Osnove bezbednosti informacijaISO 27001 Sistem

menadmenta bezbedno u informacija

Sadraj

Povodi za sistem upravljanja bezbednou informacija (ISMS)

Spoljanje i unutranje pretnje bezbednosti informacija

Koristi od upravljanja bezbednou informacija

Osnovni koncept i principi zatite informacija Politike bezbednosti

Potrebe za bezbednou informacija

Informacije u dananjem poslovanju spadaju u najvie vrednosti resursa u organizacijama

Sve vie klijenata se interesuje za bezbednost informacija

Potreba za zatienim podacima Vei rizici sa veim korienjem tehnologija Zahtevi nekoliko vrsta sertifikacija

(ISO 27001, ISO 22301, PCI DSS ...) Zakonski zahtevi (Privatnost podataka, Zatita

poslovne tajne, SOX i dr.)

Poverljive informacije za privredne subjekte

tehnike i komercijalne informacije koje se odnose na organizaciju ili njene poslovne partnere,

odnose se na njihovo poslovanje, objekte, proizvode, tehnika reenja i procese

Organizacije su dune da zatite poverljive informa cije

ta je poverljiva informacija (poslovna tajna)

finansijski, ekonomski, poslovni, nauni, tehniki, tehnoloki, proizvodni podaci, studije, testovi, rezultati istraivanja, ukljuujui i formule, crte, plan, projekat, prototip, model, kompilaciju, metod, tehniku, postupak, programski kod, obavetenje, line podatke, ili uputstvo internog karaktera i slino, bez obzira na koji nain su sauvani i komunicirani

Ekonomske tete od povreda nad podacima

Ko biva najvie napadnut?

Finansijske institucije i banke Internet servis provajderi Farmaceutske kompanije Vlada i agencije za odbranu Ugovarai vladinih agencija Multinacionalne korporacije Bilo ko, da se nalazi na mrei

Ove organizacije treba da zatite svoju ranjivost

Povodi za uspostavljanje sistemabezbednost informacija

Poverenje korisnika usluga Poveanje ugleda kod korisnika i konkurencije Zatita od konkurencije Vei stepen odgovornosti unutar preduzea Zakonske obaveze

Kljuna svojstva informacija (CIA)

Poverljivost

Da li su moje poverljive

Informacije zatiene?

Integritet

Dostupnost

Da li su moji podaci verodostojini

i bez neovlaenih izmena?

Da li su moje informacije

dostupne ovlaenim korisnicima?

Vrednost informacione imovine

teta koja bi nastala gubitkom: poverljivosti

raspoloivosti

integriteta

informacione imovine

Kako nastaju bezbednosni incidenti?

finansijski gubitak

gubitak ugleda

gubitak vremena

gubitak know -how

Ljudske greke

nedostatak know-how

nedostatak interesa

zamor

Tehnike ranjivosti

nezatiena mree

neaurirane aplikacije

nezatien WiFi , Bluetooth

pogrena konfiguracija

Namerne pretnje

iznutra

izvana

fizike

logike

Nenamerne

pretnje

greke

kvarovi

Pretnja Informaciona imovina

RanjivostPosledica

Oblici spoljnih pretnji

Provala - kraa

Namerna teta ili sabotaa

Fluktuacija (nestabilnost) napona

Poar

Poplava

Neovlaen pristup prostorijama

Nedostatak tehnike podrke

Neovlaen pristup podeavanjima

Kraa identiteta korisnika

Maliciozni softver

Prekid (komunikacione) usluge

Neovlaen pristup podacima na medijumima sa podacima

Proboj (intrusion) kroz mreu

Prislukivanje

Upad u komunikacije

Oblici unutranjih pretnji

Otkaz opreme

Oteenje nosaa podataka

Slabe performanse

Loa konfiguracija (hardvera)

Preoptereenje saobraaja

Prepunjen bafer

Operativna greka osoblja

Neispravnost softvera

Greka prilikom odravanja

Smanjena efikasnost rada

Nedostatak osoblja

Naputanje firme

Nepovoljna temperatura ambijenta

Neovlaen pristup podeavanjima

Kraa identiteta korisnika

Neovlaen pristup aplikacijama

Korienje ureaja na neovlaen nain

Povreda prava

Nekontrolisano kopiranje

Gubitak podataka

Curenje informacija

Gubitak mobilnih ureaja ili medija sa podacima

Neovlaeno korienje ureaja za pristup javnoj mrei (dial-up ili 3G kartica)

