštite - hardening

  14. Nessus (OpenVAS) • Microsoft Security Assesment Tool (MSAT) • Microsoft Baseline Security Analyzer (MBSA) • Wireshark • Sysinternals Suite • Router Audit Tool (RAT) • GFI LANGuard • SIW • Dumpsek • nmap Neki korisni alati

  15. Pitanja? Zahvaljujem se na pažnji!

More Related