Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH

Slides:



Advertisements
Similar presentations
22/10/20081 Poslovanje i sigurnost 2008 Business and security 2008 AKTUALNOSTI INFORMACIJSKE SIGURNOSTI U HRVATSKOM OKRUžENJU mag.oec.Saša Aksentijević,univ.spec.
Advertisements

Zakon o informacijskoj sigurnosti izazov informatičkoj industriji (panel) Mr. sc. Aleksandar Klaić, dipl. ing. Ured Vijeća za nacionalnu sigurnost (UVNS)
Javni Oblak Uloga SaaS WEB servisa Ljubomir Ivaniš CPU d.o.o.
The Ministry of Public Administration
BUDGET TRANSPARENCY IN THE REPUBLIC OF CROATIA Zagreb, 2 December 2015
Katedra za informatiku
Siniša Petrović Zagreb,
Ekonomska škola Šibenik Nada Bujas, prof.
1.6. Pohrana podataka.
Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima
Programi zasnovani na prozorima
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije
Microsoft Microsoft je američka softverska tvrtka. Osnovali su je godine Bill Gates i Paul Allen. Osnovna djelatnost tvrtke je razvoj osnovnog računalnog.
SMJERNICE ZA PRIMJENU ISO 9001:2015
Uvod u projekte Rijeka,
NoSQL.
Teorema o 4 boje(Four color theorem)
Grad Rijeka RAZVOJNI PROJEKT TURISTIČKA ZONA PRELUK
INFORMACIJSKI SUSTAV ZAŠTITE PRIRODE
Istorijski razvoj WINDOWS-a
COR&FJA OdaTeam d.o.o. Uroš Grajfoner Aleksander Horvat
Trendovi u širenju obuhvata
Tehničke mjere zaštite podataka
Multimedijalna e-Learning platforma
Podatkovni višemedijski prijenos i računalne mreže Speech Recognition
Petlje FOR - NEXT.
Nenad Nikolić Andreja Mačković Ivana Ivić Brijuni
HT usluge u Oblaku Ivan Cicvara
XXIV Skup TRENDOVI RAZVOJA: “DIGITALIZACIJA VISOKOG OBRAZOVANJA” REPOZITORIJUMI - DIGITALNI RESURSI SAVREMENOG OBRAZOVANJA Kopaonik, februar,
Prof. dr. sc. Ivan Koprić Pravni fakultet Sveučiliša u Zagrebu
Interkulturalni karakter prekogranične medijacije.
ENERJ - Joint Actions for Energy Efficiency
14 UNUTRAŠNJE I ANONIMNE KLASE
Armin Teskeredzic Zagreb, Hrvatska,
Stanko Cerin Ostendo Consulting
Aktualnosti i zahtjevi
Upravljanje projektima za rast zajednice
Međunarodni sustavi ovjere upravljanja projektima – I dio
Sustavi za praćenje i vođenje procesa
FP7 - People.
PROGRAMSKI JEZIK PASCAL
Sigurnosni trendovi u financijskom sektoru i upravljanje IT rizicima
Osnovni simboli jezika Pascal
Ukratko o stavljanju proizvoda na tržište RH i o slobodi kretanja roba
Virtualizacija poslovnih procesa metodom „Swimlane“ dijagrama
, Ministarstvo financija
posljednja faza razvoja podatkovnih komunikacija
Seminar iz predmeta Sustavi za praćenje i vođenje procesa
Digital Jobs Hrvoje Balen, predsjednik upravnog vijeća Visokog učilišta Algebra National Contact Point in Croatia.
Strukture podataka i algoritmi 5. VRIJEME IZVRŠAVANJA ALGORITMA
Croatian Infrastructure Project Challenges: a panel discussion on Croatian infrastructure Preparation and Implementation of Infrastructure projects in.
Sustav za prikupljanje i upravljanje sigurnosnim događajima
Zaštita osobnih podataka u RH s posebnim osvrtom na Uredbu EU Parlamenta i Vijeća s primjerima iz prakse u sustavu osiguranja Snježana Grgić, AZOP.
IP SPOOFING Sveučilište u Zagrebu
MEDIJACIJA I ODVJETNICI
USPOSTAVA DIGITALNOG ARHIVA RH   Dugoročno očuvanje e-gradiva – koncepti i primjeri – prof. dr. sc. Hrvoje Stančić Katedra za arhivistiku i dokumentalistiku.
Pretraživanje pravnih izvora i baza podataka EU
KURIKULUM HRVATSKE NASTAVE
VAŽNOST ČITANJA U NIŽIM RAZREDIMA OSNOVNE ŠKOLE
Globalna mreža sudačkog integriteta je platforma koja pruža pomoć sudstvu a da bi ono ojačalo svoj integritet i spriječilo korupciju u sudskom sustavu.
Podatkovni višemedijski prijenos i računalne mreže Speech Recognition
Trenutačno stanje te izazovi Europskog semestra
GLOBALNI KORUPCIJSKI BAROMETAR
Venture or vulture? Ivo Špigel, Član uprave, Perpetuum Mobile d.o.o.
Otvoreni kod: Komunizam ili demokracija?
7. Baze podataka Postavke MS Accessa.
OneNote for Classroom Gabrijela Vratarić, prodajni predstavnik i specijalist za licenciranje softvera Tomislav Bronzin, ICT Senior Expert,
Informacijska sigurnost korporacije i NIS direktiva
Kako zaštititi privatnost na facebooku
Rekapitulacija / Zaključak
Presentation transcript:

Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH Mr. sc. Aleksandar Klaić, dipl. ing. el. Ured Vijeća za nacionalnu sigurnost (UVNS)

Sponzori

Definicija Informacijska sigurnost podrazumijeva očuvanje: Povjerljivosti: osiguravanje dostupnosti informacija samo za ovlaštene korisnike; Cjelovitosti: očuvanje točnosti i potpunosti informacija i metoda obrade; Raspoloživosti: osiguravanje da ovlašteni korisnici imaju, kada im je to potrebno, pristup informacijama i s njima povezanim sadržajima.

Kontekst Informacijska sigurnost: predstavlja integralni dio sustava nacionalne sigurnosti i čini temelj izgradnje suvremenog informacijskog društva u kojem participiraju državni sektor, poslovni sektor, građanstvo u cjelini.

Sigurnosna suradnja

Ciljevi predavanja Izgradnja minimalnog stupnja razumijevanja između različitih društvenih sektora Uočavanje kompleksnih odnosa koje diktira stvaranje globalnog informacijskog prostora Razumijevanje multidisciplinarnosti područja informacijske sigurnosti

Teme 1. dio: 2. dio: 3. dio: 4. dio: Uloga industrijskog sektora u informacijskoj sigurnosti 2. dio: Stvaranje globalnog informacijskog prostora Informacijski kriteriji i domene 3. dio: Razvoj informacijske sigurnosti Usporedba organizacije informacijske sigurnosti u državnom i poslovnom sektoru 4. dio: Razvoj informacijske sigurnosti u RH Legislativni i organizacijski okvir u RH

1. dio Uloga industrijskog sektora u informacijskoj sigurnosti

Industrijski sektor Za potrebe ovog predavanja: Informacijska i komunikacijska tehnologija (ICT) Usluge i sustavi Hardver i softver Usluge i tehnologije u tradicionalnim sigurnosnim područjima: Fizička sigurnost Sigurnost dokumenata Dio poslovnog sektora u širem smislu

Zahtjevi informacijske sigurnosti

Izazovi i mogućnosti (1/2) Proces nacionalne normizacije Informacijska tehnologija, informacijska sigurnost Hrvatski zavod za norme (HZN) Okvir i poticaj - država (SDUeH, UVNS, ZSIS, CARNet, …) Sadržaj – primarno poslovni sektor Informacijska sigurnost u državnom sektoru Edukacija i razvoj sigurnosne svijesti Prilagođeni i sadržajno lokalizirani seminari Suradnja s akademskim i obrazovnim sustavom Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ

