1 / 62

Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH

Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH. Mr. sc. Aleksandar Klaić, dipl. ing. el. Ured Vijeća za nacionalnu sigurnost (UVNS). Sponzori. Definicija. Informacijska sigurnost podrazumijeva očuvanje:

skyla
Download Presentation

Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Uloga industrijskog sektora u informacijskoj sigurnosti– nova legislativa u RH Mr. sc. Aleksandar Klaić, dipl. ing. el. Ured Vijeća za nacionalnu sigurnost (UVNS)

  2. Sponzori

  3. Definicija • Informacijska sigurnost podrazumijeva očuvanje: • Povjerljivosti: osiguravanje dostupnosti informacija samo za ovlaštene korisnike; • Cjelovitosti: očuvanje točnosti i potpunosti informacija i metoda obrade; • Raspoloživosti: osiguravanje da ovlašteni korisnici imaju, kada im je to potrebno, pristup informacijama i s njima povezanim sadržajima.

  4. Kontekst • Informacijska sigurnost: • predstavlja integralni dio sustava nacionalne sigurnosti i • čini temelj izgradnje suvremenog informacijskog društva u kojem participiraju • državni sektor, • poslovni sektor, • građanstvo u cjelini.

  5. Sigurnosna suradnja

  6. Ciljevi predavanja • Izgradnja minimalnog stupnja razumijevanja između različitih društvenih sektora • Uočavanje kompleksnih odnosa koje diktira stvaranje globalnog informacijskog prostora • Razumijevanje multidisciplinarnosti područja informacijske sigurnosti

  7. Teme • 1. dio: • Uloga industrijskog sektora u informacijskoj sigurnosti • 2. dio: • Stvaranje globalnog informacijskog prostora • Informacijski kriteriji i domene • 3. dio: • Razvoj informacijske sigurnosti • Usporedba organizacije informacijske sigurnosti u državnom i poslovnom sektoru • 4. dio: • Razvoj informacijske sigurnosti u RH • Legislativni i organizacijski okvir u RH

  8. 1. dio • Uloga industrijskog sektora u informacijskoj sigurnosti

  9. Industrijski sektor • Za potrebe ovog predavanja: • Informacijska i komunikacijska tehnologija (ICT) • Usluge i sustavi • Hardver i softver • Usluge i tehnologije u tradicionalnim sigurnosnim područjima: • Fizička sigurnost • Sigurnost dokumenata • Dio poslovnog sektora u širem smislu

  10. Zahtjevi informacijske sigurnosti

  11. Izazovi i mogućnosti (1/2) • Proces nacionalne normizacije • Informacijska tehnologija, informacijska sigurnost • Hrvatski zavod za norme (HZN) • Okvir i poticaj - država (SDUeH, UVNS, ZSIS, CARNet, …) • Sadržaj – primarno poslovni sektor • Informacijska sigurnost u državnom sektoru • Edukacija i razvoj sigurnosne svijesti • Prilagođeni i sadržajno lokalizirani seminari • Suradnja s akademskim i obrazovnim sustavom • Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ

  12. Izazovi i mogućnosti (2/2) • Informacijska sigurnost u tijelima državne vlasti (TDU) • Klasificirane i neklasificirane mreže za prijenos podataka • Mrežni operatori za najam komunikacijske infrastrukture • Centri za upravljanje i nadzor mreža • Razvoj informacijskih i infrastrukturnih servisa TDU • Tehnologije IT sigurnosti • Tehnologije fizičke sigurnosti • Tehnologije sigurnosti dokumenata • Poslovi certificiranja (CC, ISO, Tempest, …) • Laboratoriji, edukacija • Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ • Nacionalni proizvodi na tržištu NATO zemalja ? • Nadležna tijela: UVNS, ZSIS

  13. Zaključno • Prednosti uređenog sustava su dugoročne • Kratkoročni problemi: • Nužna profesionalizacija državne uprave, ali i dobavljača roba i usluga • Da li je državna uprava RH na potrebnom nivou uređenosti? • Da li je industrijski sektor u RH spreman za nove izazove?

