uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u rh
DESCRIPTION
Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH. Mr. sc. Aleksandar Klaić, dipl. ing. el. Ured Vijeća za nacionalnu sigurnost (UVNS). Sponzori. Definicija. Informacijska sigurnost podrazumijeva očuvanje: - PowerPoint PPT PresentationTRANSCRIPT
Uloga industrijskog sektora u informacijskoj sigurnosti– nova legislativa u RH
Mr. sc. Aleksandar Klaić, dipl. ing. el.Ured Vijeća za nacionalnu sigurnost (UVNS)
Sponzori
Definicija
Informacijska sigurnost podrazumijeva očuvanje: Povjerljivosti: osiguravanje dostupnosti
informacija samo za ovlaštene korisnike; Cjelovitosti: očuvanje točnosti i potpunosti
informacija i metoda obrade; Raspoloživosti: osiguravanje da ovlašteni
korisnici imaju, kada im je to potrebno, pristup informacijama i s njima povezanim sadržajima.
Kontekst
Informacijska sigurnost: predstavlja integralni dio sustava nacionalne
sigurnosti i čini temelj izgradnje suvremenog
informacijskog društva u kojem participiraju državni sektor, poslovni sektor, građanstvo u cjelini.
Sigurnosna suradnja
Ciljevi predavanja
Izgradnja minimalnog stupnja razumijevanja između različitih društvenih sektora
Uočavanje kompleksnih odnosa koje diktira stvaranje globalnog informacijskog prostora
Razumijevanje multidisciplinarnosti područja informacijske sigurnosti
Teme 1. dio:
Uloga industrijskog sektora u informacijskoj sigurnosti 2. dio:
Stvaranje globalnog informacijskog prostora Informacijski kriteriji i domene
3. dio: Razvoj informacijske sigurnosti Usporedba organizacije informacijske sigurnosti u
državnom i poslovnom sektoru 4. dio:
Razvoj informacijske sigurnosti u RH Legislativni i organizacijski okvir u RH
1. dio
• Uloga industrijskog sektora u informacijskoj sigurnosti
Industrijski sektor Za potrebe ovog predavanja:
Informacijska i komunikacijska tehnologija (ICT) Usluge i sustavi Hardver i softver
Usluge i tehnologije u tradicionalnim sigurnosnim područjima: Fizička sigurnost Sigurnost dokumenata
Dio poslovnog sektora u širem smislu
Zahtjevi informacijske sigurnosti
Izazovi i mogućnosti (1/2)
Proces nacionalne normizacije Informacijska tehnologija, informacijska sigurnost Hrvatski zavod za norme (HZN) Okvir i poticaj - država (SDUeH, UVNS, ZSIS,
CARNet, …) Sadržaj – primarno poslovni sektor
Informacijska sigurnost u državnom sektoru Edukacija i razvoj sigurnosne svijesti
Prilagođeni i sadržajno lokalizirani seminari Suradnja s akademskim i obrazovnim sustavom Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ
Izazovi i mogućnosti (2/2) Informacijska sigurnost u tijelima državne vlasti (TDU)
Klasificirane i neklasificirane mreže za prijenos podataka Mrežni operatori za najam komunikacijske infrastrukture Centri za upravljanje i nadzor mreža
Razvoj informacijskih i infrastrukturnih servisa TDU Tehnologije IT sigurnosti Tehnologije fizičke sigurnosti Tehnologije sigurnosti dokumenata Poslovi certificiranja (CC, ISO, Tempest, …)
Laboratoriji, edukacija Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ
Nacionalni proizvodi na tržištu NATO zemalja ? Nadležna tijela: UVNS, ZSIS
Zaključno
Prednosti uređenog sustava su dugoročne Kratkoročni problemi:
Nužna profesionalizacija državne uprave, ali i dobavljača roba i usluga
Da li je državna uprava RH na potrebnom nivou uređenosti?
Da li je industrijski sektor u RH spreman za nove izazove?
