690 likes | 833 Views
MBIS – Manažment bezpečnosti informačných systémov. Každý systém je možné chrániť pred náhodným omylom, ale nie pred úmyselným zneužitím. Čo je to bezpečnosť. Bezpečnosť – je nutné chápať ako súčinnosť technických, programových, organizačných, legislatívnych a iných opatrení
E N D
MBIS – Manažment bezpečnosti informačných systémov Každý systém je možné chrániť pred náhodným omylom, ale nie pred úmyselným zneužitím
Čo je to bezpečnosť • Bezpečnosť– je nutné chápať akosúčinnosť technických, programových, organizačných, legislatívnycha iných opatrení • Z pohľadu IS - základné úrovne • technicko-technologickú, • aplikačnú a • organizačnú vrstvu.
Základné pojmy • Aktívum • Hrozba • Rizikováanalýza • Protiopatrenie
Základné pojmy - aktívum Aktívum je všetko, čo má pre organizáciu z podnikateľského hľadiska hodnotu.
Základné pojmy - aktívum • ľudské zdroje • informácie • dobré meno • fyzický majetok Všetko, čo má význam chrániť ...
Základné pojmy – hrozba Hrozba (nebezpečenstvo) je objektívne existujúca možnosť vzniku akcie, udalosti alebo úmyslu, ktorá môže mať nepriaznivý účinok na aktíva organizácie, alebo môže viesť k ich znehodnoteniu.
Základné pojmy - hrozba • strata • nehody • kriminalitu • zanedbanie • prírodné vplyvy • neetické konanie
Základné hrozby • strata dôvernosti • strata integrity • strata dosiahnuteľnosti • strata autentickosti
Strata dôvernosti • informácia je prezradená, stane sa teda známou mimo vymedzeného (oprávneného) okruhu subjektov, pre ktorý je určená,
Strata integrity • informácia nie je celistvá, je neúplná, nie je v pôvodnom stave, alebo bola modifikovaná
Strata dosiahnuteľnosti • informácia nie je tam, kde je očakávaná, nemožno ju okamžite použiť, alebo je inak nedostupná oprávnenému používateľovi,
Strata autentičnosti • informácia je neoprávnená alebo nezodpovedá skutočnosti, ktorú by mala reprezentovať, prípadne nie je istota o jej zdroji.
Základné pojmy - protiopatrenia • Minimalizácia hrozieb sa realizuje súborom protiopatrení na zníženie pravdepodobnosti vzniku hrozby a rozsahu možnej škody
Protiopatrenia – úroveň • fyzické - EPS, EZS, strážna služba, trezory, biometrické sysétmy atď., • logické - zálohovacie jednotky, bezpečnostné karty, antivírusové programy a • organizačné - bezpečnostná dokumentácia, havarijné plány, kompetencia útvaru bezpečnosti.
Protiopatrenia – čas • preventívne, pred narušením bezpečnosti • odstrašujúce, pred a počas pokusu narušenia • detekčné, v okamžiku pokusu o narušenie • reakčné, reakcia na narušenie • korekčné eliminčné, po vzniku narušenia
Bezpečnosť IS • Bezpečnosť je súhrn objektov, subjektov, procesov, metód a opatrení, ktoré minimalizujú pravdepodobnosť hrozieb a ich následkov na prijateľnú hodnotu
Bezpečný informačný systém je všeobecne definovaný ako systém, ktorý chráni informácie počas ich vstupu, spracovania, uloženia, prenosu a výstupuproti stratedostupnosti, integrity, autentičnosti a dôvernosti a po ich likvidácii proti strate dôvernosti. Celková bezpečnosť IS je daná bezpečnosťou jeho jednotlivých častí.
Pohľad na bezpečnosť • ... kvalita • ... legislatíva a právo • ... definícia informácie • ... prenosu informácie • ... štandardov • ... architektúra systému • ... dokumentácie systému • ... bezpečnostnej politiky • Audit bezpečnosti
BIS s pohľadu kvality Kvalita je súhrn vlastností a znakov produktu, procesu alebo služby, ktorý umožňuje plniť vopred stanovené požiadavky zo strany zákazníka a verejného záujmu Spokojnosť zákazníka a kvalita získavajú stále väčšiu celosvetovú pozornosť. Aktíva IS: • priamo súvisiace s IS • súvisiace s chodom organizácie • ostatné špecifické prvky
priamo súvisiace s IS • technické a programové vybavenie, • dokumentácia, sieťové prvky, • obsluha informačného systému, • riadiaci manažment, • programátori a technický pracovníci,
súvisiace s chodom organizácie • budovy, vybavenie, • komunikačná technika, • dopravná technika, • know-how,
ostatné špecifické prvky • dokumenty, • údaje v databázach, • poradcovia, • metodici a pod.
