Transcript ranjivost
Upravljanje sigurnošću informacija Milorad Milivojević IT@SavaOsiguranje [email protected] • • • • Informacija Informaciona bezbednost Rizici Uvod u ISO 27000 Šta je informacija? • Informacija je imovina • kao i bilo koja druga bitna poslovna imovina kompanije, ima vrednost za organizaciju i konstantno mora biti prikladno zaštićena. Egzistira u različitim oblicima • Štampana, pisana, elektronska, vizuelna, nematerijalna – znanje, iskustvo, ideja • Kreirana, obrađena, emitovana, iskorišćena, kontrolisana • Vlastita, modifikovana, izgubljena, uništena, ukradena Šta je informaciona sigurnost? Šta je informaciona sigurnost? • „nešto“ što čuva vredne informacije sigurne (zaštićene, bezbedne od oštećenja) • To nije nešto što možete da kupite, ali je nešto što radite • To je stalni proces i nije proizvod Informaciona sigurnost je definisana kao očuvanje: Poverljivosti Integriteta Dostupnosti Omogućiti dostupnost informacija, samo autorizovanim korisnicima Zaštititi tačnost i kompletnost informacija i načina obrade Obezbediti dostupnost informacije kada je to potrebno Kako postižemo? • • • • Kombinacijom različitih strategija i pristupa Utvrđivanjem rizika i proaktivnim upravljanjem Očuvanjem CIA Izbegavanjem, sprečavanjem, otkrivanjem i oporavkom od incidenata • Obezbediti ljude, procese i tehnologiju… ne samo IT Ljudi Menadžment i zaposleni Procesi Poslovne aktivnosti Tehnologija IT, komunikacije… Cilj • • • • • • Zaštiti podatke od raznih pretnji Obezbediti kontinuitet poslovanja Smanjiti finansijske gubitke Optimizovati CAPEX i OPEX Stvoriti mogućnosti za bezbedno poslovanje Održati privatnost i usaglašenost Zašto? Sigurnosni incidenti – posledice: • • • • • IT downtime-a, prekid poslovanja Finansijski gubici i troškovi Devalvacija intelektualne svojine Kršenje zakona i propisa Narušavanje ugleda, gubitka tržišta, kupaca, poslovnih partnera, poverljivosti, biznisa… • Strah, nesigurnost i sumnja Šta je rizik? • Rizik je mogućnost realizacije neželjenog događaja • Rizik je mogućnost da pretnja eksploatiše ranjivost u informacionim resursima, što dovodi do direktnog negativnog uticaja na kompaniju. Pristup proceni rizika PRETNJA RANJIVOST UTICAJ Motivacioni Problem Katalizator Razlog zašto neko treba da uradi nešto Slabost koja može biti iskorišćena Nepredvidiv događaj koji nas primorava da nešto uradimo Uzrokuje uticaj Iskorišćava ranjivost Pristup proceni rizika UTICAJ - Finansijski gubitak Gubitak ugleda Gubitak vremena … RANJIVOST - Ljudske greške (nedostatak znanja, interesa, umor) - Tehničke ranjivosti (OS update, APP update, otvorene mreže, wifi, bluetooth, pogrešna konfiguracija) PRETNJA - Namerne (iznutra, spolja, fizičke, logičke) - Nenamerne (greške, kvarovi) Osnovni parametri za upravljanje rizikom • izbor odgovarajućeg pristupa za procenu rizika • uspostavljanje kriterijuma za evaluaciju rizika • uspostavljanje kriterijuma za procenu verovatnoće uticaja • uspostavljanje kriterijuma za prihvatanje i tretman rizika • određivanje potencijalno raspoloživih resursa I kako sada da mi zaštitimo naše informacione resurse? Kratka istorija ISO 27000 • 1990-ih - Information Security Management Code of Practice – BS7799 • 2000-ih - Prihvaćen od ISO/IEC-a, nastao ISO17799, objavljen ISO 27001, počela sertifikacija • Sada - Proširen paket standarda za bezbednost informacija, ažuriran i reizdavan na nekoliko godina ISO 27001 • Odnosi se na upravljanje sigurnošću informacija, ne samo na IT • Formalno definiše sistem upravljanja • Koristi PDCA model • Primenjiv u heterogenim okruženjima IS POLITIKA REDOVAN NADZOR MENADžMENT-a SECURITY ORGANIZACIJA PLAN Uspostavljanje ISMS DO IDENTIFIKACIJA & KLASIFIKACIJA ASSET-a ACT Implementacija & Izvršavanje ISMS Održavanje & unapređenje KOREKTIVNE & PREVENTIVNE METODE CHECK Nadgledanje & Provera ISMS KONTROLA SELEKCIJA & IMPLEMENTACIJA DOPUNJAVATI SIGURNOSNE PLANOVE PROVERA EFIKASNOSTI ISMS-a Odrediti opseg ISMS-a • • • • • Data centar DR site Elektronske arhive Internet bankarstvo Kroz celu organizaciju Ključni dokumenti • Korporativna sigurnosna politika • Prateće politike: fizičke sigurnosti, email, HR, incident menadžment, usklađenost • Procedure i uputstva • Zapisi, security logovi, security izveštaji, korektivne akcije Konačni cilj implementacije • Projektovati, implementirati, upravljati i održavati ISMS koji je u skladu sa međunarodnim standardima, uključujući opšte priznate bezbednosne norme Benefiti • • • • • • Dokazana posvećenost sigurnosti kompanije Pravna i regulatorna usaglašenost Olakšano i unapređeno upravljanje rizikom Komercijalni kredibilitet, poverljivost Smanjenje troškova Usmeravanje zaposlenih, poboljšana svest Ko je odgovoran? • • • • • • IS manager / CSO Tim za upravljanje incidentima Tim za Business Continuity IT, Pravni, HR i ostali sektori Interna revizija Poslednji na spisku, ali ne i najmanje bitni Vi! There is no security; there is only opportunity. Douglas MacArthur HVALA! Milorad Milivojević IT@SavaOsiguranje [email protected]