uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u rh

Uloga industrijskog sektora u informacijskoj sigurnosti– nova legislativa u RH

Mr. sc. Aleksandar Klaić, dipl. ing. el.Ured Vijeća za nacionalnu sigurnost (UVNS)

Sponzori

Definicija

Informacijska sigurnost podrazumijeva očuvanje: Povjerljivosti: osiguravanje dostupnosti

informacija samo za ovlaštene korisnike; Cjelovitosti: očuvanje točnosti i potpunosti

informacija i metoda obrade; Raspoloživosti: osiguravanje da ovlašteni

korisnici imaju, kada im je to potrebno, pristup informacijama i s njima povezanim sadržajima.

Kontekst

Informacijska sigurnost: predstavlja integralni dio sustava nacionalne

sigurnosti i čini temelj izgradnje suvremenog

informacijskog društva u kojem participiraju državni sektor, poslovni sektor, građanstvo u cjelini.

Sigurnosna suradnja

Ciljevi predavanja

Izgradnja minimalnog stupnja razumijevanja između različitih društvenih sektora

Uočavanje kompleksnih odnosa koje diktira stvaranje globalnog informacijskog prostora

Razumijevanje multidisciplinarnosti područja informacijske sigurnosti

Teme 1. dio:

Uloga industrijskog sektora u informacijskoj sigurnosti 2. dio:

Stvaranje globalnog informacijskog prostora Informacijski kriteriji i domene

3. dio: Razvoj informacijske sigurnosti Usporedba organizacije informacijske sigurnosti u

državnom i poslovnom sektoru 4. dio:

Razvoj informacijske sigurnosti u RH Legislativni i organizacijski okvir u RH

1. dio

• Uloga industrijskog sektora u informacijskoj sigurnosti

Industrijski sektor Za potrebe ovog predavanja:

Informacijska i komunikacijska tehnologija (ICT) Usluge i sustavi Hardver i softver

Usluge i tehnologije u tradicionalnim sigurnosnim područjima: Fizička sigurnost Sigurnost dokumenata

Dio poslovnog sektora u širem smislu

Zahtjevi informacijske sigurnosti

Izazovi i mogućnosti (1/2)

Proces nacionalne normizacije Informacijska tehnologija, informacijska sigurnost Hrvatski zavod za norme (HZN) Okvir i poticaj - država (SDUeH, UVNS, ZSIS,

CARNet, …) Sadržaj – primarno poslovni sektor

Informacijska sigurnost u državnom sektoru Edukacija i razvoj sigurnosne svijesti

Prilagođeni i sadržajno lokalizirani seminari Suradnja s akademskim i obrazovnim sustavom Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ

Izazovi i mogućnosti (2/2) Informacijska sigurnost u tijelima državne vlasti (TDU)

Klasificirane i neklasificirane mreže za prijenos podataka Mrežni operatori za najam komunikacijske infrastrukture Centri za upravljanje i nadzor mreža

Razvoj informacijskih i infrastrukturnih servisa TDU Tehnologije IT sigurnosti Tehnologije fizičke sigurnosti Tehnologije sigurnosti dokumenata Poslovi certificiranja (CC, ISO, Tempest, …)

Laboratoriji, edukacija Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ

Nacionalni proizvodi na tržištu NATO zemalja ? Nadležna tijela: UVNS, ZSIS

Zaključno

Prednosti uređenog sustava su dugoročne Kratkoročni problemi:

Nužna profesionalizacija državne uprave, ali i dobavljača roba i usluga

Da li je državna uprava RH na potrebnom nivou uređenosti?

Da li je industrijski sektor u RH spreman za nove izazove?

2. dio

Stvaranje globalnog informacijskog prostora

Informacijski kriteriji i domene

Informacijska (r)evolucija

Promjena kulture stvaranja znanja Dostupnost, brza distribucija

Povećana ovisnost društva o informacijskim sustavima Nacionalni, međunarodni

Razvoj suvremenih demokratskih koncepata Pravo na pristup podacima, privatnost podataka

Utjecaj na temeljne informacijske kriterije: Raspoloživost, cjelovitost, povjerljivost

Informacijski kriteriji

Primjena na skupove podataka relevantne za društvo, državnu upravu, privatnu kompaniju, …

Nastaju podatkovne domene koje čine informacijski prostor

Dinamičan informacijski prostor Oblikuje se sukladno razvoju društva i

tehnologije

Stvaranje globalnog informacijskog prostora

Ključni utjecaji iz 90-tih godina Koncept privatnosti:

Koncept e-Governmenta Sučeljavanje različitih sektora društva (državni,

poslovni, građanstvo)

