1 / 18

Uloga klju čnih administratora u postizanju ciljeva integralne korporativne sigurnosti

Uloga klju čnih administratora u postizanju ciljeva integralne korporativne sigurnosti. Konferencija : Zagreb IPC PAES 2008 Predavač : mag. oec. Saša Aksentijević, univ. spec. za intel. el. posl. E-mail: axy@vip.hr Studeni 2008. Sadržaj. UVOD POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA

keefe
Download Presentation

Uloga klju čnih administratora u postizanju ciljeva integralne korporativne sigurnosti

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti Konferencija : Zagreb IPC PAES 2008 Predavač : mag. oec. Saša Aksentijević, univ. spec. za intel. el. posl. E-mail: axy@vip.hr Studeni 2008

  2. Sadržaj • UVOD • POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA • INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST • PLAN INFORMACIJSKE SIGURNOSTI • RIZIK • KONTROLA I UPRAVLJANJE RIZIKOM • SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI • ULOGA KLJUČNIH ADMINISTRATORA • ZAKLJUČAK • DISKUSIJA – PITANJA I ODGOVORI

  3. Povijest sigurnosti informacijskih sustava • “cezarevo šifriranje” • Razvoj sigurnosti informacijskih sustava u početku prati vojna osvajanja • Prijelomni trenutak – Drugi svjetski rat • Pojava elektroničkog poslovanja (“e-business”)

  4. Plan informacijske sigurnosti I • Identificira se kritična dokumentacija kao podloga za pripremu Plana te standardi koji će biti primijenjeni • Procjenjuje se postojeće stanje informacijske sigurnosti unutar poduzeća ili organizacije • Definiraju se prioriteti informacijske sigurnosti • Identificiraju se odjeli te funkcije koje u operativnoj fazi rade s povjerljivim informacijama ili podacima • Identificiraju se mogući rizici po sigurnost sustava • Predlažu se metode za umanjenje ili potpuno uklanjanje rizika

  5. Plan informacijske sigurnosti II • Privatnost, povjerljivost i sigurnost informacija • Pravila dobrog ponašanja • „Need to know“ princip • Nivoi diskrecije

  6. Plan informacijske sigurnosti III • Povjerljivost • Integritet • Raspoloživost Kontrole: • Administrativne • Logičke • Fizičke CIA trijada

  7. Integralna korporativna (organizacijska) sigurnost

  8. Rizik I • Identificiranje rizika

  9. Rizik II • Pristup povjerljivim informacijama od strane neovlaštene osobe • Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane „hakera“ • Presretanje podataka tijekom transakcije • Gubitak podataka ili povjerljivosti informacija zbog greške korisnika • Fizički gubitak podataka uslijed katastrofe • Nekompletnost i nedokumentiranost transakcije • Neautorizirani pristup povjerljivim informacijama od strane zaposlenika • Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama („phishing“) • Neautorizirani pristup preko papirnih dokumenata i izvještaja • Neautorizirani transfer povjerljivih informacija preko treće strane

  10. Rizik III – kontrola i upravljanje rizikom • Kontrola prikupljanja informacija • Kontrola pristupa informacijama • Obrazovanje korisnika sustava • Kontrola fizičkog pristupa • Kontrola čuvanja dokumenata • Kontrola uništavanja dokumenata • Izrada odjelnih planova čuvanja privatnosti podataka • Kontrola zahtjeva prema trećim stranama • Kontrola pristupa informacijama sadržanim unutar informacijskog sustava (u nastavku...)

  11. Rizik IV – Kontrola pristupa informacijama sadržanim unutar informacijskog sustava poduzeća • kreiranje kriterija pristupa računalnoj mreži • kreiranje korisničkih grupa • kontrola pristupa elektroničkoj pošti • kontrola pristupa Internet servisima • kontrola pristupa telefonskom sustavu • kontrola daljinskog pristupa • kontrola pristupa preko virtualnih privatnih mreža

  12. SURADNJA ORGANIZACIJSKIH CJELINA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI • Odnos strateškog, operativnog i taktičkog se isprepliće unutar poslovnog konteksta • Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važećeg Plana informacijske sigurnosti • Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden • Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji mora biti odobren od odgovarajuće instance

  13. Primjer godišnjeg izvješća o sigurnosti

  14. Uloga ključnih administratora • Rad s povjerljivim informacijama • Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije • Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti • Profesionalni i osobni rast • Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata poduzeća: 1. Zakon o zaštiti osobnih podataka 2. Zakon o informacijskoj sigurnosti 3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka 4. Zakon o zaštiti na radu 5. Zakon o bankama 6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika 7. Odluka o primjerenom upravljanju informacijskim sustavom 8. Zakon o osiguranju 9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i revizorskog izvješća društava za osiguranje

  15. Razgraničenje odgovornosti za informacijsku sigurnost

  16. Statistika • 55 % korisničkih računala je zaraženo spyware-ima • 7% tvrtki koristi Windows Service Pack 2 • 25 % kompjutora su zombiji • 33 % tvrtki dozvoljava Instant Messaging • u 52 % tvrtki perimetar mreže je zadnja linija obrane • 14 % korisnika čita spam a 4 % kupuje proizvode koje spam reklamira (!) • 21 % spama je pornografija • 20 % korisnika u Velikoj Britaniji kupuje softver koji reklamira spam

  17. Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti Hvala na pažnji - vrijeme je za diskusiju!

More Related