SlideShare a Scribd company logo

Informacijska sigurnost za menadzere upravljanja ljudskim resursima

Download as PPTX, PDF
Dejan Jeremic
Dejan Jeremic

HR Konferencija 2013

Education
1 of 22
Informacijska sigurnost za menadžere upravljanja ljudskim resursima mag. oec. Saša Aksentijevid, univ. spec. oec. stalni sudski vještak za informatiku i telekomunikacije
Sadržaj • • • • • • • • • • UVOD POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST PLAN INFORMACIJSKE SIGURNOSTI RIZIK KONTROLA I UPRAVLJANJE RIZIKOM SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI ULOGA HR MENADŽERA ZAKLJUČAK DISKUSIJA – PITANJA I ODGOVORI
Povijest sigurnosti informacijskih sustava • • • • “cezarevo šifriranje” Razvoj sigurnosti informacijskih sustava u početku prati vojna osvajanja Prijelomni trenutak – Drugi svjetski rat Pojava elektroničkog poslovanja (“ebusiness”)
Plan informacijske sigurnosti I • • • • • • Identificira se kritična dokumentacija kao podloga za pripremu Plana te standardi koji de biti primijenjeni Procjenjuje se postojede stanje informacijske sigurnosti unutar poduzeda ili organizacije Definiraju se prioriteti informacijske sigurnosti Identificiraju se odjeli te funkcije koje u operativnoj fazi rade s povjerljivim informacijama ili podacima Identificiraju se mogudi rizici po sigurnost sustava Predlažu se metode za umanjenje ili potpuno uklanjanje rizika
Plan informacijske sigurnosti II • • • • Privatnost, povjerljivost i sigurnost informacija Pravila dobrog ponašanja „Need to know“ princip Nivoi diskrecije
Plan informacijske sigurnosti III • • • Povjerljivost Integritet Raspoloživost Kontrole: • • • Administrativne Logičke Fizičke CIA trijada
DIKW hijerarhija Strategy Knowledge Information Data Informacije koje se koriste za postizanje rezultata i ciljeva Analiza i sinteza informacija Kontekstualizirani poslovni podaci Poslovni podaci i činjenice
Domene informacijskog prostora Zakonski zahtjevi po pitanju informacijske sigurnosti mogu se podijeliti u dvije grupe: • • zahtjevi nacionalnih zakonodavstava specifični zakonski zahtjevi (SoX) “Freedom of access to information” act, Direktiva EU 2003/4/EC
Normiranje informacijske sigurnosti
Normiranje informacijske sigurnosti ZAKONSKI PROPISI OKVIRI NAJBOLJE PRAKSE • • • • • • • • • Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminaliteta Zakon o zaštiti podataka o ličnosti Zakon o telekomunikacijama Krivični Zakonik Republike Srbije ISO 9001 ISO 27001:2005 ITIL PRINCE2 COBIT
Integralna korporativna (organizacijska) sigurnost
Rizik I • Identificiranje rizika
Rizik II • • • • • • • • • • Pristup povjerljivim informacijama od strane neovlaštene osobe Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane „hakera“ Presretanje podataka tijekom transakcije Gubitak podataka ili povjerljivosti informacija zbog greške korisnika Fizički gubitak podataka uslijed katastrofe Nekompletnost i nedokumentiranost transakcije Neautorizirani pristup povjerljivim informacijama od strane zaposlenika Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama („phishing“) Neautorizirani pristup preko papirnih dokumenata i izvještaja Neautorizirani transfer povjerljivih informacija preko trede strane
Rizik III – kontrola i upravljanje rizikom • • • • • • • • • Kontrola prikupljanja informacija Kontrola pristupa informacijama Obrazovanje korisnika sustava Kontrola fizičkog pristupa Kontrola čuvanja dokumenata Kontrola uništavanja dokumenata Izrada odjelnih planova čuvanja privatnosti podataka Kontrola zahtjeva prema tredim stranama Kontrola pristupa informacijama sadržanim unutar informacijskog sustava (u nastavku...)
Rizik IV – Kontrola pristupa informacijama sadržanim unutar informacijskog sustava poduzeda • • • • • • • kreiranje kriterija pristupa računalnoj mreži kreiranje korisničkih grupa kontrola pristupa elektroničkoj pošti kontrola pristupa Internet servisima kontrola pristupa telefonskom sustavu kontrola daljinskog pristupa kontrola pristupa preko virtualnih privatnih mreža
SURADNJA ORGANIZACIJSKIH CJELINA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI • • • • Odnos strateškog, operativnog i taktičkog se ispreplide unutar poslovnog konteksta Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važedeg Plana informacijske sigurnosti Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji mora biti odobren od odgovarajude instance
Primjer godišnjeg izvješda o sigurnosti
Uloga HR Menadžera • • • • • Rad s povjerljivim informacijama Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti Profesionalni i osobni rast Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata poduzeda: 1. Zakon o zaštiti osobnih podataka 2. Zakon o informacijskoj sigurnosti 3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka 4. Zakon o zaštiti na radu 5. Zakon o bankama 6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika 7. Odluka o primjerenom upravljanju informacijskim sustavom 8. Zakon o osiguranju 9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i revizorskog izvješda društava za osiguranje
Razgraničenje odgovornosti za informacijsku sigurnost
Statistika • • • • • • • • 55 % korisničkih računala je zaraženo spyware-ima 7% tvrtki koristi zadnju verziju sigurnosnih zakrpa operativnog sistema 25 % kompjutora su zombi računala 33 % tvrtki dozvoljava Instant Messaging u 52 % tvrtki perimetar mreže je zadnja linija obrane informacijskog sustava 14 % korisnika čita spam a 4 % kupuje proizvode koje spam reklamira (!) 21 % spama je pornografija 20 % korisnika u Velikoj Britaniji kupuje softver koji reklamira spam
Informacijska sigurnost za menadžere upravljanja ljudskim resursima mag. oec. Saša Aksentijevid, univ. spec. oec. stalni sudski vještak za informatiku i telekomunikacije

