Presentation is loading. Please wait.

Presentation is loading. Please wait.

Izbrana Poglavja iz Informacijskih Tehnologij (IPIT)

Similar presentations


Presentation on theme: "Izbrana Poglavja iz Informacijskih Tehnologij (IPIT)"— Presentation transcript:

1 Izbrana Poglavja iz Informacijskih Tehnologij (IPIT)
prof. dr. Bojan Cestnik Temida d.o.o. & Jozef Stefan Institute Ljubljana

2 Vsebina Uvod v predmet IPIT  Modeliranje z UML 
Načrtovanje IS po RUP  Geografski informacijski sistemi  E-poslovanje  Varnost informacijskih sistemov

3 Varnost informacijskih sistemov
Varovanje informacij Računalniška varnost Upravljanje s tveganji Varnostne politike

4 Varovanje informacij I
Obsega varovanje informacij v vseh oblikah ni omejeno le na računalniške sisteme ali informacije v elektronski obliki pogosto se enači z varnostjo računalniških sistemov, v katerih je informacija shranjena v elektronski obliki Varovanje informacijskih sistemov pred nepooblaščenim: dostopanjem do informacij spreminjanjem informacij

5 Varovanje informacij II
V vseh fazah življenjskega cikla informacije: generiranje shranjevanje obdelovanje prenašanje uničenje Varovanje storitev informacijskih sistemov: preprečevanje uporabe storitev neavtoriziranim uporabnikom preprečevanje onemogočanja uporabe storitev avtoriziranim uporabnikom

6 Varovanje informacij III
Informacije predstavljajo premoženje številne organizacije in združenja priporočila, standardi, zakoni Sistem varovanja informacij ni nikoli idealen: vseh tveganj ne moremo nikoli izničiti kompleksnost sistema varovanja informacij v ravnovesju s potencialno škodo varovanje informacij - obvladovanje tveganj CIA trojček: “Confidentiality” – Zaupnost “Integrity” – Neoporečnost, Celovitost, Integriteta “Availability” – Razpoložljivost

7 Računalniška varnost I
Med seboj povezani računalniki so pomemben sestavni del informacijskih sistemov Cilj: ustvariti nadzorovano okolje, v katerem se lahko izvajajo samo dovoljene aktivnosti Upravljanje tveganj pri uporabi računalniških sistemov Uvajanje in vzdrževanje mehanizmov za nadzorovanje dostopa do podatkov, spreminjanja podatkov, brisanja, uničevanja podatkov Priprava in uvajanje varnostnih politik

8 Računalniška varnost II
CIA trojček: Zaupnost preprečevanje razkritja Neoporečnost podatki sistem Razpoložljivost odzivnost in dostopnost

9 Računalniška varnost III
Pomeni podporo poslanstvu organizacije Zahteva celovit pristop Vključuje tudi sociološke faktorje Ima jasno določene odgovornosti Je integralni del dobrega vodenja Spodbuja periodično ocenjevanje Je stroškovno učinkovita

10 Računalniška varnost IV
Računalniška varnost je odgovornost vsakega, ki lahko nanjo vpliva Različne specifične vloge (dolžnosti) Tipični posamezniki in skupine višje vodstvo programski vodje in lastniki aplikacij služba za informacijsko varnost skrbniki tehnologije podporne dejavnosti uporabniki

11 Računalniška varnost V
Višje vodstvo nosi glavno odgovornost za uspeh organizacije vzpostavlja program varovanja informacij cilje prioritete nosi odgovornost za zagotavljanje potrebnih sredstev daje zgled ostalim

12 Računalniška varnost – grožnje I
Napake in malomarnost Goljufije in kraje Sabotaže Izpad infrastrukture Vdori “hekerjev” Industrijsko vohunstvo Zlonamerni programi Grožnje zasebnosti

13 Računalniška varnost – grožnje II
Notranji in zunanji sovražnik Notranji je hujši dostopnost do opreme poznavanje opreme uporabniki in sistemski vzdrževalci Bivši zaposleni kot zunanji sovražnik Infrastruktura: električno napajanje klima komunikacijski vodi javni transport

14 Računalniška varnost – grožnje III
Industrijsko vohunstvo konkurenčna podjetja konkurenčne države - ekonomsko vohunstvo lahko zaščitimo sisteme, težje je z ljudmi 2/3 kraj podatkov s strani notranjih zaposlenih finančni in tržni podatki proizvodni procesi razvoj produktov

