značaj generisanja politike zaštite
DESCRIPTION
Značaj generisanja politike zaštite. Univerzitet SINGIDUNUM, Danijelova 29, Beograd Docent dr Gojko Grubor. Zašto je potrebna zaštita infomacija/IS?. Poslednji podaci (2008.g.): TJX Data – proboj sistema zaštite koštao preko $40 miliona - PowerPoint PPT PresentationTRANSCRIPT
Značaj generisanja politike zaštite
Univerzitet SINGIDUNUM,Danijelova 29, Beograd
Docent dr Gojko Grubor
Zašto je potrebna zaštita infomacija/IS?
• Poslednji podaci (2008.g.):– TJX Data – proboj sistema zaštite koštao preko $40 miliona– E&Y gubitak laptop sa više hiljada izveštaja/podataka o
kupcima – Zaposleni u Pfizer otkrili neovlašćeno 17.000 dokumenata u
P2P razmeni fajlova– Masivni kolaps elektrodistributivne mreže SAD zbog
hakerskog napada sa Interneta – Cooper Tire akcije na berzi pale 25% kad je zaposleni
iseckao dokumenta u šrederu– Harris Interactive istraživanje pokazalo da 79% Amerikanaca
veruje da će lični podaci u IS biti dostupni drugim (neovlašćenim) licima čak i ako politika štiti lične podatke i informacije
Šta je politika zaštite?
• Politika zaštite JESTE:– Dokumentovana izjava menadžmenta na visokom nivou– Formalni način da se kaže:
• “Ovo je način na koji mi štitimo naš IKT sistem” – Generalizovane izjave zahteva za minimizaciju
bezbednosnog rizika – Dokument zaštite na višem nivou od Standarda i Procedura
• Politika zaštite NIJE:– Konfigurisanje sistema Firewalls, IDS/IPS, AC i drugih
mehanizama zaštite – Za razliku od smernica/uputstava (Guidelines), nema opcija
rešenja– Za razliku od arhitekture sistema zaštite, ne zavisi od
proizvoda/tehnologija zaštite
• Security Policy Drivers• RReegguulalattioionnss TTeecchhnnoolologgyy• TTeecchhnnoollooggyy DDeeppllooyymmeenntt• { }• PDA• Spyware• Wireless• VOIP• Sarbox• HIPAA• GLBA• EU Data Privacy• Encryption• TThhrreeaattss SPAM• HACKS• Data Loss• Policies• Standards• IDS Anti-Virus Firewalls• BBeehhaavvioiorr• Internet Use Incident Reporting
Pokretači politike zaštite
HakeriGubitak
podataka
Špijuni,SPAM
PRETNJE
REGULATIVE TEHNOLOGIJE
Politike
Standardi
Implementacija tehnologije Praksa zaštite
Karakteristike efektivne politike zaštite informacija
• Kompletnost – obuhvata sve kritične oblasti rizika za informacije
• Organizovanost – politika bazirana na priznatom/široko prihvaćenom standardu (ISO/IEC 27001/2, ISO/IEC 21827) ili okviru (NIST SP 800-12)
• Dokumentovanost – napisana i održavana sa eksplicitno definisanim vlasništvom i verzijom
• Ažurranost – periodično revidirana i ažurirana na bazi poslednje procene rizika
• Komunikativnost – politike su dostavljene svim odnosnim stranama, pročitane i shvaćene od strane svih zaposlenih u organizaciji
Pokretač razvoj infrastrukture sistema zaštite?
• Razjašnjava pravila pre razvoja i konfigurisanja sistema zaštite
• Osigurava konzistentnu aplikaciju kontrola zaštite (mehanizama i provcedura)
• Koordinira rad različitih internih grupa: – Omogućava lakšu internu komunikaciju i interoperabilnost
• Definiše se pre implementacije sistema zaštite:– Materijal za obuku i razvoj svesti o potrebi zaštite – Omogućava uspostavljanje kompromisa između intranet i
ekstranet mreža– Omogućava razmenu vlasničkih informacija sa trećom
stranom
Podrška drugim procesima zaštite informacija?