Recommended

Case study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standardCase study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standardgabrijelavarga
 
Delegiranje i upravljanje prioritetima
Delegiranje i upravljanje prioritetimaDelegiranje i upravljanje prioritetima
Delegiranje i upravljanje prioritetimagabrijelavarga
 
Kako kreirati sustav odgovornosti u kompaniji?
Kako kreirati sustav odgovornosti u kompaniji?Kako kreirati sustav odgovornosti u kompaniji?
Kako kreirati sustav odgovornosti u kompaniji?gabrijelavarga
 
Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicDejan Jeremic
 
D.bara ict kladovo_prezentacija
D.bara ict kladovo_prezentacijaD.bara ict kladovo_prezentacija
D.bara ict kladovo_prezentacijaDejan Jeremic
 
Jesmo li sigurni na internetu?
Jesmo li sigurni na internetu?Jesmo li sigurni na internetu?
Jesmo li sigurni na internetu?Toni Grzinic
 
Ranjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaRanjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaAndjelko Markulin
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaDamir Delija
 

Recommended

Case study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standardCase study: ISMS implementation according to 27001 standard
Case study: ISMS implementation according to 27001 standardgabrijelavarga
 
Delegiranje i upravljanje prioritetima
Delegiranje i upravljanje prioritetimaDelegiranje i upravljanje prioritetima
Delegiranje i upravljanje prioritetimagabrijelavarga
 
Kako kreirati sustav odgovornosti u kompaniji?
Kako kreirati sustav odgovornosti u kompaniji?Kako kreirati sustav odgovornosti u kompaniji?
Kako kreirati sustav odgovornosti u kompaniji?gabrijelavarga
 
Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicDejan Jeremic
 
D.bara ict kladovo_prezentacija
D.bara ict kladovo_prezentacijaD.bara ict kladovo_prezentacija
D.bara ict kladovo_prezentacijaDejan Jeremic
 
Jesmo li sigurni na internetu?
Jesmo li sigurni na internetu?Jesmo li sigurni na internetu?
Jesmo li sigurni na internetu?Toni Grzinic
 
Ranjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaRanjivosti i prijetnje informacijskog sustava
Ranjivosti i prijetnje informacijskog sustavaAndjelko Markulin
 
Racunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaRacunalna forenzika osvrt prezentacija
Racunalna forenzika osvrt prezentacijaDamir Delija
 
Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Damir Delija
 
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaDamir Delija
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Damir Delija
 