Izazovi i mogućnosti (2/2) Informacijska sigurnost u tijelima državne vlasti (TDU) Klasificirane i neklasificirane mreže za prijenos podataka Mrežni operatori za najam komunikacijske infrastrukture Centri za upravljanje i nadzor mreža Razvoj informacijskih i infrastrukturnih servisa TDU Tehnologije IT sigurnosti Tehnologije fizičke sigurnosti Tehnologije sigurnosti dokumenata Poslovi certificiranja (CC, ISO, Tempest, …) Laboratoriji, edukacija Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ Nacionalni proizvodi na tržištu NATO zemalja ? Nadležna tijela: UVNS, ZSIS

Zaključno Prednosti uređenog sustava su dugoročne Kratkoročni problemi: Nužna profesionalizacija državne uprave, ali i dobavljača roba i usluga Da li je državna uprava RH na potrebnom nivou uređenosti? Da li je industrijski sektor u RH spreman za nove izazove?

2. dio Stvaranje globalnog informacijskog prostora Informacijski kriteriji i domene

Informacijska (r)evolucija Promjena kulture stvaranja znanja Dostupnost, brza distribucija Povećana ovisnost društva o informacijskim sustavima Nacionalni, međunarodni Razvoj suvremenih demokratskih koncepata Pravo na pristup podacima, privatnost podataka  Utjecaj na temeljne informacijske kriterije: Raspoloživost, cjelovitost, povjerljivost

Informacijski kriteriji Primjena na skupove podataka relevantne za društvo, državnu upravu, privatnu kompaniju, … Nastaju podatkovne domene koje čine informacijski prostor  Dinamičan informacijski prostor Oblikuje se sukladno razvoju društva i tehnologije

Stvaranje globalnog informacijskog prostora

Ključni utjecaji iz 90-tih godina Koncept privatnosti: Koncept e-Governmenta Sučeljavanje različitih sektora društva (državni, poslovni, građanstvo)  Istovremeno i rastući problemi

Sigurnosni problemi u informacijskom prostoru Rastuća interakcija različitih informacijskih domena Međusobna sučeljavanja različitih sigurnosnih modela Informacijska sigurnost u državnom i poslovnom sektoru Norme, standardi Telekomunikacijska regulativa  Zahtjevi na informacijske sustave

Sigurnosni zahtjevi Temeljni informacijski kriteriji Povjerljivost, cjelovitost, raspoloživost (CIA triad) Klasificirane i neklasificirane domene (C)

Zahtjevi povjerenja Informacijski kriteriji: usklađenost i pouzdanost (compliance and reliability) Harmonizacija i uspostava uzajamnog povjerenja u informacijskim sustavima koji se koriste u okviru određene informacijske domene Sigurnosna akreditacija Sukladnost s temeljnim principima informacijske domene Uvjet korištenja i/ili interkonekcije informacijskih sustava

Zahtjevi kakvoće Informacijski kriteriji: učinkovitost i djelotvornost (effectiveness and efficiency) Primarno kod javnih e-Government usluga Javna telekomunikacijska infrastruktura Sporazum o razini usluge (SLA)

Informacijski sustavi državne uprave

Definicija kriterija povjerenja za informacijske sustave IT infra-structure Private Public IT services IT users TRUST Implicit Controled Limited Uncontrolled

Kriterij povjerenja – informacijska domena - Internet Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust Information Domain Classified (Secret) Unclassified (Private) Public Internet Connection Isolated Manageable Connection Shared Infrastructure

Kategorizacija informacijskih sustava temeljena na povjerenju Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust Government Sector Classified IS Unclassified IS e-Gov Services Business Sector Corporate Networks On-line Busi-ness Services SOHO Citizens Private PCs

