4. Prednáška

SÚVISLOSTI A TRENDY INFORMAČNEJ SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTIBEZPEČNOSTI

•Disciplína „počítačovej“ bezpečnosti (dnes informačnej bezpečnosti) evidentne nevznikla automaticky so vznikom prvých počítačov. Týchto bolo spočiatku málo, ich využívanie si vyžadovalo špeciálne znalosti a bolo teda obmedzené na malú skupinu špecialistov.

•Bezpečnosť - ak vôbec bola, bola vnímaná skôr ako fyzická ochrana celých počítačových systémov.

•Takéto vnímanie bezpečnosti nevymizlo ani s rastom počítačov a ich rýchlym využívaním na spracúvanie veľkých množstiev údajov, napr. sálové počítače boli štandardne prevádzkované vo vyhradených priestoroch s kontrolovaným prístupom.

SÚVISLOSTI A TRENDY INFORMAČNEJ SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTIBEZPEČNOSTI•Prvé prejavy o systematické riešenie počítačovej/IB - v druhej polovici 60. rokov 20 stor.,

•Na prelome 60. a 70. rokov sa zároveň vytvorili ďalšie predpoklady pre rýchly rozvoj IKT - prepojenie prvých počítačov do siete ARPANET, začali práce na systéme UNIX. V tom čase sa objavili aj prví hackeri.

•Vo februári 1970 bola v USA publikovaná prvá odborná práca venovaná otázkam bezpečnosti počítačových systémov, túto udalosť teda možno dodatočne označiť za vznik samostatnej disciplíny počítačovej, neskôr informačnej bezpečnosti.

Nemecký Lorenzov šifrovací prístroj, používaný v 2.svetovej vojne pre zašifrovanie správ na vysokej úrovni určené generálnemu štábu

•V r. 1973 americký National Bureau of Standards vyhlásil verejné výberové konanie pre šifrovací systém.

Výsledok - prvý verejný šifrovací štandard v histórii, bol publikovaný v r. 1975

The Da Vinci code

SÚVISLOSTI A TRENDY INFORMAČNEJ SÚVISLOSTI A TRENDY INFORMAČNEJ BEZPEČNOSTIBEZPEČNOSTI•80. roky 20. stor. - nárast aktivity v oblasti počítačovej (informačnej) bezpečnosti v USA i v Európe - kryptologické konferencie, odborné konferencie o počítačovej bezpečnosti, vznik medzinárodnej federácie pre spracovanie informácií IFIP, odborný časopis Computers & Security.

•Koniec zákazu využívať Internet na komerčné účely začiatkom 90. rokov 20. stor. znamenal začiatok novej éry rozvoja tohto komunikačného média, ktorá pochopiteľne ovplyvnila aj rozvoj disciplíny informačnej bezpečnosti.

•Prvá dekáda 21. stor. je už obdobím s mnohými legislatívnymi postupmi s cieľom dostať informačnú bezpečnosť do právneho rámca (zákony, predpisy, normy) v mnohých štátoch sveta, EÚ a tým aj SR nevynímajúc.

• Minimalizuje prevádzkové škody

= Bezpečnosť informačných aktív v informačnom systéme= Bezpečnosť informačných aktív v informačnom systémeInformačný systémInformačný systém

◦ akékoľvek hmotné a nehmotné objekty, ktoré sú cielene vytvorené, vzájomne poprepájané za účelom zberu, výmeny, spracovania, uchovania, generovania a distribúcie informácií a údajov vo vopred definovanej štruktúre a čase

◦ súbor ľudí, technických prostriedkov a metód súbor ľudí, technických prostriedkov a metód zabezpečujúcich zhromažďovanie, prenos, spracovanie a uchovanie dát s cieľom prezentácie informácií pre potreby užívateľov pôsobiacich v systémoch riadenia.

Informačné aktívaInformačné aktíva◦ všetky spracovávané informácie, prostriedky a osoby

spracovania, príp. všetko ostatné, čo plní istú funkciu v procese spracovania informácií

InformácieInformácie majú pre subjekt nezanedbateľnú hodnotuo Strategické plány firiem, zdravotné záznamy, daňové

priznanie, bankové účty, elektronické platobné nástroje

Informačné technológie Informačné technológie - súhrnné označenie pre súbor súbor prostriedkov a postupovprostriedkov a postupov na zber, prenos, spracovávanie, uchovávanie a prezentáciu informácií.

