Informacijska sigurnost za menadžere upravljanja ljudskim resursima

mag. oec. Saša Aksentijević, univ. spec. oec.stalni sudski vještak za informatiku i telekomunikacije

Sadržaj

• UVOD• POVIJEST SIGURNOSTI INFORMACIJSKIH SUSTAVA• INTEGRALNA KORPORATIVNA (ORGANIZACIJSKA) SIGURNOST• PLAN INFORMACIJSKE SIGURNOSTI• RIZIK• KONTROLA I UPRAVLJANJE RIZIKOM• SURADNJA ORGANIZACIJSKIH CJELINA PODUZEĆA U PROVOĐENJU PLANA INFORMACIJSKE

SIGURNOSTI• ULOGA HR MENADŽERA• ZAKLJUČAK• DISKUSIJA – PITANJA I ODGOVORI

Povijest sigurnosti informacijskih sustava

• “cezarevo šifriranje”• Razvoj sigurnosti informacijskih sustava u

početku prati vojna osvajanja• Prijelomni trenutak – Drugi svjetski rat• Pojava elektroničkog poslovanja (“e-

business”)

Plan informacijske sigurnosti I

• Identificira se kritična dokumentacija kao podloga za pripremu Plana te standardi koji će biti primijenjeni

• Procjenjuje se postojeće stanje informacijske sigurnosti unutar poduzeća ili organizacije

• Definiraju se prioriteti informacijske sigurnosti

• Identificiraju se odjeli te funkcije koje u operativnoj fazi rade s povjerljivim informacijama ili podacima

• Identificiraju se mogući rizici po sigurnost sustava

• Predlažu se metode za umanjenje ili potpuno uklanjanje rizika

Plan informacijske sigurnosti II

• Privatnost, povjerljivost i sigurnost informacija

• Pravila dobrog ponašanja • „Need to know“ princip • Nivoi diskrecije

Plan informacijske sigurnosti III

• Povjerljivost• Integritet• Raspoloživost

Kontrole:

• Administrativne• Logičke• Fizičke

CIA trijada

DIKW hijerarhija

Strategy

Knowledge

Information

Data

 

Informacije koje se koriste za postizanje rezultata i ciljeva 

 Analiza i sinteza informacija 

  

Kontekstualizirani poslovni podaci

  Poslovni podaci i činjenice 

Domene informacijskog prostora

Zakonski zahtjevi po pitanju informacijske sigurnosti mogu se podijeliti u dvije grupe:

• zahtjevi nacionalnih zakonodavstava• specifični zakonski zahtjevi (SoX)

“Freedom of access to information” act, Direktiva EU 2003/4/EC

Normiranje informacijske sigurnosti

Normiranje informacijske sigurnosti

ZAKONSKI PROPISI

• Zakon o organizaciji i nadležnosti državnih organa za borbu protiv visokotehnološkog kriminaliteta

• Zakon o zaštiti podataka o ličnosti • Zakon o telekomunikacijama • Krivični Zakonik Republike Srbije

OKVIRI NAJBOLJE PRAKSE

• ISO 9001• ISO 27001:2005• ITIL• PRINCE2• COBIT

Integralna korporativna (organizacijska) sigurnost

Rizik I

• Identificiranje rizika

Rizik II

• Pristup povjerljivim informacijama od strane neovlaštene osobe• Kompromitiranje sistemske sigurnosti kao rezultat pristupa od strane „hakera“• Presretanje podataka tijekom transakcije• Gubitak podataka ili povjerljivosti informacija zbog greške korisnika• Fizički gubitak podataka uslijed katastrofe • Nekompletnost i nedokumentiranost transakcije• Neautorizirani pristup povjerljivim informacijama od strane zaposlenika• Neautorizirani zahtjev telefonom ili emailom za povjerljivim informacijama („phishing“)• Neautorizirani pristup preko papirnih dokumenata i izvještaja• Neautorizirani transfer povjerljivih informacija preko treće strane

Rizik III – kontrola i upravljanje rizikom

• Kontrola prikupljanja informacija• Kontrola pristupa informacijama• Obrazovanje korisnika sustava• Kontrola fizičkog pristupa • Kontrola čuvanja dokumenata• Kontrola uništavanja dokumenata• Izrada odjelnih planova čuvanja privatnosti podataka• Kontrola zahtjeva prema trećim stranama• Kontrola pristupa informacijama sadržanim unutar informacijskog sustava (u nastavku...)

Rizik IV – Kontrola pristupa informacijama sadržanim unutar informacijskog sustava poduzeća

• kreiranje kriterija pristupa računalnoj mreži• kreiranje korisničkih grupa• kontrola pristupa elektroničkoj pošti• kontrola pristupa Internet servisima• kontrola pristupa telefonskom sustavu• kontrola daljinskog pristupa • kontrola pristupa preko virtualnih privatnih mreža

SURADNJA ORGANIZACIJSKIH CJELINA U PROVOĐENJU PLANA INFORMACIJSKE SIGURNOSTI

• Odnos strateškog, operativnog i taktičkog se isprepliće unutar poslovnog konteksta• Kompleksnost tematike i zadatka zahtijeva konstantno propitivanje važećeg Plana

informacijske sigurnosti• Plan informacijske sigurnosti nikada nije gotov i u potpunosti proveden• Stanje informacijske sigurnosti se određuje godišnjim izvještajima koji mora biti odobren

od odgovarajuće instance

Primjer godišnjeg izvješća o sigurnosti

Uloga HR Menadžera

• Rad s povjerljivim informacijama• Usmjeravanje (makar neformalno) formalnih tijekova informacija unutar organizacije• Sposobnost utjecaja na rukovodstvo po pitanju ciljeva integralne sigurnosti• Profesionalni i osobni rast• Poznavanje temelja zakonske podloge koja regulira problematiku, ali i internih akata poduzeća:

1. Zakon o zaštiti osobnih podataka2. Zakon o informacijskoj sigurnosti3. Uredba o načinu pohranjivanja i posebnim mjerama tehničke zaštite posebnih kategorija osobnih podataka4. Zakon o zaštiti na radu5. Zakon o bankama6. Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika7. Odluka o primjerenom upravljanju informacijskim sustavom8. Zakon o osiguranju9. Pravilnik o detaljnom obliku i najmanjem opsegu te sadržaju revizorskog prijedloga i revizorskog izvješća društava za osiguranje

Razgraničenje odgovornosti za informacijsku sigurnost

Statistika• 55 % korisničkih računala je zaraženo spyware-ima• 7% tvrtki koristi zadnju verziju sigurnosnih zakrpa operativnog sistema• 25 % kompjutora su zombi računala• 33 % tvrtki dozvoljava Instant Messaging• u 52 % tvrtki perimetar mreže je zadnja linija obrane informacijskog sustava• 14 % korisnika čita spam a 4 % kupuje proizvode koje spam reklamira (!)• 21 % spama je pornografija• 20 % korisnika u Velikoj Britaniji kupuje softver koji reklamira spam

Informacijska sigurnost za menadžere upravljanja ljudskim resursima

mag. oec. Saša Aksentijević, univ. spec. oec.stalni sudski vještak za informatiku i telekomunikacije