Osnove informacijske sigurnosti

prof.dr. Džemal KulašinKiseljak, decembar 2016

Univerzitet u TravnikuFMPE Kiseljak

Uvod

� IS-i nužno imaju izlaz na Internet◦ Izraženiji problemi sigurnosti!

� Mogućnost neovlaštenog praćenjakomunikacije ◦ Zloupotreba informacija!

◦ Štete od cyber kriminala izražavaju se u 100-ama milijardi $ na godišnjem nivou!

Prijetnje informacijskoj sigurnosti

� Porast umreženosti� Porast složenosti (hakerskog) softvera � Zaposleni◦ Povodljivost, lakomost

� Korporativna kultura◦ Niska svijest o potrebi i načinima zaštite

� Elementarne nepogode◦ Požari, poplave

Informacijska sigurnostInformacijska sigurnost je……očuvanje glavnih sigurnosnih segmenata

informacije, a to su:

� Tajnost informacija�Cjelovitost (integritet) informacija�Dostupnost informacija

Ovdje se nameće dodati i:

�Osiguranje autentičnostiučesnika u komunikaciji

C-I-A

� Ova tri segmenta često se označavaju kao sigurnosni triangl C-I-A◦ Confidentiality

◦ Integrity

◦ Availability

- Često se ovaj termin pogrešno poistovjeti sa američkom tajnom agencijom CIA!

C-I-A: Information security

Informacijska sigurnost

�Tajnost informacija� Odreñeni skup informacija u svakom

sistemu mora dobiti visoki ili najviši stepen tajnosti� Tzv. povjerljive informacije

� Postupci tajnosti (osoblje, procedure...)

Informacijska sigurnost

�Cjelovitost (integritet) informacija� Da li povjerljive informacije koriste samo

ovlaštene osobe?� Da li ih neko neovlašteno koristi?

� Da li informacija doživljava izmjene tokom prenosa komunikacijskim kanalima?

Informacijska sigurnost

�Dostupnost informacija� Obezbjeñenje tehničkih uvjeta za stalnu

dostupnost informacija� To se posebno odnosi na dostupnost povjerljivih

informacija ovlaštenim osobama

� Npr. očuvanje pouzdanosti računarskih sistema, pouzdanosti mreže, i sl.

Provoñenje sigurnosnih mjera� Ograničavanje prava pristupa◦ Pojedinci, lozinke, samo odreñeni moduli...

� Cirkulacija informacija se ograničava� Nivo tajnosti svake informacije je jasno

obilježen◦ Uvoñenje procedura za rukovanje

informacijama sa odreñenim stupnjem tajnosti

Provoñenje sigurnosnih mjera

� Uvoñenje disciplinskih postupaka za kršenje pravila informacijske sigurnosti◦ Zaposlenik potpisuje izjavu u kojoj se

potvrñuje da je upoznat sa procedurama informacijske sigurnosti

Provoñenje sigurnosnih mjera

� Pored osnovnih proceduralnih mjera, nužno je i korištenje odreñenog softvera, kao što je:

◦Antivirusni softver

◦ Firewall, itd.

Provoñenje sigurnosti IS-a

� Pored osnovnih proceduralnih mjera i osnovnog softvera...� tzv. parcijalni pristup

� danas se nameće sistemski pristup kroz ISMS!� ISMS - Sistem upravljanja informacijskom

sigurnosti

ISMS� Poslovni sistemi danas sve više uvode

Sistem upravljanja informacijskom sigurnošću (ISMS)◦ Njime se osigurava ispunjenje zahtjeva na

očuvanju aspekata informacijske sigurnosti tzv. C-I-A (Confidentiality - Tajnost, Integrity -Cjelovitost i Availability - Dostupnost)

� ISMS regulira serija standarda ISO 27000

ISO/IEC ISO 27001

�BAS ISO/IEC 27001:2015�Meñunarodni standard koji specificira zahtjeve za

uspostavu, primjenu, održavanje i stalno poboljšavanje sistema za upravljanje sigurnošću informacija u kontekstu organizacije.