2. dio
Stvaranje globalnog informacijskog prostora
Informacijski kriteriji i domene
Informacijska (r)evolucija
Promjena kulture stvaranja znanja Dostupnost, brza distribucija
Povećana ovisnost društva o informacijskim sustavima Nacionalni, međunarodni
Razvoj suvremenih demokratskih koncepata Pravo na pristup podacima, privatnost podataka
Utjecaj na temeljne informacijske kriterije: Raspoloživost, cjelovitost, povjerljivost
Informacijski kriteriji
Primjena na skupove podataka relevantne za društvo, državnu upravu, privatnu kompaniju, …
Nastaju podatkovne domene koje čine informacijski prostor
Dinamičan informacijski prostor Oblikuje se sukladno razvoju društva i
tehnologije
Stvaranje globalnog informacijskog prostora
Ključni utjecaji iz 90-tih godina Koncept privatnosti:
Koncept e-Governmenta Sučeljavanje različitih sektora društva (državni,
poslovni, građanstvo)
Istovremeno i rastući problemi
Sigurnosni problemi u informacijskom prostoru Rastuća interakcija različitih informacijskih
domena Međusobna sučeljavanja različitih
sigurnosnih modela Informacijska sigurnost u državnom i
poslovnom sektoru Norme, standardi Telekomunikacijska regulativa
Zahtjevi na informacijske sustave
Sigurnosni zahtjevi Temeljni informacijski kriteriji
Povjerljivost, cjelovitost, raspoloživost (CIA triad)
Klasificirane i neklasificirane domene (C)
Zahtjevi povjerenja
Informacijski kriteriji: usklađenost i pouzdanost (compliance and reliability)
Harmonizacija i uspostava uzajamnog povjerenja u informacijskim sustavima koji se koriste u okviru određene informacijske domene
Sigurnosna akreditacija Sukladnost s temeljnim principima informacijske
domene Uvjet korištenja i/ili interkonekcije informacijskih
sustava
Zahtjevi kakvoće
Informacijski kriteriji: učinkovitost i djelotvornost (effectiveness and
efficiency)
Primarno kod javnih e-Government usluga Javna telekomunikacijska infrastruktura Sporazum o razini usluge (SLA)
Informacijski sustavi državne uprave
Definicija kriterija povjerenja za informacijske sustave
IT infra-structure
Private Private Private Public
IT services Private Public Public Public
IT users Private Private Public Public
TRUST Implicit Controled Limited Uncontrolled
Kriterij povjerenja – informacijska domena - Internet
Implicit Trust
Controlled Trust
Limited Trust
Uncontrolled Trust
Information Domain
Classified
(Secret)
Unclassified
(Private)Public
Internet Connection Isolated
Manageable
ConnectionShared
Infrastructure
Kategorizacija informacijskih sustava temeljena na povjerenju
Implicit Trust
Controlled Trust
Limited Trust
Uncontrolled Trust
Business Sector
Corporate Networks
On-line Busi-ness Services
SOHO
Government Sector
Classified IS
Unclassified IS
e-Gov Services
Citizens Private PCs
Zaključno 2. dio
Sveprisutnost Interneta sve manje izoliranih mreža
Rastuće ugroze na Internetu sve više velikih informacijskih sustava u
kategorijama kontroliranog i ograničenog povjerenja – temelj e-Gov usluga
Velike sličnosti državnih i poslovnih informacijskih sustava
3. dio
Razvoj informacijske sigurnosti Usporedba organizacije informacijske
sigurnosti u državnom i poslovnom sektoru
Razvoj informacijske sigurnosti
Vrlo duga tradicija u državnom sektoru Koncept nacionalne sigurnosti Minimalni sigurnosni zahtjevi za sva državna
tijela
Modeli ugroza promijenjeni Hladni rat terorizam Sukobljavanje suradnja
Sigurnosna područja
Tradicionalna sigurnosna područja: Fizička sigurnost, sigurnosne provjere, sigurnost
podataka
Tradicionalna tehnička sigurnosna područja: COMSEC, COMPUSEC, TECSEC
Sigurnost informacijskih sustava (INFOSEC)
Informacijska sigurnost državne uprave: Fizička sigurnost, sigurnosne provjere, sigurnost
podataka, sigurnost informacijskih sustava (INFOSEC), industrijska sigurnost
Trendovi razvoja informacijske sigurnosti
Karakteristike državnog sektora
Usmjerenost na organizacijske aspekte Funkcionalni model organizacijskih tijela:
NSA, IA ili NCSA, SAA, NDA, CISO/LISO ili CIS OA, ITSOA ili CIS P&I, CERT ili CIRC
Načela i zahtjevi: Odgovornost, razdvajanje nadležnosti i
nadzornih procesa, optimizacija resursa Eksplicitni i implicitni zahtjevi
Karakteristike poslovnog sektora
Tradicionalno: Specijalni vladini/vojni projekti Financijski sektor
1990-te: Brzi razvoj ICT-a i širenje Interneta IT sigurnost
Danas širi koncept informacijske sigurnosti Ovisnost poslovnih procesa o IT-u Ljudi, organizacija, tehnologija
Nove inicijative
Standardizacija informacijske i komunikacijske tehnologije te područja informacijske sigurnosti
Koncepti i zahtjevi informacijske sigurnosti u temeljima modela informacijskog društva
Interoperabilnost Tehnička, semantička, organizacijska
Standardizacija
Stimulirana i podržana od vlada zemalja: Tradicionalna normizacija (nacionalna, međunarodna), Vlasnički standardi, Otvoreni standardi.