15 “Top Security Trends for 2006” I
Vir: More damages, but fewer epidemics. Organizations cannot rely on the press and mass outbreaks to alert them of epidemics and problems anymore. The assumption that no news is good news will lead to a false sense of security. Infection rates are likely to increase. Accelerated legislation, some litigation. We'll see an increased focus on and awareness of compliance. There will be greater pressure to comply and increased scrutiny. Security becomes more of a consideration in offshoring, collaboration and outsourcing agreements. Compliance and a focus on business processes will drive alignment between business, IT and security operations.

16 “Top Security Trends for 2006” II
Points of attack move beyond Microsoft's Operating System. More applications within an organization's environment will be targeted, resulting in greater workloads to patch vulnerabilities. Mobile phone and PDA/ Smartphone virus concerns. Uncontrolled deployment of PDAs and smartphones will yield a security headache later. Issues surrounding mobility need to be tackled head on.

17 “Top Security Trends for 2006” III
Spyware a major issue. Spyware infections will increase on corporate desktops, sapping bandwidth and affecting productivity and driving up help desk calls. Organizations will need to invest in additional technology to combat this problem.

18 “Top Security Trends for 2006” IV
IM and P2P will become a bigger headache. Massive and continued adoption of IM and P2P will expose organizations to new threat vectors. Organizations need to secure and control these disruptive technologies. Messaging security will get serious. Demand for security products has shifted from a spam-based purchase one to two years ago, to a broader feature buy. Corporate enterprises are now exploring broader policy compliance and encryption capabilities in addition to effectiveness in dealing with virus-laden s and spam, which continues to hover in the 60 percent to 80 percent range for most corporations.

19 “Top Security Trends for 2006” V
Data protection energized as publicized data breaches in the United States intensify. Data security joins information security as an area of concern as privacy practices become linked to corporate brand image and consumer movement pressures. Convergence will accelerate; security becomes embedded in the infrastructure. Network, systems and security management will all converge as one competence. Customers increasingly need to look to one vendor to supply, support, manage and secure the end-to end infrastructure as security goes from vertical to horizontal and convergence takes hold.

20 Ranljivosti in grožnje I
Slabosti ali odprtosti sistemov Neustrezni preventivni ukrepi Neustrezna zasnova sistema (hrošči - “bugs”) Problematika razkrivanja ranljivosti Teoretične ranljivosti ni popolnoma neranljivega sistema vsak sistem je teoretično ranljiv Izkoriščene ranljivosti ranljivosti, ki so bile razkrite, so bile izkoriščene za napad

21 Ranljivosti in grožnje II
Razkrivanje ranljivosti varnostni incident, napad podrobne analize, odkrivanja ranljivosti Odločitveni problem takojšnje javno razkritje ranljivosti, ki lahko sproži plaz napadov nadzorovano razkritje, ki omogoči izdelavo in namestitev popravkov in vsaj delno zaščito uporabnikov

22 Ranljivosti in grožnje III
Problematika prikrivanja ranljivosti Temelji na domnevah, da: ranljivosti niso znane napadalci ne bodo odkrili ranljivosti Običajno dobra strategija: Razkrivanje ranljivosti v najkrajšem možnem času, ki omogoča pripravo in namestitev popravkov

23 Ranljivosti in grožnje IV
ISO Guide 73: 2002 Risk management - Vocabulary - Guidelines for use in standards Standardni osnovni izrazi s področja upravljanja s tveganj Koncepti pristopa k upravljanju s tveganji Uporaba na vseh področjih, kjer se srečujemo s tveganji Ponuja splošen in urejen pristop V konkretnih okoljih ga uporabimo kot okvir ali smernice

24 Upravljanje s tveganji I
Tveganje je kombinacija verjetnosti, da se zgodi dogodek, ki povzroči negativne posledice Tveganje mora biti razpoznano ocenjeno rangirano

25 Upravljanje s tveganji II
Ocenjeno tveganje mora biti sprejeto ali obvladovano objavljeno (razkrito) preverjeno (pregledano) Ocena tveganj analiza tveganj identifikacija izvora tveganja ovrednotenje tveganja ocena posledic

