spec. miha ozimek - mz.gov.si · popis zahtev poslovnih procesov obravnavanje tveganja plan...
TRANSCRIPT
Predstavitev sistema za upravljanje z informacijsko
varnostjovarnostjo
spec. Miha Ozimek
ZakonodajaZakonodaja
Z k t b ih d tk• Zakon o varstvu osebnih podatkov
Osebni podatki se lahko obdelujejo le, če obdelavo osebnih podatkov in osebne podatke, ki se obdelujejo, določa zakon ali če je za obdelavo določenih osebnih podatkov podana osebna privolitev p p pposameznika.
Občutljivi osebni podatki morajo biti pri obdelavi posebej označeni in zavarovani tako, da se nepooblaščenim osebam onemogoči dostop do njihdo njih…
ZakonodajaZakonodaja
Zavarovanje osebnih podatkov obsega organizacijske tehnične inZavarovanje osebnih podatkov obsega organizacijske, tehnične in logično-tehnične postopke in ukrepe, s katerimi se varujejo osebni podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje p p p j j p jpodatkov, njihova sprememba ali izguba ter nepooblaščena obdelava teh podatkov tako, da se:
j j t i• varujejo prostori
• programska oprema
č j bl šč d t• preprečuje nepooblaščen dostop
• zagotavlja učinkovit način blokiranja, uničenja, izbrisa ali anonimiziranja osebnih podatkovanonimiziranja osebnih podatkov
• omogoča revizijske sledi
Omrežje zNETOmrežje zNET
Vir: VDP eZdravje
Varnost informacij na tehničnem nivojuVarnost informacij na tehničnem nivojuV okviru zNET bo poskrbljeno za osnovne tehnične p jmehanizme zagotavljanja varnosti:
ti i ščit● protivirusno zaščito
● požarno pregrado
● avtentikacijo in avtorizacijo (za omrežne storitve)
● šifriranje podatkov
● sistem za odkrivanje vdorov in njihovo preprečevanje.
Vir: VDP eZdravje
Varnost informacij na organizacijskem nivojuVarnost informacij na organizacijskem nivojuOrganizacijske mehanizme varnosti določajo:• zahteve Ministrstva za zdravje• zahteve upravljavca zNET• storitve, ki jo zagotavlja izvajalec zdravstvene dejavnosti
Poskrbeti bo potrebno za ustrezno organizacijo informacijske varnosti • vpeljati SUVI tudi na zalednih sistemih z enakimi zahtevami za vse
izvajalce zdravstvene dejavnosti
• Za doseganje ustreznega nivoja varnosti bo potrebno definirati, vpeljati, izvajati in spremljati izvajanje SUVI: krovno varnostno politiko ter področne politike. Vir: VDP eZdravjepodročne politike. Vir: VDP eZdravje
Tri-nivojski sistem dokumentacije varnostnih politikTri nivojski sistem dokumentacije varnostnih politik
1. nivo: Ministrstvo za zdravje pripravi Krovno politiko varovanja informacij (splošna določila)2. nivo: Ministrstvo za zdravje pripravi področne varnostne politike (določila po j p p p p ( pposameznih področjih informacijske varnosti)3. nivo: ZO pripravijo navodila in postopke, ki so skladni z določili varnostnih politik, ki jih je pripravilo Ministrstvo za zdravje.jih je pripravilo Ministrstvo za zdravje.
Razvoj varnostne politikeRazvoj varnostne politike
Popis zahtev
Obseg in cilji
Analiza stanja
Ocenjevanje in obravnavanje tveganja
Popis informacijskega
premoženja
Popis zahtev poslovnih procesov
obravnavanje tveganja
Plan aktivnosti
Program
Spremljanje
Programizboljšanja
varnosti
(varnostne politike, postopki in kontrole)Razvijanje SVVI
Zahteve MZ
Analiza stanjaAnaliza stanja
Z analizo stanja pridobimo osnovne informacije oformalnih in neformalnih postopkih in politikah varovanjaformalnih in neformalnih postopkih in politikah varovanjainformacij po vseh 11 področjih standarda ISO/IEC27001:2005.Za vsako kontrolo standarda zapišemo ugotovitve ter analizo in potrebne ukrepe.p p
Za vsako kontrolo je potrebno odgovoriti:Za vsako kontrolo je potrebno odgovoriti:– Ali je odgovornost za proces jasno opredeljena?
