1 / 21

Návrh bezpečnostnej politiky univerzity

Návrh bezpečnostnej politiky univerzity. Darina Tothová, FEM SPU v Nitre E - mail: Darina.T othova @uniag.sk. Základné pojmy. politika určuje, aké "boje" sa majú uskutočniť a prečo - určujú ju "prezidenti", stratégia je plánom "boja" - určujú ju "generáli",

clare
Download Presentation

Návrh bezpečnostnej politiky univerzity

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Návrh bezpečnostnej politiky univerzity Darina Tothová, FEM SPU v NitreE-mail: Darina.Tothova@uniag.sk

  2. Základné pojmy politika určuje, aké "boje" sa majú uskutočniť a prečo - určujú ju "prezidenti", stratégia je plánom "boja" - určujú ju "generáli", taktika je metódou realizácie stratégie - určujú ju všetci ostatní "velitelia" až po "pešiakov". politika, stratégia, taktika 1

  3. Ciele a zámery bezpečnostnej politiky Bezpečnostná politika je súbor opatrení, ktoré spoločne určujú postoj organizácie k bezpečnosti. • Cieľom bezpečnostnej politiky je určiť hranice akceptovateľného konania a spôsob odpovede organizácie na ich prekročenie. • Jej zámerom je rozhodnúť, čo je a čo nie je povolené. • Mala by zahŕňať všetky komponenty IS: hardvér, softvér, dáta, užívateľov. 3

  4. Tvorba bezpečnostnej politiky Analýza doterajšieho stavu organizácie informácií, ich formy spracovania, zabezpečenia. Analýza prostredia - hmotné a nehmotné aktíva, analýza rizika Doterajšia bezpečnostná politika Nákladya dosiahnutý efekt Profily slabých miest bezpečnosti Formuláciabezpečnostnej politiky univerzity 2

  5. Základné hodnoty, ktroré sú predmetom ochrany: • Technické zariadenia - zraniteľnosť fyzického systému: • krádež, zámerné alebo náhodné poškodenie, bežné závady, prírodné katastrofy. • Systémové a programové vybavenie - zraniteľnosť softvéru: • strata dostupnosti - úmyselné alebo náhodné vymazanie programu, • modifikácia kódu programu - určenie rozsahu a následkov poškodenia je často veľmi obtiažne - nová inštalácia, • softvérové pirátstvo - neoprávnené kopírovanie 4

  6. Základné hodnoty, ktroré sú predmetom ochrany: • Dátové štruktúry - dáta predstavujú najväčšiu hodnotu informačného systému. 5

  7. Možné ohrozenia • Kompromitácia, narušenie, ... Možnosti ohrozenia: • Vnútorné ohrozenie. • Vonkajšie ohrozenie. • Ohrozenie počítačového systému. • Ohrozenie hardvéru. • Ohrozenie softvéru. • Ohrozenie informácií. 7

  8. Analýza doterajšieho stavuorganizácie informácií, ich formy spracovania, zabezpečenia. Je potrebné oboznámiť sa so: • Štatútom BOZ, organizačným poriadkom univerzity, koncepciou rozvoja. • Organizáciou informácií, formou spracovania informácií, prijatými opatreniami na ochranu informácií zo strany vedenia univerzity. • V súvislosti so sieťovou bezpečnosťou - kontrola sieťového prístupu k jednotlivým počítačom a službám. Oboznámenie sa s existenciou firewallov. 7

  9. Úlohou riešenia ochrany informačného procesu je minimalizovať možnosti jeho narušenia. Základné vlastnosti - atribúty informácií (údajov): Únik informácie, neúplný, nesprávny, nepoužiteľný údaj... • Dôvernosť - stav, kedy je informácia (údaj) utajená, známa vymedzenému okruhu subjektov. • Integrita - informácia (údaj) je celistvá, neporušená, v pôvodnom, nezmenenom stave. • Autenticita - informácia (údaj) je zodpovedajúca skutočnosti nespochybiteľného pôvodu. • Dosiahnuteľnosť - informácia (údaj) je k dispozícii, je schopná bezprostredného použitia. 8

  10. Definícia bezpečnostných cieľov • Uvedomenie si predmetu ochrany. • Uvedomenie si pred kým je potrebné zabezpečiť ochranu: • užívatelia intranetu, predchádzajúci zamestnanci, vonkajší narušitelia, ... • Pred čím je potrebné zabezpečiť ochranu: • krádež, oheň, extrémne teploty, vlhkosť, výpadky el. siete, … • Stanovenie pravdepodobnosti výskytu potencionálneho ohrozenia, resp. poradia dôležitosti ohrozujúcich faktorov. 9

  11. Vnútorné ohrozenie • Podcenenie dodržiavania pravidiel práce v PS. • Prezradenie hesla kamarátovi, svojmu dieťaťu, „nepoučenému kolegovi“. • Neodňatie práv zamestnancovi po rozviazaní prac. pomeru (nie je zabezpečená oznamovacia povinnosť správcovi servera), nepožadovanie odovzdania dokumentácie, médií. • Nezaviazanie zamestnanca k mlčanlivosti o utajovaných údajoch. 10

  12. Vonkajšie ohrozenie • vniknutie, • odmietnutie služby, • krádež informácií: • sniffing - niekto číta informácie, ktoré prechádzajú korektne autorizovaným kanálom, • falošná autentikácia - niekto tvrdí, že má autorizáciu, i keď ju nemá). 12

  13. Ohrozenie počítačového systému • Počítačový systém sa skladá z 3 hlavných komponentov, u ktorých existuje reálne nebezpečenstvo ohrozenia: • hardvér, • softvér, • dáta a dátové súbory. 13

  14. Ohrozenie hardvéru • krádež hardvéru alebo jeho častí, • porušenie káblov, poškodenie disku, ... • prasknutie vodovodného potrubia, zatečenie z okien, požiar, ... 14

  15. Ohrozenie softvéru • náhodné alebo úmyselné vymazanie, • krádež programu, • poškodenie programu: • vírusmi, • technickou závadou. • chyby v programe. 15

  16. Ohrozenie informácií • vymazanie dátového súboru, • porucha spôsobená: • poruchou hardvéru, • chybou v programe. • krádežou dátových súborov. 16

  17. Doterajšia bezpečnostná politika • Ak nebola formulovaná, tak všetky doterajšie pravidlá a pokyny: • Pravidlá pre prácu v počítačovej sieti. • Pravidlá pre tvorbu WWW stránok. • Pokyny pre prácu v počítačových cvičebniach. • ….. 17

  18. Náklady • Finančné prostriedky sú v akademickom prostredí limitujúcim faktorom aj na zabezpečenie bezpečnosti IS. Je však potrebné zahrnúť finančné náklady do strategického plánu zabezpečenia IS a postupne realizovať nákup jednotlivých položiek. • Shareware, freeware. 18

  19. Čo musí obsahovať Formulácia bezpečnostnej politiky univerzity • Popis počítačovej siete, popis IS. • Ciele bezpečnostnej politiky. • Legislatívne východiská. • Klasifikácia informácií na základe citlivosti. • Definícia hrozieb. • Definícia bezpečnostných služieb. • Bezpečnostné zásady personálnej politiky. • Bezpečnostné zásady organizačnej politiky. • Technicko-prevádzkové zabezpečenie bezpečnosti. 19

  20. Formulácia bezpečnostnej politiky univerzity - pokračovanie • Politika zálohovania a archivácie. • Plán obnovy po havárii. • Metodika riešenia krízových stavov. • Pravidelná revízia a aktualizácia politiky

  21. Ďakujem za pozornosť

More Related