1 / 20

Sigurnost informacionih sistema

Sigurnost informacionih sistema. v.as.mr. Samir Lemeš slemes@mf.unze.ba Univerzitet u Zenici - 2007. Sigurnost informacionih sistema. Šta je sigurnost informacija? BAS/ISO 17799 Linux vs. Microsoft. Federalno ministarstvo prometa i komunikacija (mart 2007). Šta je sigurnost informacija?.

honorato-andrews
Télécharger la présentation

Sigurnost informacionih sistema

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sigurnost informacionih sistema v.as.mr. Samir Lemeš slemes@mf.unze.baUniverzitet u Zenici - 2007

  2. Sigurnost informacionih sistema • Šta je sigurnost informacija? • BAS/ISO 17799 • Linux vs. Microsoft

  3. Federalno ministarstvo prometa i komunikacija (mart 2007)

  4. Šta je sigurnost informacija? • Sigurnost informacija je usmjerena na očuvanje: • povjerljivosti: osiguranje da su informacije dostupne samo onima kojima je dopušten pristup; • integriteta: očuvanje tačnosti i kompletnosti informacija i metoda za obradu; • dostupnosti: osiguranje da ovlašteni korisnici imaju pristup informacijama i imovini koja je u vezi s njima, onda kada se to zahtijeva.

  5. BAS/ISO 17799 • Ovaj standard daje preporuke za upravljanje sigurnošću informacija • Sigurnosne prijetnje: • obmane pomoću računara, • špijunaža, • sabotaže, • vandalizam, • požari ili poplave, • računarski virusi, • računarski haking, • napadi odbijanjem usluga (denial of service)

  6. BAS/ISO 17799 • Načela sigurnosti • Organizacijska sigurnost • Klasificiranje i kontrola imovine • Sigurnost osoblja • Fizička i okolinska sigurnost • Upravljanje komunikacijama i radom • Kontrola pristupa • Razvoj i održavanje sistema • Upravljanje kontinuitetom poslovanja • Usaglašenost

  7. BAS/ISO 17799 • Sigurnosni zahtjevi se uspostavljaju iz: • Procjene rizika, čimese identifikuju prijetnje imovini, vrednuju se ranjivost i vjerovatnoća pojavljivanja, te se procjenjuju potencijalne posljedice. • Pravnih, statutarnih, regulatornih i ugovornih zahtjeva koje organizacija, zajedno sa trgovačkim partnerima, ugovaračima i davaocima usluga, mora da zadovolji. • Seta principa, ciljeva i zahtjeva za obradu informacija koji je organizacija razvila kao podršku vlastitom djelovanju.

  8. BAS/ISO 17799 • Nakon što se prepoznaju sigurnosni zahtjevi, potrebno je izabrati i implementirati kontrole kako bi se rizici smanjili do prihvatljivog nivoa: • dokument o načelima sigurnosti informacija • alociranje odgovornosti za sigurnost informacija • obrazovanje i osposobljavanje za sigurnost informacija • prijavljivanje sigurnosnih incidenata • upravljanje kontinuitetom poslovanja

  9. BAS/ISO 17799 • Primjer: Prenos odgovornosti za upravljanje i kontrolu informacionih sistema na drugu organizaciju reguliše se ugovorom koji obuhvata: • kako se trebaju poštivati zakonska ograničenja • kako osigurati odgovornosti svih učesnika za sigurnost • kako održavati i testirati integritet i povjerljivost poslovne imovine organizacije • kako ograničiti pristup ovlaštenih korisnika osjetljivim poslovnim informacijama organizacije • kako održavati dostupnost usluga u slučaju nezgode • nivoe fizičkog obezbjeđenja • pravo kontrole

  10. BAS/ISO 17799 • Primjeri imovine koja je vezana za informacione sisteme: • informacijska imovina: baze podataka i datoteke, sistemska dokumentacija, uputstva, materijal za obuku, procedure, planovi, ugovori • softverska imovina: aplikativni softver, sistemski softver, razvojni alati i pomoćni alati • fizička imovina: računarska oprema, komunikacijska oprema, magnetni mediji, druga tehnička oprema (uređaji za napajanje, klima-uređaji), namještaj, smještaj • usluge: usluge računanja i komunikacija, opće usluge, npr. zagrijavanje, osvjetljenje, napajanje energijom, klimatizacija