Ali je proces/pra ilo/postopek celoti implementiran?– Ali je proces/pravilo/postopek v celoti implementiran?– Ali je proces/pravilo/postopek dokumentiran?– Ali obstaja dokaz za implementacijo?
stran 9
Ocena tveganjaOcena tveganja
• Namen analize tveganja je identificirati grožnje in oceniti, g j j g j ,kako visoko tveganje predstavljajo za organizacijo.
• Tveganja ocenimo iz ocene posledic grožnje in verjetnosti g j p g j juresničitve grožnje – napaka administratorja
d d k ik ij k li ij– odpoved komunikacijske linije– vdori– požarp– odpoved strojne/programske opreme)– ...
• Tveganja se razvrsti glede na velikost –ugotovimo, katere varnostne pomanjkljivosti so najbolj kritičnevarnostne pomanjkljivosti so najbolj kritične.
stran 9
Ocena tveganjaOcena tveganja
Ali tveganje sprejmemo?g j p j Tveganje zmanjšamo z ukrepi:
• uvedbo/spremembo postopka npr :• uvedbo/spremembo postopka, npr.:• Postopek dodelitve in odvzema pravic uporabniku• Postopek neprekinjenega poslovanja v primeru• Postopek neprekinjenega poslovanja v primeru
odpovedi IT virov• Politika varnostnega kopiranja• Politika varnostnega kopiranja
• uvedbo/izboljšavo tehničnih mehanizmov, npr.:• uvedba mehanizma za spremljanje in nadzor
aktivnosti administratorjevi dk i j i č j d• sistem za odkrivanje in preprečevanje vdorov
stran 9
Zbiranje informacij za oceno tveganjaZbiranje informacij za oceno tveganja
POSLOVNI PROCESPOSLOVNI PROCES
aktivnosti informacijeinformacijekadri informacijska tehnologija(aplikacije, strežniki)prostori
Določitev procesov in zahtev
prostori
• Kakšna je stopnja zaupnosti informacij?• Kakšen je toleriran čas nedelovanja procesa?j j p• Kako kritičen je proces za organizacijo?• …• …stran 9
Varnostne politikeVarnostne politike
• Politika kakovosti in varnosti storitev tretjih strank
• Politika o navodilih za klasifikacijo, označevanje in
j i f ij iOrganiziranost
varovanjaUpravljanje s sredstvi
Varovanjev zveziPolitika
varovanjaravnanje z informacijami• Politika fizične zaščite in
fizičnega dostopa
varovanja s sredstvi z osebjemvarovanja
• Politika zagotavljanja kakovosti infrastrukture
• Politika nadzora sprememb
Fizično inokolno
varovanje
Upravljanje s komunikacijamiin obratovanjem
Nadzor dostopa
pinformacijskega sistema (programske in sistemske opreme ter strojne opreme)
Upravljanje zvarnostnimi
incidenti
Upravljanjeneprekinjenega
poslovanjaUsklajenost
Nabava,razvoj in
vzdrževanjainf. sistemov
• Politika upravljanja varnostnih incidentov
• Politika varovanja v zvezi z bjosebjem
Varnostne politikeVarnostne politike
• Politika zaščite pred zlonamerno• Politika zaščite pred zlonamerno programsko opremo
• Politika varnostnega kopiranjaP litik i d l i h b
Organiziranost Upravljanje Varovanjev zveziPolitika• Politika izdelave in hrambe
arhivskih kopij• Politika revizijskih sledi
varovanja s sredstvi v zveziz osebjemvarovanja
• Politika nadzora dostopa do aplikacij, informacij in sistemov
• Politika gesel
Fizično inokolno
varovanje
Upravljanje s komunikacijamiin obratovanjem
Nadzor dostopa
g• Politika nadzora dostopa do
omrežja• Politika oddaljenega dostopa
Upravljanje zvarnostnimi
incidenti
Upravljanjeneprekinjenega
poslovanjaUsklajenost
Nabava,razvoj in
vzdrževanjaPolitika oddaljenega dostopa• Politika razvoja in vzdrževanja
programske opremePolitika uporabe storitev
incidenti poslovanjainf. sistemov
• Politika uporabe storitev interneta
Namen notranje presojeNamen notranje presoje
Izvajalec zdravstvene dejavnosti mora najmanj enkrat letno izvajatiIzvajalec zdravstvene dejavnosti mora najmanj enkrat letno izvajati notranje presoje SUVI, da ugotovi ali so cilji , ukrepi, procesi in postopki SUVI:
1 kl d ht i k d j i t ih litik1. v skladu z zahtevami zakonodaje in varnostnih politik,
2. učinkovito vpeljani in vzdrževani.
