osnove bezbednosti informacija iso 27001 – sistem...
TRANSCRIPT
-
Osnove bezbednosti informacijaISO 27001 Sistem
menadmenta bezbedno u informacija
-
Sadraj
Povodi za sistem upravljanja bezbednou informacija (ISMS)
Spoljanje i unutranje pretnje bezbednosti informacija
Koristi od upravljanja bezbednou informacija
Osnovni koncept i principi zatite informacija Politike bezbednosti
-
Potrebe za bezbednou informacija
Informacije u dananjem poslovanju spadaju u najvie vrednosti resursa u organizacijama
Sve vie klijenata se interesuje za bezbednost informacija
Potreba za zatienim podacima Vei rizici sa veim korienjem tehnologija Zahtevi nekoliko vrsta sertifikacija
(ISO 27001, ISO 22301, PCI DSS ...) Zakonski zahtevi (Privatnost podataka, Zatita
poslovne tajne, SOX i dr.)
-
Poverljive informacije za privredne subjekte
tehnike i komercijalne informacije koje se odnose na organizaciju ili njene poslovne partnere,
odnose se na njihovo poslovanje, objekte, proizvode, tehnika reenja i procese
Organizacije su dune da zatite poverljive informa cije
-
ta je poverljiva informacija (poslovna tajna)
finansijski, ekonomski, poslovni, nauni, tehniki, tehnoloki, proizvodni podaci, studije, testovi, rezultati istraivanja, ukljuujui i formule, crte, plan, projekat, prototip, model, kompilaciju, metod, tehniku, postupak, programski kod, obavetenje, line podatke, ili uputstvo internog karaktera i slino, bez obzira na koji nain su sauvani i komunicirani
-
Ekonomske tete od povreda nad podacima
-
Ko biva najvie napadnut?
Finansijske institucije i banke Internet servis provajderi Farmaceutske kompanije Vlada i agencije za odbranu Ugovarai vladinih agencija Multinacionalne korporacije Bilo ko, da se nalazi na mrei
Ove organizacije treba da zatite svoju ranjivost
-
Povodi za uspostavljanje sistemabezbednost informacija
Poverenje korisnika usluga Poveanje ugleda kod korisnika i konkurencije Zatita od konkurencije Vei stepen odgovornosti unutar preduzea Zakonske obaveze
-
Kljuna svojstva informacija (CIA)
Poverljivost
Da li su moje poverljive
Informacije zatiene?
Integritet
Dostupnost
Da li su moji podaci verodostojini
i bez neovlaenih izmena?
Da li su moje informacije
dostupne ovlaenim korisnicima?
-
Vrednost informacione imovine
teta koja bi nastala gubitkom: poverljivosti
raspoloivosti
integriteta
informacione imovine
-
Kako nastaju bezbednosni incidenti?
finansijski gubitak
gubitak ugleda
gubitak vremena
gubitak know -how
Ljudske greke
nedostatak know-how
nedostatak interesa
zamor
Tehnike ranjivosti
nezatiena mree
neaurirane aplikacije
nezatien WiFi , Bluetooth
pogrena konfiguracija
Namerne pretnje
iznutra
izvana
fizike
logike
Nenamerne
pretnje
greke
kvarovi
Pretnja Informaciona imovina
RanjivostPosledica
-
Oblici spoljnih pretnji
Provala - kraa
Namerna teta ili sabotaa
Fluktuacija (nestabilnost) napona
Poar
Poplava
Neovlaen pristup prostorijama
Nedostatak tehnike podrke
Neovlaen pristup podeavanjima
Kraa identiteta korisnika
Maliciozni softver
Prekid (komunikacione) usluge
Neovlaen pristup podacima na medijumima sa podacima
Proboj (intrusion) kroz mreu
Prislukivanje
Upad u komunikacije
-
Oblici unutranjih pretnji
Otkaz opreme
Oteenje nosaa podataka
Slabe performanse
Loa konfiguracija (hardvera)