Pretnje spolja i iznutra

Pretnje su ee unutar organizacije

Pogled unazad U periodu 2001.-2014. oko 80% napada je bilo

eksternog porekla U 60% sluajeva napadai su bili u mogunosti da

kompromituju organizaciju za svega nekoliko minuta

U 75% napada, nadai se kreu od rtve A ka rtvi B za manje od 24 sata

Neke metode koje se koriste su iste metode napada koje su se koristile i 2000. godine i ponekad prolaze

Prema istraivanju Verizon iz 2013. godine, kod 95% napada postojali su sponzori napadaa

Pretnje za bezbednost informacije se konstantno menjanju

Mobilni ureaji Cloud tehnologije Infrastruktura Klimatske promene

%

Prebacivanje pijunae na poslovna podruja

Information Security- pijunaa -

Politikapijunaa

i

Poslovna pijunaa

Ranije Danas

Uestalost napada po industrijskim sektorima

Primer napada sa modifikacijom virusa

Dananji profil hakera za izvoenje napada

Poseduju vie resursa da izvre napad Imaju vea i dublja tehnika znanja Umeju dobro da se organizuju

U preko 55% slu ajeva razlozi napada su finansijski interesi

Putevi sajber kriminala su sloeni

Conseko d.o.o.

22

Korist od sistema menadmenta bezbedno u informacija

Sistem menadmenta bezbednou informacija omoguava organizaciji da:

zadovolji zahteve bezbednosti informacija kupaca i drugih zainteresovanih strana;

poboljava svoje planove i aktivnosti;

ispuni ciljeve bezbednosti informacija;

bude u skladu sa propisima, zakonima, ugovornim obavezama i oekivanjima zainteresovanih strana; i

upravlja informacionom imovinom na organizovan nain tako da olaka neprekidno poboljavanje i prilagoavanje trenutnim

organizacionim ciljevima.

Merama bezbednosti informacija zatiuju se:

Vrednosti i resursi organizacije Klijenti Zaposleni Dobavljai proizvoda i usluga

Preduzimaju se mere za zatitu informacija zainteresovanih strana

Primenom ISMS sistema ostvaruju se

Stalna dostupnost usluge Zatita podataka od neovlaenog pristupa Sigurnost u razmeni podataka sa treim licima Zatita podataka od gubitaka

Metode odbrane informacione imovine

Mere se postizanje zatite informacija mogu biti:

Tehnike mere Administrativne mere Organizacione mere

Tehnike

Kontrole komunikacija, zatite pristupa i zatite

podataka

OrganizacionePostupci,

upravljanje

Administrativne

Svesnost i primena mera za bezbednost

27

Sistem menadmenta bezbednou informacija

Uloga rukovodstva

Rukovodstvo je odgovorno za nadzor i donoenje odluka neophodnih za dostizanje poslovnih ciljeva kroz zatitu informacione imovine organizacije.

Menadment bezbednou informacija iz perspektive rukovodstva se izraava kroz formulaciju i upotrebu politika bezbednosti informacija, procedura i smernica, koje zatim kroz organizaciju primenjuju svi pojedinci koji su sa njom povezani.

Oekuje se da usvajanje Sistema menadmenta bezbednou informacija bude strateka odluka za organizaciju i neophodno je da ta odluka bude potpuno integrisana, sprovedena i aurirana prema poslovnim potrebama organizacije

28

Preporuke menadmentu organizacija

1. Razumevanje kritinosti informacija i informacione bezbednosti u organizaciji

2. Razmatranje ulaganja u informacionu bezbednost za usklaivanje sa strategijom organizacije i profilom rizika

3. Odobravanje razvoja i implementacije sveobuhvatnogprograma bezbednosti informacija

Tipina organizaciona ema za IS u velikom preduzeu

ISM Information Security Management

Information Security Officer

Regional IS Operations in Charge

Incidence Response Team

Network Security Administrator

Communications Security Administrator

Server Desktop Security Administrator

Application Security Administrator

Administration Team for Physical Security

ISMS Implementation Team

Business Continuity & DRP Team

Odreivanje potencijalno raspoloivih resursa

izbor timova za: hitne situacije upravljanje rizikom u organizaciji, ublaavanje posledica kroz BCP

odabir kontrola zatite, implementacija kontrola zatite

OrganizacioneMere

Tehni ke mere Administrativnemere

Pravila zatite informacija primenjuju sena sve zaposlene!

