osnove informacijske sigurnostifmpe.edu.ba/...i_racunarskih_sistema/...sigurnosti.pdf · poslovni...
TRANSCRIPT
Osnove informacijske sigurnosti
prof.dr. Džemal KulašinKiseljak, decembar 2016
Univerzitet u TravnikuFMPE Kiseljak
Uvod
� IS-i nužno imaju izlaz na Internet◦ Izraženiji problemi sigurnosti!
� Mogućnost neovlaštenog praćenjakomunikacije ◦ Zloupotreba informacija!
◦ Štete od cyber kriminala izražavaju se u 100-ama milijardi $ na godišnjem nivou!
Prijetnje informacijskoj sigurnosti
� Porast umreženosti� Porast složenosti (hakerskog) softvera � Zaposleni◦ Povodljivost, lakomost
� Korporativna kultura◦ Niska svijest o potrebi i načinima zaštite
� Elementarne nepogode◦ Požari, poplave
Informacijska sigurnostInformacijska sigurnost je……očuvanje glavnih sigurnosnih segmenata
informacije, a to su:
� Tajnost informacija�Cjelovitost (integritet) informacija�Dostupnost informacija
Ovdje se nameće dodati i:
�Osiguranje autentičnostiučesnika u komunikaciji
C-I-A
� Ova tri segmenta često se označavaju kao sigurnosni triangl C-I-A◦ Confidentiality
◦ Integrity
◦ Availability
- Često se ovaj termin pogrešno poistovjeti sa američkom tajnom agencijom CIA!
C-I-A: Information security
Informacijska sigurnost
�Tajnost informacija� Odreñeni skup informacija u svakom
sistemu mora dobiti visoki ili najviši stepen tajnosti� Tzv. povjerljive informacije
� Postupci tajnosti (osoblje, procedure...)
Informacijska sigurnost
�Cjelovitost (integritet) informacija� Da li povjerljive informacije koriste samo
ovlaštene osobe?� Da li ih neko neovlašteno koristi?
� Da li informacija doživljava izmjene tokom prenosa komunikacijskim kanalima?
Informacijska sigurnost
�Dostupnost informacija� Obezbjeñenje tehničkih uvjeta za stalnu
dostupnost informacija� To se posebno odnosi na dostupnost povjerljivih
informacija ovlaštenim osobama
� Npr. očuvanje pouzdanosti računarskih sistema, pouzdanosti mreže, i sl.
Provoñenje sigurnosnih mjera� Ograničavanje prava pristupa◦ Pojedinci, lozinke, samo odreñeni moduli...
� Cirkulacija informacija se ograničava� Nivo tajnosti svake informacije je jasno
obilježen◦ Uvoñenje procedura za rukovanje
informacijama sa odreñenim stupnjem tajnosti
Provoñenje sigurnosnih mjera
� Uvoñenje disciplinskih postupaka za kršenje pravila informacijske sigurnosti◦ Zaposlenik potpisuje izjavu u kojoj se
potvrñuje da je upoznat sa procedurama informacijske sigurnosti
Provoñenje sigurnosnih mjera
� Pored osnovnih proceduralnih mjera, nužno je i korištenje odreñenog softvera, kao što je:
◦Antivirusni softver
◦ Firewall, itd.
Provoñenje sigurnosti IS-a
� Pored osnovnih proceduralnih mjera i osnovnog softvera...� tzv. parcijalni pristup
� danas se nameće sistemski pristup kroz ISMS!� ISMS - Sistem upravljanja informacijskom
sigurnosti
ISMS� Poslovni sistemi danas sve više uvode
Sistem upravljanja informacijskom sigurnošću (ISMS)◦ Njime se osigurava ispunjenje zahtjeva na
očuvanju aspekata informacijske sigurnosti tzv. C-I-A (Confidentiality - Tajnost, Integrity -Cjelovitost i Availability - Dostupnost)
� ISMS regulira serija standarda ISO 27000
ISO/IEC ISO 27001
�BAS ISO/IEC 27001:2015�Meñunarodni standard koji specificira zahtjeve za
uspostavu, primjenu, održavanje i stalno poboljšavanje sistema za upravljanje sigurnošću informacija u kontekstu organizacije.
