Uloga klju čnih administratora u postizanju ciljeva integralne korporativne sigurnosti

1. Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti Konferencija : Zagreb IPC PAES 2008 Predavač : mag. oec. Saša Aksentijević, univ. spec. za intel. el. posl. E-mail: axy@vip.hr Studeni 2008

2. Sadržaj • UVOD • POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA • INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST • PLAN INFORMACIJSKE SIGURNOSTI • RIZIK • KONTROLA I UPRAVLJANJE RIZIKOM • SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI • ULOGA KLJUČNIH ADMINISTRATORA • ZAKLJUČAK • DISKUSIJA – PITANJA I ODGOVORI

3. Povijest sigurnosti informacijskih sustava • “cezarevo šifriranje” • Razvoj sigurnosti informacijskih sustava u početku prati vojna osvajanja • Prijelomni trenutak – Drugi svjetski rat • Pojava elektroničkog poslovanja (“e-business”)

4. Plan informacijske sigurnosti I • Identificira se kritična dokumentacija kao podloga za pripremu Plana te standardi koji će biti primijenjeni • Procjenjuje se postojeće stanje informacijske sigurnosti unutar poduzeća ili organizacije • Definiraju se prioriteti informacijske sigurnosti • Identificiraju se odjeli te funkcije koje u operativnoj fazi rade s povjerljivim informacijama ili podacima • Identificiraju se mogući rizici po sigurnost sustava • Predlažu se metode za umanjenje ili potpuno uklanjanje rizika

5. Plan informacijske sigurnosti II • Privatnost, povjerljivost i sigurnost informacija • Pravila dobrog ponašanja • „Need to know“ princip • Nivoi diskrecije

6. Plan informacijske sigurnosti III • Povjerljivost • Integritet • Raspoloživost Kontrole: • Administrativne • Logičke • Fizičke CIA trijada

7. Integralna korporativna (organizacijska) sigurnost

8. Rizik I • Identificiranje rizika

9. Rizik II • Pristup povjerljivim informacijama od strane neovlaštene osobe • Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane „hakera“ • Presretanje podataka tijekom transakcije • Gubitak podataka ili povjerljivosti informacija zbog greške korisnika • Fizički gubitak podataka uslijed katastrofe • Nekompletnost i nedokumentiranost transakcije • Neautorizirani pristup povjerljivim informacijama od strane zaposlenika • Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama („phishing“) • Neautorizirani pristup preko papirnih dokumenata i izvještaja • Neautorizirani transfer povjerljivih informacija preko treće strane

10. Rizik III – kontrola i upravljanje rizikom • Kontrola prikupljanja informacija • Kontrola pristupa informacijama • Obrazovanje korisnika sustava • Kontrola fizičkog pristupa • Kontrola čuvanja dokumenata • Kontrola uništavanja dokumenata • Izrada odjelnih planova čuvanja privatnosti podataka • Kontrola zahtjeva prema trećim stranama • Kontrola pristupa informacijama sadržanim unutar informacijskog sustava (u nastavku...)

11. Rizik IV – Kontrola pristupa informacijama sadržanim unutar informacijskog sustava poduzeća • kreiranje kriterija pristupa računalnoj mreži • kreiranje korisničkih grupa • kontrola pristupa elektroničkoj pošti • kontrola pristupa Internet servisima • kontrola pristupa telefonskom sustavu • kontrola daljinskog pristupa • kontrola pristupa preko virtualnih privatnih mreža

12. SURADNJA ORGANIZACIJSKIH CJELINA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI • Odnos strateškog, operativnog i taktičkog se isprepliće unutar poslovnog konteksta • Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važećeg Plana informacijske sigurnosti • Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden • Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji mora biti odobren od odgovarajuće instance

14. Primjer godišnjeg izvješća o sigurnosti

15. Uloga ključnih administratora • Rad s povjerljivim informacijama • Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije • Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti • Profesionalni i osobni rast • Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata poduzeća: 1. Zakon o zaštiti osobnih podataka 2. Zakon o informacijskoj sigurnosti 3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka 4. Zakon o zaštiti na radu 5. Zakon o bankama 6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika 7. Odluka o primjerenom upravljanju informacijskim sustavom 8. Zakon o osiguranju 9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i revizorskog izvješća društava za osiguranje

16. Razgraničenje odgovornosti za informacijsku sigurnost

17. Statistika • 55 % korisničkih računala je zaraženo spyware-ima • 7% tvrtki koristi Windows Service Pack 2 • 25 % kompjutora su zombiji • 33 % tvrtki dozvoljava Instant Messaging • u 52 % tvrtki perimetar mreže je zadnja linija obrane • 14 % korisnika čita spam a 4 % kupuje proizvode koje spam reklamira (!) • 21 % spama je pornografija • 20 % korisnika u Velikoj Britaniji kupuje softver koji reklamira spam

18. Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti Hvala na pažnji - vrijeme je za diskusiju!