Značaj generisanja politike zaštite

Univerzitet SINGIDUNUM,Danijelova 29, Beograd

Docent dr Gojko Grubor

Zašto je potrebna zaštita infomacija/IS?

• Poslednji podaci (2008.g.):– TJX Data – proboj sistema zaštite koštao preko $40 miliona– E&Y gubitak laptop sa više hiljada izveštaja/podataka o

kupcima – Zaposleni u Pfizer otkrili neovlašćeno 17.000 dokumenata u

P2P razmeni fajlova– Masivni kolaps elektrodistributivne mreže SAD zbog

hakerskog napada sa Interneta – Cooper Tire akcije na berzi pale 25% kad je zaposleni

iseckao dokumenta u šrederu– Harris Interactive istraživanje pokazalo da 79% Amerikanaca

veruje da će lični podaci u IS biti dostupni drugim (neovlašćenim) licima čak i ako politika štiti lične podatke i informacije

Šta je politika zaštite?

• Politika zaštite JESTE:– Dokumentovana izjava menadžmenta na visokom nivou– Formalni način da se kaže:

• “Ovo je način na koji mi štitimo naš IKT sistem” – Generalizovane izjave zahteva za minimizaciju

bezbednosnog rizika – Dokument zaštite na višem nivou od Standarda i Procedura

• Politika zaštite NIJE:– Konfigurisanje sistema Firewalls, IDS/IPS, AC i drugih

mehanizama zaštite – Za razliku od smernica/uputstava (Guidelines), nema opcija

rešenja– Za razliku od arhitekture sistema zaštite, ne zavisi od

proizvoda/tehnologija zaštite

• Security Policy Drivers• RReegguulalattioionnss TTeecchhnnoolologgyy• TTeecchhnnoollooggyy DDeeppllooyymmeenntt• { }• PDA• Spyware• Wireless• VOIP• Sarbox• HIPAA• GLBA• EU Data Privacy• Encryption• TThhrreeaattss SPAM• HACKS• Data Loss• Policies• Standards• IDS Anti-Virus Firewalls• BBeehhaavvioiorr• Internet Use Incident Reporting

Pokretači politike zaštite

HakeriGubitak

podataka

Špijuni,SPAM

PRETNJE

REGULATIVE TEHNOLOGIJE

Politike

Standardi

Implementacija tehnologije Praksa zaštite

Karakteristike efektivne politike zaštite informacija

• Kompletnost – obuhvata sve kritične oblasti rizika za informacije

• Organizovanost – politika bazirana na priznatom/široko prihvaćenom standardu (ISO/IEC 27001/2, ISO/IEC 21827) ili okviru (NIST SP 800-12)

• Dokumentovanost – napisana i održavana sa eksplicitno definisanim vlasništvom i verzijom

• Ažurranost – periodično revidirana i ažurirana na bazi poslednje procene rizika

• Komunikativnost – politike su dostavljene svim odnosnim stranama, pročitane i shvaćene od strane svih zaposlenih u organizaciji

Pokretač razvoj infrastrukture sistema zaštite?

• Razjašnjava pravila pre razvoja i konfigurisanja sistema zaštite

• Osigurava konzistentnu aplikaciju kontrola zaštite (mehanizama i provcedura)

• Koordinira rad različitih internih grupa: – Omogućava lakšu internu komunikaciju i interoperabilnost

• Definiše se pre implementacije sistema zaštite:– Materijal za obuku i razvoj svesti o potrebi zaštite – Omogućava uspostavljanje kompromisa između intranet i

ekstranet mreža– Omogućava razmenu vlasničkih informacija sa trećom

stranom

Podrška drugim procesima zaštite informacija?