Preoptereenje saobraaja
Prepunjen bafer
Operativna greka osoblja
Neispravnost softvera
Greka prilikom odravanja
Smanjena efikasnost rada
Nedostatak osoblja
Naputanje firme
Nepovoljna temperatura ambijenta
Neovlaen pristup podeavanjima
Kraa identiteta korisnika
Neovlaen pristup aplikacijama
Korienje ureaja na neovlaen nain
Povreda prava
Nekontrolisano kopiranje
Gubitak podataka
Curenje informacija
Gubitak mobilnih ureaja ili medija sa podacima
Neovlaeno korienje ureaja za pristup javnoj mrei (dial-up ili 3G kartica)
-
Pretnje spolja i iznutra
Pretnje su ee unutar organizacije
-
Pogled unazad U periodu 2001.-2014. oko 80% napada je bilo
eksternog porekla U 60% sluajeva napadai su bili u mogunosti da
kompromituju organizaciju za svega nekoliko minuta
U 75% napada, nadai se kreu od rtve A ka rtvi B za manje od 24 sata
Neke metode koje se koriste su iste metode napada koje su se koristile i 2000. godine i ponekad prolaze
Prema istraivanju Verizon iz 2013. godine, kod 95% napada postojali su sponzori napadaa
-
Pretnje za bezbednost informacije se konstantno menjanju
Mobilni ureaji Cloud tehnologije Infrastruktura Klimatske promene
-
%
Prebacivanje pijunae na poslovna podruja
Information Security- pijunaa -
Politikapijunaa
i
Poslovna pijunaa
Ranije Danas
-
Uestalost napada po industrijskim sektorima
-
Primer napada sa modifikacijom virusa
-
Dananji profil hakera za izvoenje napada
Poseduju vie resursa da izvre napad Imaju vea i dublja tehnika znanja Umeju dobro da se organizuju
U preko 55% slu ajeva razlozi napada su finansijski interesi
-
Putevi sajber kriminala su sloeni
Conseko d.o.o.
-
22
Korist od sistema menadmenta bezbedno u informacija
Sistem menadmenta bezbednou informacija omoguava organizaciji da:
zadovolji zahteve bezbednosti informacija kupaca i drugih zainteresovanih strana;
poboljava svoje planove i aktivnosti;
ispuni ciljeve bezbednosti informacija;
bude u skladu sa propisima, zakonima, ugovornim obavezama i oekivanjima zainteresovanih strana; i
upravlja informacionom imovinom na organizovan nain tako da olaka neprekidno poboljavanje i prilagoavanje trenutnim
organizacionim ciljevima.
-
Merama bezbednosti informacija zatiuju se:
Vrednosti i resursi organizacije Klijenti Zaposleni Dobavljai proizvoda i usluga
Preduzimaju se mere za zatitu informacija zainteresovanih strana
-
Primenom ISMS sistema ostvaruju se
Stalna dostupnost usluge Zatita podataka od neovlaenog pristupa Sigurnost u razmeni podataka sa treim licima Zatita podataka od gubitaka
-
Metode odbrane informacione imovine
-
Mere se postizanje zatite informacija mogu biti:
Tehnike mere Administrativne mere Organizacione mere
Tehnike
Kontrole komunikacija, zatite pristupa i zatite
podataka
OrganizacionePostupci,
upravljanje
Administrativne
Svesnost i primena mera za bezbednost
-
27
Sistem menadmenta bezbednou informacija
Uloga rukovodstva
Rukovodstvo je odgovorno za nadzor i donoenje odluka neophodnih za dostizanje poslovnih ciljeva kroz zatitu informacione imovine organizacije.
Menadment bezbednou informacija iz perspektive rukovodstva se izraava kroz formulaciju i upotrebu politika bezbednosti informacija, procedura i smernica, koje zatim kroz organizaciju primenjuju svi pojedinci koji su sa njom povezani.