  14. 2. dio • Stvaranje globalnog informacijskog prostora • Informacijski kriteriji i domene

  15. Informacijska (r)evolucija • Promjena kulture stvaranja znanja • Dostupnost, brza distribucija • Povećana ovisnost društva o informacijskim sustavima • Nacionalni, međunarodni • Razvoj suvremenih demokratskih koncepata • Pravo na pristup podacima, privatnost podataka  Utjecaj na temeljne informacijske kriterije: • Raspoloživost, cjelovitost, povjerljivost

  16. Informacijski kriteriji • Primjena na skupove podataka relevantne za društvo, državnu upravu, privatnu kompaniju, … • Nastaju podatkovne domene koje čine informacijski prostor  Dinamičan informacijski prostor • Oblikuje se sukladno razvoju društva i tehnologije

  17. Stvaranje globalnog informacijskog prostora

  18. Ključni utjecaji iz 90-tih godina • Koncept privatnosti: • Koncept e-Governmenta • Sučeljavanje različitih sektora društva (državni, poslovni, građanstvo)  Istovremeno i rastući problemi

  19. Sigurnosni problemi u informacijskom prostoru • Rastuća interakcija različitih informacijskih domena • Međusobna sučeljavanja različitih sigurnosnih modela • Informacijska sigurnost u državnom i poslovnom sektoru • Norme, standardi • Telekomunikacijska regulativa  Zahtjevi na informacijske sustave

  20. Sigurnosni zahtjevi • Temeljni informacijski kriteriji • Povjerljivost, cjelovitost, raspoloživost (CIA triad) • Klasificirane i neklasificirane domene (C)

  21. Zahtjevi povjerenja • Informacijski kriteriji: • usklađenost i pouzdanost (compliance and reliability) • Harmonizacija i uspostava uzajamnog povjerenja u informacijskim sustavima koji se koriste u okviru određene informacijske domene • Sigurnosna akreditacija • Sukladnost s temeljnim principima informacijske domene • Uvjet korištenja i/ili interkonekcije informacijskih sustava

  22. Zahtjevi kakvoće • Informacijski kriteriji: • učinkovitost i djelotvornost (effectiveness and efficiency) • Primarno kod javnih e-Government usluga • Javna telekomunikacijska infrastruktura • Sporazum o razini usluge (SLA)

  23. Informacijski sustavi državne uprave

  24. Definicija kriterija povjerenja za informacijske sustave

  25. Kriterij povjerenja – informacijska domena - Internet

  26. Kategorizacija informacijskih sustava temeljena na povjerenju

  27. Zaključno 2. dio • Sveprisutnost Interneta • sve manje izoliranih mreža • Rastuće ugroze na Internetu • sve više velikih informacijskih sustava u kategorijama kontroliranog i ograničenog povjerenja – temelj e-Gov usluga • Velike sličnosti državnih i poslovnih informacijskih sustava

  28. 3. dio • Razvoj informacijske sigurnosti • Usporedba organizacije informacijske sigurnosti u državnom i poslovnom sektoru

  29. Razvoj informacijske sigurnosti • Vrlo duga tradicija u državnom sektoru • Koncept nacionalne sigurnosti • Minimalni sigurnosni zahtjevi za sva državna tijela • Modeli ugroza promijenjeni • Hladni rat  terorizam • Sukobljavanje  suradnja

  30. Sigurnosna područja • Tradicionalna sigurnosna područja: • Fizička sigurnost, sigurnosne provjere, sigurnost podataka • Tradicionalna tehnička sigurnosna područja: • COMSEC, COMPUSEC, TECSEC  Sigurnost informacijskih sustava (INFOSEC) • Informacijska sigurnost državne uprave: • Fizička sigurnost, sigurnosne provjere, sigurnost podataka, sigurnost informacijskih sustava (INFOSEC), industrijska sigurnost

  31. Trendovi razvoja informacijske sigurnosti

  32. Karakteristike državnog sektora • Usmjerenost na organizacijske aspekte • Funkcionalni model organizacijskih tijela: • NSA, IA ili NCSA, SAA, NDA, CISO/LISO ili CIS OA, ITSOA ili CIS P&I, CERTili CIRC • Načela i zahtjevi: • Odgovornost, razdvajanje nadležnosti i nadzornih procesa, optimizacija resursa • Eksplicitni i implicitni zahtjevi

  33. Karakteristike poslovnog sektora • Tradicionalno: • Specijalni vladini/vojni projekti • Financijski sektor • 1990-te: • Brzi razvoj ICT-a i širenje Interneta  IT sigurnost • Danas širi koncept informacijske sigurnosti • Ovisnost poslovnih procesa o IT-u • Ljudi, organizacija, tehnologija

