Úvod - Podniková informační bezpečnost PS1-1

Bezpečnost informací – BI Ing. Jindřich Kodl, CSc.

Úvod Podniková informační bezpečnost PS1-1 VŠFS; Aplikovaná informatika - 2006/2007

1

Osnova I

• principy informační bezpečnosti; • program informační bezpečnosti v podniku; – bezpečnostní program - požadavky na pracovníky podniku; – procesy v oblasti bezpečnosti informací; – bezpečnostní informační technologie;

• realizace bezpečnostního programu;

VŠFS; Aplikovaná informatika - 2006/2007

2

Literatura • Kovacich G.L.: Průvodce bezpečnostního pracovníka IS, Unis Publishing, 2000 • Kolektiv: Informační bezpečnost, Tate International, 2001 • Časopis DSM - Data security management Doporučená • Smejkal V.; Rais K.:Řízení rizik, Grada 2003 • Frimmel M.: Elektronický obchod, Prospektum 2002 • Smejkal a kol. Právo informačních a telekomunikačních systémů, Beck 2001 VŠFS; Aplikovaná informatika - 2006/2007

3

Úvod Cíl podnikové informační bezpečnosti: vytvořit efektivní program informační bezpečnosti, kdy jsou v rovnovážném stavu rizika podniku a vynakládané investice na jeho rozvoj. což, vyžaduje zajistit správnou a vyváženou kombinací tří základních aspektů: • technologií • procesů • personálu (uživatelů) VŠFS; Aplikovaná informatika - 2006/2007

4

Principy informační bezpečnosti

Informační bezpečnost = ochrana informací před jejich neoprávněným přístupem, modifikací a/nebo zničením a to buď náhodnými vlivy nebo úmyslně

VŠFS; Aplikovaná informatika - 2006/2007

5

Principy informační bezpečnosti

Základní principy 1. 2. 3. 4.

oddělení povinností – nepostradatelní lidé zamezení jednotného přístupu ke zdrojům informací – nebezpečné kombinace zdrojů zákaz převodu a ukrývání informačních aktiv – monitorování činností oddělení produkce dat od jejich ověřování – nezávislá kontrola VŠFS; Aplikovaná informatika - 2006/2007

6

Úvod Vzájemná provázanost tří základních aspektů

Technologie

Procesy

Lidé VŠFS; Aplikovaná informatika - 2006/2007

7

Lidé Lidé tj. personál podniku patří mezi nejrizikovější část podnikového bezpečnostního systému eliminování „vlivu lidského faktoru“ spočívá zejména v: • bezpečnostním školení pracovníků podniku; • jednoznačné organizační bezpečnostní struktuře se stanovenými zodpovědnostmi a pravomocemi;

VŠFS; Aplikovaná informatika - 2006/2007

8

Lidé

Personální strategie Cíl: Snížit riziko lidské chyby, krádeže, podvodu nebo zneužití prostředků organizace. • Zahrnutí bezpečnosti do pracovních povinností • Taktika prověřování uchazečů • Smlouva o mlčenlivosti VŠFS; Aplikovaná informatika - 2006/2007

9

Lidé

Školení Cíl: Zajistit, aby si uživatelé byli vědomi bezpečnostních hrozeb a otázek s nimi spjatých a byli připraveni se podílet na dodržování politiky bezpečnosti informací • školení bezpečnostních předpisů • školení bezpečnostních postupů

VŠFS; Aplikovaná informatika - 2006/2007

10

Lidé

Reakce na bezpečnostní incidenty a chyby Cíl: Minimalizovat škody způsobené bezpečnostními • • • •

incidenty a chybami, monitorování, náprava. Hlášení bezpečnostních incidentů Hlášení bezpečnostních slabin Hlášení nesprávné funkce SW Správa incidentů – lidský faktor VŠFS; Aplikovaná informatika - 2006/2007

11

Lidé

Organizační struktura –administrativa • vedoucí manažer bezpečnosti informací • bezpečnostní tým • bezpečnostní povinnosti zaměstnanců podniku ------------------------------------------------Rozhodující otázka – začlenění bezpečnosti do struktury podniku VŠFS; Aplikovaná informatika - 2006/2007

