Návrh bezpečnostnej politiky univerzity
description
Transcript of Návrh bezpečnostnej politiky univerzity
21.04.2023
Návrh bezpečnostnej politiky univerzityDarina Tothová, FEM SPU v NitreE-mail: [email protected]
21.04.2023
Základné pojmy
politika určuje, aké "boje" sa majú uskutočniť a prečo - určujú ju "prezidenti",
stratégia je plánom "boja" - určujú ju "generáli", taktika je metódou realizácie stratégie - určujú ju
všetci ostatní "velitelia" až po "pešiakov".
1politika, stratégia, taktika
Ciele a zámery bezpečnostnej politiky
Cieľom bezpečnostnej politiky je určiť hranice akceptovateľného konania a spôsob odpovede organizácie na ich prekročenie.
Jej zámerom je rozhodnúť, čo je a čo nie je povolené.
Mala by zahŕňať všetky komponenty IS:hardvér, softvér, dáta, užívateľov.
3
Bezpečnostná politika je súbor opatrení, ktoré spoločne určujú postoj organizácie k bezpečnosti.
Tvorba bezpečnostnej politiky
2
Analýza doterajšieho stavuorganizácie informácií, ich formy
spracovania, zabezpečenia.
Analýza prostredia - hmotné a nehmotné aktíva,
analýza rizika
Profily slabých miestbezpečnosti
Doterajšia bezpečnostná politika Náklady
a dosiahnutý efekt
Formulácia bezpečnostnej politiky univerzity
Základné hodnoty, ktroré sú predmetom ochrany:
Technické zariadenia - zraniteľnosť fyzického systému: krádež, zámerné alebo náhodné poškodenie, bežné
závady, prírodné katastrofy. Systémové a programové vybavenie - zraniteľnosť softvéru:
strata dostupnosti - úmyselné alebo náhodné vymazanie programu,
modifikácia kódu programu - určenie rozsahu a následkov poškodenia je často veľmi obtiažne - nová inštalácia,
softvérové pirátstvo - neoprávnené kopírovanie
4
Základné hodnoty, ktroré sú predmetom ochrany:
Dátové štruktúry - dáta predstavujú najväčšiu hodnotu informačného systému.
5
Možné ohrozenia
Kompromitácia, narušenie, ...
Možnosti ohrozenia: Vnútorné ohrozenie. Vonkajšie ohrozenie. Ohrozenie počítačového systému.
Ohrozenie hardvéru. Ohrozenie softvéru. Ohrozenie informácií.
7
Analýza doterajšieho stavuorganizácie informácií, ich formy
spracovania, zabezpečenia.Je potrebné oboznámiť sa so: Štatútom BOZ, organizačným poriadkom univerzity,
koncepciou rozvoja. Organizáciou informácií, formou spracovania
informácií, prijatými opatreniami na ochranu informácií zo strany vedenia univerzity.
V súvislosti so sieťovou bezpečnosťou - kontrola sieťového prístupu k jednotlivým počítačom a službám. Oboznámenie sa s existenciou firewallov. 7
Únik informácie, neúplný, nesprávny, nepoužiteľný údaj...
Dôvernosť - stav, kedy je informácia (údaj) utajená, známa vymedzenému okruhu subjektov.
Integrita - informácia (údaj) je celistvá, neporušená, v pôvodnom, nezmenenom stave.
Autenticita - informácia (údaj) je zodpovedajúca skutočnosti nespochybiteľného pôvodu.
Dosiahnuteľnosť - informácia (údaj) je k dispozícii, je schopná bezprostredného použitia.
8
Úlohou riešenia ochrany informačného procesu jeminimalizovať možnosti jeho narušenia. Základné vlastnosti - atribúty informácií (údajov):
Definícia bezpečnostných cieľov Uvedomenie si predmetu ochrany. Uvedomenie si pred kým je potrebné zabezpečiť
ochranu: užívatelia intranetu, predchádzajúci
zamestnanci, vonkajší narušitelia, ... Pred čím je potrebné zabezpečiť ochranu:
krádež, oheň, extrémne teploty, vlhkosť, výpadky el. siete, …
Stanovenie pravdepodobnosti výskytu potencionálneho ohrozenia, resp. poradia dôležitosti ohrozujúcich faktorov.
9
Vnútorné ohrozenie
Podcenenie dodržiavania pravidiel práce v PS. Prezradenie hesla kamarátovi, svojmu dieťaťu,
„nepoučenému kolegovi“. Neodňatie práv zamestnancovi po rozviazaní prac.
pomeru (nie je zabezpečená oznamovacia povinnosť správcovi servera), nepožadovanie odovzdania dokumentácie, médií.
Nezaviazanie zamestnanca k mlčanlivosti o utajovaných údajoch.
10
Vonkajšie ohrozenie
vniknutie, odmietnutie služby, krádež informácií:
sniffing - niekto číta informácie, ktoré prechádzajú korektne autorizovaným kanálom,
falošná autentikácia - niekto tvrdí, že má autorizáciu, i keď ju nemá). 12
Ohrozenie počítačového systému
Počítačový systém sa skladá z 3 hlavných komponentov, u ktorých existuje reálne nebezpečenstvo ohrozenia: hardvér, softvér, dáta a dátové súbory. 13
Ohrozenie hardvéru
krádež hardvéru alebo jeho častí, porušenie káblov, poškodenie disku, ... prasknutie vodovodného potrubia, zatečenie
z okien, požiar, ...
14
Ohrozenie softvéru
náhodné alebo úmyselné vymazanie, krádež programu, poškodenie programu:
vírusmi, technickou závadou.
chyby v programe. 15
Ohrozenie informácií
vymazanie dátového súboru, porucha spôsobená:
poruchou hardvéru, chybou v programe.
krádežou dátových súborov.16
Doterajšia bezpečnostná politika
Ak nebola formulovaná, tak všetky doterajšie pravidlá a pokyny: Pravidlá pre prácu v počítačovej sieti. Pravidlá pre tvorbu WWW stránok. Pokyny pre prácu v počítačových
cvičebniach. …..
17
Náklady
Finančné prostriedky sú v akademickom prostredí limitujúcim faktorom aj na zabezpečenie bezpečnosti IS. Je však potrebné zahrnúť finančné náklady do strategického plánu zabezpečenia IS a postupne realizovať nákup jednotlivých položiek.
Shareware, freeware.18
Formulácia bezpečnostnej politiky univerzity
Popis počítačovej siete, popis IS. Ciele bezpečnostnej politiky. Legislatívne východiská. Klasifikácia informácií na základe citlivosti. Definícia hrozieb. Definícia bezpečnostných služieb. Bezpečnostné zásady personálnej politiky. Bezpečnostné zásady organizačnej politiky. Technicko-prevádzkové zabezpečenie bezpečnosti.
19
Čo musí obsahovaťČo musí obsahovať
Formulácia bezpečnostnej politiky univerzity - pokračovanie
Politika zálohovania a archivácie. Plán obnovy po havárii. Metodika riešenia krízových stavov. Pravidelná revízia a aktualizácia politiky
Ďakujem za pozornosť