Nacionalni normizacijski okviri (Security & ICT): Protection and Security of the Citizen (EU), ANSI-HSSP (USA),
ISO JTC 1 / SC 27 (međunarodno)
Pozitivan utjecaj na industriju, upravljanje poslovnim procesima, razvoj represivnih mjera…
Smisao standardizacije (ISO)
“Standardi pridonose pojednostavljenju života te povećanju pouzdanosti i djelotvornosti robe i usluga koje koristimo”
“Snaga koju standardi donose korisnicima (državni ili privatni sektor) leži u njihovoj sposobnosti da konsenzusom odrede koje će postojeće standarde koristiti, a ne da kreiraju nove standarde.”
Standardi informacijske sigurnosti i IT-a Poslovni i tehnički standardi Poslovni standardi i procesi ovise i realiziraju se
pomoću IT-a
Sigurnost informacijskog društva – procesni pogled
Interoperabilnost
Tehnička – infrastrukturna Semantička – aplikacijska Organizacijska – procesna
Informacijska sigurnost: Primarno se referira na organizacijski sloj Pretpostavlja uređenost tehničkog i
semantičkog sloja (“IT problematika”) Strategija Programa One Stop Shop
Temeljne kategorije sustava informacijske sigurnosti Preduvjet uspostave sustava upravljanja
informacijskom sigurnosti Nezaobilazno u velikim okruženjima Osnovne kategorije i usporedba državnog
i poslovnog sektora: Regulativa informacijske sigurnosti Odgovorna tijela Vlasnici podataka Vlasnici infrastrukture
Legislativa i regulativa informacijske sigurnosti
Državni sektor Poslovni sektorOpća legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl.
Nacionalna politika inf. sigurnosti,
Uredbe Vlade o sig. područjima,
Pravilnici središnjih državnih tijela za informacijsku sigurnost,
Ostali unutarnji akti
Sigurnosna politika,
Organizacijska sigurnosna politika,
Funkcionalna implementacijska politika,
Smjernice i procedure
Norme informacijske sigurnosti i IT-a,
Otvoreni standardi,
Preporuke, smjernice i najbolje prakse (nacionalne i međunarodne)
Odgovorna tijela
Državni sektor Poslovni sektorVlada / Sabor CEO / Upravni odbor
NSA CSO
NCSA (IA) IT odjel / Vanjski konzultanti
ITSOA IT odjel / Vanjska suradnja
SAA Ovlaštena vanjska kuća
Vlasnici podataka i infrastrukture
Državni sektor Poslovni sektor
Vlasnici podataka
Državno tijelo,
čelnik tijela ili najviši rang rukovoditelja
Tvrtka,
CEO ili član uprave
Vlasnici infra-strukture
Državno tijelo,
IT odjel ili
posebno tijelo nadležno za zajedničku državnu infrastrukturu.
Tvrtka,
IT odjel
Vanjska tvrtka
CoBIT* kocka i razvoj informacijske sigurnosti
* Control Objectives for Information and Related Technology
IT Government Institute
ISACA – Information System Audit and Control Association
Activities
Processes
Domains (PDCA)
Peo
ple
Fac
ilitie
s
Dat
a
Tec
hnol
ogy
App
licat
ion
Sys
tem
s
IT P
roce
sses
Information Criteria
Traditional Approach
Information Society
Zaključno 3. dio
Prilagodba politika informacijske sigurnosti razvijenih država Primjena neklasificiranih kriterija sigurnosti na najniži stupanj
tajnosti klasificiranih podataka te na osobne podatke građana Sučeljavanje različitih informacijskih domena i različitih
društvenih sektora Konvergencija standarda informacijske sigurnosti – ISO/IEC
17799/27001 (?) Sve jača uloga procjene i upravljanja rizicima
Neklasificirani državni i korporativni informacijski sustavi Daljnje smanjenje značajnih razlika između klasificiranih i
neklasificiranih (korporativnih) informacijskih sustava
4. dio
Razvoj informacijske sigurnosti u RH Legislativni i organizacijski okvir u RH
Odgovornost
“Niti jedan dio sigurnosti neće biti u potpunosti učinkovit ako ne bude proveden regulativom, zakonom i pravnom odgovornosti.”
Stegovna odgovornost (unutarnja) Pravna odgovornost (vanjska)
Vrh organizacijske hijerarhije
Razvoj informacijske sigurnosti u RH Promjena pristupa – orijentiranost na nacionalnu razinu
od 2000.g. Prva postignuća na nacionalnoj razini:
Svibanj 2000. – RH pristupila NATO PfP programu Lipanj 2000. – RH i NATO potpisale sigurnosni sporazum Srpanj 2000. – RH uspostavila NATO NSA i Središnji registar
Legislativa još uvijek nije u potpunosti revidirana Zakon o zaštiti tajnosti podataka (1996.) Zakon o sigurnosnim službama (2002.)