  34. Nove inicijative • Standardizacija informacijske i komunikacijske tehnologije te područja informacijske sigurnosti • Koncepti i zahtjevi informacijske sigurnosti u temeljima modela informacijskog društva • Interoperabilnost • Tehnička, semantička, organizacijska

  35. Standardizacija • Stimulirana i podržana od vlada zemalja: • Tradicionalna normizacija (nacionalna, međunarodna), • Vlasnički standardi, • Otvoreni standardi. • Nacionalni normizacijski okviri (Security & ICT): • Protection and Security of the Citizen (EU), • ANSI-HSSP (USA), ISO JTC 1 / SC 27 (međunarodno) • Pozitivan utjecaj na industriju, upravljanje poslovnim procesima, razvoj represivnih mjera…

  36. Smisao standardizacije (ISO) • “Standardi pridonose pojednostavljenju života te povećanju pouzdanosti i djelotvornosti robe i usluga koje koristimo” • “Snaga koju standardi donose korisnicima (državni ili privatni sektor) leži u njihovoj sposobnosti da konsenzusom odrede koje će postojeće standarde koristiti, a ne da kreiraju nove standarde.”

  37. Standardi informacijske sigurnosti i IT-a • Poslovni i tehnički standardi • Poslovni standardi i procesi ovise i realiziraju se pomoću IT-a

  38. Sigurnost informacijskog društva – procesni pogled

  39. Interoperabilnost • Tehnička – infrastrukturna • Semantička – aplikacijska • Organizacijska – procesna • Informacijska sigurnost: • Primarno se referira na organizacijski sloj • Pretpostavlja uređenost tehničkog i semantičkog sloja (“IT problematika”) • Strategija Programa One Stop Shop

  40. Temeljne kategorije sustava informacijske sigurnosti • Preduvjet uspostave sustava upravljanja informacijskom sigurnosti • Nezaobilazno u velikim okruženjima • Osnovne kategorije i usporedba državnog i poslovnog sektora: • Regulativa informacijske sigurnosti • Odgovorna tijela • Vlasnici podataka • Vlasnici infrastrukture

  41. Legislativa i regulativa informacijske sigurnosti

  42. Odgovorna tijela

  43. Vlasnici podataka i infrastrukture

  44. CoBIT* kocka i razvoj informacijske sigurnosti • * Control Objectives for Information and Related Technology • IT Government Institute • ISACA – Information System Audit and Control Association

  45. Zaključno 3. dio • Prilagodba politika informacijske sigurnosti razvijenih država • Primjena neklasificiranih kriterija sigurnosti na najniži stupanj tajnosti klasificiranih podataka te na osobne podatke građana • Sučeljavanje različitih informacijskih domena i različitih društvenih sektora • Konvergencija standarda informacijske sigurnosti – ISO/IEC 17799/27001 (?) • Sve jača uloga procjene i upravljanja rizicima • Neklasificirani državni i korporativni informacijski sustavi • Daljnje smanjenje značajnih razlika između klasificiranih i neklasificiranih (korporativnih) informacijskih sustava

  46. 4. dio • Razvoj informacijske sigurnosti u RH • Legislativni i organizacijski okvir u RH

  47. Odgovornost • “Niti jedan dio sigurnosti neće biti u potpunosti učinkovit ako ne bude proveden regulativom, zakonom i pravnom odgovornosti.” • Stegovna odgovornost (unutarnja) • Pravna odgovornost (vanjska) • Vrh organizacijske hijerarhije

  48. Razvoj informacijske sigurnosti u RH • Promjena pristupa – orijentiranost na nacionalnu razinu od 2000.g. • Prva postignuća na nacionalnoj razini: • Svibanj 2000. – RH pristupila NATO PfP programu • Lipanj 2000. – RH i NATO potpisale sigurnosni sporazum • Srpanj 2000. – RH uspostavila NATO NSA i Središnji registar • Legislativa još uvijek nije u potpunosti revidirana • Zakon o zaštiti tajnosti podataka (1996.) • Zakon o sigurnosnim službama (2002.) • Novi paket zakona: • Zakon o sigurnosno-obavještajnom sustavu (srpanj 2006.) • Zakon o tajnosti podataka (u prijedlogu) • Zakon o sustavu informacijske sigurnosti (u prijedlogu)

More Related