Úvod - Podniková informační bezpečnost PS1-1

Transkript

1 VŠFS; Aplikovaná informatika / Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-1

2 VŠFS; Aplikovaná informatika / Osnova I principy informační bezpečnosti; program informační bezpečnosti v podniku; bezpečnostní program - požadavky na pracovníky podniku; procesy v oblasti bezpečnosti informací; bezpečnostní informační technologie; realizace bezpečnostního programu;

3 VŠFS; Aplikovaná informatika / Literatura Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 Kolektiv: Informační bezpečnost, Tate International, 2001 Časopis DSM - Data security management Doporučená Smejkal V.; Rais K.:Řízení rizik, Grada 2003 Frimmel M.: Elektronický obchod, Prospektum 2002 Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001

4 VŠFS; Aplikovaná informatika / Úvod Cíl podnikové informační bezpečnosti: vytvořit efektivní program informační bezpečnosti, kdy jsou v rovnovážném stavu rizika podniku a vynakládané investice na jeho rozvoj. což, vyžaduje zajistit správnou a vyváženou kombinací tří základních aspektů: technologií procesů personálu (uživatelů)

5 VŠFS; Aplikovaná informatika / Principy informační bezpečnosti Informační bezpečnost = ochrana informací před jejich neoprávněným přístupem, modifikací a/nebo zničením a to buď náhodnými vlivy nebo úmyslně

6 VŠFS; Aplikovaná informatika / Principy informační bezpečnosti Základní principy 1. oddělení povinností nepostradatelní lidé 2. zamezení jednotného přístupu ke zdrojům informací nebezpečné kombinace zdrojů 3. zákaz převodu a ukrývání informačních aktiv monitorování činností 4. oddělení produkce dat od jejich ověřování nezávislá kontrola

7 VŠFS; Aplikovaná informatika / Úvod Vzájemná provázanost tří základních aspektů Technologie Procesy Lidé

8 VŠFS; Aplikovaná informatika / Lidé Lidé tj. personál podniku patří mezi nejrizikovější část podnikového bezpečnostního systému eliminování vlivu lidského faktoru spočívá zejména v: bezpečnostním školení pracovníků podniku; jednoznačné organizační bezpečnostní struktuře se stanovenými zodpovědnostmi a pravomocemi;

9 VŠFS; Aplikovaná informatika / Lidé Personální strategie Cíl: Snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. Zahrnutí bezpečnosti do pracovních povinností Taktika prověřování uchazečů Smlouva o mlčenlivosti

10 VŠFS; Aplikovaná informatika / Lidé Školení Cíl: Zajistit, aby si uživatelé byli vědomi bezpečnostních hrozeb a otázek s nimi spjatých a byli připraveni se podílet na dodržování politiky bezpečnosti informací školení bezpečnostních předpisů školení bezpečnostních postupů

11 VŠFS; Aplikovaná informatika / Lidé Reakce na bezpečnostní incidenty a chyby Cíl: Minimalizovat škody způsobené bezpečnostními incidenty a chybami, monitorování, náprava. Hlášení bezpečnostních incidentů Hlášení bezpečnostních slabin Hlášení nesprávné funkce SW Správa incidentů lidský faktor

12 VŠFS; Aplikovaná informatika / Lidé Organizační struktura administrativa vedoucí manažer bezpečnosti informací bezpečnostní tým bezpečnostní povinnosti zaměstnanců podniku Rozhodující otázka začlenění bezpečnosti do struktury podniku

13 VŠFS; Aplikovaná informatika / Procesy Práce s citlivým i daty Schválený požadavek na ř ešení bezpeč nosti Analýza rizik Bezpeč nostní politika Bezpeč nostní dokum enty Im plem entace bezpeč nostních aspektů Kontrola

14 VŠFS; Aplikovaná informatika / Procesy Musí být provedeny následující kroky: a) zformulována politika bezpečnosti informací. b) vymezen rozsah systému řízení bezpečnosti informací. Rozsah závisí na charakteru podniku, na zpracovávaných informačních aktivech a používaných technologiích. c) zpracováno vhodné hodnocení rizik. Hodnocení rizik musí identifikovat hrozby, které na aktiva působí, slabiny a dopady na podnik a musí stanovit míru rizika. d) formulovány oblasti rizik, která mají být podchycena, jejich výběr vychází z politikz bezpečnosti informací podniku z požadovaného stupně záruk. e) vybrány náležité bezpečnostní cíle a opatření.

15 VŠFS; Aplikovaná informatika / Procesy klasifikace informací Hlavní důvod pro zahájení procesu řešení bezpečnosti = zhodnocení zpracovávaných informací => uspořádání informací podle kategorií vypracování klasifikačního schématu

16 VŠFS; Aplikovaná informatika / Procesy klasifikace informací Stupně klasifikace informací Informace pro vnitřní potřebu podniku Zvlášť citlivé inf. Strategické inf. cca 80% 10% 1% Zbytek tvoří publikovatelné informace

17 VŠFS; Aplikovaná informatika / Procesy Důležitá etapa před zpracováním bezpečnostní politiky analýza rizik Cíl: identifikace příčin, které mohou mít nežádoucí dopad na informace zpracovávané v podniku; zjištění rizik, které s určitou pravděpodobností mohou ovlivnit informační prostředí; stanovení škod, které může dané riziko způsobit; návrh způsobů eliminace rizik.

18 VŠFS; Aplikovaná informatika / Procesy Typy analýzy rizik: 1.elementární (základní) analýza rizik; 2.neformální analýza rizik; 3.komplexní (podrobná) analýza rizik; 4.kombinovaná analýza rizik. V současné době se preferuje přístup založený na neformální analýze rizik

19 VŠFS; Aplikovaná informatika / Procesy Bezpečnostní politika podniku základní dokument, který je schválen vedením podniku a vytváří prostor pro proces řešení informační bezpečnosti. Definuje cíle Vymezuje postupy a způsoby Stanovuje pravomoci a zodpovědnosti při realizaci bezpečnostních opatření

20 VŠFS; Aplikovaná informatika / Program podnikové informační bezpečnosti Program je vychází ze stanovení perimetrů digitálních hranic mezi prostředím podniku a vnějším elektronickým světem Tento přístup vychází z oddělení jednotlivých prostředí do jednotlivých informačních (digitálních) zón a poskytuje ochranu dat na definovaných bezpečnostních vrstvách informačního prostředí

21 VŠFS; Aplikovaná informatika / Program podnikové informační bezpečnosti Vícevrstvová informační bezpečnost servisní protokoly informační aktiva aplikace programová volání procesy vzdálená volání procedur systémové prostředí operační systémy aplikační SW HW systémy přenosu FW Intranet Extranet router switch gateway

22 VŠFS; Aplikovaná informatika / Osnova II principy informační bezpečnosti; program informační bezpečnosti v podniku; bezpečnostní program - požadavky na pracovníky podniku; procesy v oblasti bezpečnosti informací; bezpečnostní informační technologie; realizace bezpečnostního programu;