Kvalita pri vývoji programov • funkčnosť, • spoľahlivosť, • udržiavateľnosť, • účinnosť, • prenosnosť, • použiteľnosť a pod.
... legislatíva a právo Otázka spojené s: • právom na súkromie a rodinný život, • právom na dobré meno a povesť, • právom na slobodu a bezpečnosť, • právom na ochranu osobných údajov a pod.
Ochrana osobných údajov • osobný údaj • spracovanie osobných údajov • informačný systém • poskytovanie osobných údajov • likvidácia osobných údajov • súhlas dotknutej osoby • prevádzkovateľ informačného systému • užívateľ systému
... definície informácie • Dáta a informácia, • Informačnýsystém, • Súbor, • Databanka alebo banka dát, • Databázový systém, • Program, • Programové vybavenie, • Okolie systému.
... štandardov • ISO - Medzinárodná organizácia pre štandardizáciu ISO (International Organization for Standardisation) • IEC - International Elecrtotechnical Commission, ktoré sa zaoberá hlavne technickými aspektmi a • ITU - International Telecommunication Union - Medzinárodná telekomunikačná únia, ktorej pôsobnosť je hlavne v oblasti legislatívnej.
Návrh architektúry IS globálna stratégia celkový pohľad prehľad o procesoch informačná stratégia bezpečnostná politika požiadavký odberateľa ... architektúra systému
Pre dosiahnutie efektívneho výsledku zabezpečenia musia byť vrstvy 1 – 3 implementované pred štvrtou vrstvou – samotným nákupom a implementáciou techniky, technológie a ďalších produktov. Neoddeliteľnou časťou na najvyššej vrstve je audit a monitorovanie systému. Obr. 2 Model bezpečnosti ...model bezpečnosti
... dokumentácie systému • predprojektová príprava, • analýza systému, • dekompozícia a návrh systému, • jeho implementácia a testovanie, • skúšobná prevádzka, • zavádzanie do prevádzky, • prevádzka, údržba a rozvoj systému, • ukončenie jeho prevádzky.
Dokumentácia projektu ... predstavuje súbor materiálov, ktorý vzniká v procese jeho tvorby a výstavby a ktorej účelom je : • systematicky dokumentovať výsledky jednotlivých etáp životného cyklu vývoja informačného systému, • vytvárať ucelený podkladový materiál pre rozhodovacie a schvaľovacie riadenie a pre predávanie výsledkov riešenia, • zabezpečiť testovanie, zavádzanie, prevádzku, vyhodnotenie efektívnosti, údržby a rozvoja informačného systému.
... bezpečnostnej politiky • bezpečnostná doktrína na úrovni celého podniku, • bezpečnostná línia na úrovni oddelenia alebo sekcie, • bezpečnostné praktiky vo forme smerníc a pokynov • bezpečnostné procedúry
Princípy realizácie BP • zodpovednosti jedinej osoby za rozhodnutie, • oddelenia výkonných a kontrolných funkcií, • súčinnosti a aktuálnosti, • hierarchia dokumentov apod.,
Bezpečnostná politika Odpoveď na nasledovné otázky : • čo musí byť chránené, • kto za to nesie zodpovednosť, • kedy to bude efektívne, • ako to bude zabezpečene v praxi, • kedy to bude v praxi, • ako to bude uvedené do praxe a pod.
Konflikt dvoch aktivít • bezpečnostné ciele, ktoré na prvý pohľad nemusia byť (a väčšinou ani nie sú) totožné s • obchodnými cieľmi podniku a môže zdať stať, že sa vzájomne nepodporujú, prípadne že si odporujú.
Audit bezpečnosti • zistiť mieru súladu medzi bezpečnostnou politikou a skutočnou situáciou, • poskytnúť primeranú istotu o tom, že bezpečnosť systému je na požadovanej úrovni a že bezpečnostný systém organizácie neobsahuje významné medzery, • odhaliť slabé miesta v bezpečnosti systému, • oznámiť zistené výsledky, prípadne • navrhnúť možné riešenia zistených nedostatkov.