  11. BAS/ISO 17799 • Primjer: Procedure za prijavljivanje softverskih kvarova: • zabilježiti simptome i sve poruke koje se pojave na ekranu • računar treba izolirati, ako je to moguće i treba prestati sa korištenjem. Odmah treba upozoriti odgovarajući kontakt. Ako opremu treba pregledati, treba je isključiti iz mreže organizacije prije nego što se ponovo uključi. Diskete ne treba prenositi na druge računare • pojavu treba odmah prijaviti menadžeru za sigurnost informacija

  12. BAS/ISO 17799 • Primjer: Procedure za upravljanje prenosivim računarskim medijima (trake, diskovi, štampani izvještaji): • ako više nije potreban, prethodni sadržaj svakog ponovno iskoristivog medija, koji će napustiti organizaciju, treba izbrisati; • zahtijevati ovlaštenje za sve medije, koji napuštaju organizaciju, i treba voditi evidenciju napuštanja da bi se održao kontrolni trag • sve medije čuvati u osiguranom i bezbjednom okruženju, u skladu sa specifikacijama proizvođača

  13. BAS/ISO 17799 • Primjer: Rezervne kopije informacija • Treba držati barem tri generacije ili ciklusa rezervnih kopija važnih poslovnih informacija, sa pouzdanim i kompletnim zapisima o rezervnim kopijama i dokumentovane procedure vraćanja • Rezervne kopije informacija trebale bi imati odgovarajući nivo fizičke zaštite i zaštite od atmosferskih utjecaja • Medije na kojima se čuvaju rezervne kopije trebalo bi redovno testirati • Procedure vraćanja bi trebalo redovno provjeravati i testirati

  14. BAS/ISO 17799 • Međunarodni standard "Pravila dobre prakse za sigurnost računarskih sistema" – 2005. godine preveden na bosanski jezik • Vrlo sličan standardu ISO 9001 za osiguranje kvaliteta • Postoji certifikacija usklađenosti IS sa ovim standardom • Nije obavezujući, ali njegova primjena unapređuje sigurnost poslovanja

  15. Linux vs. Microsoft • Dva generalna pristupa: • Open source (Linux) je sigurniji jer se rigoroznije preispituje. • Proprietary software (Microsoft) je sigurniji jer je pristup izvornom kodu ograničen. • Osnovna prednost Linux-a nije cijena, nego dostupnost izvornog koda; drugo pitanje je "Ko tu pogodnost koristi?"

  16. Linux vs. Microsoft • Sigurnosni propusti u Linux-u se brže otkrivaju • Sigurnosne zakrpe mogu postojati i duže vrijeme, ali su korisnici ti koji ih ne koriste, čime umanjuju sigurnost svojih sistema • Forrester Market Overview

  17. Linux vs. Microsoft • Laura Koetzle: "Is Linux more secure than Windows?", 19.3.2004 • Izvještaj favorizira Windows, što je izazvalo burnu reakciju Linuxdistributera:Joint Statement about GNU/Linux Security, Debian, Mandrake, Red Hat, SUSE, 7.4.2004

  18. Linux vs. Microsoft • Nema 100% sigurnog sistema, postoje samo manje i više sigurni sistemi • Redovni download zakrpi povećava sigurnost • Pravilnim podešavanjem konfiguracijskih datoteka se može izbjeći veliki broj sigurnosnih rizika

  19. Pitanja za provjeru znanja • Čemu služi standard BAS/ISO 17799? • Da li je ovaj standard obavezujući za sve korisnike? • Šta je to "sigurnost informacija"? • Nabrojati barem 5 sigurnosnih prijetnji po informacione sisteme. • Koja imovina je direktno vezana za informacioni sistem, sa aspekta računarske sigurnosti?

  20. Pitanja za provjeru znanja • Koje su razlike između "open source" i komercijalnog operativnog sistema? • Zašto se sigurnosni propusti brže otkrivaju u operativnom sistemu Linux? • Zašto treba praviti rezervne kopije informacija? • Šta su "sigurnosne zakrpe"? • Da li korištenje piratskog softvera ugrožava sigurnost informacionog sistema?

More Related