1 / 12

Značaj generisanja politike zaštite

Značaj generisanja politike zaštite. Univerzitet SINGIDUNUM, Danijelova 29, Beograd Docent dr Gojko Grubor. Zašto je potrebna zaštita infomacija/IS?. Poslednji podaci (2008.g.): TJX Data – proboj sistema zaštite koštao preko $40 miliona

hei
Download Presentation

Značaj generisanja politike zaštite

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Značaj generisanja politike zaštite Univerzitet SINGIDUNUM, Danijelova 29, Beograd Docent dr Gojko Grubor

  2. Zašto je potrebna zaštita infomacija/IS? • Poslednji podaci (2008.g.): • TJX Data – proboj sistema zaštite koštao preko $40 miliona • E&Y gubitak laptop sa više hiljada izveštaja/podataka o kupcima • Zaposleni u Pfizer otkrili neovlašćeno 17.000 dokumenata u P2P razmeni fajlova • Masivni kolaps elektrodistributivne mreže SAD zbog hakerskog napada sa Interneta • Cooper Tire akcije na berzi pale 25% kad je zaposleni iseckao dokumenta u šrederu • Harris Interactive istraživanje pokazalo da 79% Amerikanaca veruje da će lični podaci u IS biti dostupni drugim (neovlašćenim) licima čak i ako politika štiti lične podatke i informacije

  3. Šta je politika zaštite? • Politika zaštite JESTE: • Dokumentovana izjava menadžmenta na visokom nivou • Formalni način da se kaže: • “Ovo je način na koji mi štitimo naš IKT sistem” • Generalizovane izjave zahteva za minimizaciju bezbednosnog rizika • Dokument zaštite na višem nivou od Standarda i Procedura • Politika zaštite NIJE: • Konfigurisanje sistema Firewalls, IDS/IPS, AC i drugih mehanizama zaštite • Za razliku od smernica/uputstava (Guidelines), nema opcija rešenja • Za razliku od arhitekture sistema zaštite, ne zavisi od proizvoda/tehnologija zaštite

  4. Pokretači politike zaštite Hakeri Gubitak podataka Špijuni, SPAM PRETNJE • Security Policy Drivers • RReegguulalattioionnss TTeecchhnnoolologgyy • TTeecchhnnoollooggyy DDeeppllooyymmeenntt • { } • PDA • Spyware • Wireless • VOIP • Sarbox • HIPAA • GLBA • EU Data Privacy • Encryption • TThhrreeaattss SPAM • HACKS • Data Loss • Policies • Standards • IDS Anti-Virus Firewalls • BBeehhaavvioiorr • Internet Use Incident Reporting REGULATIVE TEHNOLOGIJE Politike Standardi Implementacija tehnologije Praksa zaštite

  5. Karakteristike efektivne politike zaštite informacija • Kompletnost – obuhvata sve kritične oblasti rizika za informacije • Organizovanost – politika bazirana na priznatom/široko prihvaćenom standardu (ISO/IEC 27001/2, ISO/IEC 21827) ili okviru (NIST SP 800-12) • Dokumentovanost – napisana i održavana sa eksplicitno definisanim vlasništvom i verzijom • Ažurranost – periodično revidirana i ažurirana na bazi poslednje procene rizika • Komunikativnost – politike su dostavljene svim odnosnim stranama, pročitane i shvaćene od strane svih zaposlenih u organizaciji

  6. Pokretač razvoj infrastrukture sistema zaštite? • Razjašnjava pravila pre razvoja i konfigurisanja sistema zaštite • Osigurava konzistentnu aplikacijukontrola zaštite (mehanizama i provcedura) • Koordinira rad različitih internih grupa: • Omogućava lakšu internu komunikaciju i interoperabilnost • Definiše se pre implementacije sistema zaštite: • Materijal za obuku i razvoj svesti o potrebi zaštite • Omogućava uspostavljanje kompromisa između intranet i ekstranet mreža • Omogućava razmenu vlasničkih informacija sa trećom stranom