• Eksplicitno pokazuje podršku menadžmenta zaštiti informacija
• Uspostavlja kredibilitet i transparentnost procesa/rada zaštite
• Eliminiše raspravu/nesporazume koji se odnose na interne politike zaštite
• Unapred definiše odgovore na proboje sistema zaštite i druge scenarije rizika
• Daje smernice za izbor servisa i proizvoda zaštite (kontrola)• Omogućava brz razvoj novog sistema zaštite informacija• Definiše osnovne mere zaštite, kao što su dužna pažnja
(due care controles) i etički kodeks ponašanja u IS
Podrška usklađenosti sa zakonom/regulativama...
• Aranžira ugovorne obaveze potrebene za tužilaštvo u slučaju spora/kompjuterskog kriminala
• Uspostavlja politike koje dopuštaju discioplinske mere, otpuštanje sa posla i eventualno krivičnu prijavu
• Dokumentuje zahtev za usklađenost sa zakonom, regulativama i standardima
• Održava i daje skrivenu zaštitu lnoj legalnoj e-trgovini • Eliminiše tvrdnje o zanemarivanju i kršenju ugovornih i
zakonskih obaveza (Fiduciary Duty) ili zaštite privatnosti• Podržava interne kontrolore (auditors) u proveri
usklađenosti
Primer saopštenja bitnih politika zaštite
1. Redovno izveštavati o svim problemima i ranjivostima sistema zaštite centralni entitet organizacije za upravljanje zaštitom informacija
2. Pristup sistemima i informacijama davati na bazi “znati samo ono što je potrebno za izvršavanje posla”
3. Informacije klasifikovati na bazi osetljivosti i označavati svaku osetljivu informaciju
4. Korisnički izabrani pasvordi moraju slediti pravilo kompleksnosti i moraju se periodično ažurirati/menjati
5. ….
Problemi nedostatka politike zaštite?
• >25% zaposlenih nije pročitalo ni jednu politiku zaštite u 2007 godini*• ≈ 50% nije pročitalo sve politike zaštite koje su im namenjene u 2007 • <30% nije imalo obuku ni razvoj svesti o potrebi zaštite u 2007 • ≈ 65% organizacija ne prati da li zaposleni čitaju politiku zaštite (potpišu izjavu o prihvatanju i
razumevanju politike)• > 75% zaposlenih ignoriše politike zaštite čak i kada su svesni njihovog postojanja *• 46% routinski deli pasvorde *• 50% organizacija nema politiku za izveštavanje o bezbednosnom incidentu i ranjivostima sistema• ≈ 67% organizacija ističe da je ključni prioritet u sledećoj (2009) podizanje svesti opotrebi zaštite • ≈ 22% organizacija imaju program za razvoj svesti o potrebi zaštite • ≈ 13% organizacija ima časove obuke iz oblasti zaštite informacija
*CSI/FBI & Information Security shield anketa
Indikatori potrebe za politikom zaštite!
• Pokušaji da se zadovolje zahtevi interne i spoljne kontrole (audit)
• Frustracija zbog ograničenih rezultaa sa ograničenim stručnim osobljem
• Organizacija je javno ponižena zbog proboja sistema zaštite
• Nije organizovan ni sproveden program razvoja svesti o potrebi zaštite
• Dokumentacija zaštite nedovoljna ili neažurna • Kritični zadaci zaštite nisu izvršeni kako bi trebalo • Zaposleni raspravljaju o tome šta treba učiniti da se
poboljša zaštita .....
Faktori uspeha projekta zaštite
• KKononzzistentistentno uključivanje korisnikano uključivanje korisnika • Podrška izvršnog menadžmenta Podrška izvršnog menadžmenta (A(Akktivtivnini interes) interes)• Jasna izjava o zahtevima Jasna izjava o zahtevima • Dobro planiranjeDobro planiranje• RealistiRealistična očekivanjačna očekivanja• Manje kontrolnih tačaka projekta (veća Manje kontrolnih tačaka projekta (veća
transparentnosttransparentnost))• Vlasništvo (odgovornost)Vlasništvo (odgovornost)• Jasna vizija i ciljeviJasna vizija i ciljevi• PlaniPlaniranje rizikaranje rizika, , iidentifidentifikkaacciija i ublažavanjeja i ublažavanje