26 Upravljanje s tveganji III
Obvladovanje tveganj izogibanje okoliščinam, ki privedejo do tveganja optimizacija postopkov, pri katerih prihaja do tveganj prenos (zavarovanje) sprejemanje

27 Upravljanje s tveganji IV
Sprejemljivo tveganje najmanjše tveganje, ki ga organizacija sprejema Ukrepi in varovala nadzorstva, procesi, postopki, varnostni sistemi za blažitev potencialnega tveganja Izpostavljenost stanje, ko je neko sredstvo ranljivo na grožnjo Faktor izpostavljenosti vrednost, ki jo dobimo z določitvijo odstotka izgube pri izbranem viru zaradi določene grožnje

28 Upravljanje s tveganji V
Ostanek tveganja tveganje, ki ostane po implementaciji ustreznih nadzorstev in ukrepov Upravljanje s tveganji postopek zmanjševanja tveganj na osnovi ugotavljanja in zmanjševanja groženj z uporabo nadzorstev in ukrepov Analiza tveganj postopek razpoznavanja resnosti potencialnih tveganj in ranljivosti in določanje njihovih prioritet

29 Proces upravljanja s tveganji

30 Skrivnost upravljanja s tveganji
Sposobnost razpoznati in objektivno ovrednotiti tveganje ter ga zmanjšati na sprejemljivo raven

31 Varnostne politike I Politika varovanja informacij
direktiva višjega vodstva za vzpostavitev sistema varovanja informacij specifična varnostna pravila za določen sistem specifične odločitve vodstva Dokumentirane odločitve v zvezi z varovanjem informacij zajemajo vse vrste prej omenjenih politik

32 Varnostne politike II Trije osnovni tipi
programska politika politike v zvezi s posameznimi zadevami sistemske politike Postopki, standardi in smernice se uporabljajo pri implementaciji politik bolj jasni in podrobni kot politike razširjanje po organizaciji v obliki priročnikov, uredb, učbenikov

33 Varnostne politike III
Učinkovite politike pripomorejo v boljšemu varovanju informacijskih sistemov in informacij Vodja organizacije ali član višjega vodstva izda politiko programa varovanja informacij določa namen in področje veljavnosti določa odgovornosti obravnava probleme skladnosti postavlja strateško usmeritev v zvezi z varovanjem informacij opredeljuje vire za implementacijo

34 Varnostne politike IV Osnovne komponente programske politike namen
področje veljavnosti odgovornosti skladnost – obnašanje, ukrepi ob kršitvah

35 Varnostne politike V Vidnost Nedvoumna podpora vodstva Konsistentnost
predstavitve s strani vodstva okrogle mize Q&A forumi publikacije izobraževanje Nedvoumna podpora vodstva Konsistentnost z obstoječimi politikami z zakoni s poslanstvom

36 e-Policy Institute DO’s (I)
Uvedite izčrpne pisne e-Politike Izobražujte zaposlene o piratski programski opremi Seznanjajte zaposlene z dejstvom, da so Internetne storitve namenjene izključno poslovnim potrebam Dopuščajte občasno rabo Internet storitev za osebne potrebe

37 e-Policy Institute DO’s (II)
Ne pozabite na diskriminacijo in spolno nadlegovanje Politike preglejte skupaj z zaposlenimi Politike vključite v priročnike za zaposlene Obravnavajte lastništvo in zasebnost Določite pravila uporabe besedišča Spodbujajte “netiquette”

38 e-Policy Institute DO’s (III)
Uvedite politiko upravljanja tveganj Uvedite politiko računalniške varnosti Namestite programsko opremo za nadzor in filtriranje elektronske pošte Zavarujte se pred e-tveganji Pripravite politiko obvladovanja incidentov

39 e-Policy Institute DONT’s
Ne zanašajte se na elektronsko distribucijo politik Ne pričakujte, da se bodo zaposleni sami izobraževali Ne pripravljajte ločenih politik za vodstvo Ne pozabite na tuje podružnice Ne nalagajte nadzora upoštevanja politik eni sami osebi Ne dopuščajte nekaznovanega kršenja politik

40 Zaključek Varnost v informacijskih sistemih pridobiva na pomenu
Zakonski okviri, varnostne politike Obvladovanje varnostnih tveganj


Download ppt "Izbrana Poglavja iz Informacijskih Tehnologij (IPIT)"

Similar presentations


Ads by Google