Download presentation
Presentation is loading. Please wait.
Published byΟυρανία Χρηστόπουλος Modified over 6 years ago
1
Izbrana Poglavja iz Informacijskih Tehnologij (IPIT)
prof. dr. Bojan Cestnik Temida d.o.o. & Jozef Stefan Institute Ljubljana
2
Vsebina Uvod v predmet IPIT Modeliranje z UML
Načrtovanje IS po RUP Geografski informacijski sistemi E-poslovanje Varnost informacijskih sistemov
3
Varnost informacijskih sistemov
Varovanje informacij Računalniška varnost Upravljanje s tveganji Varnostne politike
4
Varovanje informacij I
Obsega varovanje informacij v vseh oblikah ni omejeno le na računalniške sisteme ali informacije v elektronski obliki pogosto se enači z varnostjo računalniških sistemov, v katerih je informacija shranjena v elektronski obliki Varovanje informacijskih sistemov pred nepooblaščenim: dostopanjem do informacij spreminjanjem informacij
5
Varovanje informacij II
V vseh fazah življenjskega cikla informacije: generiranje shranjevanje obdelovanje prenašanje uničenje Varovanje storitev informacijskih sistemov: preprečevanje uporabe storitev neavtoriziranim uporabnikom preprečevanje onemogočanja uporabe storitev avtoriziranim uporabnikom
6
Varovanje informacij III
Informacije predstavljajo premoženje številne organizacije in združenja priporočila, standardi, zakoni Sistem varovanja informacij ni nikoli idealen: vseh tveganj ne moremo nikoli izničiti kompleksnost sistema varovanja informacij v ravnovesju s potencialno škodo varovanje informacij - obvladovanje tveganj CIA trojček: “Confidentiality” – Zaupnost “Integrity” – Neoporečnost, Celovitost, Integriteta “Availability” – Razpoložljivost
7
Računalniška varnost I
Med seboj povezani računalniki so pomemben sestavni del informacijskih sistemov Cilj: ustvariti nadzorovano okolje, v katerem se lahko izvajajo samo dovoljene aktivnosti Upravljanje tveganj pri uporabi računalniških sistemov Uvajanje in vzdrževanje mehanizmov za nadzorovanje dostopa do podatkov, spreminjanja podatkov, brisanja, uničevanja podatkov Priprava in uvajanje varnostnih politik
8
Računalniška varnost II
CIA trojček: Zaupnost preprečevanje razkritja Neoporečnost podatki sistem Razpoložljivost odzivnost in dostopnost
9
Računalniška varnost III
Pomeni podporo poslanstvu organizacije Zahteva celovit pristop Vključuje tudi sociološke faktorje Ima jasno določene odgovornosti Je integralni del dobrega vodenja Spodbuja periodično ocenjevanje Je stroškovno učinkovita
10
Računalniška varnost IV
Računalniška varnost je odgovornost vsakega, ki lahko nanjo vpliva Različne specifične vloge (dolžnosti) Tipični posamezniki in skupine višje vodstvo programski vodje in lastniki aplikacij služba za informacijsko varnost skrbniki tehnologije podporne dejavnosti uporabniki
11
Računalniška varnost V
Višje vodstvo nosi glavno odgovornost za uspeh organizacije vzpostavlja program varovanja informacij cilje prioritete nosi odgovornost za zagotavljanje potrebnih sredstev daje zgled ostalim
12
Računalniška varnost – grožnje I
Napake in malomarnost Goljufije in kraje Sabotaže Izpad infrastrukture Vdori “hekerjev” Industrijsko vohunstvo Zlonamerni programi Grožnje zasebnosti
13
Računalniška varnost – grožnje II
Notranji in zunanji sovražnik Notranji je hujši dostopnost do opreme poznavanje opreme uporabniki in sistemski vzdrževalci Bivši zaposleni kot zunanji sovražnik Infrastruktura: električno napajanje klima komunikacijski vodi javni transport
14
Računalniška varnost – grožnje III
Industrijsko vohunstvo konkurenčna podjetja konkurenčne države - ekonomsko vohunstvo lahko zaščitimo sisteme, težje je z ljudmi 2/3 kraj podatkov s strani notranjih zaposlenih finančni in tržni podatki proizvodni procesi razvoj produktov
15
“Top Security Trends for 2006” I
Vir: More damages, but fewer epidemics. Organizations cannot rely on the press and mass outbreaks to alert them of epidemics and problems anymore. The assumption that no news is good news will lead to a false sense of security. Infection rates are likely to increase. Accelerated legislation, some litigation. We'll see an increased focus on and awareness of compliance. There will be greater pressure to comply and increased scrutiny. Security becomes more of a consideration in offshoring, collaboration and outsourcing agreements. Compliance and a focus on business processes will drive alignment between business, IT and security operations.