Istovremeno i rastući problemi

Sigurnosni problemi u informacijskom prostoru Rastuća interakcija različitih informacijskih

domena Međusobna sučeljavanja različitih

sigurnosnih modela Informacijska sigurnost u državnom i

poslovnom sektoru Norme, standardi Telekomunikacijska regulativa

Zahtjevi na informacijske sustave

Sigurnosni zahtjevi Temeljni informacijski kriteriji

Povjerljivost, cjelovitost, raspoloživost (CIA triad)

Klasificirane i neklasificirane domene (C)

Zahtjevi povjerenja

Informacijski kriteriji: usklađenost i pouzdanost (compliance and reliability)

Harmonizacija i uspostava uzajamnog povjerenja u informacijskim sustavima koji se koriste u okviru određene informacijske domene

Sigurnosna akreditacija Sukladnost s temeljnim principima informacijske

domene Uvjet korištenja i/ili interkonekcije informacijskih

sustava

Zahtjevi kakvoće

Informacijski kriteriji: učinkovitost i djelotvornost (effectiveness and

efficiency)

Primarno kod javnih e-Government usluga Javna telekomunikacijska infrastruktura Sporazum o razini usluge (SLA)

Informacijski sustavi državne uprave

Definicija kriterija povjerenja za informacijske sustave

IT infra-structure

Private Private Private Public

IT services Private Public Public Public

IT users Private Private Public Public

TRUST Implicit Controled Limited Uncontrolled

Kriterij povjerenja – informacijska domena - Internet

Implicit Trust

Controlled Trust

Limited Trust

Uncontrolled Trust

Information Domain

Classified

(Secret)

Unclassified

(Private)Public

Internet Connection Isolated

Manageable

ConnectionShared

Infrastructure

Kategorizacija informacijskih sustava temeljena na povjerenju

Implicit Trust

Controlled Trust

Limited Trust

Uncontrolled Trust

Business Sector

Corporate Networks

On-line Busi-ness Services

SOHO

Government Sector

Classified IS

Unclassified IS

e-Gov Services

Citizens Private PCs

Zaključno 2. dio

Sveprisutnost Interneta sve manje izoliranih mreža

Rastuće ugroze na Internetu sve više velikih informacijskih sustava u

kategorijama kontroliranog i ograničenog povjerenja – temelj e-Gov usluga

Velike sličnosti državnih i poslovnih informacijskih sustava

3. dio

Razvoj informacijske sigurnosti Usporedba organizacije informacijske

sigurnosti u državnom i poslovnom sektoru

Razvoj informacijske sigurnosti

Vrlo duga tradicija u državnom sektoru Koncept nacionalne sigurnosti Minimalni sigurnosni zahtjevi za sva državna

tijela

Modeli ugroza promijenjeni Hladni rat terorizam Sukobljavanje suradnja

Sigurnosna područja

Tradicionalna sigurnosna područja: Fizička sigurnost, sigurnosne provjere, sigurnost

podataka

Tradicionalna tehnička sigurnosna područja: COMSEC, COMPUSEC, TECSEC

Sigurnost informacijskih sustava (INFOSEC)

Informacijska sigurnost državne uprave: Fizička sigurnost, sigurnosne provjere, sigurnost

podataka, sigurnost informacijskih sustava (INFOSEC), industrijska sigurnost

Trendovi razvoja informacijske sigurnosti

Karakteristike državnog sektora

Usmjerenost na organizacijske aspekte Funkcionalni model organizacijskih tijela:

NSA, IA ili NCSA, SAA, NDA, CISO/LISO ili CIS OA, ITSOA ili CIS P&I, CERT ili CIRC

Načela i zahtjevi: Odgovornost, razdvajanje nadležnosti i

nadzornih procesa, optimizacija resursa Eksplicitni i implicitni zahtjevi

Karakteristike poslovnog sektora

Tradicionalno: Specijalni vladini/vojni projekti Financijski sektor

1990-te: Brzi razvoj ICT-a i širenje Interneta IT sigurnost

Danas širi koncept informacijske sigurnosti Ovisnost poslovnih procesa o IT-u Ljudi, organizacija, tehnologija

Nove inicijative

Standardizacija informacijske i komunikacijske tehnologije te područja informacijske sigurnosti

Koncepti i zahtjevi informacijske sigurnosti u temeljima modela informacijskog društva

Interoperabilnost Tehnička, semantička, organizacijska

Standardizacija

Stimulirana i podržana od vlada zemalja: Tradicionalna normizacija (nacionalna, međunarodna), Vlasnički standardi, Otvoreni standardi.