Bezbednost informacija

Polise na ureajima i sistemima

Pravilnici,Procedure, Ugovori

Politike

32

Naini za borbu sa pretnjama bezbednosti Strateki

Taktiki

Operativni

Tehniki

Maksimalna Poslovna fleksibilnost Maksimalna

Bezbednost informacija

Razmotriti i uzimati u obzir fleksibilnost i ogranienja u radu

Uspostavi pravila:

Upostavi i po potrebi dokumentuj pravila za rad u firmi.

Definii oekivane rezultate procesa:

Definie oekivane rezultate i za to dokumentovane informacije.

Prikai rezultate ta si uradio:

Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.

Verifikuj:

Sprovodi periodine interne provere, da proveri pogodnost, usaglaenost i

efektivnost primene.

Vodei principi kod primene standarda

Principi koji vae za sve standarde sistema menadmenta

Glavni elementi ISMS sistema

ISMSprakse

Politika i ciljevi

bezbednosti informacijaPolitike i ciljevi

ISMS

Interne provere i

preispitivanjeZa verifikaciju

primene i otkrivanje mesta za poboljanja

Primena zahtevanih

kontrolaPrema zahtevima

aneksa A standarda

Procena rizika bezbednosti informacija

za svu informacionu

imovinu

Upravljanje kontinuitetom

kritinih uslugaZa sluaj

nepredvienih dogaaja

Uspostavi pravila:

Upostavi i po potrebi dokumentuj pravila za rad u firmi.

Definii oekivane rezultate procesa:

Definie oekivane rezultate i za to dokumentovane informacije.

Prikai rezultate ta si uradio:

Stvori zapise (dokaze) da su aktivnosti sprovedene i da su ispunjeni zahtevi.

Verifikuj:

Sprovodi periodine interne provere, da proveri pogodnost, usaglaenost i efektivnost primene.

Vodei principi kod primene standarda

Principi koji vae za sve standarde sistema menadmenta

Principi uspostavljanja bezbednosti informacija prema ISO 27001

Razdvanje zaduenja Pristup dokumentima i podacima na need to know osnovi Razmena informacija u skladu sa procenom rizika Obezbeenje redundantosti da bi se izbegao single point of

failure Monitoring aktivnosti, ukljuujui privilegovane korisnike Kontrola spoljnjeg pristupa mreama i razdvajanje mrea Testiranja aplikacija (sa anonimizovanim podacima) Kriptovanje osetljivih podataka u bazama i podataka u

saobraaju Uenje iz incidenata

Najee dokumentovana pravila bezbednosti informacija

Kontrola pristupa prostorijama Kontrola pristupa informacijama i resursima Klasifikacija dokumenata i informacija Upravljanje lozinkama Politika istog stola i ekrana Izrada rezervnih kopija podataka i oporavak sistema Odlaganje i rashodovanje medijuma i opreme Prihvatljiva upotreba elektronske pote i interneta Zastita prenosivih medijuma za podatke Rad sa daljine i korienje mobilnih ureaja Zatita podataka o linosti Zatita od virusa i malicioznog koda Saradnja i razmena podataka sa poslovnim partnerima

Polisa Zatita poverljivih informacija

Nivoi poverljivosti dokumenata:

Interno Poverljivo Strogo poverljivo / poslovna tajna

Za svaku klasifikaciju se navodi koja su dokumenta i propisuje postupanje

Objanjenje nivoa poverljivosti

Podaci sa oznakom "interno" predstavljaju informacije koje su namenjene za interno poslovanje drutva i ijim otkrivanjem mogu nastati minimalne tetne posledice za poslovanje drutva

Podaci sa oznakom "poverljivo" predstavljaju informacije ijim bi otkrivanjem mogle nastupiti tetne posledice za poslovanje drutva

Podaci sa oznakom "strogo poverljivo" predstavljaju informacije ijim bi otkrivanjem mogle nastupiti tee tetne posledice za poslovanje drutva.