16
“Top Security Trends for 2006” II
Points of attack move beyond Microsoft's Operating System. More applications within an organization's environment will be targeted, resulting in greater workloads to patch vulnerabilities. Mobile phone and PDA/ Smartphone virus concerns. Uncontrolled deployment of PDAs and smartphones will yield a security headache later. Issues surrounding mobility need to be tackled head on.
17
“Top Security Trends for 2006” III
Spyware a major issue. Spyware infections will increase on corporate desktops, sapping bandwidth and affecting productivity and driving up help desk calls. Organizations will need to invest in additional technology to combat this problem.
18
“Top Security Trends for 2006” IV
IM and P2P will become a bigger headache. Massive and continued adoption of IM and P2P will expose organizations to new threat vectors. Organizations need to secure and control these disruptive technologies. Messaging security will get serious. Demand for security products has shifted from a spam-based purchase one to two years ago, to a broader feature buy. Corporate enterprises are now exploring broader policy compliance and encryption capabilities in addition to effectiveness in dealing with virus-laden s and spam, which continues to hover in the 60 percent to 80 percent range for most corporations.
19
“Top Security Trends for 2006” V
Data protection energized as publicized data breaches in the United States intensify. Data security joins information security as an area of concern as privacy practices become linked to corporate brand image and consumer movement pressures. Convergence will accelerate; security becomes embedded in the infrastructure. Network, systems and security management will all converge as one competence. Customers increasingly need to look to one vendor to supply, support, manage and secure the end-to end infrastructure as security goes from vertical to horizontal and convergence takes hold.
20
Ranljivosti in grožnje I
Slabosti ali odprtosti sistemov Neustrezni preventivni ukrepi Neustrezna zasnova sistema (hrošči - “bugs”) Problematika razkrivanja ranljivosti Teoretične ranljivosti ni popolnoma neranljivega sistema vsak sistem je teoretično ranljiv Izkoriščene ranljivosti ranljivosti, ki so bile razkrite, so bile izkoriščene za napad
21
Ranljivosti in grožnje II
Razkrivanje ranljivosti varnostni incident, napad podrobne analize, odkrivanja ranljivosti Odločitveni problem takojšnje javno razkritje ranljivosti, ki lahko sproži plaz napadov nadzorovano razkritje, ki omogoči izdelavo in namestitev popravkov in vsaj delno zaščito uporabnikov
22
Ranljivosti in grožnje III
Problematika prikrivanja ranljivosti Temelji na domnevah, da: ranljivosti niso znane napadalci ne bodo odkrili ranljivosti Običajno dobra strategija: Razkrivanje ranljivosti v najkrajšem možnem času, ki omogoča pripravo in namestitev popravkov
23
Ranljivosti in grožnje IV
ISO Guide 73: 2002 Risk management - Vocabulary - Guidelines for use in standards Standardni osnovni izrazi s področja upravljanja s tveganj Koncepti pristopa k upravljanju s tveganji Uporaba na vseh področjih, kjer se srečujemo s tveganji Ponuja splošen in urejen pristop V konkretnih okoljih ga uporabimo kot okvir ali smernice
24
Upravljanje s tveganji I
Tveganje je kombinacija verjetnosti, da se zgodi dogodek, ki povzroči negativne posledice Tveganje mora biti razpoznano ocenjeno rangirano
25
Upravljanje s tveganji II
Ocenjeno tveganje mora biti sprejeto ali obvladovano objavljeno (razkrito) preverjeno (pregledano) Ocena tveganj analiza tveganj identifikacija izvora tveganja ovrednotenje tveganja ocena posledic
26
Upravljanje s tveganji III
