Predstavitev sistema za upravljanje z informacijsko

varnostjovarnostjo

spec. Miha Ozimek

ZakonodajaZakonodaja

Z k t b ih d tk• Zakon o varstvu osebnih podatkov

Osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev p p pposameznika.

Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njihdo njih…

ZakonodajaZakonodaja

Zavarovanje osebnih podatkov obsega organizacijske tehnične inZavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje p p p j j p jpodatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:

j j t i• varujejo prostori

• programska oprema

č j bl šč d t• preprečuje nepooblaščen dostop

• zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkovanonimiziranja osebnih podatkov

• omogoča revizijske sledi

Omrežje zNETOmrežje zNET

Vir: VDP eZdravje

Varnost informacij na tehničnem nivojuVarnost informacij na tehničnem nivojuV okviru zNET bo poskrbljeno za osnovne tehnične p jmehanizme zagotavljanja varnosti:

ti i ščit● protivirusno zaščito

● požarno pregrado

● avtentikacijo in avtorizacijo (za omrežne storitve)

● šifriranje podatkov

● sistem za odkrivanje vdorov in njihovo preprečevanje.

Vir: VDP eZdravje

Varnost informacij na organizacijskem nivojuVarnost informacij na organizacijskem nivojuOrganizacijske mehanizme varnosti določajo:• zahteve Ministrstva za zdravje• zahteve upravljavca zNET• storitve, ki jo zagotavlja izvajalec zdravstvene dejavnosti

Poskrbeti bo potrebno za ustrezno organizacijo informacijske varnosti • vpeljati SUVI tudi na zalednih sistemih z enakimi zahtevami za vse

izvajalce zdravstvene dejavnosti

• Za doseganje ustreznega nivoja varnosti bo potrebno definirati, vpeljati, izvajati in spremljati izvajanje SUVI: krovno varnostno politiko ter področne politike. Vir: VDP eZdravjepodročne politike. Vir: VDP eZdravje

Tri-nivojski sistem dokumentacije varnostnih politikTri nivojski sistem dokumentacije varnostnih politik

1. nivo: Ministrstvo za zdravje pripravi Krovno politiko varovanja informacij (splošna določila)2. nivo: Ministrstvo za zdravje pripravi področne varnostne politike (določila po j p p p p ( pposameznih področjih informacijske varnosti)3. nivo: ZO pripravijo navodila in postopke, ki so skladni z določili varnostnih politik, ki jih je pripravilo Ministrstvo za zdravje.jih je pripravilo Ministrstvo za zdravje.

Razvoj varnostne politikeRazvoj varnostne politike

Popis zahtev

Obseg in cilji

Analiza stanja

Ocenjevanje in obravnavanje tveganja

Popis informacijskega

premoženja

Popis zahtev poslovnih procesov

obravnavanje tveganja

Plan aktivnosti

Program

Spremljanje

Programizboljšanja

varnosti

(varnostne politike, postopki in kontrole)Razvijanje SVVI

Zahteve MZ

Analiza stanjaAnaliza stanja

Z analizo stanja pridobimo osnovne informacije oformalnih in neformalnih postopkih in politikah varovanjaformalnih in neformalnih postopkih in politikah varovanjainformacij po vseh 11 področjih standarda ISO/IEC27001:2005.Za vsako kontrolo standarda zapišemo ugotovitve ter analizo in potrebne ukrepe.p p

Za vsako kontrolo je potrebno odgovoriti:Za vsako kontrolo je potrebno odgovoriti:– Ali je odgovornost za proces jasno opredeljena?

Ali je proces/pra ilo/postopek celoti implementiran?– Ali je proces/pravilo/postopek v celoti implementiran?– Ali je proces/pravilo/postopek dokumentiran?– Ali obstaja dokaz za implementacijo?

stran 9

Ocena tveganjaOcena tveganja

• Namen analize tveganja je identificirati grožnje in oceniti, g j j g j ,kako visoko tveganje predstavljajo za organizacijo.

• Tveganja ocenimo iz ocene posledic grožnje in verjetnosti g j p g j juresničitve grožnje – napaka administratorja

d d k ik ij k li ij– odpoved komunikacijske linije– vdori– požarp– odpoved strojne/programske opreme)– ...