�obuhvata i zahtjeve za procjenu i tretman rizika vezane za sigurnost informacija u skladu sa potrebama organizacije

Zašto ISO 27001?

� Serija standarda ISO/IEC 27000 daje harmonizirani pristup upravljanju rizicima kojim su izložene informacione vrijednosti u organizaciji ◦ Kako: Kroz razvoj, implementaciju i održavanje ISMS-a

kao menadžment sistema informacijske sigurnosti.!

� Njegovim krajnjim certificiranjem organizacije stiču se kako interne tako i eksterne prednosti...

Efekti implementacija ISO 27001

ISO/IEC ISO 27001

�Sveobuhvatnost strukture standarda!� Informatički aspekt:

�Analiziraju se i definiraju performanse IT opreme, prava pristupa, kriptovanja, lozinke, protokoli, politike sa aspekta pojave rizika po sigurnost podataka i informacija;

ISO/IEC ISO 27001

�Administrativni aspekt �Definiraju se jasna uputstva, politike i procedure

za generiranje informacija, njihovu distribuciju, čuvanje (skladištenje);

�Fizički aspekt

�Utvrñuje se fizička kontrola pristupa, evidencija zaposlenih, video nadzor, zaštita radnih prostorija i sl.

ISO/IEC ISO 27001 – Anex A

�Anex A - krucijalni dio standarda!�Zašto: sadrži sigurnosne kontrole!

�primjenjivo u svakom tipu organizacije

�Cilj: praktično postizanjeinformacijske sigurnosti

ISO/IEC ISO 27001 – Anex A

�Sigurnosne kontrole Anex-a A rasporeñene su po kategorijama:

ISO/IEC ISO 27001 – Anex A

� A.5. Politika informacijske sigurnosti (Information security policies),

� A.6. Organizacija informacijske sigurnosti (Organization of information security),

� A.7. Sigurnost ljudskih resursa (Human resource security),

� A.8. Upravljanje imovinom (Asset management),

� A.9. Kontrola pristupa (Access control),

� A.10. Kriptografija (Cryptography),

ISO/IEC ISO 27001 – Anex A

� A.11.Fizička sigurnost i sigurnost okoline (Physical and environmental security),

� A.12. Operativna sigurnost (Operations security),

� A.13. Sigurnost komunikacija (Communications security),

� A.14. Nabavka sistema, razvoj i održavanje (System acquisition, development and maintenance),

ISO/IEC ISO 27001 – Anex A

� A.15. Odnosi sa dobavljačima (Supplier relationships),

� A.16. Upravljanje incidentima informacijske sigurnosti (Information security incident management),

� A.17. Aspekti informacijske sigurnosti kontinuiteta poslovanja (Information security aspects of business continuity management),

� A.18. Usaglašenost (Compliance).

ISO/IEC ISO 27001

� Stvarna implementacija ISMS u neku organizaciju je, u biti, provoñenje sigurnosnih mjera odabranih shodno procjeni rizika koja se provodi na temelju sigurnosne politike organizacije.

� Dokument u kojem se to navodi i službeno potpisuje označava se kao Izjava o primjenjivosti (SoA - Statement od Applicability), kako je navedeno kao zahtjev standarda ISO 27001

ISO/IEC ISO 27001

� Meñunarodna organizacija za standardizaciju (ISO) jedanput godišnje objavljuje podatke o certifikatima izdanim za ISO standarde sistema upravljanja pod nazivom ISO Survey.

� Prema ovom pregledu, u 2014. godini u svijetu je ukupno izdano ukupno 1.609.294 certifikata.◦ Postoji trend kontinuiranog povećavanja broja ISO

certifikata u svijetu

ISO/IEC ISO 27001

� Prema podacima ISO Survey-a, zaključno sa krajem 2014. godine u našoj zemlji izdano je svega 9 certifikata za standard ISO 27001!

� Za uporedbu, pogledajmo prve susjede:◦ U Sloveniji 58 certifikata,

◦ u Hrvatskoj 96,

◦ u Srbiji izdano 103 certifikata ISO 27001, itd.

Distribucija ISO 27001 u svijetu