Zaključno 2. dio Sveprisutnost Interneta Rastuće ugroze na Internetu sve manje izoliranih mreža Rastuće ugroze na Internetu sve više velikih informacijskih sustava u kategorijama kontroliranog i ograničenog povjerenja – temelj e-Gov usluga Velike sličnosti državnih i poslovnih informacijskih sustava

3. dio Razvoj informacijske sigurnosti Usporedba organizacije informacijske sigurnosti u državnom i poslovnom sektoru

Razvoj informacijske sigurnosti Vrlo duga tradicija u državnom sektoru Koncept nacionalne sigurnosti Minimalni sigurnosni zahtjevi za sva državna tijela Modeli ugroza promijenjeni Hladni rat  terorizam Sukobljavanje  suradnja

Sigurnosna područja Tradicionalna sigurnosna područja: Fizička sigurnost, sigurnosne provjere, sigurnost podataka Tradicionalna tehnička sigurnosna područja: COMSEC, COMPUSEC, TECSEC  Sigurnost informacijskih sustava (INFOSEC) Informacijska sigurnost državne uprave: Fizička sigurnost, sigurnosne provjere, sigurnost podataka, sigurnost informacijskih sustava (INFOSEC), industrijska sigurnost

Trendovi razvoja informacijske sigurnosti

Karakteristike državnog sektora Usmjerenost na organizacijske aspekte Funkcionalni model organizacijskih tijela: NSA, IA ili NCSA, SAA, NDA, CISO/LISO ili CIS OA, ITSOA ili CIS P&I, CERT ili CIRC Načela i zahtjevi: Odgovornost, razdvajanje nadležnosti i nadzornih procesa, optimizacija resursa Eksplicitni i implicitni zahtjevi

Karakteristike poslovnog sektora Tradicionalno: Specijalni vladini/vojni projekti Financijski sektor 1990-te: Brzi razvoj ICT-a i širenje Interneta  IT sigurnost Danas širi koncept informacijske sigurnosti Ovisnost poslovnih procesa o IT-u Ljudi, organizacija, tehnologija

Nove inicijative Standardizacija informacijske i komunikacijske tehnologije te područja informacijske sigurnosti Koncepti i zahtjevi informacijske sigurnosti u temeljima modela informacijskog društva Interoperabilnost Tehnička, semantička, organizacijska

Standardizacija Stimulirana i podržana od vlada zemalja: Tradicionalna normizacija (nacionalna, međunarodna), Vlasnički standardi, Otvoreni standardi. Nacionalni normizacijski okviri (Security & ICT): Protection and Security of the Citizen (EU), ANSI-HSSP (USA),  ISO JTC 1 / SC 27 (međunarodno) Pozitivan utjecaj na industriju, upravljanje poslovnim procesima, razvoj represivnih mjera…

Smisao standardizacije (ISO) “Standardi pridonose pojednostavljenju života te povećanju pouzdanosti i djelotvornosti robe i usluga koje koristimo” “Snaga koju standardi donose korisnicima (državni ili privatni sektor) leži u njihovoj sposobnosti da konsenzusom odrede koje će postojeće standarde koristiti, a ne da kreiraju nove standarde.”

Standardi informacijske sigurnosti i IT-a Poslovni i tehnički standardi Poslovni standardi i procesi ovise i realiziraju se pomoću IT-a

Sigurnost informacijskog društva – procesni pogled

Interoperabilnost Tehnička – infrastrukturna Semantička – aplikacijska Organizacijska – procesna Informacijska sigurnost: Primarno se referira na organizacijski sloj Pretpostavlja uređenost tehničkog i semantičkog sloja (“IT problematika”) Strategija Programa One Stop Shop

Temeljne kategorije sustava informacijske sigurnosti Preduvjet uspostave sustava upravljanja informacijskom sigurnosti Nezaobilazno u velikim okruženjima Osnovne kategorije i usporedba državnog i poslovnog sektora: Regulativa informacijske sigurnosti Odgovorna tijela Vlasnici podataka Vlasnici infrastrukture

