Informacijska sigurnost za menadzere upravljanja ljudskim resursima
1. Informacijska sigurnost za menadžere upravljanja
ljudskim resursima
mag. oec. Saša Aksentijevid, univ. spec. oec.
stalni sudski vještak za informatiku i telekomunikacije
2. Sadržaj
•
•
•
•
•
•
•
•
•
•
UVOD
POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA
INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST
PLAN INFORMACIJSKE SIGURNOSTI
RIZIK
KONTROLA I UPRAVLJANJE RIZIKOM
SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA INFORMACIJSKE
SIGURNOSTI
ULOGA HR MENADŽERA
ZAKLJUČAK
DISKUSIJA – PITANJA I ODGOVORI
3. Povijest sigurnosti informacijskih sustava
•
•
•
•
“cezarevo šifriranje”
Razvoj sigurnosti informacijskih sustava u
početku prati vojna osvajanja
Prijelomni trenutak – Drugi svjetski rat
Pojava elektroničkog poslovanja (“ebusiness”)
4. Plan informacijske sigurnosti I
•
•
•
•
•
•
Identificira se kritična dokumentacija kao
podloga za pripremu Plana te standardi
koji de biti primijenjeni
Procjenjuje se postojede stanje
informacijske sigurnosti unutar poduzeda
ili organizacije
Definiraju se prioriteti informacijske
sigurnosti
Identificiraju se odjeli te funkcije koje u
operativnoj fazi rade s povjerljivim
informacijama ili podacima
Identificiraju se mogudi rizici po
sigurnost sustava
Predlažu se metode za umanjenje ili
potpuno uklanjanje rizika
5. Plan informacijske sigurnosti II
•
•
•
•
Privatnost, povjerljivost i sigurnost
informacija
Pravila dobrog ponašanja
„Need to know“ princip
Nivoi diskrecije
6. Plan informacijske sigurnosti III
•
•
•
Povjerljivost
Integritet
Raspoloživost
Kontrole:
•
•
•
Administrativne
Logičke
Fizičke
CIA trijada
8. Domene informacijskog prostora
Zakonski zahtjevi po pitanju informacijske
sigurnosti mogu se podijeliti u dvije grupe:
•
•
zahtjevi nacionalnih zakonodavstava
specifični zakonski zahtjevi (SoX)
“Freedom of access to information” act,
Direktiva EU 2003/4/EC
10. Normiranje informacijske sigurnosti
ZAKONSKI PROPISI
OKVIRI NAJBOLJE PRAKSE
•
•
•
•
•
•
•
•
•
Zakon o organizaciji i nadležnosti državnih organa za
borbu protiv visokotehnološkog kriminaliteta
Zakon o zaštiti podataka o ličnosti
Zakon o telekomunikacijama
Krivični Zakonik Republike Srbije
ISO 9001
ISO 27001:2005
ITIL
PRINCE2
COBIT
13. Rizik II
•
•
•
•
•
•
•
•
•
•
Pristup povjerljivim informacijama od strane neovlaštene osobe
Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane „hakera“
Presretanje podataka tijekom transakcije
Gubitak podataka ili povjerljivosti informacija zbog greške korisnika
Fizički gubitak podataka uslijed katastrofe
Nekompletnost i nedokumentiranost transakcije
Neautorizirani pristup povjerljivim informacijama od strane zaposlenika
Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama („phishing“)
Neautorizirani pristup preko papirnih dokumenata i izvještaja
Neautorizirani transfer povjerljivih informacija preko trede strane
14. Rizik III – kontrola i upravljanje rizikom
•
•
•
•
•
•
•
•
•
Kontrola prikupljanja informacija
Kontrola pristupa informacijama
Obrazovanje korisnika sustava
Kontrola fizičkog pristupa
Kontrola čuvanja dokumenata
Kontrola uništavanja dokumenata
Izrada odjelnih planova čuvanja privatnosti podataka
Kontrola zahtjeva prema tredim stranama
Kontrola pristupa informacijama sadržanim unutar informacijskog sustava (u nastavku...)
15. Rizik IV – Kontrola pristupa informacijama sadržanim unutar
informacijskog sustava poduzeda
•
•
•
•
•
•
•
kreiranje kriterija pristupa računalnoj mreži
kreiranje korisničkih grupa
kontrola pristupa elektroničkoj pošti
kontrola pristupa Internet servisima
kontrola pristupa telefonskom sustavu
kontrola daljinskog pristupa
kontrola pristupa preko virtualnih privatnih mreža
16. SURADNJA ORGANIZACIJSKIH CJELINA U PROVOĐENJU PLANA
INFORMACIJSKE SIGURNOSTI
•
•
•
•
Odnos strateškog, operativnog i taktičkog se ispreplide unutar poslovnog konteksta
Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važedeg Plana
informacijske sigurnosti
Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden
Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji mora biti odobren
od odgovarajude instance
19. Uloga HR Menadžera
•
•
•
•
•
Rad s povjerljivim informacijama
Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije
Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti
Profesionalni i osobni rast
Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata
poduzeda:
1. Zakon o zaštiti osobnih podataka
2. Zakon o informacijskoj sigurnosti
3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija
osobnih podataka
4. Zakon o zaštiti na radu
5. Zakon o bankama
6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika
7. Odluka o primjerenom upravljanju informacijskim sustavom
8. Zakon o osiguranju
9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i
revizorskog izvješda društava za osiguranje
21. Statistika
•
•
•
•
•
•
•
•
55 % korisničkih računala je zaraženo spyware-ima
7% tvrtki koristi zadnju verziju sigurnosnih zakrpa operativnog sistema
25 % kompjutora su zombi računala
33 % tvrtki dozvoljava Instant Messaging
u 52 % tvrtki perimetar mreže je zadnja linija obrane informacijskog sustava
14 % korisnika čita spam a 4 % kupuje proizvode koje spam reklamira (!)
21 % spama je pornografija
20 % korisnika u Velikoj Britaniji kupuje softver koji reklamira spam
22. Informacijska sigurnost za menadžere upravljanja
ljudskim resursima
mag. oec. Saša Aksentijevid, univ. spec. oec.
stalni sudski vještak za informatiku i telekomunikacije