Title: Uloga industrijskog sektora u informacijskoj sigurnosti - nova legislativa u RH
1(No Transcript)
2Uloga industrijskog sektora u informacijskoj
sigurnosti nova legislativa u RH
- Mr. sc. Aleksandar Klaic, dipl. ing. el.
- Ured Vijeca za nacionalnu sigurnost (UVNS)
3Sponzori
4(No Transcript)
5Definicija
- Informacijska sigurnost podrazumijeva ocuvanje
- Povjerljivosti osiguravanje dostupnosti
informacija samo za ovlaštene korisnike - Cjelovitosti ocuvanje tocnosti i potpunosti
informacija i metoda obrade - Raspoloživosti osiguravanje da ovlašteni
korisnici imaju, kada im je to potrebno, pristup
informacijama i s njima povezanim sadržajima.
6Kontekst
- Informacijska sigurnost
- predstavlja integralni dio sustava nacionalne
sigurnosti i - cini temelj izgradnje suvremenog informacijskog
društva u kojem participiraju - državni sektor,
- poslovni sektor,
- gradanstvo u cjelini.
7Sigurnosna suradnja
8Ciljevi predavanja
- Izgradnja minimalnog stupnja razumijevanja izmedu
razlicitih društvenih sektora - Uocavanje kompleksnih odnosa koje diktira
stvaranje globalnog informacijskog prostora - Razumijevanje multidisciplinarnosti podrucja
informacijske sigurnosti
9Teme
- 1. dio
- Uloga industrijskog sektora u informacijskoj
sigurnosti - 2. dio
- Stvaranje globalnog informacijskog prostora
- Informacijski kriteriji i domene
- 3. dio
- Razvoj informacijske sigurnosti
- Usporedba organizacije informacijske sigurnosti u
državnom i poslovnom sektoru - 4. dio
- Razvoj informacijske sigurnosti u RH
- Legislativni i organizacijski okvir u RH
101. dio
- Uloga industrijskog sektora u informacijskoj
sigurnosti
11Industrijski sektor
- Za potrebe ovog predavanja
- Informacijska i komunikacijska tehnologija (ICT)
- Usluge i sustavi
- Hardver i softver
- Usluge i tehnologije u tradicionalnim sigurnosnim
podrucjima - Fizicka sigurnost
- Sigurnost dokumenata
- Dio poslovnog sektora u širem smislu
12Zahtjevi informacijske sigurnosti
13Izazovi i mogucnosti (1/2)
- Proces nacionalne normizacije
- Informacijska tehnologija, informacijska
sigurnost - Hrvatski zavod za norme (HZN)
- Okvir i poticaj - država (SDUeH, UVNS, ZSIS,
CARNet, ) - Sadržaj primarno poslovni sektor
- Informacijska sigurnost u državnom sektoru
- Edukacija i razvoj sigurnosne svijesti
- Prilagodeni i sadržajno lokalizirani seminari
- Suradnja s akademskim i obrazovnim sustavom
- Nadležna tijela UVNS, ZSIS, SDUeH, MZOŠ
14Izazovi i mogucnosti (2/2)
- Informacijska sigurnost u tijelima državne vlasti
(TDU) - Klasificirane i neklasificirane mreže za prijenos
podataka - Mrežni operatori za najam komunikacijske
infrastrukture - Centri za upravljanje i nadzor mreža
- Razvoj informacijskih i infrastrukturnih servisa
TDU - Tehnologije IT sigurnosti
- Tehnologije fizicke sigurnosti
- Tehnologije sigurnosti dokumenata
- Poslovi certificiranja (CC, ISO, Tempest, )
- Laboratoriji, edukacija
- Nadležna tijela UVNS, ZSIS, SDUeH, MZOŠ
- Nacionalni proizvodi na tržištu NATO zemalja ?
- Nadležna tijela UVNS, ZSIS
15Zakljucno
- Prednosti uredenog sustava su dugorocne
- Kratkorocni problemi
- Nužna profesionalizacija državne uprave, ali i
dobavljaca roba i usluga - Da li je državna uprava RH na potrebnom nivou
uredenosti? - Da li je industrijski sektor u RH spreman za nove
izazove?