Ochrana informácií Ochrana informácií musí zabezpečovaťo Aby k nim k nim mali prístup iba oprávnené osobyprístup iba oprávnené osobyo Aby sa spracovávali nesfalšované informáciespracovávali nesfalšované informácieo Aby sa dalo zistiť kto informáciu vytvoril, zmenil, odstránildalo zistiť kto informáciu vytvoril, zmenil, odstránilo Aby informácie neboli nekontrolovaným spôsobom informácie neboli nekontrolovaným spôsobom

zverejnenézverejnenéo Aby informácie boli dostupné vtedy, keď sú potrebné informácie boli dostupné vtedy, keď sú potrebné

6

Ide o ochranu investíciíinvestíciío HardvérHardvér je možné zničiť

Teroristi (bomby) Pomätení zamestnanci (ničenie) Prepustení zamestnanci (požiar)

o Hardvér je možné ukradnúť Kto by nekúpil lacnú vec

o SoftvérSoftvér je možné ukradnúť Mnohokrát vysoká, ťažko vyčísliteľná hodnota Konkurent ušetrí náklady na vývoj / zaobstaranie Porušenie licencie Neoprávnené používanie softvéru zamestnancom (2.

zamestnanie)o Informačný systém je možné používaťpoužívať neoprávnene

Zničenie systému, porušenie systému po krádeži hesla, rozbitie mechanizmu prístupu

Použitie systému autorizovanými zamestnancami k nepracovnej činnosti (osobnej / zárobkovej)

7

Informácia je tovartovaro Aktíva – údajeúdaje je možné ukradnúť

Je nezaujímavé prepadať na prepážkach / uliciach Vysoká hodnota (niekoľko desiatok miliárd SK) medzibankového

transferu denne Vysoká hodnota on-line transferov priamo z účtu klientov

o VýstupyVýstupy je možné ukradnúť Krádeže tlačových zostáv, diskiet, CD nosičov

o Existujú právne / morálne pravidlá, zákonné úpravy na ochranu pravidlá, zákonné úpravy na ochranu údajovúdajov

Zákon č. 428/2002 Z. Z. O ochrane osobných údajov Zákon č. 215/2004 Z. Z. O ochrane utajovaných skutočností Bankový zákon, Daňový zákon, Zákon o zdravotnom poistení, ...

o Údaje je potrebné chrániť pred konkurenciou Funkciu systému Funkciu systému je možné zneprístupniť

8

◦ Samotné spracované informácie a ich ekonomická, právna informácie a ich ekonomická, právna hodnotahodnota: výskumné a vývojové práce, projektová dokumentácia,

analýzy, … osobné údaje, utajované skutočnosti.

◦ know-how spracovania informáciíspracovania informácií: pracovné postupy, technológie spracovania, špecifické

metódy spracovania, centrálne databázy pomocných údajov, systémová dokumentácia, používateľské manuály, zácvikové materiály, prevádzkové, alebo podporné procedúry, plány kontinuity a náhradné postupy,

◦ know-how personálupersonálu: personál spracovania informácií, obslužný personál, riadiaci

personál.◦ KomplexnýKomplexný know-how firmy použitý pri spracovaní informácií:

výsledky výskumu a vývoja, informácie o obchodných partneroch, odmeňovanie zamestnancov, image, povesť, ekonomické a obchodné tajomstvo: ekonomické a obchodné správy a zhodnotenia,

◦ HWHW (servery, PC, periférne zariadenia – tlač., skenery, kopírky, zálohovacie jednotky…)

◦ Nosiče informácií Nosiče informácií (pevné disky, kompaktné disky, pásky, flash pamäte a pam. karty, pap. dokumenty, …),

◦ Komunikačné a prenosové linky a zariadenia (tel. a tel. linky, faxy, odkazovače, TCP/IP sieťové linky, smerovače, prepínače, FW, antény, komunikátory, modemy, …)

◦ Podporné zariadeniaPodporné zariadenia: (napájacie zdroje, klimatizačné jednotky)

◦ SWSW (systémový, aplikačný, vývojové nástroje a pomocné utility, zdrojové knižnice programov, databázové systémy, …),

◦ Prevádzkové vplyvy komunikačných systémov komunikačných systémov na sledovaný systém a závislosť systému na nich (internet, intranet, e-mail, tel. a faxové spojenie, rozhlas, televízia, …)