  7. Podrška drugim procesima zaštite informacija? • Eksplicitno pokazuje podršku menadžmenta zaštiti informacija • Uspostavlja kredibilitet i transparentnost procesa/rada zaštite • Eliminiše raspravu/nesporazume koji se odnose na interne politike zaštite • Unapred definiše odgovore na proboje sistema zaštite i druge scenarije rizika • Daje smernice za izbor servisa i proizvoda zaštite (kontrola) • Omogućava brz razvoj novog sistema zaštite informacija • Definiše osnovne mere zaštite, kao što su dužna pažnja (due carecontroles) ietički kodeks ponašanja u IS

  8. Podrška usklađenosti sa zakonom/regulativama... • Aranžira ugovorne obaveze potrebene za tužilaštvo u slučaju spora/kompjuterskog kriminala • Uspostavlja politike koje dopuštaju discioplinske mere, otpuštanje sa posla i eventualno krivičnu prijavu • Dokumentuje zahtev za usklađenost sa zakonom, regulativama i standardima • Održava i daje skrivenu zaštitu lnoj legalnoj e-trgovini • Eliminiše tvrdnje o zanemarivanju i kršenju ugovornih i zakonskih obaveza (Fiduciary Duty) ili zaštite privatnosti • Podržava interne kontrolore (auditors) u proveri usklađenosti

  9. Primer saopštenja bitnih politika zaštite • Redovno izveštavati o svim problemima i ranjivostima sistema zaštite centralni entitet organizacije za upravljanje zaštitom informacija • Pristup sistemima i informacijama davati na bazi “znati samo ono što je potrebno za izvršavanje posla” • Informacije klasifikovati na bazi osetljivosti i označavati svaku osetljivu informaciju • Korisnički izabrani pasvordi moraju slediti pravilo kompleksnosti i moraju se periodično ažurirati/menjati • ….

  10. Problemi nedostatka politike zaštite? • >25% zaposlenih nije pročitalo ni jednu politiku zaštite u 2007 godini* • ≈ 50% nije pročitalo sve politike zaštite koje su im namenjene u 2007 • <30% nije imalo obuku ni razvoj svesti o potrebi zaštite u 2007 • ≈ 65% organizacija ne prati da li zaposleni čitaju politiku zaštite (potpišu izjavu o prihvatanju i razumevanju politike) • > 75% zaposlenih ignoriše politike zaštite čak i kada su svesni njihovog postojanja * • 46% routinski deli pasvorde * • 50% organizacija nema politiku za izveštavanje o bezbednosnom incidentu i ranjivostima sistema • ≈ 67% organizacija ističe da je ključni prioritet u sledećoj (2009) podizanje svesti opotrebi zaštite • ≈ 22% organizacija imaju program za razvoj svesti o potrebi zaštite • ≈ 13% organizacija ima časove obuke iz oblasti zaštite informacija *CSI/FBI & Information Security shield anketa

  11. Indikatori potrebe za politikom zaštite! • Pokušaji da se zadovolje zahtevi interne i spoljne kontrole (audit) • Frustracija zbog ograničenih rezultaa sa ograničenim stručnim osobljem • Organizacija je javno ponižena zbog proboja sistema zaštite • Nije organizovan ni sproveden program razvoja svesti o potrebi zaštite • Dokumentacija zaštite nedovoljna ili neažurna • Kritični zadaci zaštite nisu izvršeni kako bi trebalo • Zaposleni raspravljaju o tome šta treba učiniti da se poboljša zaštita .....

  12. Faktori uspeha projekta zaštite • Konzistentno uključivanje korisnika • Podrška izvršnog menadžmenta (Aktivni interes) • Jasna izjava o zahtevima • Dobro planiranje • Realistična očekivanja • Manje kontrolnih tačaka projekta (veća transparentnost) • Vlasništvo (odgovornost) • Jasna vizija i ciljevi • Planiranje rizika, identifikacija i ublažavanje

More Related