It revizija
It revizijaIt revizija
It revizijaSemir Ibrahimovic
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaDamir Delija
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIIDinko Korunic
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.aPogled kroz prozor
 
Upravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseUpravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseDejan Jeremic
 
729 zaštita podataka
729 zaštita podataka729 zaštita podataka
729 zaštita podatakaPogled kroz prozor
 
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8cPogled kroz prozor
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Damir Delija
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciDamir Delija
 
902 dan sigurnijeg interneta
902 dan sigurnijeg interneta902 dan sigurnijeg interneta
902 dan sigurnijeg internetaPogled kroz prozor
 
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8cPogled kroz prozor
 
Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Damir Delija
 
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...goranvranic
 
White paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT ClouduWhite paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT ClouduHrvatski Telekom
 
Upravljanje ranjivostima u vremenima ciljanih prijetnji
Upravljanje ranjivostima u vremenima ciljanih prijetnjiUpravljanje ranjivostima u vremenima ciljanih prijetnji
Upravljanje ranjivostima u vremenima ciljanih prijetnjiDamir Paladin
 
157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetuPogled kroz prozor
 
Maja kovacic
Maja kovacicMaja kovacic
Maja kovacicPogled kroz prozor
 
Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 

More Related Content

Similar to Informacijska sigurnost za menadzere upravljanja ljudskim resursima

Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Damir Delija
 
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaDamir Delija
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Damir Delija
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaDamir Delija
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIIDinko Korunic
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.aPogled kroz prozor
 
Upravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseUpravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseDejan Jeremic
 
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8cPogled kroz prozor
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Damir Delija
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciDamir Delija
 
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8cPogled kroz prozor
 
Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Damir Delija
 
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...goranvranic
 
White paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT ClouduWhite paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT ClouduHrvatski Telekom
 
Upravljanje ranjivostima u vremenima ciljanih prijetnji
Upravljanje ranjivostima u vremenima ciljanih prijetnjiUpravljanje ranjivostima u vremenima ciljanih prijetnji
Upravljanje ranjivostima u vremenima ciljanih prijetnjiDamir Paladin
 
157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetuPogled kroz prozor
 

Similar to Informacijska sigurnost za menadzere upravljanja ljudskim resursima (20)

Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009Hroug analiza logova_u_racunalnoj_forenzici_2009
Hroug analiza logova_u_racunalnoj_forenzici_2009
 
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisaMipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
Mipro 2010 preventivna računalna forenzika i metode analize sistemskih zapisa
 
Baze podataka i računalna forenzika
Baze podataka i računalna forenzika Baze podataka i računalna forenzika
Baze podataka i računalna forenzika
 
It revizija
It revizijaIt revizija
It revizija
 
Stanje računalne forenzike baza podataka
Stanje računalne forenzike baza podatakaStanje računalne forenzike baza podataka
Stanje računalne forenzike baza podataka
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-III
 
156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a156 zaštita osobnih podataka matija pavlović 8.a
156 zaštita osobnih podataka matija pavlović 8.a
 
Upravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseUpravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurse
 
729 zaštita podataka
729 zaštita podataka729 zaštita podataka
729 zaštita podataka
 
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
124 zaštita osobnih podataka na internetu zlata petrinjak i anamarija kišić 8c
 
Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt Cis 2013 digitalna forenzika osvrt
Cis 2013 digitalna forenzika osvrt
 
Analiza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenziciAnaliza logova u digitalnoj forenzici
Analiza logova u digitalnoj forenzici
 
902 dan sigurnijeg interneta
902 dan sigurnijeg interneta902 dan sigurnijeg interneta
902 dan sigurnijeg interneta
 
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c
125 zaštita osobnih podataka na internetu david maltarski i filip presečki 8c
 
Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1Cis 2016 moč forenzičikih alata 1.1
Cis 2016 moč forenzičikih alata 1.1
 
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
 
White paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT ClouduWhite paper - Privatnost i sigurnost podataka u HT Cloudu
White paper - Privatnost i sigurnost podataka u HT Cloudu
 
Upravljanje ranjivostima u vremenima ciljanih prijetnji
Upravljanje ranjivostima u vremenima ciljanih prijetnjiUpravljanje ranjivostima u vremenima ciljanih prijetnji
Upravljanje ranjivostima u vremenima ciljanih prijetnji
 