• Tveganja se razvrsti glede na velikost –ugotovimo, katere varnostne pomanjkljivosti so najbolj kritičnevarnostne pomanjkljivosti so najbolj kritične.

stran 9

Ocena tveganjaOcena tveganja

Ali tveganje sprejmemo?g j p j Tveganje zmanjšamo z ukrepi:

• uvedbo/spremembo postopka npr :• uvedbo/spremembo postopka, npr.:• Postopek dodelitve in odvzema pravic uporabniku• Postopek neprekinjenega poslovanja v primeru• Postopek neprekinjenega poslovanja v primeru

odpovedi IT virov• Politika varnostnega kopiranja• Politika varnostnega kopiranja

• uvedbo/izboljšavo tehničnih mehanizmov, npr.:• uvedba mehanizma za spremljanje in nadzor

aktivnosti administratorjevi dk i j i č j d• sistem za odkrivanje in preprečevanje vdorov

stran 9

Zbiranje informacij za oceno tveganjaZbiranje informacij za oceno tveganja

POSLOVNI PROCESPOSLOVNI PROCES

aktivnosti informacijeinformacijekadri informacijska tehnologija(aplikacije, strežniki)prostori

Določitev procesov in zahtev

prostori

• Kakšna je stopnja zaupnosti informacij?• Kakšen je toleriran čas nedelovanja procesa?j j p• Kako kritičen je proces za organizacijo?• …• …stran 9

Varnostne politikeVarnostne politike

• Politika kakovosti in varnosti storitev tretjih strank

• Politika o navodilih za klasifikacijo, označevanje in

j i f ij iOrganiziranost

varovanjaUpravljanje s sredstvi

Varovanjev zveziPolitika

varovanjaravnanje z informacijami• Politika fizične zaščite in

fizičnega dostopa

varovanja s sredstvi z osebjemvarovanja

• Politika zagotavljanja kakovosti infrastrukture

• Politika nadzora sprememb

Fizično inokolno

varovanje

Upravljanje s komunikacijamiin obratovanjem

Nadzor dostopa

pinformacijskega sistema (programske in sistemske opreme ter strojne opreme)

Upravljanje zvarnostnimi

incidenti

Upravljanjeneprekinjenega

poslovanjaUsklajenost

Nabava,razvoj in

vzdrževanjainf. sistemov

• Politika upravljanja varnostnih incidentov

• Politika varovanja v zvezi z bjosebjem

Varnostne politikeVarnostne politike

• Politika zaščite pred zlonamerno• Politika zaščite pred zlonamerno programsko opremo

• Politika varnostnega kopiranjaP litik i d l i h b

Organiziranost Upravljanje Varovanjev zveziPolitika• Politika izdelave in hrambe

arhivskih kopij• Politika revizijskih sledi

varovanja s sredstvi v zveziz osebjemvarovanja

• Politika nadzora dostopa do aplikacij, informacij in sistemov

• Politika gesel

Fizično inokolno

varovanje

Upravljanje s komunikacijamiin obratovanjem

Nadzor dostopa

g• Politika nadzora dostopa do

omrežja• Politika oddaljenega dostopa

Upravljanje zvarnostnimi

incidenti

Upravljanjeneprekinjenega

poslovanjaUsklajenost

Nabava,razvoj in

vzdrževanjaPolitika oddaljenega dostopa• Politika razvoja in vzdrževanja

programske opremePolitika uporabe storitev

incidenti poslovanjainf. sistemov

• Politika uporabe storitev interneta

Namen notranje presojeNamen notranje presoje

Izvajalec zdravstvene dejavnosti mora najmanj enkrat letno izvajatiIzvajalec zdravstvene dejavnosti mora najmanj enkrat letno izvajati notranje presoje SUVI, da ugotovi ali so cilji , ukrepi, procesi in postopki SUVI:

1 kl d ht i k d j i t ih litik1. v skladu z zahtevami zakonodaje in varnostnih politik,

2. učinkovito vpeljani in vzdrževani.