Oekuje se da usvajanje Sistema menadmenta bezbednou informacija bude strateka odluka za organizaciju i neophodno je da ta odluka bude potpuno integrisana, sprovedena i aurirana prema poslovnim potrebama organizacije
-
28
Preporuke menadmentu organizacija
1. Razumevanje kritinosti informacija i informacione bezbednosti u organizaciji
2. Razmatranje ulaganja u informacionu bezbednost za usklaivanje sa strategijom organizacije i profilom rizika
3. Odobravanje razvoja i implementacije sveobuhvatnogprograma bezbednosti informacija
-
Tipina organizaciona ema za IS u velikom preduzeu
ISM Information Security Management
Information Security Officer
Regional IS Operations in Charge
Incidence Response Team
Network Security Administrator
Communications Security Administrator
Server Desktop Security Administrator
Application Security Administrator
Administration Team for Physical Security
ISMS Implementation Team
Business Continuity & DRP Team
-
Odreivanje potencijalno raspoloivih resursa
izbor timova za: hitne situacije upravljanje rizikom u organizaciji, ublaavanje posledica kroz BCP
odabir kontrola zatite, implementacija kontrola zatite
-
OrganizacioneMere
Tehni ke mere Administrativnemere
Pravila zatite informacija primenjuju sena sve zaposlene!
Bezbednost informacija
Polise na ureajima i sistemima
Pravilnici,Procedure, Ugovori
Politike
-
32
Naini za borbu sa pretnjama bezbednosti Strateki
Taktiki
Operativni
Tehniki
-
Maksimalna Poslovna fleksibilnost Maksimalna
Bezbednost informacija
Razmotriti i uzimati u obzir fleksibilnost i ogranienja u radu
-
Uspostavi pravila:
Upostavi i po potrebi dokumentuj pravila za rad u firmi.
Definii oekivane rezultate procesa:
Definie oekivane rezultate i za to dokumentovane informacije.
Prikai rezultate ta si uradio:
Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.
Verifikuj:
Sprovodi periodine interne provere, da proveri pogodnost, usaglaenost i
efektivnost primene.
Vodei principi kod primene standarda
Principi koji vae za sve standarde sistema menadmenta
-
Glavni elementi ISMS sistema
ISMSprakse
Politika i ciljevi
bezbednosti informacijaPolitike i ciljevi
ISMS
Interne provere i
preispitivanjeZa verifikaciju
primene i otkrivanje mesta za poboljanja
Primena zahtevanih
kontrolaPrema zahtevima
aneksa A standarda
Procena rizika bezbednosti informacija
za svu informacionu
imovinu
Upravljanje kontinuitetom
kritinih uslugaZa sluaj
nepredvienih dogaaja
-
Uspostavi pravila:
Upostavi i po potrebi dokumentuj pravila za rad u firmi.
Definii oekivane rezultate procesa:
Definie oekivane rezultate i za to dokumentovane informacije.
Prikai rezultate ta si uradio:
Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.
Verifikuj:
Sprovodi periodine interne provere, da proveri pogodnost, usaglaenost i efektivnost primene.
Vodei principi kod primene standarda
Principi koji vae za sve standarde sistema menadmenta
-
Principi uspostavljanja bezbednosti informacija prema ISO 27001
Razdvanje zaduenja Pristup dokumentima i podacima na need to know osnovi Razmena informacija u skladu sa procenom rizika Obezbeenje redundantosti da bi se izbegao single point of
failure Monitoring aktivnosti, ukljuujui privilegovane korisnike Kontrola spoljnjeg pristupa mreama i razdvajanje mrea Testiranja aplikacija (sa anonimizovanim podacima) Kriptovanje osetljivih podataka u bazama i podataka u
saobraaju Uenje iz incidenata
-
Najee dokumentovana pravila bezbednosti informacija
Kontrola pristupa prostorijama Kontrola pristupa informacijama i resursima Klasifikacija dokumenata i informacija Upravljanje lozinkama Politika istog stola i ekrana Izrada rezervnih kopija podataka i oporavak sistema Odlaganje i rashodovanje medijuma i opreme Prihvatljiva upotreba elektronske pote i interneta Zastita prenosivih medijuma za podatke Rad sa daljine i korienje mobilnih ureaja Zatita podataka o linosti Zatita od virusa i malicioznog koda Saradnja i razmena podataka sa poslovnim partnerima
-
Polisa Zatita poverljivih informacija
Nivoi poverljivosti dokumenata:
Interno Poverljivo Strogo poverljivo / poslovna tajna
Za svaku klasifikaciju se navodi koja su dokumenta i propisuje postupanje
-
Objanjenje nivoa poverljivosti
Podaci sa oznakom "interno" predstavljaju informacije koje su namenjene za interno poslovanje drutva i ijim otkrivanjem mogu nastati minimalne tetne posledice za poslovanje drutva
Podaci sa oznakom "poverljivo" predstavljaju informacije ijim bi otkrivanjem mogle nastupiti tetne posledice za poslovanje drutva
Podaci sa oznakom "strogo poverljivo" predstavljaju informacije ijim bi otkrivanjem mogle nastupiti tee tetne posledice za poslovanje drutva.