Chránia aktíva pred hrozbami využívajúcimi zraniteľné miesta aktív

Zvyšujú bezpečnostné riziká

Zvyšujú potenciálne bezpečnostné riziká, indikujú požiadavky na ochranu

1. Vývoj Bezpečnostnej politiky ITBezpečnostnej politiky IT2. Identifikácia rolí a zodpovedností - Identifikácia rolí a zodpovedností - Určenie kto je za čo v organizácii zodpovedný 3. Správa rizíkSpráva rizík

o IdentifikáciaIdentifikácia, zvládnutie, odstránenie alebo minimalizácia nepredvídateľných udalostínepredvídateľných udalostí, ktoré majú nežiaduci vplyv nežiaduci vplyv na aktíva organizácie

o Identifikácia a ohodnotenie Chránených aktív Chránených aktív (citlivé údaje a ich klasifikácia) Zraniteľných miest Zraniteľných miest a s nimi súvisiacich hrozieb (vrátane určenia

foriem útokov a typov útočníkov) Pravdepodobnosti s akými sa útočí Pravdepodobnosti s akými sa útočí a akým rizikám je IS vystavený Potenciálnych škôdPotenciálnych škôd Rešpektovaných obmedzení Rešpektovaných obmedzení (organizačných, finančných, daných

prostredím, personálnych, časových, právnych, technických, kultúrno-sociálnych)

4. Výber bezpečnostných opatrení bezpečnostných opatrení a ich implementácia bezpečnostnými mechanizmami5. Správa konfiguráciíSpráva konfigurácií6. Správa zmenového konaniaSpráva zmenového konania7. Vypracovanie havarijného plánuhavarijného plánu8. Školiace aktivity Školiace aktivity v oblasti bezpečnosti9. Prevádzková činnosť – Prevádzková činnosť – Údržba, Bezpečnostný audit, Monitorovanie, Posudzovanie, Reakcia na incidenty

14

Informačný systém, ISo Skúmame bezpečnosť IS bez ďalšej interpretácie

Výskum a vývoj, riadenie burzy, systém riadenia podniku, bankový systém, personálna agenda, systém certifikačnej autority

o Hardvér Procesor, pamäti, terminály, telekomunikácie

o Softvér Aplikačné programy, operačný systém

o Údaje Výsledky, databázy

o Ľudia Personál obsluhujúci IS, používatelia

Aktívao Hardvér, Softvér, Údaje

Čokoľvek, čo je pre organizáciu cenné (má hodnotu)o Citlivé informácie

Informácie, ktoré sú používané na riadenie chodu organizácie a na plnenie jej poslania, prípadne sú priamo produktom činnosti organizácie

o Bez explicitnej definície a ohodnotenia aktív nie je možné implementovať a udržovať žiadny bezpečnostný program

15

Objekt ISObjekt ISo Pasívna entita, ktorá obsahuje / prijíma informácie, objekt je

sprístupňovaný subjektmi IS (udeľovanie prístupových práv subjektom)

Subjekt ISSubjekt ISo Aktívna (identifikovateľná) entita

Osoba, proces alebo zariadenie činné na základe príkazu používateľa

o Autorizovateľná pre Získanie informácie z objektu Vydávanie príkazov ovplyvňujúcich udelenie práv prístupu

k objektu Zmenu stavu objektu

16

Obchodný zákonník č.513/1991, Zákon č. 428/2002 Z.z. o ochrane osobných údajov, ktorý

upravuje: -ochranu osobných údajov fyzických osôb pri ich

spracúvaní -zásady spracúvania osobných údajov -bezpečnosť osobných údajov a ochranu práv dotkn.

Osôb -cezhraničný tok osobných údajov -zriadenie, postavenie a pôsobnosť Úradu na ochranu

osobných údajov Zákon č. 215/2004 Z.z. o utajovaných skutočnostiach,ktorý

upravuje: -podmienky na ochranu utajovaných skutočností -práva a povinnosti právnických osôb a fyzických osôb -pôsobnosť Národného bezpečnostného úradu -zodpovednosť za porušenie povinností ustanovených

týmto zákonom Zákon č. 215/2002 Z.z. o elektronickom podpise, Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám

1. ISO/IEC 27000:2009 - základný prehľad, Je súhrnom definícii pojmov, terminológie a slovníkom pre všetky ostatné normy z danej série

2. ISO/IEC 27001:2006 (predtým známa ako BS 7799-2) - Systém riadenia informačnej bezpečnosti – požiadavky. Je hlavnou normou pre ISMS. Je komplexným systémom riadenia informačnej bezpečnosti od realizácie, udržiavania, a zlepšovania systému

3. ISO/IEC 27002:2005 – Informačné technológie, Bezpečnostné techniky, Praktická príručka/postupy pre riadenie informačnej bezpečnosti