Primeri poverljivih dokumenata i informacija

POVERLJIVO

poslovni planovi

finansijski izvetaji

poslovni podaci klijenata i partnera

konstrukciona dokumentacija u fazi izrade

izvetaji o zadovoljenju kupaca

lista prihvaenih isporuilaca

ugovori sa klijentima

ugovori sa poslovnim partnerima

delovodnik

cenovnici dobavljaa

ulazni i izlazni rauni

predmeri i predrauni radova

Bankovni izvodi

STROGO POVERLJIVO

loznike za pristup

ponude tokom njihove pripreme

ulazne kalkulacije

lista kupaca

ugovori sa kupcima

promet po kupcima

poverljivi podaci klijenata i partnera

lini podaci zaposlenih, klijenata i poslovnih partnera

personalna dosijea sa ugovorima o radu zaposlenih

platni spiskovi

Politika Kooperacija i razmena informacija sa poslovnim partnerima"

Dozvolite poslovnim partnetima pristup informacijama samo u meri koja je potrebna prema ugovoru o saradnji

Sve informacije koje su rezultat saradnje sa poslovnim partnerom treba tretirati kao informacije koje ine vlasnitvo kompanija

Dokumenta koja se prenose poslovnom partneru moraju imati oznaku statusa poverljivosti i znak zatite od kopiranja

Strogo poverljive informacije se u normalnim okolnostima ne smeju prenositi poslovnim partnerima. Izuzeci su mogui samo u posebnim ugovorom definisanim sporazumima.

Ugovori za neodavanje poverljivih informacija - NDA

Ugovor sadri definiciju ta su poverljive informacije /podaci u konkretnom sluaju

Poverljive informacije, skice, programski kod su vlasnitvo Naruioca

Ukoliko isporuilac ima podizvoaa, u obavezi je da sa njim ima sklopljen ugovor o neodavanju poverljivih informacija Klijenta

Za svaku klasifikaciju se navodi koja su dokumenta i propisuje se postupanje

Upravljanje rizicima bezbednosti informacija

Osnovni pojmovi

Pojam Definicija

Rizik Kombinacija verovatnoe nekog dogaaja i njegovih (negativnih) posledica

Pretnja Potencijalni uzrok nekog neeljenog incidenta, koji moe dovesti do tete na sistemu ili u organizaciji

Ranjivost Slabost neke imovine ili grupe resursa koju naka pretnja moe da iskorist

Vlasnik rizika osoba ili grupa ljudi sa dodeljenom odgovornou i ovlaenjem da upravljaju rizikom

Standardni model rizika

Posledice Ukupna teta

Kontrola posledica

Verovatnoa rizinog dogaaja

Kontrola verovatnoe

rizinog dogaaja

Dogaaj rizika

Verovatnoa posledica

Faktori rizika prema Microsoft DREAD modelu

Conseko d.o.o.

Posledice Verovatno a Mogu nost kontrolisanja

Mogunost detekcije

Mogunost kontrole

Mogunost ponavljanja

Mogunost umanjenja

Potencijalna teta

Broj afektiranih komponenti

Rizik

Ocena rizika gubitka ili zloupotrebe informacija

Struni tim identifikuje informacionu imovinu na osnovu kojih je, primenom

procesa ocenjivanja rizika po bezbednost informacija u odnosu na gubitak

poverljivosti, integriteta i raspoloivostiinformacija, izvrava procenu

vrednosti imovine.

Procena rizika se utvruje na bazi kriterijuma ranjivosti (1-3), pretnje (1-3) i

verovatnoe ostvarenja pretnje (1-5) prema sledeoj formuli gde da je:

Rizik po bezbednost imovine =

Vrednosti imovine x Pretnja (njena verovatnoa) x Ranjivost

ta je bezbednost zasnovana na rizicima?