12

Procesy P r á c e s c it liv ý m i d a t y S c h v á le n ý p o ž a d a v e k n a ř e š e n í b e z p e č n o s ti A n a lý z a r iz ik B e z p e č n o s tn í p o litik a B e z p e č n o s tn í d o k u m e n ty I m p le m e n t a c e b e z p e č n o s t n í c h a s p e k tů K o n t r o la

VŠFS; Aplikovaná informatika - 2006/2007

13

Procesy Musí být provedeny následující kroky: a) zformulována politika bezpečnosti informací. b) vymezen rozsah systému řízení bezpečnosti informací. Rozsah závisí na charakteru podniku, na zpracovávaných informačních aktivech a používaných technologiích. c) zpracováno vhodné hodnocení rizik. Hodnocení rizik musí identifikovat hrozby, které na aktiva působí, slabiny a dopady na podnik a musí stanovit míru rizika. d) formulovány oblasti rizik, která mají být podchycena, jejich výběr vychází z politikz bezpečnosti informací podniku z požadovaného stupně záruk. e) vybrány náležité bezpečnostní cíle a opatření.

VŠFS; Aplikovaná informatika - 2006/2007

14

Procesy – klasifikace informací

Hlavní důvod pro zahájení procesu řešení bezpečnosti = zhodnocení zpracovávaných informací

=>

• uspořádání informací podle kategorií • vypracování klasifikačního schématu

VŠFS; Aplikovaná informatika - 2006/2007

15

Procesy – klasifikace informací Stupně klasifikace informací

Informace pro vnitřní potřebu podniku

Zvlášť citlivé inf. Strategické inf. cca 80% 10% 1% Zbytek tvoří publikovatelné informace

VŠFS; Aplikovaná informatika - 2006/2007

16

Procesy Důležitá etapa před zpracováním bezpečnostní politiky – analýza rizik

Cíl: • identifikace příčin, které mohou mít nežádoucí dopad na informace zpracovávané v podniku; • zjištění rizik, které s určitou pravděpodobností mohou ovlivnit informační prostředí; • stanovení škod, které může dané riziko způsobit; • návrh způsobů eliminace rizik. VŠFS; Aplikovaná informatika - 2006/2007

17

Procesy Typy analýzy rizik: 1.elementární (základní) analýza rizik; 2.neformální analýza rizik; 3.komplexní (podrobná) analýza rizik; 4.kombinovaná analýza rizik. V současné době se preferuje přístup založený na neformální analýze rizik

VŠFS; Aplikovaná informatika - 2006/2007

18

Procesy Bezpečnostní politika podniku základní dokument, který je schválen vedením podniku a vytváří prostor pro proces řešení informační bezpečnosti. ¾ Definuje cíle ¾ Vymezuje postupy a způsoby ¾ Stanovuje pravomoci a zodpovědnosti při realizaci bezpečnostních opatření VŠFS; Aplikovaná informatika - 2006/2007

19

Program podnikové informační bezpečnosti Program je vychází ze stanovení perimetrů – digitálních hranic mezi prostředím podniku a vnějším elektronickým světem Tento přístup vychází z oddělení jednotlivých prostředí do jednotlivých „informačních (digitálních) zón“ a poskytuje ochranu dat na definovaných bezpečnostních vrstvách informačního prostředí

VŠFS; Aplikovaná informatika - 2006/2007

20

Program podnikové informační bezpečnosti Vícevrstvová informační bezpečnost informační aktiva aplikace vzdálená servisní programová volání protokoly volání procedur procesy systémové prostředí operační HW systémy aplikační SW systémy přenosu FW Intranet Extranet router gateway switch VŠFS; Aplikovaná informatika - 2006/2007

21

Osnova II

• principy informační bezpečnosti; • program informační bezpečnosti v podniku; – bezpečnostní program - požadavky na pracovníky podniku; – procesy v oblasti bezpečnosti informací; – bezpečnostní informační technologie;

• realizace bezpečnostního programu;

VŠFS; Aplikovaná informatika - 2006/2007

22