![Page 1: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/1.jpg)
Bezpečnost informací a IS/ICT v ÚZIS ČR Minimum informační bezpečnosti pro uživatele
a aktuální informace z EU
ÚZIS ČR, MBI, Ing. Jana Blažková
verze 4.0/2010 pro IKEM
![Page 2: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/2.jpg)
Obsah• Co je informační bezpečnost• Hrozby informační bezpečnosti – příklady z praxe• Řízení informační bezpečnosti• Postřehy z EU a RE• Shrnutí
![Page 3: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/3.jpg)
Co je informační bezpečnost (1)• Co chceme a musíme chránit?
Vše co má pro organizaci hodnotu (aktiva) V případě IS/ICT to jsou informace v těchto systémech zpracovávané
• Co je cílem informační bezpečnosti? Upozornit na rizika spojená s využíváním ICT:
ztráta, zneužití
• Jakým způsobem snížíme nebo potlačíme rizika? Implementací bezpečnostních protiopatření a jejich vysvětlením
návrh,zavedení (technologických i organizačně-procesních) opatření, kontrola jejich dodržování apod.
Zvýšení efektivity ICT a celkové úrovně bezpečnosti organizace
![Page 4: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/4.jpg)
Motto informační bezpečnosti
Dokud uživatel neví, z jakého důvodu musí určitá pravidla dodržovat nebo proč je mu něco zakázáno, bude se snažit tato pravidla, která mu „znepříjemňují“ život, nějakým způsobem obcházet.
![Page 5: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/5.jpg)
Co je informační bezpečnost (2)V IS je zajištěna:
Informační bezpečnost neznamená pouze zajištění důvěrnosti nebo dostupnosti informace, za kterou bývá izolovaně zaměňována.
C – Důvěrnost = ConfidentialityInformace je přístupná pouze tomu, kdo je k tomu
oprávněn. I – Integrita = Integrity
Zajištění správnosti i úplnosti informace a správnost metod zpracování.
A – Dostupnost = AvailabilityInformace je dostupná oprávněným uživatelům v okamžiku, kdy ji potřebují.------------------
N – Nepopiratelnost = Non-repuditionPůvodce informace nemůže popřít autorství.Někdy též popisováno jako autenticita (authenticity).
![Page 6: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/6.jpg)
Statistiky a trendy z ČR 2009Výskyt bezpečnostních incidentů za poslední 2 roky a vnímání trenduPrůzkum stavu informační bezpečnosti v ČR Národního bezpečnostního úřadu
![Page 7: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/7.jpg)
Nebezpečí el. komunikace >> ochrana (1)
Ochrana• Kryptografické techniky mají zajistit 3 aspekty:
– Autentizaci – Důvěrnost– Integritu
Kryptografické algoritmy - šifrovací algoritmy >> zajištění důvěrnosti - podpisové algoritmy >> zajištění autentizace - hašovací algoritmy >> zajištění integrity• Osvěta a vzdělávání• Bezpečné chování uživatelů
Email není bezpečný, protože není zajištěna DID
Email není jen cílem, ale i zdrojem útoků…
![Page 8: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/8.jpg)
Nebezpečí el. komunikace >> ochrana (2)
• Nebezpečné přílohy (trend: pokles)– Malware
• Nebezpečný obsah (trend: vzestup)– Nevyžádaná pošta: SPAM, HOAX
ověřte si na http://www.hoax.cz – Sociální inženýrství (sociotechnika) - Phishing, Pharming – Potíže s aktivním obsahem (Java/Script,…)– Hacking
Útoky necílí primárně na technologie, ale na uživatele!
![Page 9: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/9.jpg)
Poznáváte phishing ?
![Page 10: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/10.jpg)
Pharming: Jak ho rozpoznat a bránit se
![Page 11: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/11.jpg)
Nebezpečí el. komunikace >> ochrana (3)
Chování uživatelů (7 rad)– Již dopředu přistupovat k e-mailu podezřívavě – nepředávat
citlivé údaje nikdy na základě výzvy emailem.– Nespouštět neznámé soubory.– Nepoužívat připojení k WiFi a internetové kavárny k online
bankovnictví.– Volit vhodné heslo a chránit jej! – Preferovat šifrovanou komunikaci (https), elektronický podpis.– Kontrolovat vydané certifikáty.– Na doma: Zřiďte si peněžní limit na online transakce, kontrolujte
bankovní účet.
![Page 12: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/12.jpg)
Řízení informační bezpečnostianeb od chaosu k normám• Důvody a příčiny• Mezinárodně uznávané „bezpečnostní“ normy (ISO 2700x)
Integrovaný přístup:Vyvážený přístup k řešení fyzické, technické, organizačně-procesní
a personální bezpečnosti informací, založený na vyhodnocování rizik.
Bez formálního přístupu (dle ISO) vždy hrozí opomenutí vedoucí k narušení celkové bezpečnosti.
Informační bezpečnost je zejména o systému řízení, nejen o technologiích.
ISO 27001 = Procesní přístup pro ustavení, zavedení, provozování, monitorování, udržování, tj. efektivní řízení informační bezpečnosti ve společnosti.
![Page 13: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/13.jpg)
Postřehy z Evropské unie Ochrana soukromí jednotlivce ve světle globalizace a
pokroku v IT (Facebook, Cloud Computing) Legislativa ochrany osobních údajů v kontextu
ochrany lidských práv a svobod
Směrnice EU na ochranu osobních údajů z r.1995
a Úmluva Rady Evropy z r. 1981 > Nevyhovuje potřebám současné moderní informační společnosti
Od r.2009 vyhlásila Evropská komise konzultace k vytvoření nového komplexního rámce při zpracování osobních údajů, návrh na změnu směrnice bude zveřejněn v polovině r.2011.
V roce 2008 Rada Evropy otevřela Úmluvu o ochraně osobních údajů č.108 k přistoupení jakémukoliv státu světa.
![Page 14: ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM](https://reader035.vdocuments.site/reader035/viewer/2022070503/56815656550346895dc3f928/html5/thumbnails/14.jpg)
Závěrečné shrnutí
• Vzhledem k neustále narůstajícím hrozbám v prostředí ICT souvisejících s rozmachem technologií a Internetu je nezbytné průběžné vzdělávání všech uživatelů IS a zvyšování jejich bezpečnostního povědomí.
• Porozumění pravidlům informační bezpečnosti povede k jejich dodržování.
• Dodržování pravidel informační bezpečnosti pomůže zajistit nejen požadovanou ochranu informací, ale zároveň pomůže omezit výskyt bezpečnostních incidentů způsobených neznalostí nebo běžnou lidskou chybou – a tím vede ke zvýšení celkové efektivity IT.