Novi paket zakona: Zakon o sigurnosno-obavještajnom sustavu (srpanj 2006.) Zakon o tajnosti podataka (u prijedlogu) Zakon o sustavu informacijske sigurnosti (u prijedlogu)
Nacionalni program informacijske sigurnosti u RH
Zašto? Konzistentan pristup na nacionalnoj razini!
Stručna skupina za informacijsku sigurnost SDUeH, predstavnici TDU, akademskog sektora
Održana javna rasprava Prihvaćen na Vladi 31. ožujka 2005.
Nacionalni program informacijske sigurnosti u RH (2005.)
Strateški cilj Temelj za dugoročni razvoj informacijskog društva
Taktički plan Postupan razvoj i sustavna implementacija mjera informacijske
sigurnosti u RH (državni sektor, poslovni sektor i građanstvo)
Zahtjevi Integracijski procesi RH u NATO i EU
Strateški dokument s preporukama: Nacionalni zakonodavni i institucionalni okvir Planovi edukacije i razvoja sigurnosne svijesti Usklađivanje postojećih zakona, organizacije i postupanja
Realizacija Programa Pripremne radnje – do kraja 2006.
Zakonski okvir, uspostava središnjih državnih tijela za informacijsku sigurnost: NSA, NCSA, CERT
1. faza implementacije Programa – 2 godine Institucije središnje izvršne vlasti Minimalni sigurnosni zahtjevi u skladu s NATO zahtjevima
(MAP)
2. faza implementacije Programa – 1 godina Ostali stupovi i nivoi vlasti Minimalni sigurnosni zahtjevi u skladu s EU zahtjevima (i2010)
3. faza implementacije Programa – kontinuirano Edukacija i razvoj sigurnosne svijesti u društvu, Razvoj informacijskog društva i javno-privatno partnerstvo
Novi zakoni
Zamjena za Zakon o zaštiti tajnosti podataka iz 1996.
Pristup na nacionalnoj razini: Zakon o tajnosti podataka
Suvremeni koncept tajnosti podataka
Zakon o sustavu informacijske sigurnosti Suvremeni koncept zaštite podataka s vizijom
izgradnje informacijskog društva
Zakon o tajnosti podataka
Temeljni principi tajnosti podataka: Klasificirani i neklasificirani podaci Načela:
poslovne potrebe za pristupom podacima sigurnosne provjere
Procedure klasifikacije/deklasifikacije Određivanje odgovornosti Usklađivanje sa Zakonom o kaznenom postupku,
uredskim poslovanjem, konceptom privatnosti i prava na pristup podacima
Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.
Zakon o sustavu informacijske sigurnosti Suvremeni koncept zaštite podataka s vizijom izgradnje
informacijskog društva: Opsežan zakonski okvir za regulativu informacijske sigurnosti
(nacionalna politika inf. sigurnosti, uredbe, pravilnici, …) Odgovorna tijela i rokovi za donošenje regulativnih akata 5 sigurnosnih područja koordiniranih na nacionalnoj razini
(sukladnost NATO/EU sigurnosnoj politici) Uspostava nacionalnog CERT-a kao javne institucije Međusobni odnosi središnjih državnih tijela za informacijsku
sigurnost, obzirom na međunarodno definirane funkcionalnosti: NSA, NCSA, SAA, NDA, CERT, CIS P&I, CIS Operating
Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.
Središnja državna tijela za informacijsku sigurnost Ured Vijeća za nacionalnu sigurnost (UVNS)
Uspostavljen u svibnju 2002. temeljem Zakona o sigurnosnim službama (2002.)
National Security Authority, Središnji registar za razmjenu podataka - NATO problematika
U tijeku reorganizacija temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.)
Odgovornosti: NSA za nacionalnu, NATO i EU problematiku
Zavod za sigurnost informacijskih sustava (ZSIS) Osnivanje propisano 2002. Zbog potrebe harmonizacije nekoliko zakona uspostavlja se tek
sada temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.)
Odgovornosti: NCSA, NDA, SAA, Government CERT
Zakonski okvir inf. sigurnosti u RH
Institucionalni okvir inf. sigurnosti u RH
Zaključno 4. dio Središnja tijela – točke kontakta i koordinacije:
UVNS – NSA ZSIS – NCSA, SAA, NDA, Gov CERT CARNet – Nacionalni CERT
UVNS – krovno koordinacijsko tijelo za informacijsku sigurnost Fizička sigurnost, sigurnosne provjere, Industrijska
sigurnost, sigurnost podataka
ZSIS – tehničko tijelo Sigurnost informacijskih sustava