uloga klju čnih administratora u postizanju ciljeva integralne korporativne sigurnosti
DESCRIPTION
Uloga klju čnih administratora u postizanju ciljeva integralne korporativne sigurnosti. Konferencija : Zagreb IPC PAES 2008 Predavač : mag. oec. Saša Aksentijević, univ. spec. za intel. el. posl. E-mail: [email protected] Studeni 2008. Sadržaj. UVOD POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA - PowerPoint PPT PresentationTRANSCRIPT
Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti
Konferencija : Zagreb IPC PAES 2008
Predavač : mag. oec. Saša Aksentijević, univ. spec. za intel. el. posl.
E-mail: [email protected]
Studeni 2008
Sadržaj
UVOD POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST PLAN INFORMACIJSKE SIGURNOSTI RIZIK KONTROLA I UPRAVLJANJE RIZIKOM SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA
INFORMACIJSKE SIGURNOSTI ULOGA KLJUČNIH ADMINISTRATORA ZAKLJUČAK DISKUSIJA – PITANJA I ODGOVORI
Povijest sigurnosti informacijskih sustava
“cezarevo šifriranje” Razvoj sigurnosti informacijskih
sustava u početku prati vojna osvajanja
Prijelomni trenutak – Drugi svjetski rat Pojava elektroničkog poslovanja (“e-
business”)
Plan informacijske sigurnosti I
Identificira se kritična dokumentacija kao podloga za pripremu Plana te standardi koji će biti primijenjeni
Procjenjuje se postojeće stanje informacijske sigurnosti unutar poduzeća ili organizacije
Definiraju se prioriteti informacijske sigurnosti
Identificiraju se odjeli te funkcije koje u operativnoj fazi rade s povjerljivim informacijama ili podacima
Identificiraju se mogući rizici po sigurnost sustava
Predlažu se metode za umanjenje ili potpuno uklanjanje rizika
Plan informacijske sigurnosti II
Privatnost, povjerljivost i sigurnost informacija
Pravila dobrog ponašanja „Need to know“ princip Nivoi diskrecije
Plan informacijske sigurnosti III
Povjerljivost Integritet Raspoloživost
Kontrole:
Administrativne Logičke Fizičke
CIA trijada
Integralna korporativna (organizacijska) sigurnost
Rizik I
Identificiranje rizika
Rizik II
Pristup povjerljivim informacijama od strane neovlaštene osobe Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane
„hakera“ Presretanje podataka tijekom transakcije Gubitak podataka ili povjerljivosti informacija zbog greške korisnika Fizički gubitak podataka uslijed katastrofe Nekompletnost i nedokumentiranost transakcije Neautorizirani pristup povjerljivim informacijama od strane zaposlenika Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama
(„phishing“) Neautorizirani pristup preko papirnih dokumenata i izvještaja Neautorizirani transfer povjerljivih informacija preko treće strane
Rizik III – kontrola i upravljanje rizikom Kontrola prikupljanja informacija Kontrola pristupa informacijama Obrazovanje korisnika sustava Kontrola fizičkog pristupa Kontrola čuvanja dokumenata Kontrola uništavanja dokumenata Izrada odjelnih planova čuvanja privatnosti podataka Kontrola zahtjeva prema trećim stranama Kontrola pristupa informacijama sadržanim unutar
informacijskog sustava (u nastavku...)
Rizik IV – Kontrola pristupa informacijama sadržanim unutar informacijskog sustava poduzeća
kreiranje kriterija pristupa računalnoj mreži kreiranje korisničkih grupa kontrola pristupa elektroničkoj pošti kontrola pristupa Internet servisima kontrola pristupa telefonskom sustavu kontrola daljinskog pristupa kontrola pristupa preko virtualnih privatnih mreža
SURADNJA ORGANIZACIJSKIH CJELINA U
PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI
Odnos strateškog, operativnog i taktičkog se isprepliće unutar poslovnog konteksta
Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važećeg Plana informacijske sigurnosti
Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji
mora biti odobren od odgovarajuće instance
Primjer godišnjeg izvješća o sigurnosti
Uloga ključnih administratora
Rad s povjerljivim informacijama Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti Profesionalni i osobni rast Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata
poduzeća:
1. Zakon o zaštiti osobnih podataka
2. Zakon o informacijskoj sigurnosti
3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka
4. Zakon o zaštiti na radu
5. Zakon o bankama
6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika
7. Odluka o primjerenom upravljanju informacijskim sustavom
8. Zakon o osiguranju
9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i revizorskog izvješća društava za osiguranje
Razgraničenje odgovornosti za informacijsku sigurnost
Statistika
55 % korisničkih računala je zaraženo spyware-ima 7% tvrtki koristi Windows Service Pack 2 25 % kompjutora su zombiji 33 % tvrtki dozvoljava Instant Messaging u 52 % tvrtki perimetar mreže je zadnja linija obrane 14 % korisnika čita spam a 4 % kupuje proizvode koje spam
reklamira (!) 21 % spama je pornografija 20 % korisnika u Velikoj Britaniji kupuje softver koji
reklamira spam
Uloga ključnih administratora u postizanju ciljeva integralne korporativne sigurnosti
Hvala na pažnji - vrijeme je za diskusiju!