Nacionalni normizacijski okviri (Security & ICT): Protection and Security of the Citizen (EU), ANSI-HSSP (USA),

ISO JTC 1 / SC 27 (međunarodno)

Pozitivan utjecaj na industriju, upravljanje poslovnim procesima, razvoj represivnih mjera…

Smisao standardizacije (ISO)

“Standardi pridonose pojednostavljenju života te povećanju pouzdanosti i djelotvornosti robe i usluga koje koristimo”

“Snaga koju standardi donose korisnicima (državni ili privatni sektor) leži u njihovoj sposobnosti da konsenzusom odrede koje će postojeće standarde koristiti, a ne da kreiraju nove standarde.”

Standardi informacijske sigurnosti i IT-a Poslovni i tehnički standardi Poslovni standardi i procesi ovise i realiziraju se

pomoću IT-a

Sigurnost informacijskog društva – procesni pogled

Interoperabilnost

Tehnička – infrastrukturna Semantička – aplikacijska Organizacijska – procesna

Informacijska sigurnost: Primarno se referira na organizacijski sloj Pretpostavlja uređenost tehničkog i

semantičkog sloja (“IT problematika”) Strategija Programa One Stop Shop

Temeljne kategorije sustava informacijske sigurnosti Preduvjet uspostave sustava upravljanja

informacijskom sigurnosti Nezaobilazno u velikim okruženjima Osnovne kategorije i usporedba državnog

i poslovnog sektora: Regulativa informacijske sigurnosti Odgovorna tijela Vlasnici podataka Vlasnici infrastrukture

Legislativa i regulativa informacijske sigurnosti

Državni sektor Poslovni sektorOpća legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl.

Nacionalna politika inf. sigurnosti,

Uredbe Vlade o sig. područjima,

Pravilnici središnjih državnih tijela za informacijsku sigurnost,

Ostali unutarnji akti

Sigurnosna politika,

Organizacijska sigurnosna politika,

Funkcionalna implementacijska politika,

Smjernice i procedure

Norme informacijske sigurnosti i IT-a,

Otvoreni standardi,

Preporuke, smjernice i najbolje prakse (nacionalne i međunarodne)

Odgovorna tijela

Državni sektor Poslovni sektorVlada / Sabor CEO / Upravni odbor

NSA CSO

NCSA (IA) IT odjel / Vanjski konzultanti

ITSOA IT odjel / Vanjska suradnja

SAA Ovlaštena vanjska kuća

Vlasnici podataka i infrastrukture

Državni sektor Poslovni sektor

Vlasnici podataka

Državno tijelo,

čelnik tijela ili najviši rang rukovoditelja

Tvrtka,

CEO ili član uprave

Vlasnici infra-strukture

Državno tijelo,

IT odjel ili

posebno tijelo nadležno za zajedničku državnu infrastrukturu.

Tvrtka,

IT odjel

Vanjska tvrtka

CoBIT* kocka i razvoj informacijske sigurnosti

* Control Objectives for Information and Related Technology

IT Government Institute

ISACA – Information System Audit and Control Association

Activities

Processes

Domains (PDCA)

Peo

ple

Fac

ilitie

s

Dat

a

Tec

hnol

ogy

App

licat

ion

Sys

tem

s

IT P

roce

sses

Information Criteria

Traditional Approach

Information Society

Zaključno 3. dio

Prilagodba politika informacijske sigurnosti razvijenih država Primjena neklasificiranih kriterija sigurnosti na najniži stupanj

tajnosti klasificiranih podataka te na osobne podatke građana Sučeljavanje različitih informacijskih domena i različitih

društvenih sektora Konvergencija standarda informacijske sigurnosti – ISO/IEC

17799/27001 (?) Sve jača uloga procjene i upravljanja rizicima

Neklasificirani državni i korporativni informacijski sustavi Daljnje smanjenje značajnih razlika između klasificiranih i

neklasificiranih (korporativnih) informacijskih sustava

4. dio

Razvoj informacijske sigurnosti u RH Legislativni i organizacijski okvir u RH

Odgovornost

“Niti jedan dio sigurnosti neće biti u potpunosti učinkovit ako ne bude proveden regulativom, zakonom i pravnom odgovornosti.”

Stegovna odgovornost (unutarnja) Pravna odgovornost (vanjska)

Vrh organizacijske hijerarhije

Razvoj informacijske sigurnosti u RH Promjena pristupa – orijentiranost na nacionalnu razinu

od 2000.g. Prva postignuća na nacionalnoj razini:

Svibanj 2000. – RH pristupila NATO PfP programu Lipanj 2000. – RH i NATO potpisale sigurnosni sporazum Srpanj 2000. – RH uspostavila NATO NSA i Središnji registar

Legislativa još uvijek nije u potpunosti revidirana Zakon o zaštiti tajnosti podataka (1996.) Zakon o sigurnosnim službama (2002.)