157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu
 
Maja kovacic
Maja kovacicMaja kovacic
Maja kovacic
 

More from Dejan Jeremic

Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićKonferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićDejan Jeremic
 
Konferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicKonferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicDejan Jeremic
 
Asistivna tehnologija
Asistivna tehnologija Asistivna tehnologija
Asistivna tehnologija Dejan Jeremic
 
Podrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaPodrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaDejan Jeremic
 
Beskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaBeskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaDejan Jeremic
 
Lokalne usluge GCSR Beograd
Lokalne usluge GCSR BeogradLokalne usluge GCSR Beograd
Lokalne usluge GCSR BeogradDejan Jeremic
 
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataPostupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataDejan Jeremic
 
Deinstitucionalizacija
DeinstitucionalizacijaDeinstitucionalizacija
DeinstitucionalizacijaDejan Jeremic
 
Centar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadCentar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadDejan Jeremic
 
Podrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuPodrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuDejan Jeremic
 
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Dejan Jeremic
 
Forenzička revizija
Forenzička revizijaForenzička revizija
Forenzička revizijaDejan Jeremic
 
Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijalaDejan Jeremic
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneDejan Jeremic
 
Razvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoRazvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoDejan Jeremic
 
Dobra basta sajam socijalnih usluga
Dobra basta sajam socijalnih uslugaDobra basta sajam socijalnih usluga
Dobra basta sajam socijalnih uslugaDejan Jeremic
 

More from Dejan Jeremic (20)

Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan Djurdjevic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićKonferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda Milenković
 
Konferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicKonferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana Simic
 
Asistivna tehnologija
Asistivna tehnologija Asistivna tehnologija
Asistivna tehnologija
 
Podrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaPodrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosa
 
Beskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaBeskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog rada
 
Lokalne usluge GCSR Beograd
Lokalne usluge GCSR BeogradLokalne usluge GCSR Beograd
Lokalne usluge GCSR Beograd
 
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataPostupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
 
Deinstitucionalizacija
DeinstitucionalizacijaDeinstitucionalizacija
Deinstitucionalizacija
 
Centar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadCentar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi Sad
 
Podrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuPodrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvu
 
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
 
Forenzička revizija
Forenzička revizijaForenzička revizija
Forenzička revizija
 
Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijala
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
 
Razvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoRazvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada Pancevo
 
Dobra basta sajam socijalnih usluga
Dobra basta sajam socijalnih uslugaDobra basta sajam socijalnih usluga
Dobra basta sajam socijalnih usluga
 