-
Primeri poverljivih dokumenata i informacija
POVERLJIVO
poslovni planovi
finansijski izvetaji
poslovni podaci klijenata i partnera
konstrukciona dokumentacija u fazi izrade
izvetaji o zadovoljenju kupaca
lista prihvaenih isporuilaca
ugovori sa klijentima
ugovori sa poslovnim partnerima
delovodnik
cenovnici dobavljaa
ulazni i izlazni rauni
predmeri i predrauni radova
Bankovni izvodi
STROGO POVERLJIVO
loznike za pristup
ponude tokom njihove pripreme
ulazne kalkulacije
lista kupaca
ugovori sa kupcima
promet po kupcima
poverljivi podaci klijenata i partnera
lini podaci zaposlenih, klijenata i poslovnih partnera
personalna dosijea sa ugovorima o radu zaposlenih
platni spiskovi
-
Politika Kooperacija i razmena informacija sa poslovnim partnerima"
Dozvolite poslovnim partnetima pristup informacijama samo u meri koja je potrebna prema ugovoru o saradnji
Sve informacije koje su rezultat saradnje sa poslovnim partnerom treba tretirati kao informacije koje ine vlasnitvo kompanija
Dokumenta koja se prenose poslovnom partneru moraju imati oznaku statusa poverljivosti i znak zatite od kopiranja
Strogo poverljive informacije se u normalnim okolnostima ne smeju prenositi poslovnim partnerima. Izuzeci su mogui samo u posebnim ugovorom definisanim sporazumima.
-
Ugovori za neodavanje poverljivih informacija - NDA
Ugovor sadri definiciju ta su poverljive informacije /podaci u konkretnom sluaju
Poverljive informacije, skice, programski kod su vlasnitvo Naruioca
Ukoliko isporuilac ima podizvoaa, u obavezi je da sa njim ima sklopljen ugovor o neodavanju poverljivih informacija Klijenta
Za svaku klasifikaciju se navodi koja su dokumenta i propisuje se postupanje
-
Upravljanje rizicima bezbednosti informacija
Osnovni pojmovi
Pojam Definicija
Rizik Kombinacija verovatnoe nekog dogaaja i njegovih (negativnih) posledica
Pretnja Potencijalni uzrok nekog neeljenog incidenta, koji moe dovesti do tete na sistemu ili u organizaciji
Ranjivost Slabost neke imovine ili grupe resursa koju naka pretnja moe da iskorist
Vlasnik rizika osoba ili grupa ljudi sa dodeljenom odgovornou i ovlaenjem da upravljaju rizikom
-
Standardni model rizika
Posledice Ukupna teta
Kontrola posledica
Verovatnoa rizinog dogaaja
Kontrola verovatnoe
rizinog dogaaja
Dogaaj rizika
Verovatnoa posledica
-
Faktori rizika prema Microsoft DREAD modelu
Conseko d.o.o.
Posledice Verovatno a Mogu nost kontrolisanja
Mogunost detekcije
Mogunost kontrole
Mogunost ponavljanja
Mogunost umanjenja
Potencijalna teta
Broj afektiranih komponenti
Rizik
-
Ocena rizika gubitka ili zloupotrebe informacija
Struni tim identifikuje informacionu imovinu na osnovu kojih je, primenom
procesa ocenjivanja rizika po bezbednost informacija u odnosu na gubitak
poverljivosti, integriteta i raspoloivostiinformacija, izvrava procenu
vrednosti imovine.
Procena rizika se utvruje na bazi kriterijuma ranjivosti (1-3), pretnje (1-3) i
verovatnoe ostvarenja pretnje (1-5) prema sledeoj formuli gde da je:
Rizik po bezbednost imovine =
Vrednosti imovine x Pretnja (njena verovatnoa) x Ranjivost
-
ta je bezbednost zasnovana na rizicima?