Novi paket zakona: Zakon o sigurnosno-obavještajnom sustavu (srpanj 2006.) Zakon o tajnosti podataka (u prijedlogu) Zakon o sustavu informacijske sigurnosti (u prijedlogu)

Nacionalni program informacijske sigurnosti u RH

Zašto? Konzistentan pristup na nacionalnoj razini!

Stručna skupina za informacijsku sigurnost SDUeH, predstavnici TDU, akademskog sektora

Održana javna rasprava Prihvaćen na Vladi 31. ožujka 2005.

Nacionalni program informacijske sigurnosti u RH (2005.)

Strateški cilj Temelj za dugoročni razvoj informacijskog društva

Taktički plan Postupan razvoj i sustavna implementacija mjera informacijske

sigurnosti u RH (državni sektor, poslovni sektor i građanstvo)

Zahtjevi Integracijski procesi RH u NATO i EU

Strateški dokument s preporukama: Nacionalni zakonodavni i institucionalni okvir Planovi edukacije i razvoja sigurnosne svijesti Usklađivanje postojećih zakona, organizacije i postupanja

Realizacija Programa Pripremne radnje – do kraja 2006.

Zakonski okvir, uspostava središnjih državnih tijela za informacijsku sigurnost: NSA, NCSA, CERT

1. faza implementacije Programa – 2 godine Institucije središnje izvršne vlasti Minimalni sigurnosni zahtjevi u skladu s NATO zahtjevima

(MAP)

2. faza implementacije Programa – 1 godina Ostali stupovi i nivoi vlasti Minimalni sigurnosni zahtjevi u skladu s EU zahtjevima (i2010)

3. faza implementacije Programa – kontinuirano Edukacija i razvoj sigurnosne svijesti u društvu, Razvoj informacijskog društva i javno-privatno partnerstvo

Novi zakoni

Zamjena za Zakon o zaštiti tajnosti podataka iz 1996.

Pristup na nacionalnoj razini: Zakon o tajnosti podataka

Suvremeni koncept tajnosti podataka

Zakon o sustavu informacijske sigurnosti Suvremeni koncept zaštite podataka s vizijom

izgradnje informacijskog društva

Zakon o tajnosti podataka

Temeljni principi tajnosti podataka: Klasificirani i neklasificirani podaci Načela:

poslovne potrebe za pristupom podacima sigurnosne provjere

Procedure klasifikacije/deklasifikacije Određivanje odgovornosti Usklađivanje sa Zakonom o kaznenom postupku,

uredskim poslovanjem, konceptom privatnosti i prava na pristup podacima

Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.

Zakon o sustavu informacijske sigurnosti Suvremeni koncept zaštite podataka s vizijom izgradnje

informacijskog društva: Opsežan zakonski okvir za regulativu informacijske sigurnosti

(nacionalna politika inf. sigurnosti, uredbe, pravilnici, …) Odgovorna tijela i rokovi za donošenje regulativnih akata 5 sigurnosnih područja koordiniranih na nacionalnoj razini

(sukladnost NATO/EU sigurnosnoj politici) Uspostava nacionalnog CERT-a kao javne institucije Međusobni odnosi središnjih državnih tijela za informacijsku

sigurnost, obzirom na međunarodno definirane funkcionalnosti: NSA, NCSA, SAA, NDA, CERT, CIS P&I, CIS Operating

Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.

Središnja državna tijela za informacijsku sigurnost Ured Vijeća za nacionalnu sigurnost (UVNS)

Uspostavljen u svibnju 2002. temeljem Zakona o sigurnosnim službama (2002.)

National Security Authority, Središnji registar za razmjenu podataka - NATO problematika

U tijeku reorganizacija temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.)

Odgovornosti: NSA za nacionalnu, NATO i EU problematiku

Zavod za sigurnost informacijskih sustava (ZSIS) Osnivanje propisano 2002. Zbog potrebe harmonizacije nekoliko zakona uspostavlja se tek

sada temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.)

Odgovornosti: NCSA, NDA, SAA, Government CERT

Zakonski okvir inf. sigurnosti u RH

Institucionalni okvir inf. sigurnosti u RH

Zaključno 4. dio Središnja tijela – točke kontakta i koordinacije:

UVNS – NSA ZSIS – NCSA, SAA, NDA, Gov CERT CARNet – Nacionalni CERT

UVNS – krovno koordinacijsko tijelo za informacijsku sigurnost Fizička sigurnost, sigurnosne provjere, Industrijska

sigurnost, sigurnost podataka

ZSIS – tehničko tijelo Sigurnost informacijskih sustava

aleksandar.klaic@uvns.vlada.hraklaic@hi.t-com.hr