Odluke u vezi bezbednosti imovine donete su na osnovu paljive identifikacije, evaluacije i priorizacije rizika

Sprovoenje detaljne procene rizika je preduslov

Fokus na poboljanja i kontrolu oblasti koje predstavljaju najvee rizike

Bezbednost zasnovana na rizicima kljuni faktori

Proaktivna, pre nego reaktivna Postepena i stalna promena kako organizacija

pristupa reavanju rizika bezbednosti CSO /CISO se pitaju koji su to prioritetni

rizici reenja koja organizacija treba da primeni da minimizira posledice pretnji

Kategorizacija rizika

Konana ocena rizika za

informacionu imovinu

koja je izloena razliitim

vrstama ranjivosti, pretnji

i verovatnoa ostvarivanja

pretnje diferencira se u

pet kategorija

Nivo rizikaUkupan

rizikOpis nivoa rizika i potrebne aktivnosti

Veoma visok 40Izloenost riziku je veoma visoka. Neophodno je hitno primeniti mere za umanjenje rizika.

Visok25

51

Efektivno upravljanje rizicima

Oekuje da:

Organizacija je prepoznala svoje rizike za bezbednost informacija

Preduzimaju se mere da se ti rizici svedu na minimum

Vri se stalni monitoring/praenje

MAYMAYMAYMAY----05050505

Procesi unutar organizacije se usklauju sa zahtevima

Zahtevi

Miodrag Vukovic 9|15Miodrag Vukovic 9|15Miodrag Vukovic 9|15Miodrag Vukovic 9|15

Propisi relevantni za bezbednost informacija:

Zakon o informacionoj bezbednosti (Sl. glasnik RS, br. 6/2016)

Zakon o zatiti poslovne tajne (Sl. glasnik RS br. 71/2011)

Zakon o tajnosti podataka, (Sl. glasnik RS, br. 104/2009)

Zakon o zatiti podataka o linosti (Slubeni glasnik RS", br. 97/2008, 104/2009)

Zakon o autorskom i srodnim pravima ("Sl. list SCG", br. 61/2004)

Zakon o obligacionim odnosima ("Sl. list SFRJ", br. 29/78, 39/85, 45/89 - odluka USJ i

57/89, "Sl. list SRJ", br. 31/93 i "Sl. list SCG", br. 1/2003 - Ustavna povelja)

Krivini Zakonik (Sl. Glasnik RS 85/2005, 88/2005, 107/2005, 72/2009, 111/2009,

121/2012, 104/2013 i 108/2014), lanovi 302, 304

Zakon o zatiti od poara (Sl. Glasnik RS br. 111/09)

Pravilnik o kancelarijskom i arhivskom poslovanju (Sl. glasnik RS br. 106/2009, 6/2010 i

15/2010)

Uredba o posebnim merama zatite tajnih podataka u informaciono

telekomunikacionim sistemima (Sl. glasnik RS br. 51/2011)

Zakon o elektronskom potpisu (Sl. glasniku RS" br. 135/04)

Zakon o elektronskom dokumentu (Sl. glasnik 51/09 od 14.7. 2009.)

Nezaobilazni zahtev: Usklaenost sa zakonom

Krivina dela protiv bezbednosti raunarskih podataka

- 27. glava Krivinog zakonika i lanovi ove glave koji se odnose na regulisanje bezbednosti raunarskih podataka na raunarskoj mrei: Raunarska sabotaa

Pravljenje i unoenje raunarskih virusa

Neovlaeni pristup zatienom raunaru, raunarskoj mrei i elektronskoj obradi podataka

Spreavanje i organiavanje pristupa javnoj raunarskoj mrei

Neovlaeno korienje raunara ili raunarske mree

Put do sertifikata ISO 27001

Iniciranjeprojekta

Uvodna obuka

Popis imovine

Procena rizika

Internaprovera

Sertifikat

Korektivne mere

Preispitivanje od strane rukovodstva

ISO 27001Sertifikacija

Identifikacija ranjivosti

Identifikacija pretnji

Plan tretrmana

Izrada SoA

Izrada polisa priru nika ISMS

Izrada i testiranje BCP

GAP analiza

Hvala na panji!

Pitanja?