Informacijska sigurnost za menadzere upravljanja ljudskim resursima

  • 1. Informacijska sigurnost za menadžere upravljanja ljudskim resursima mag. oec. Saša Aksentijevid, univ. spec. oec. stalni sudski vještak za informatiku i telekomunikacije
  • 2. Sadržaj • • • • • • • • • • UVOD POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST PLAN INFORMACIJSKE SIGURNOSTI RIZIK KONTROLA I UPRAVLJANJE RIZIKOM SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI ULOGA HR MENADŽERA ZAKLJUČAK DISKUSIJA – PITANJA I ODGOVORI
  • 3. Povijest sigurnosti informacijskih sustava • • • • “cezarevo šifriranje” Razvoj sigurnosti informacijskih sustava u početku prati vojna osvajanja Prijelomni trenutak – Drugi svjetski rat Pojava elektroničkog poslovanja (“ebusiness”)
  • 4. Plan informacijske sigurnosti I • • • • • • Identificira se kritična dokumentacija kao podloga za pripremu Plana te standardi koji de biti primijenjeni Procjenjuje se postojede stanje informacijske sigurnosti unutar poduzeda ili organizacije Definiraju se prioriteti informacijske sigurnosti Identificiraju se odjeli te funkcije koje u operativnoj fazi rade s povjerljivim informacijama ili podacima Identificiraju se mogudi rizici po sigurnost sustava Predlažu se metode za umanjenje ili potpuno uklanjanje rizika
  • 5. Plan informacijske sigurnosti II • • • • Privatnost, povjerljivost i sigurnost informacija Pravila dobrog ponašanja „Need to know“ princip Nivoi diskrecije
  • 6. Plan informacijske sigurnosti III • • • Povjerljivost Integritet Raspoloživost Kontrole: • • • Administrativne Logičke Fizičke CIA trijada
  • 7. DIKW hijerarhija Strategy Knowledge Information Data Informacije koje se koriste za postizanje rezultata i ciljeva Analiza i sinteza informacija Kontekstualizirani poslovni podaci Poslovni podaci i činjenice
  • 8. Domene informacijskog prostora Zakonski zahtjevi po pitanju informacijske sigurnosti mogu se podijeliti u dvije grupe: • • zahtjevi nacionalnih zakonodavstava specifični zakonski zahtjevi (SoX) “Freedom of access to information” act, Direktiva EU 2003/4/EC
  • 10. Normiranje informacijske sigurnosti ZAKONSKI PROPISI OKVIRI NAJBOLJE PRAKSE • • • • • • • • • Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminaliteta Zakon o zaštiti podataka o ličnosti Zakon o telekomunikacijama Krivični Zakonik Republike Srbije ISO 9001 ISO 27001:2005 ITIL PRINCE2 COBIT
  • 13. Rizik II • • • • • • • • • • Pristup povjerljivim informacijama od strane neovlaštene osobe Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane „hakera“ Presretanje podataka tijekom transakcije Gubitak podataka ili povjerljivosti informacija zbog greške korisnika Fizički gubitak podataka uslijed katastrofe Nekompletnost i nedokumentiranost transakcije Neautorizirani pristup povjerljivim informacijama od strane zaposlenika Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama („phishing“) Neautorizirani pristup preko papirnih dokumenata i izvještaja Neautorizirani transfer povjerljivih informacija preko trede strane
  • 14. Rizik III – kontrola i upravljanje rizikom • • • • • • • • • Kontrola prikupljanja informacija Kontrola pristupa informacijama Obrazovanje korisnika sustava Kontrola fizičkog pristupa Kontrola čuvanja dokumenata Kontrola uništavanja dokumenata Izrada odjelnih planova čuvanja privatnosti podataka Kontrola zahtjeva prema tredim stranama Kontrola pristupa informacijama sadržanim unutar informacijskog sustava (u nastavku...)
  • 15. Rizik IV – Kontrola pristupa informacijama sadržanim unutar informacijskog sustava poduzeda • • • • • • • kreiranje kriterija pristupa računalnoj mreži kreiranje korisničkih grupa kontrola pristupa elektroničkoj pošti kontrola pristupa Internet servisima kontrola pristupa telefonskom sustavu kontrola daljinskog pristupa kontrola pristupa preko virtualnih privatnih mreža
  • 16. SURADNJA ORGANIZACIJSKIH CJELINA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI • • • • Odnos strateškog, operativnog i taktičkog se ispreplide unutar poslovnog konteksta Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važedeg Plana informacijske sigurnosti Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji mora biti odobren od odgovarajude instance
  • 17.
  • 19. Uloga HR Menadžera • • • • • Rad s povjerljivim informacijama Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti Profesionalni i osobni rast Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata poduzeda: 1. Zakon o zaštiti osobnih podataka 2. Zakon o informacijskoj sigurnosti 3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka 4. Zakon o zaštiti na radu 5. Zakon o bankama 6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika 7. Odluka o primjerenom upravljanju informacijskim sustavom 8. Zakon o osiguranju 9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i revizorskog izvješda društava za osiguranje
  • 20. Razgraničenje odgovornosti za informacijsku sigurnost
  • 21. Statistika • • • • • • • • 55 % korisničkih računala je zaraženo spyware-ima 7% tvrtki koristi zadnju verziju sigurnosnih zakrpa operativnog sistema 25 % kompjutora su zombi računala 33 % tvrtki dozvoljava Instant Messaging u 52 % tvrtki perimetar mreže je zadnja linija obrane informacijskog sustava 14 % korisnika čita spam a 4 % kupuje proizvode koje spam reklamira (!) 21 % spama je pornografija 20 % korisnika u Velikoj Britaniji kupuje softver koji reklamira spam
  • 22. Informacijska sigurnost za menadžere upravljanja ljudskim resursima mag. oec. Saša Aksentijevid, univ. spec. oec. stalni sudski vještak za informatiku i telekomunikacije