Legislativa i regulativa informacijske sigurnosti Državni sektor Poslovni sektor Opća legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl. Nacionalna politika inf. sigurnosti, Uredbe Vlade o sig. područjima, Pravilnici središnjih državnih tijela za informacijsku sigurnost, Ostali unutarnji akti Sigurnosna politika, Organizacijska sigurnosna politika, Funkcionalna implementacijska politika, Smjernice i procedure Norme informacijske sigurnosti i IT-a, Otvoreni standardi, Preporuke, smjernice i najbolje prakse (nacionalne i međunarodne)

Odgovorna tijela Državni sektor Poslovni sektor Vlada / Sabor CEO / Upravni odbor NSA CSO NCSA (IA) IT odjel / Vanjski konzultanti ITSOA IT odjel / Vanjska suradnja SAA Ovlaštena vanjska kuća

Vlasnici podataka i infrastrukture Državni sektor Poslovni sektor Vlasnici podataka Državno tijelo, čelnik tijela ili najviši rang rukovoditelja Tvrtka, CEO ili član uprave Vlasnici infra-strukture IT odjel ili posebno tijelo nadležno za zajedničku državnu infrastrukturu. IT odjel Vanjska tvrtka

CoBIT* kocka i razvoj informacijske sigurnosti * Control Objectives for Information and Related Technology IT Government Institute ISACA – Information System Audit and Control Association

Zaključno 3. dio Prilagodba politika informacijske sigurnosti razvijenih država Primjena neklasificiranih kriterija sigurnosti na najniži stupanj tajnosti klasificiranih podataka te na osobne podatke građana Sučeljavanje različitih informacijskih domena i različitih društvenih sektora Konvergencija standarda informacijske sigurnosti – ISO/IEC 17799/27001 (?) Sve jača uloga procjene i upravljanja rizicima Neklasificirani državni i korporativni informacijski sustavi Daljnje smanjenje značajnih razlika između klasificiranih i neklasificiranih (korporativnih) informacijskih sustava

4. dio Razvoj informacijske sigurnosti u RH Legislativni i organizacijski okvir u RH

Odgovornost “Niti jedan dio sigurnosti neće biti u potpunosti učinkovit ako ne bude proveden regulativom, zakonom i pravnom odgovornosti.” Stegovna odgovornost (unutarnja) Pravna odgovornost (vanjska) Vrh organizacijske hijerarhije

Razvoj informacijske sigurnosti u RH Promjena pristupa – orijentiranost na nacionalnu razinu od 2000.g. Prva postignuća na nacionalnoj razini: Svibanj 2000. – RH pristupila NATO PfP programu Lipanj 2000. – RH i NATO potpisale sigurnosni sporazum Srpanj 2000. – RH uspostavila NATO NSA i Središnji registar Legislativa još uvijek nije u potpunosti revidirana Zakon o zaštiti tajnosti podataka (1996.) Zakon o sigurnosnim službama (2002.) Novi paket zakona: Zakon o sigurnosno-obavještajnom sustavu (srpanj 2006.) Zakon o tajnosti podataka (u prijedlogu) Zakon o sustavu informacijske sigurnosti (u prijedlogu)

Nacionalni program informacijske sigurnosti u RH Zašto? Konzistentan pristup na nacionalnoj razini! Stručna skupina za informacijsku sigurnost SDUeH, predstavnici TDU, akademskog sektora Održana javna rasprava Prihvaćen na Vladi 31. ožujka 2005.