�obuhvata i zahtjeve za procjenu i tretman rizika vezane za sigurnost informacija u skladu sa potrebama organizacije
Zašto ISO 27001?
� Serija standarda ISO/IEC 27000 daje harmonizirani pristup upravljanju rizicima kojim su izložene informacione vrijednosti u organizaciji ◦ Kako: Kroz razvoj, implementaciju i održavanje ISMS-a
kao menadžment sistema informacijske sigurnosti.!
� Njegovim krajnjim certificiranjem organizacije stiču se kako interne tako i eksterne prednosti...
Efekti implementacija ISO 27001
ISO/IEC ISO 27001
�Sveobuhvatnost strukture standarda!� Informatički aspekt:
�Analiziraju se i definiraju performanse IT opreme, prava pristupa, kriptovanja, lozinke, protokoli, politike sa aspekta pojave rizika po sigurnost podataka i informacija;
ISO/IEC ISO 27001
�Administrativni aspekt �Definiraju se jasna uputstva, politike i procedure
za generiranje informacija, njihovu distribuciju, čuvanje (skladištenje);
�Fizički aspekt
�Utvrñuje se fizička kontrola pristupa, evidencija zaposlenih, video nadzor, zaštita radnih prostorija i sl.
ISO/IEC ISO 27001 – Anex A
�Anex A - krucijalni dio standarda!�Zašto: sadrži sigurnosne kontrole!
�primjenjivo u svakom tipu organizacije
�Cilj: praktično postizanjeinformacijske sigurnosti
ISO/IEC ISO 27001 – Anex A
�Sigurnosne kontrole Anex-a A rasporeñene su po kategorijama:
ISO/IEC ISO 27001 – Anex A
� A.5. Politika informacijske sigurnosti (Information security policies),
� A.6. Organizacija informacijske sigurnosti (Organization of information security),
� A.7. Sigurnost ljudskih resursa (Human resource security),
� A.8. Upravljanje imovinom (Asset management),
� A.9. Kontrola pristupa (Access control),
� A.10. Kriptografija (Cryptography),
ISO/IEC ISO 27001 – Anex A
� A.11.Fizička sigurnost i sigurnost okoline (Physical and environmental security),
� A.12. Operativna sigurnost (Operations security),
� A.13. Sigurnost komunikacija (Communications security),
� A.14. Nabavka sistema, razvoj i održavanje (System acquisition, development and maintenance),
ISO/IEC ISO 27001 – Anex A
� A.15. Odnosi sa dobavljačima (Supplier relationships),
� A.16. Upravljanje incidentima informacijske sigurnosti (Information security incident management),
� A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja (Information security aspects of business continuity management),
� A.18. Usaglašenost (Compliance).
ISO/IEC ISO 27001
� Stvarna implementacija ISMS u neku organizaciju je, u biti, provoñenje sigurnosnih mjera odabranih shodno procjeni rizika koja se provodi na temelju sigurnosne politike organizacije.
� Dokument u kojem se to navodi i službeno potpisuje označava se kao Izjava o primjenjivosti (SoA - Statement od Applicability), kako je navedeno kao zahtjev standarda ISO 27001
ISO/IEC ISO 27001
� Meñunarodna organizacija za standardizaciju (ISO) jedanput godišnje objavljuje podatke o certifikatima izdanim za ISO standarde sistema upravljanja pod nazivom ISO Survey.
� Prema ovom pregledu, u 2014. godini u svijetu je ukupno izdano ukupno 1.609.294 certifikata.◦ Postoji trend kontinuiranog povećavanja broja ISO
certifikata u svijetu
ISO/IEC ISO 27001
� Prema podacima ISO Survey-a, zaključno sa krajem 2014. godine u našoj zemlji izdano je svega 9 certifikata za standard ISO 27001!
� Za uporedbu, pogledajmo prve susjede:◦ U Sloveniji 58 certifikata,
◦ u Hrvatskoj 96,
◦ u Srbiji izdano 103 certifikata ISO 27001, itd.
Distribucija ISO 27001 u svijetu