• Eksplicitno pokazuje podršku menadžmenta zaštiti informacija

• Uspostavlja kredibilitet i transparentnost procesa/rada zaštite

• Eliminiše raspravu/nesporazume koji se odnose na interne politike zaštite

• Unapred definiše odgovore na proboje sistema zaštite i druge scenarije rizika

• Daje smernice za izbor servisa i proizvoda zaštite (kontrola)• Omogućava brz razvoj novog sistema zaštite informacija• Definiše osnovne mere zaštite, kao što su dužna pažnja

(due care controles) i etički kodeks ponašanja u IS

Podrška usklađenosti sa zakonom/regulativama...

• Aranžira ugovorne obaveze potrebene za tužilaštvo u slučaju spora/kompjuterskog kriminala

• Uspostavlja politike koje dopuštaju discioplinske mere, otpuštanje sa posla i eventualno krivičnu prijavu

• Dokumentuje zahtev za usklađenost sa zakonom, regulativama i standardima

• Održava i daje skrivenu zaštitu lnoj legalnoj e-trgovini • Eliminiše tvrdnje o zanemarivanju i kršenju ugovornih i

zakonskih obaveza (Fiduciary Duty) ili zaštite privatnosti• Podržava interne kontrolore (auditors) u proveri

usklađenosti

Primer saopštenja bitnih politika zaštite

1. Redovno izveštavati o svim problemima i ranjivostima sistema zaštite centralni entitet organizacije za upravljanje zaštitom informacija

2. Pristup sistemima i informacijama davati na bazi “znati samo ono što je potrebno za izvršavanje posla”

3. Informacije klasifikovati na bazi osetljivosti i označavati svaku osetljivu informaciju

4. Korisnički izabrani pasvordi moraju slediti pravilo kompleksnosti i moraju se periodično ažurirati/menjati

5. ….

Problemi nedostatka politike zaštite?

• >25% zaposlenih nije pročitalo ni jednu politiku zaštite u 2007 godini*• ≈ 50% nije pročitalo sve politike zaštite koje su im namenjene u 2007 • <30% nije imalo obuku ni razvoj svesti o potrebi zaštite u 2007 • ≈ 65% organizacija ne prati da li zaposleni čitaju politiku zaštite (potpišu izjavu o prihvatanju i

razumevanju politike)• > 75% zaposlenih ignoriše politike zaštite čak i kada su svesni njihovog postojanja *• 46% routinski deli pasvorde *• 50% organizacija nema politiku za izveštavanje o bezbednosnom incidentu i ranjivostima sistema• ≈ 67% organizacija ističe da je ključni prioritet u sledećoj (2009) podizanje svesti opotrebi zaštite • ≈ 22% organizacija imaju program za razvoj svesti o potrebi zaštite • ≈ 13% organizacija ima časove obuke iz oblasti zaštite informacija

*CSI/FBI & Information Security shield anketa

Indikatori potrebe za politikom zaštite!

• Pokušaji da se zadovolje zahtevi interne i spoljne kontrole (audit)

• Frustracija zbog ograničenih rezultaa sa ograničenim stručnim osobljem

• Organizacija je javno ponižena zbog proboja sistema zaštite

• Nije organizovan ni sproveden program razvoja svesti o potrebi zaštite

• Dokumentacija zaštite nedovoljna ili neažurna • Kritični zadaci zaštite nisu izvršeni kako bi trebalo • Zaposleni raspravljaju o tome šta treba učiniti da se

poboljša zaštita .....

Faktori uspeha projekta zaštite

• KKononzzistentistentno uključivanje korisnikano uključivanje korisnika • Podrška izvršnog menadžmenta Podrška izvršnog menadžmenta (A(Akktivtivnini interes) interes)• Jasna izjava o zahtevima Jasna izjava o zahtevima • Dobro planiranjeDobro planiranje• RealistiRealistična očekivanjačna očekivanja• Manje kontrolnih tačaka projekta (veća Manje kontrolnih tačaka projekta (veća

transparentnosttransparentnost))• Vlasništvo (odgovornost)Vlasništvo (odgovornost)• Jasna vizija i ciljeviJasna vizija i ciljevi• PlaniPlaniranje rizikaranje rizika, , iidentifidentifikkaacciija i ublažavanjeja i ublažavanje