Nacionalni program informacijske sigurnosti u RH (2005.) Strateški cilj Temelj za dugoročni razvoj informacijskog društva Taktički plan Postupan razvoj i sustavna implementacija mjera informacijske sigurnosti u RH (državni sektor, poslovni sektor i građanstvo) Zahtjevi Integracijski procesi RH u NATO i EU Strateški dokument s preporukama: Nacionalni zakonodavni i institucionalni okvir Planovi edukacije i razvoja sigurnosne svijesti Usklađivanje postojećih zakona, organizacije i postupanja

Realizacija Programa Pripremne radnje – do kraja 2006. Zakonski okvir, uspostava središnjih državnih tijela za informacijsku sigurnost: NSA, NCSA, CERT 1. faza implementacije Programa – 2 godine Institucije središnje izvršne vlasti Minimalni sigurnosni zahtjevi u skladu s NATO zahtjevima (MAP) 2. faza implementacije Programa – 1 godina Ostali stupovi i nivoi vlasti Minimalni sigurnosni zahtjevi u skladu s EU zahtjevima (i2010) 3. faza implementacije Programa – kontinuirano Edukacija i razvoj sigurnosne svijesti u društvu, Razvoj informacijskog društva i javno-privatno partnerstvo

Novi zakoni Zamjena za Zakon o zaštiti tajnosti podataka iz 1996. Pristup na nacionalnoj razini: Zakon o tajnosti podataka Suvremeni koncept tajnosti podataka Zakon o sustavu informacijske sigurnosti Suvremeni koncept zaštite podataka s vizijom izgradnje informacijskog društva

Zakon o tajnosti podataka Temeljni principi tajnosti podataka: Klasificirani i neklasificirani podaci Načela: poslovne potrebe za pristupom podacima sigurnosne provjere Procedure klasifikacije/deklasifikacije Određivanje odgovornosti Usklađivanje sa Zakonom o kaznenom postupku, uredskim poslovanjem, konceptom privatnosti i prava na pristup podacima Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.

Zakon o sustavu informacijske sigurnosti Suvremeni koncept zaštite podataka s vizijom izgradnje informacijskog društva: Opsežan zakonski okvir za regulativu informacijske sigurnosti (nacionalna politika inf. sigurnosti, uredbe, pravilnici, …) Odgovorna tijela i rokovi za donošenje regulativnih akata 5 sigurnosnih područja koordiniranih na nacionalnoj razini (sukladnost NATO/EU sigurnosnoj politici) Uspostava nacionalnog CERT-a kao javne institucije Međusobni odnosi središnjih državnih tijela za informacijsku sigurnost, obzirom na međunarodno definirane funkcionalnosti: NSA, NCSA, SAA, NDA, CERT, CIS P&I, CIS Operating Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.

Središnja državna tijela za informacijsku sigurnost Ured Vijeća za nacionalnu sigurnost (UVNS) Uspostavljen u svibnju 2002. temeljem Zakona o sigurnosnim službama (2002.) National Security Authority, Središnji registar za razmjenu podataka - NATO problematika U tijeku reorganizacija temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.) Odgovornosti: NSA za nacionalnu, NATO i EU problematiku Zavod za sigurnost informacijskih sustava (ZSIS) Osnivanje propisano 2002. Zbog potrebe harmonizacije nekoliko zakona uspostavlja se tek sada temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.) Odgovornosti: NCSA, NDA, SAA, Government CERT

Zakonski okvir inf. sigurnosti u RH

Institucionalni okvir inf. sigurnosti u RH

Zaključno 4. dio Središnja tijela – točke kontakta i koordinacije: UVNS – NSA ZSIS – NCSA, SAA, NDA, Gov CERT CARNet – Nacionalni CERT UVNS – krovno koordinacijsko tijelo za informacijsku sigurnost Fizička sigurnost, sigurnosne provjere, Industrijska sigurnost, sigurnost podataka ZSIS – tehničko tijelo Sigurnost informacijskih sustava

aleksandar.klaic@uvns.vlada.hr aklaic@hi.t-com.hr

Feedback: Privacy Policy Feedback
Do Not Sell My Personal Information
About project: SlidePlayer Terms of Service

© 2025 SlidePlayer.com. Inc. All rights reserved.