Namen vodstvenega pregledaNamen vodstvenega pregleda

V d t d l č ih i t lih l d j SUVIVodstvo v določenih intervalih pregleduje SUVI:(vsaj 1x letno):• ustreznost• učinkovitost SUVI

Rezultat vodstvenega pregleda:• ocena možnosti za izboljševanje• ocena potrebe po spremembah

Odgovornost vodstvaOdgovornost vodstva

I j j h i j i f ij• Izvajanje mehanizmov varovanja informacij v celoti

• zagotavljanje virov, ki omogočajo primerno vodenje SUVI

• ustrezno objavo dokumentov SUVI (varnostne politike)po t e)

• zagotavljati vsem zaposlenim primerna izobraževanjaizobraževanja

• imenovanje pooblaščenca informacijske varnosti

stran 9

Zagotavljanje virovZagotavljanje virov

Vodstvo imenuje skrbnika informacijske varnosti:Vodstvo imenuje skrbnika informacijske varnosti:• Je vezni člen med najvišjim vodstvom in ostalimi akterji na

področju varovanja informacijpodročju varovanja informacij.• Skrbnik informacijske varnosti je neposredno podrejen

najvišjemu vodstvunajvišjemu vodstvu. • skrbnik informacijske varnosti ima celotno odgovornost za

razvoj in vpeljavo sistema vodenja varovanja informacijrazvoj in vpeljavo sistema vodenja varovanja informacij• koordinira in organizira aktivnosti• izvedbo aktivnosti dodeli odgovornim osebam za določeno• izvedbo aktivnosti dodeli odgovornim osebam za določeno

področje ali proces (kadrovski službi, službi za IT,…)

stran 9

Zagotavljanje virovZagotavljanje virov

Naloge skrbnika informacijske varnosti pri usklajevanjuNaloge skrbnika informacijske varnosti pri usklajevanju varovanja informacij– poročanje o neskladnostihporočanje o neskladnostih– poročanje o varnostnih incidentih– poročanje o rezultatih analize tveganjaporočanje o rezultatih analize tveganja– poročanje o pojavu novih groženj– poročanje o izvajanju ukrepov za izboljšanje varovanja po oča je o aja ju u epo a bo jša je a o a ja

informacij

stran 9

Zagotavljanje virovZagotavljanje virov

Naloge skrbnika pri vzpostavitvi in izboljševanju SUVI• priprava dokumentov varnostne politike• izvedba analize in obravnavanja tveganjizvedba analize in obravnavanja tveganj• zagotavljanja ozaveščenosti zaposlenih glede varovanja

informacij ter ustrezne usposobljenostiinformacij ter ustrezne usposobljenosti• upravljanja z varnostnimi incidenti

izvedba varnostnih ukrepov za izboljšanje stanja varovanja• izvedba varnostnih ukrepov za izboljšanje stanja varovanja informacij

j j k t l t i ti t j j i i iti• najmanj enkrat letno izvesti notranjo presojo in pripraviti zapisnik notranje presoje

j j k t l t i ti d t i l d i i iti• najmanj enkrat letno izvesti vodstveni pregled in pripraviti zapisnik vodstvenega pregleda ter ga posredovati CIZstran 9

Certifikacijske presoje CIZCertifikacijske presoje CIZ

Pregled dokumentacije vodstvenega pregledaPregled dokumentacije vodstvenega pregleda

stanje v organizaciji• stanje v organizaciji

Redne presoje na lokacijiRedne presoje na lokaciji

aktivnosti skladne s predpisi• aktivnosti skladne s predpisi

I redne presoje na podlagi neskladnosti in incidentoIzredne presoje na podlagi neskladnosti in incidentov

i t č i l d t j i d k t ij• ponovni natančni pregled stanja in dokumentacije

Usmerjenost presoj CIZUsmerjenost presoj CIZ

P j d t čPrve presoje osredotočene na:

A.6 Organizacija varovanja informacijA.7 Upravljanje sredstevA.9 Fizična zaščita in zaščita okoljaA 10 Upravljanje s komunikacijami in s produkcijoA.10 Upravljanje s komunikacijami in s produkcijoA.11 Nadzor dostopaA 12 N k j i d ž j i f ij kih i tA.12 Nakup, razvoj in vzdrževanje informacijskih sistemovA.15 Združljivost z zakonodajo

Hvala za vašo pozornost !Hvala za vašo pozornost !

Vprašanja?Vprašanja?

ran | ran | 2323stran 10