Obvladovanje tveganj izogibanje okoliščinam, ki privedejo do tveganja optimizacija postopkov, pri katerih prihaja do tveganj prenos (zavarovanje) sprejemanje
27
Upravljanje s tveganji IV
Sprejemljivo tveganje najmanjše tveganje, ki ga organizacija sprejema Ukrepi in varovala nadzorstva, procesi, postopki, varnostni sistemi za blažitev potencialnega tveganja Izpostavljenost stanje, ko je neko sredstvo ranljivo na grožnjo Faktor izpostavljenosti vrednost, ki jo dobimo z določitvijo odstotka izgube pri izbranem viru zaradi določene grožnje
28
Upravljanje s tveganji V
Ostanek tveganja tveganje, ki ostane po implementaciji ustreznih nadzorstev in ukrepov Upravljanje s tveganji postopek zmanjševanja tveganj na osnovi ugotavljanja in zmanjševanja groženj z uporabo nadzorstev in ukrepov Analiza tveganj postopek razpoznavanja resnosti potencialnih tveganj in ranljivosti in določanje njihovih prioritet
29
Proces upravljanja s tveganji
30
Skrivnost upravljanja s tveganji
Sposobnost razpoznati in objektivno ovrednotiti tveganje ter ga zmanjšati na sprejemljivo raven
31
Varnostne politike I Politika varovanja informacij
direktiva višjega vodstva za vzpostavitev sistema varovanja informacij specifična varnostna pravila za določen sistem specifične odločitve vodstva Dokumentirane odločitve v zvezi z varovanjem informacij zajemajo vse vrste prej omenjenih politik
32
Varnostne politike II Trije osnovni tipi
programska politika politike v zvezi s posameznimi zadevami sistemske politike Postopki, standardi in smernice se uporabljajo pri implementaciji politik bolj jasni in podrobni kot politike razširjanje po organizaciji v obliki priročnikov, uredb, učbenikov
33
Varnostne politike III
Učinkovite politike pripomorejo v boljšemu varovanju informacijskih sistemov in informacij Vodja organizacije ali član višjega vodstva izda politiko programa varovanja informacij določa namen in področje veljavnosti določa odgovornosti obravnava probleme skladnosti postavlja strateško usmeritev v zvezi z varovanjem informacij opredeljuje vire za implementacijo
34
Varnostne politike IV Osnovne komponente programske politike namen
področje veljavnosti odgovornosti skladnost – obnašanje, ukrepi ob kršitvah
35
Varnostne politike V Vidnost Nedvoumna podpora vodstva Konsistentnost
predstavitve s strani vodstva okrogle mize Q&A forumi publikacije izobraževanje Nedvoumna podpora vodstva Konsistentnost z obstoječimi politikami z zakoni s poslanstvom
36
e-Policy Institute DO’s (I)
Uvedite izčrpne pisne e-Politike Izobražujte zaposlene o piratski programski opremi Seznanjajte zaposlene z dejstvom, da so Internetne storitve namenjene izključno poslovnim potrebam Dopuščajte občasno rabo Internet storitev za osebne potrebe
37
e-Policy Institute DO’s (II)
Ne pozabite na diskriminacijo in spolno nadlegovanje Politike preglejte skupaj z zaposlenimi Politike vključite v priročnike za zaposlene Obravnavajte lastništvo in zasebnost Določite pravila uporabe besedišča Spodbujajte “netiquette”
38
e-Policy Institute DO’s (III)
Uvedite politiko upravljanja tveganj Uvedite politiko računalniške varnosti Namestite programsko opremo za nadzor in filtriranje elektronske pošte Zavarujte se pred e-tveganji Pripravite politiko obvladovanja incidentov
39
e-Policy Institute DONT’s
Ne zanašajte se na elektronsko distribucijo politik Ne pričakujte, da se bodo zaposleni sami izobraževali Ne pripravljajte ločenih politik za vodstvo Ne pozabite na tuje podružnice Ne nalagajte nadzora upoštevanja politik eni sami osebi Ne dopuščajte nekaznovanega kršenja politik
40
Zaključek Varnost v informacijskih sistemih pridobiva na pomenu
Zakonski okviri, varnostne politike Obvladovanje varnostnih tveganj
Similar presentations
© 2025 SlidePlayer.com. Inc.
All rights reserved.