4. ISO/IEC 27005:2008 – Riadenie a analýza bezpečnostných rizík

5. ISO/IEC 27006:2007 - Návod na certifikačný a registračný proces 6. ISO/IEC 27011:2008-určená pre riadenie SMIB v

telekomunikáciách7. ISO/IEC 27799:2008-riadenie požiadaviek a bezpečnosti informácii

v zdravotníckych zariadeniach

1. Rozhodnutím manažmentu organizácie o zavádzaní tohto systému

2. Formulácia a zverejnenie politiky informačnej bezpečnosti organizácie

3. Definovanie rozsahu pôsobnosti systému manažérstva bezpečnosti

4. Stanovenie možných rizík a spôsob ich riadenia a kontroly. 5. Samotná certifikácia

Cieľom normy je poskytnúť podporu pre vytvorenie, zavedenie, realizáciu, monitorovanie, udržiavanie a zlepšovanie systému manažérstva bezpečnosti informácií

Je určená k ochrane informácií

SMIB zabezpečuje adekvátnu kontrolu nad citlivými informáciami a tým poskytuje garanciu zainteresovaným stranám ako aj manažmentu organizácie

zachovanie dôvernosti, integrity, dostupnosti informácií a navyše sa môže týkať aj ďalších vlastností -autentičnosť,

sledovateľnosť, nemožnosť poprieť zodpovednosť a spoľahlivosť

informácie nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám alebo procesom.

Informačné systémy v organizácii pracujú s informáciami, ktoré sú dôverného charakteru. Majú priam existenčnú hodnotu pre danú organizáciu. Poskytujú organizácii konkurenčnú výhodu a podiel na trhu.

Je v záujme organizácie chrániť a dohliadať na to, aby mali k informáciám prístup len oprávnené a autorizované osoby.

základné spôsoby ochrany dôvernosti informácii = riadený prístup k informáciám (určenie stupňa priority ochrany a povolenia prístupu k informácii), kódovanie informácie a zabezpečenie pred možným útokom zvonku.

vlastnosť zabezpečujúca presnosť a kompletnosť aktív

Synonymom integrity je celistvosť, nedotknuteľnosť alebo neporušenosť systému. Je to stav, keď je systém nenarušený a nepodľahol nežiaducej zmene. Integrita sa zisťuje pomocou kontrolných súčtov, samoopravnými kódmi, hašovacími funkciami a digitálnym podpisom.

schopnosť byť dostupný a použiteľný na požiadanie autorizovanej entity

IS je schopný poskytnúť relevantné informácie v čase, kedy o to autorizovaná osoba, entita alebo proces požiada.

zabezpečuje sa buď archiváciou údajov a zálohovaním, alebo redundanciou zdrojov a systémov (súbežná činnosť viacerých zariadení, kedy v prípade výpadku jedného naskočí druhé)

1. Analýza stavu SRIB, 2. Určenie rámca SRIB, 3. Aktualizácia a dopracovanie dokumentácie SRIB, 4. Implementovanie procesov SRIB do praxe, 5. Predcertifikačný audit SRIB, 6. Certifikačný audit SRIB, 7. Udržiavanie a zlepšovanie SRIB.

Urob

Plánuj

1. Definovať opatrenia/procesy

2. Prideliť zodpovednosti

3. Formalizovať postupy

4. Schváliť vedením organizácie

5. Vyškoliť zamestnancov

6. Zaviesť opatrenia

7. Merať účinnosť opatrení

10. Vylepšovať opatrenia

8. Kontrolovať zhodu s politikou

9. Vyhodnocovať incidenty

• Bezpečnosť informácií je zameraná na širokú škálu hrozieb a zabezpečuje :▫ kontinuitu činností organizácie, ▫ minimalizuje obchodné straty a ▫ maximalizuje návratnosť investícii a podnikateľských

príležitostí

• Bezpečnosť informácií je možné dosiahnuť implementáciou sústavy opatrení, ▫ vo forme pravidiel, ▫ natrénovaných postupov, ▫ procedúr, organizačnej štruktúry a programových funkcií

Externé konkurenčné výhody:

• Certifikáciou ISMS sa zvyšuje imidž a osobná prestíž organizácie na trhu, u zákazníkov, dodávateľov, odberateľov a širokej verejnosti, čo prospieva jej dlhodobej stabilite a prosperite,

• ISMS poskytuje zrýchľovanie rastu konkurenčnej schopnosti organizácie,

• ISMS napomáha odstráneniu prístupových bariér ku svetovým aj domácim trhom

Interné organizačné výhody:

• Zvýšenie produktivity činnosti pozitívnou efektivitou motivácie, vzdelanosti, monitoringu, kontroly a sankcií

• Zníženie počtu a účinnosti rizík a z nich vyplývajúcich incidentov, čím sa redukujú náklady na chyby

• Optimalizácia a zefektívnenie plánovania investícií do IS a IT• Objektívnejšie vyhodnocovanie a ochrana firemného know-how

• prečo chce či musí SMIB zaviesť• akých oblastí činností organizácie sa bude SMIB týkať• v akom rozsahu bude zavedený – (celá organizácia - všetky

činnosti, alebo len niektoré významné činnosti - napr. obchod, výroba, servis, apod.)

• „rozdelenie právomocí“ jednotlivým zamestnancom• akým spôsobom chce organizácia SMIB zaviesť

Čo je SA 8000? Kto je SAI? Je SA8000 aplikovateľná na všetky

odvetvia?

SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE

SPOLOČENSKY ZODPOVEDNÉ PODNIKANIE NA SLOVENSKU

Prvá auditovateľná norma v tejto oblasti Je kompatibilná so štruktúrou :

◦ ISO 9001◦ ISO 14001◦ OHSAS 18001

Je založená na dohovoroch :◦ Medzinárodnej organizácie práce (ILO)◦ Všeobecnej deklarácií ľudských práv◦ Dohovore OSN o právach dieťaťa

“Social Accountability International” mimovládna medzinárodná odborná organizácia

venovaná zlepšovaniu pracovísk a komunít vyvíjaním a implementovaním štandardov sociálnej zodpovednosti

SAI zhromažďuje:◦ kľúčových odborníkov pre vývoj štandardov, ◦ akredituje audítorov, ◦ vykonáva školenia a technickú asistenciu, a ◦ asistuje organizáciám pri zlepšovaní sociálnej zhody v

ich dodávateľských reťazcoch

„schopnosť firmy usilovať sa o neustále rozmnožovanie bohatstva v súlade so životným prostredím a  spoločnosťou.“

smerovanie k etickým princípom, ktoré by firmy mali dodržiavať v podnikaní

R. H. Bowen - prvý teoretik spoločensky zodpovedného podnikania

1971 - Spoločenské zodpovednosti obchodných korporácií...definovaný trojstupňový model SZP

Univerzálnosť Dobrovoľnosť Aktívna spolupráca so zainteresovanými

subjektmi (stakeholders) Záväzok prispievať k rozvoju kvality života Zdôrazňujú rozvoj, nie iba rast Pomenúvajú tri oblasti, v ktorých sa

zodpovedné podnikanie konkrétne prejavuje:◦ Ekonomické prostredie (etický kódex, ochrana

duševného vlastníctva, reklama)◦ Sociálna oblasť (BOZP, firemná filantopia, boj proti

korupcii)◦ Environmentálna oblasť(recyklácia, ekodizajn..)

je jednou z najdôležitejších príčin vzrastu významu spoločenskej zodpovednosti v podnikaní

1.Pokles významu hraníc medzi štátmi a zjednodušenie prepravy a komunikácie spôsobujú, že vzniká nový medzinárodný trh s investičnými podmienkami

2.Zjednodušený prístup k množstvu informácií, ktoré majú spotrebitelia k dispozícii v reálnom čase

3. Dlhodobo rastúci záujem o dodržiavanie ľudských práv

4. Zmena štruktúry ekonomiky

Návod na podstatné princípy spoločenskej zodpovednosti

Zahŕňa hlavné oblasti a problémy týkajúce sa spoločenskej zodpovednosti

Dá sa aplikovať na všetky typy organizácií Nie je určená na použitie vo vládnych

organizáciách pri uplatňovaní ich výkonnej, legislatívnej a právnej moci

90- te roky 20.storočia

Využitie vo firmách so zahraničnou účasťou

Novelizácia Zákona o dani s príjmu (561/2001) - slovenskí daňoví poplatníci mohli venovať neziskovým organizáciám 1% z dane z príjmu (v súčasnosti 2%)

Na Slovensku sa chápanie SZP často obmedzuje na filantropiu a charitu

Priama podpora Dobročinný, zdieľaný marketing Charitatívne aukcie a výstavy Firemná nadácia/firemný nadačný fond Nepeňažné darcovstvo Účasť v správnych radách a grantových

komisiách neziskových organizácií Strategické darcovstvo