Náplň činnosti audítora BIS Audit - komplexný materiál v oblasti BIS a mal by byť zameraný hlavne na : • fyzickú bezpečnosť • režimovú bezpečnosť • personálnu bezpečnosť • bezpečnosť technických prostriedkov • bezpečnosť dát • bezpečnosť komunikácie
Audit - fyzická bezpečnosť • budova a jej okolie, možnosť vniknutia cudzej osoby, spôsob stráženia • ohrozenie pri živelnej pohrome, • existencia a úroveň EZS, • existencia a úroveň EPS, • umiestenie kľúčov auditovaného systému a priestorov, • spôsob likvidácie dokumentov, skartačný poriadok • prístup upratovacej služby do kľúčových priestorov • existencia a umiestenie záložného pracoviska, záložný systém a pod.
Audit – režimová bezpečnosť • organizačnýporiadok organizácie a jeho vzťah k BIS • existencia bezpečnostnejpolitiky • obsahzmlúv z hľadiska utajovania skutočností a mlčanlivosti, • smernice pre manipuláciu a pamäťovými médiami a ich skladovanie • smernice pri hlásení a riešení bezpečnostne významných udalostí, • normy (interné, národné, medzinárodné) a ich dodržiavanie, • zásady používania identifikačných a autentizačných prvkov • kompetencie a smernice pre tvorbu smernice a kompetencie pre inštaláciu nových programov, • plánobnovy technických a programových prostriedkov, • evakuačnýplán a pod.
Audit – personálna bezpečnosť • zainteresovanosť zamestnancov na bezpečnosti organizácie, • príprava zamestnancov na prácu s citlivými údajmi, • podmienky v ktorých užívatelia systému pracujú • motivácia pracovníkov na kľúčových miestach • mechanizmus pri rozväzovaní pracovného pomeru, • školenia bezpečnosti, ich periodicita a obsahová stránka a preskúšanie zamestnancov, • smernice pre zastupovanie a pod.
Audit - bezpečnosť technických prostriedkov • druh, kvalita a certifikácia technických prostriedkov, • zabezpečenie servisu, periodicita prevencie, spoľahlivosť, • zálohovanie systému UPS, náhradný zdroj energie • tvorba nových programových produktov, • zabudovanie bezpečnostných a kontrolných vlastností • ochrana proti vírusom, antivírová ochrana a prevencia, • mechanizmus testovania nových produktov a programov, • existencia a uloženie záložných verzií • právna a autorská čistota používaných programov, • správa hesiel a prístupov, • zálohovanie programových produktov a obnovy,
Audit – bezpečnosť dát • kompetencie a smernice pre zadávanie dát, • mechanizmy autorizácie a rozlíšenie prístupu k údajom, • zálohovanie, archivácia a likvidácia údajov, • šifrovanie a kryptovanie dát,
Audit – bezpečnosť komunikácie • spôsobkomunikácie medzi jednotlivými časťami siete, typ siete, jej zabezpečenie, zabezpečenie prenosu a pod, • existencia a používanie kryptografickýchmetód, • spôsob prepojenia informačného systému naokolie a externé subjekty, • smernice pre telefónny styk, používanie faxu, elektronickej pošty a pod, • fyzickáochrana komunikačných, • kontrolaprístupu do siete, a pod.
Riziková analýza • Riziko je potencionálna možnosť, že daná hrozba využije zraniteľnosť aktíva alebo skupiny a spôsobí im stratu alebo škodu. • Riziková analýza je metóda, na základe ktorej môžeme zistiť aké hrozby predstavujú jednotlivé narušenia pre informačný systém, aké škody môžu spôsobiť a aké protiopatrenia možno použiť na elimináciu jednotlivých hrozieb.
Postupy pri analýze • kvantitatívne - pracujeme s odhadovanými finančnými čiastkami - poistiteľné, • kvalitatívne - ak nevieme dané aktívum finančne ohodnotiť napr. Goodwill organizácie, dôverné informácie a pod alebo nevieme odhadnúť pravdepodobnosť výskytu hrozieb
Riziková analýza • Vytvorenie zoznamu aktív • Ohodnotenie aktív • Vytvorenie zoznamu hrozieb • Ohodnotenie vážnosti hrozieb • Odhad očakávaných škôd • Výber opatrení proti hrozbám
Štandardy • TCSEC Trusted Computers evaluation Criteria - Oranžová kniha • ITSEC Information Technology Security Evaluation Criteria - Európske kritéria • Britishstandard BS 7799
Oranžová kniha - kategórie • všeobecnej bezpečnostnej politiky, • prístupu a identifikovateľnosti a • oblasť záruk, • ako treba pristupovať k politike, • čo je treba poskytnúť ku kontrole pri prístupe k informáciám • ako je možné získať záruku, že tento prístup je v počítačovom systéme dostatočne prepracovaný