1 / 15

O POTREBI INTEGRALNOG PROGRAMA Z A Z A Š TITU INFORMACIJA

O POTREBI INTEGRALNOG PROGRAMA Z A Z A Š TITU INFORMACIJA. Prof.dr Milan Milosavljević Elektrotehnički fakultet i Rukovodilac radne grupe ministra odbrane SCG za za š titu informacija. LANAC BEZBEDNOSTI. Karike u lancu (Netehnolo ški orjentisane ) Fizička bezbednost

kieve
Télécharger la présentation

O POTREBI INTEGRALNOG PROGRAMA Z A Z A Š TITU INFORMACIJA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. O POTREBI INTEGRALNOG PROGRAMA ZA ZAŠTITU INFORMACIJA Prof.dr Milan Milosavljević Elektrotehnički fakultet i Rukovodilac radne grupe ministra odbrane SCG za zaštitu informacija

  2. LANAC BEZBEDNOSTI • Karike u lancu • (Netehnološki orjentisane) • Fizička bezbednost • Personalna bezbednost • Proceduralna bezbednost • Upravljanje rizikom • Politika bezbednosti • Planiranje bezbednosti • Planiranje vanrednih dogadjaja • Karike u lancu • (Tehnološki orjentisane) • Mehanizmi kontrole pristupa • Mehanizmi identifikacije i autentifikacije • Mehanizmi evaluacije • Mehanizmi šifrovanja • Firewalls • Smart kartice • Biometrika Protivnik napada najslabiju kariku

  3. Dijagram dokazive bezbednosti t = Kompleksnost najefikasnijeg rešenja teških problema t* = Dokaziva donja granica algoritma zaštite u funkciji odt Kompleksnost t težak problem HaHard problem rd problem Cilj napadača Granica napadača t* Cilj projektanta Encryption scheme algoritam zaštite Veličina parametra

  4. ONTOLOGIJA DOMENA ZAŠTITE • Tehnološko socijalni sistem • Poverenje u sistem bezbednosti zahteva kvantitativnu metodologiju • Dokazivi novoi sigurnosti imaju ontološku težinu prirodnih zakona • Socijalno ekonomska i bezbednosna dimenzija zahtevaju pravno organizaciona rešenje najvišeg prioriteta i državne brige (sistemi visokog stepena osetljivosti i rizika)

  5. Osnovni ciljevi programa • Legalizacija i pravno uredjenje svih elemenata ZI. • Standardizacija svih vitalnih elemenata sistema ZI. • standardizacija procedure evaluacije i testiranja elemenata sistema ZI. • standardizacija profila zaštite u svim ključnim scenarijima rada sistema ZI. • standardizacija kriptoloških podsistema (simetričnih i asimetričnih algoritama, protokola, sistema za distribuciju ključeva, sistema za identifikaciju, autentifikaciju, digitalni potpis, haš funkcija i td.).

  6. Osnovni ciljevi programa • Promocija, razvoj i korišćenje ZI sistema dokazanog nivoa poverenja. • Pomoć u izgradnji elemenata robusne komercijalne industrije za testiranje i evaluaciju ZI i rezultata relevantnih za sintezu ZI. • Promocija nezavisnih sertifikovanih nevladinih laboratorija za testiranje, evaluaciju i sertifikovanje ZI sistema. • Promocija edukacije iz domena ZI. • Usaglašavanje nacionalnih standarda i rešenja iz domena ZI sa medjunarodnim standardima

  7. System-level Protection Profiles Protection Profiles Laboratory Environment Operational Environment Accreditation Authority Real World Threats and Vulnerabilities General IT Products Validated Products CC Evaluations NIAP CCEVS Accredited Testing Laboratories Specific IT System Products Profiles Technical Security Generic Systems Products NIST CMVP FIPS 140-2 Testing • Risk Management • Security Policies • System Security Plan • Personnel Security • Procedural Security • Physical Security Evidence Cryptographic Modules • Security Targets • Evaluation Reports • Validation Reports • Standards • Guidelines • Certification • Accreditation PRIMER SVEOBUHVATNOG PRISTUPA NIST-NSA

  8. Comprehensive Security Program Standardized Guidelines for Certification and Accreditation Network of Accredited Assessment Organizations Non-Technical Issues • Physical Security • Personnel Security • Procedural Security • Administrative Security Technical Issues • Access Control • Identification • Authentication • Auditing NIST Special Publications Assessment Organizations A flexible, tailorable, and robust security certification process for federal agencies Competent providers of security assessment services

  9. Public and private sector, accredited assessment organizations conduct security certifications Certification Report System Documentation and Certification Evidence Assessment Organizations Program managers or system owners provide system documentation to independent, impartial certification agents Certification results submitted to agency officials for final decisions on authorizations to operate the systems Assessing System Security

  10. Risk Assessment Security Plan NIST Special Publication 800-53 NIST Special Publication 800-53A NIST Special Publication 800-37 Defines standardized IT system security controls for confidentiality, integrity, and availability Defines the standardized security certification and accreditation process for IT systems • Updated Security Plan • Security Test & Evaluation Reports • Final Risk Assessment Report Defines standardized techniques and procedures to verify correctness and effectiveness of security controls Security Accreditation Model

  11. OČEKIVANI EFEKTI • Utemeljivanje osnovnih normativnih rešenja, kao neophodnog zakonskog okvira za integralni program ZI. • Razvoj svih neophodnih elemenata i mehanizama za sveobuhvatnu i efikasnu kontrolu celokupne oblasti ZI, kao jednog od važnih elemenata ekonomske i nacionalne bezbednosti. • Efikasan transfer tehnologije ZI iz profesionalnog državnog sistema u komercijalna rešenja, sa značajnim ekonomskim efektima koji mogu biti realan izvor finansiranja istraživačkih i razvojnih aktivnosti.

  12. OČEKIVANI EFEKTI • Razvoj neophodne infrastrukture u domenu edukacije kadra za potrebe sprovodjenja integralnog programa ZI. • Obnova naučnoistraživačkog kadra iz domena ZI i obezbedjivanje neophodnih normativnih i materijalnih preduslova za odgovarajuću stabilnu dugoročnu kadrovsku politiku u ovom domenu. • Zaustavljanje višegodišnjeg negativnog trenda u odlivu vrhunskog naučno istraživačkog kadra, čime bi se ponovno uspostavio tehnološki lanac istraživanje-razvoj-proizvodnja sistema ZI osloncem na sopstvene snage. • Stvaranje preduslova za ravnopravno učešće u integracionim procesima u oblasti regionalne bezbednosti

More Related