Odluke u vezi bezbednosti imovine donete su na osnovu paljive identifikacije, evaluacije i priorizacije rizika
Sprovoenje detaljne procene rizika je preduslov
Fokus na poboljanja i kontrolu oblasti koje predstavljaju najvee rizike
-
Bezbednost zasnovana na rizicima kljuni faktori
Proaktivna, pre nego reaktivna Postepena i stalna promena kako organizacija
pristupa reavanju rizika bezbednosti CSO /CISO se pitaju koji su to prioritetni
rizici reenja koja organizacija treba da primeni da minimizira posledice pretnji
-
Kategorizacija rizika
Konana ocena rizika za
informacionu imovinu
koja je izloena razliitim
vrstama ranjivosti, pretnji
i verovatnoa ostvarivanja
pretnje diferencira se u
pet kategorija
Nivo rizikaUkupan
rizikOpis nivoa rizika i potrebne aktivnosti
Veoma visok 40Izloenost riziku je veoma visoka. Neophodno je hitno primeniti mere za umanjenje rizika.
Visok25
-
51
Efektivno upravljanje rizicima
Oekuje da:
Organizacija je prepoznala svoje rizike za bezbednost informacija
Preduzimaju se mere da se ti rizici svedu na minimum
Vri se stalni monitoring/praenje
-
MAYMAYMAYMAY----05050505
Procesi unutar organizacije se usklauju sa zahtevima
Zahtevi
Miodrag Vukovic 9|15Miodrag Vukovic 9|15Miodrag Vukovic 9|15Miodrag Vukovic 9|15
-
Propisi relevantni za bezbednost informacija:
Zakon o informacionoj bezbednosti (Sl. glasnik RS, br. 6/2016)
Zakon o zatiti poslovne tajne (Sl. glasnik RS br. 71/2011)
Zakon o tajnosti podataka, (Sl. glasnik RS, br. 104/2009)
Zakon o zatiti podataka o linosti (Slubeni glasnik RS", br. 97/2008, 104/2009)
Zakon o autorskom i srodnim pravima ("Sl. list SCG", br. 61/2004)
Zakon o obligacionim odnosima ("Sl. list SFRJ", br. 29/78, 39/85, 45/89 - odluka USJ i
57/89, "Sl. list SRJ", br. 31/93 i "Sl. list SCG", br. 1/2003 - Ustavna povelja)
Krivini Zakonik (Sl. Glasnik RS 85/2005, 88/2005, 107/2005, 72/2009, 111/2009,
121/2012, 104/2013 i 108/2014), lanovi 302, 304
Zakon o zatiti od poara (Sl. Glasnik RS br. 111/09)
Pravilnik o kancelarijskom i arhivskom poslovanju (Sl. glasnik RS br. 106/2009, 6/2010 i
15/2010)
Uredba o posebnim merama zatite tajnih podataka u informaciono
telekomunikacionim sistemima (Sl. glasnik RS br. 51/2011)
Zakon o elektronskom potpisu (Sl. glasniku RS" br. 135/04)
Zakon o elektronskom dokumentu (Sl. glasnik 51/09 od 14.7. 2009.)
Nezaobilazni zahtev: Usklaenost sa zakonom
-
Krivina dela protiv bezbednosti raunarskih podataka
- 27. glava Krivinog zakonika i lanovi ove glave koji se odnose na regulisanje bezbednosti raunarskih podataka na raunarskoj mrei: Raunarska sabotaa
Pravljenje i unoenje raunarskih virusa
Neovlaeni pristup zatienom raunaru, raunarskoj mrei i elektronskoj obradi podataka
Spreavanje i organiavanje pristupa javnoj raunarskoj mrei
Neovlaeno korienje raunara ili raunarske mree
-
Put do sertifikata ISO 27001
Iniciranjeprojekta
Uvodna obuka
Popis imovine
Procena rizika
Internaprovera
Sertifikat
Korektivne mere
Preispitivanje od strane rukovodstva
ISO 27001Sertifikacija
Identifikacija ranjivosti
Identifikacija pretnji
Plan tretrmana
Izrada SoA
Izrada polisa priru nika ISMS
Izrada i testiranje BCP
GAP analiza
-
Hvala na panji!
Pitanja?