Namen vodstvenega pregledaNamen vodstvenega pregleda
V d t d l č ih i t lih l d j SUVIVodstvo v določenih intervalih pregleduje SUVI:(vsaj 1x letno):• ustreznost• učinkovitost SUVI
Rezultat vodstvenega pregleda:• ocena možnosti za izboljševanje• ocena potrebe po spremembah
Odgovornost vodstvaOdgovornost vodstva
I j j h i j i f ij• Izvajanje mehanizmov varovanja informacij v celoti
• zagotavljanje virov, ki omogočajo primerno vodenje SUVI
• ustrezno objavo dokumentov SUVI (varnostne politike)po t e)
• zagotavljati vsem zaposlenim primerna izobraževanjaizobraževanja
• imenovanje pooblaščenca informacijske varnosti
stran 9
Zagotavljanje virovZagotavljanje virov
Vodstvo imenuje skrbnika informacijske varnosti:Vodstvo imenuje skrbnika informacijske varnosti:• Je vezni člen med najvišjim vodstvom in ostalimi akterji na
področju varovanja informacijpodročju varovanja informacij.• Skrbnik informacijske varnosti je neposredno podrejen
najvišjemu vodstvunajvišjemu vodstvu. • skrbnik informacijske varnosti ima celotno odgovornost za
razvoj in vpeljavo sistema vodenja varovanja informacijrazvoj in vpeljavo sistema vodenja varovanja informacij• koordinira in organizira aktivnosti• izvedbo aktivnosti dodeli odgovornim osebam za določeno• izvedbo aktivnosti dodeli odgovornim osebam za določeno
področje ali proces (kadrovski službi, službi za IT,…)
stran 9
Zagotavljanje virovZagotavljanje virov
Naloge skrbnika informacijske varnosti pri usklajevanjuNaloge skrbnika informacijske varnosti pri usklajevanju varovanja informacij– poročanje o neskladnostihporočanje o neskladnostih– poročanje o varnostnih incidentih– poročanje o rezultatih analize tveganjaporočanje o rezultatih analize tveganja– poročanje o pojavu novih groženj– poročanje o izvajanju ukrepov za izboljšanje varovanja po oča je o aja ju u epo a bo jša je a o a ja
informacij
stran 9
Zagotavljanje virovZagotavljanje virov
Naloge skrbnika pri vzpostavitvi in izboljševanju SUVI• priprava dokumentov varnostne politike• izvedba analize in obravnavanja tveganjizvedba analize in obravnavanja tveganj• zagotavljanja ozaveščenosti zaposlenih glede varovanja
informacij ter ustrezne usposobljenostiinformacij ter ustrezne usposobljenosti• upravljanja z varnostnimi incidenti
izvedba varnostnih ukrepov za izboljšanje stanja varovanja• izvedba varnostnih ukrepov za izboljšanje stanja varovanja informacij
j j k t l t i ti t j j i i iti• najmanj enkrat letno izvesti notranjo presojo in pripraviti zapisnik notranje presoje
j j k t l t i ti d t i l d i i iti• najmanj enkrat letno izvesti vodstveni pregled in pripraviti zapisnik vodstvenega pregleda ter ga posredovati CIZstran 9
Certifikacijske presoje CIZCertifikacijske presoje CIZ
Pregled dokumentacije vodstvenega pregledaPregled dokumentacije vodstvenega pregleda
stanje v organizaciji• stanje v organizaciji
Redne presoje na lokacijiRedne presoje na lokaciji
aktivnosti skladne s predpisi• aktivnosti skladne s predpisi
I redne presoje na podlagi neskladnosti in incidentoIzredne presoje na podlagi neskladnosti in incidentov
i t č i l d t j i d k t ij• ponovni natančni pregled stanja in dokumentacije
Usmerjenost presoj CIZUsmerjenost presoj CIZ
P j d t čPrve presoje osredotočene na:
A.6 Organizacija varovanja informacijA.7 Upravljanje sredstevA.9 Fizična zaščita in zaščita okoljaA 10 Upravljanje s komunikacijami in s produkcijoA.10 Upravljanje s komunikacijami in s produkcijoA.11 Nadzor dostopaA 12 N k j i d ž j i f ij kih i tA.12 Nakup, razvoj in vzdrževanje informacijskih sistemovA.15 Združljivost z zakonodajo
Hvala za vašo pozornost !Hvala za vašo pozornost !
Vprašanja?Vprašanja?
ran | ran | 2323stran 10