21.04.2023

Návrh bezpečnostnej politiky univerzityDarina Tothová, FEM SPU v NitreE-mail: Darina.Tothova@uniag.sk

21.04.2023

Základné pojmy

politika určuje, aké "boje" sa majú uskutočniť a prečo - určujú ju "prezidenti",

stratégia je plánom "boja" - určujú ju "generáli", taktika je metódou realizácie stratégie - určujú ju

všetci ostatní "velitelia" až po "pešiakov".

1politika, stratégia, taktika

Ciele a zámery bezpečnostnej politiky

Cieľom bezpečnostnej politiky je určiť hranice akceptovateľného konania a spôsob odpovede organizácie na ich prekročenie.

Jej zámerom je rozhodnúť, čo je a čo nie je povolené.

Mala by zahŕňať všetky komponenty IS:hardvér, softvér, dáta, užívateľov.

3

Bezpečnostná politika je súbor opatrení, ktoré spoločne určujú postoj organizácie k bezpečnosti.

Tvorba bezpečnostnej politiky

2

Analýza doterajšieho stavuorganizácie informácií, ich formy

spracovania, zabezpečenia.

Analýza prostredia - hmotné a nehmotné aktíva,

analýza rizika

Profily slabých miestbezpečnosti

Doterajšia bezpečnostná politika Náklady

a dosiahnutý efekt

Formulácia bezpečnostnej politiky univerzity

Základné hodnoty, ktroré sú predmetom ochrany:

Technické zariadenia - zraniteľnosť fyzického systému: krádež, zámerné alebo náhodné poškodenie, bežné

závady, prírodné katastrofy. Systémové a programové vybavenie - zraniteľnosť softvéru:

strata dostupnosti - úmyselné alebo náhodné vymazanie programu,

modifikácia kódu programu - určenie rozsahu a následkov poškodenia je často veľmi obtiažne - nová inštalácia,

softvérové pirátstvo - neoprávnené kopírovanie

4

Základné hodnoty, ktroré sú predmetom ochrany:

Dátové štruktúry - dáta predstavujú najväčšiu hodnotu informačného systému.

5

Možné ohrozenia

Kompromitácia, narušenie, ...

Možnosti ohrozenia: Vnútorné ohrozenie. Vonkajšie ohrozenie. Ohrozenie počítačového systému.

Ohrozenie hardvéru. Ohrozenie softvéru. Ohrozenie informácií.

7

Analýza doterajšieho stavuorganizácie informácií, ich formy

spracovania, zabezpečenia.Je potrebné oboznámiť sa so: Štatútom BOZ, organizačným poriadkom univerzity,

koncepciou rozvoja. Organizáciou informácií, formou spracovania

informácií, prijatými opatreniami na ochranu informácií zo strany vedenia univerzity.

V súvislosti so sieťovou bezpečnosťou - kontrola sieťového prístupu k jednotlivým počítačom a službám. Oboznámenie sa s existenciou firewallov. 7

Únik informácie, neúplný, nesprávny, nepoužiteľný údaj...

Dôvernosť - stav, kedy je informácia (údaj) utajená, známa vymedzenému okruhu subjektov.

Integrita - informácia (údaj) je celistvá, neporušená, v pôvodnom, nezmenenom stave.

Autenticita - informácia (údaj) je zodpovedajúca skutočnosti nespochybiteľného pôvodu.

Dosiahnuteľnosť - informácia (údaj) je k dispozícii, je schopná bezprostredného použitia.

8

Úlohou riešenia ochrany informačného procesu jeminimalizovať možnosti jeho narušenia. Základné vlastnosti - atribúty informácií (údajov):

Definícia bezpečnostných cieľov Uvedomenie si predmetu ochrany. Uvedomenie si pred kým je potrebné zabezpečiť

ochranu: užívatelia intranetu, predchádzajúci

zamestnanci, vonkajší narušitelia, ... Pred čím je potrebné zabezpečiť ochranu:

krádež, oheň, extrémne teploty, vlhkosť, výpadky el. siete, …

Stanovenie pravdepodobnosti výskytu potencionálneho ohrozenia, resp. poradia dôležitosti ohrozujúcich faktorov.

9

Vnútorné ohrozenie

Podcenenie dodržiavania pravidiel práce v PS. Prezradenie hesla kamarátovi, svojmu dieťaťu,

„nepoučenému kolegovi“. Neodňatie práv zamestnancovi po rozviazaní prac.

pomeru (nie je zabezpečená oznamovacia povinnosť správcovi servera), nepožadovanie odovzdania dokumentácie, médií.

Nezaviazanie zamestnanca k mlčanlivosti o utajovaných údajoch.

10

Vonkajšie ohrozenie

vniknutie, odmietnutie služby, krádež informácií:

sniffing - niekto číta informácie, ktoré prechádzajú korektne autorizovaným kanálom,

falošná autentikácia - niekto tvrdí, že má autorizáciu, i keď ju nemá). 12

Ohrozenie počítačového systému

Počítačový systém sa skladá z 3 hlavných komponentov, u ktorých existuje reálne nebezpečenstvo ohrozenia: hardvér, softvér, dáta a dátové súbory. 13

Ohrozenie hardvéru

krádež hardvéru alebo jeho častí, porušenie káblov, poškodenie disku, ... prasknutie vodovodného potrubia, zatečenie

z okien, požiar, ...

14

Ohrozenie softvéru

náhodné alebo úmyselné vymazanie, krádež programu, poškodenie programu:

vírusmi, technickou závadou.

chyby v programe. 15

Ohrozenie informácií

vymazanie dátového súboru, porucha spôsobená:

poruchou hardvéru, chybou v programe.

krádežou dátových súborov.16

Doterajšia bezpečnostná politika

Ak nebola formulovaná, tak všetky doterajšie pravidlá a pokyny: Pravidlá pre prácu v počítačovej sieti. Pravidlá pre tvorbu WWW stránok. Pokyny pre prácu v počítačových

cvičebniach. …..

17

Náklady

Finančné prostriedky sú v akademickom prostredí limitujúcim faktorom aj na zabezpečenie bezpečnosti IS. Je však potrebné zahrnúť finančné náklady do strategického plánu zabezpečenia IS a postupne realizovať nákup jednotlivých položiek.

Shareware, freeware.18

Formulácia bezpečnostnej politiky univerzity

Popis počítačovej siete, popis IS. Ciele bezpečnostnej politiky. Legislatívne východiská. Klasifikácia informácií na základe citlivosti. Definícia hrozieb. Definícia bezpečnostných služieb. Bezpečnostné zásady personálnej politiky. Bezpečnostné zásady organizačnej politiky. Technicko-prevádzkové zabezpečenie bezpečnosti.

19

Čo musí obsahovaťČo musí obsahovať

Formulácia bezpečnostnej politiky univerzity - pokračovanie

Politika zálohovania a archivácie. Plán obnovy po havárii. Metodika riešenia krízových stavov. Pravidelná revízia a aktualizácia politiky

Ďakujem za pozornosť