162. dio
- Stvaranje globalnog informacijskog prostora
- Informacijski kriteriji i domene
17Informacijska (r)evolucija
- Promjena kulture stvaranja znanja
- Dostupnost, brza distribucija
- Povecana ovisnost društva o informacijskim
sustavima - Nacionalni, medunarodni
- Razvoj suvremenih demokratskih koncepata
- Pravo na pristup podacima, privatnost podataka
- ? Utjecaj na temeljne informacijske kriterije
- Raspoloživost, cjelovitost, povjerljivost
18Informacijski kriteriji
- Primjena na skupove podataka relevantne za
društvo, državnu upravu, privatnu kompaniju, - Nastaju podatkovne domene koje cine informacijski
prostor - ? Dinamican informacijski prostor
- Oblikuje se sukladno razvoju društva i
tehnologije
19Stvaranje globalnog informacijskog prostora
20Kljucni utjecaji iz 90-tih godina
- Koncept privatnosti
- Koncept e-Governmenta
- Suceljavanje razlicitih sektora društva (državni,
poslovni, gradanstvo) - ? Istovremeno i rastuci problemi
21Sigurnosni problemi u informacijskom prostoru
- Rastuca interakcija razlicitih informacijskih
domena - Medusobna suceljavanja razlicitih sigurnosnih
modela - Informacijska sigurnost u državnom i poslovnom
sektoru - Norme, standardi
- Telekomunikacijska regulativa
- ? Zahtjevi na informacijske sustave
22Sigurnosni zahtjevi
- Temeljni informacijski kriteriji
- Povjerljivost, cjelovitost, raspoloživost (CIA
triad) - Klasificirane i neklasificirane domene (C)
23Zahtjevi povjerenja
- Informacijski kriteriji
- uskladenost i pouzdanost (compliance and
reliability) - Harmonizacija i uspostava uzajamnog povjerenja u
informacijskim sustavima koji se koriste u okviru
odredene informacijske domene - Sigurnosna akreditacija
- Sukladnost s temeljnim principima informacijske
domene - Uvjet korištenja i/ili interkonekcije
informacijskih sustava
24Zahtjevi kakvoce
- Informacijski kriteriji
- ucinkovitost i djelotvornost (effectiveness and
efficiency) - Primarno kod javnih e-Government usluga
- Javna telekomunikacijska infrastruktura
- Sporazum o razini usluge (SLA)
25Informacijski sustavi državne uprave
26Definicija kriterija povjerenja za informacijske
sustave
IT infra-structure Private Private Private Public
IT services Private Public Public Public
IT users Private Private Public Public
TRUST Implicit Controled Limited Uncontrolled
27Kriterij povjerenja informacijska domena -
Internet
Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust
Information Domain Classified (Secret) Unclassified (Private) Public
Internet Connection Isolated Manageable Connection Shared Infrastructure
28Kategorizacija informacijskih sustava temeljena
na povjerenju
Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust
Government Sector Classified IS Unclassified IS e-Gov Services
Business Sector Corporate Networks On-line Busi-ness Services SOHO
Citizens Private PCs
29Zakljucno 2. dio
- Sveprisutnost Interneta
- sve manje izoliranih mreža
- Rastuce ugroze na Internetu
- sve više velikih informacijskih sustava u
kategorijama kontroliranog i ogranicenog
povjerenja temelj e-Gov usluga - Velike slicnosti državnih i poslovnih
informacijskih sustava
303. dio
- Razvoj informacijske sigurnosti
- Usporedba organizacije informacijske sigurnosti u
državnom i poslovnom sektoru
31Razvoj informacijske sigurnosti
- Vrlo duga tradicija u državnom sektoru
- Koncept nacionalne sigurnosti
- Minimalni sigurnosni zahtjevi za sva državna
tijela - Modeli ugroza promijenjeni
- Hladni rat ? terorizam
- Sukobljavanje ? suradnja
32Sigurnosna podrucja
- Tradicionalna sigurnosna podrucja
- Fizicka sigurnost, sigurnosne provjere, sigurnost
podataka - Tradicionalna tehnicka sigurnosna podrucja
- COMSEC, COMPUSEC, TECSEC
- ? Sigurnost informacijskih sustava (INFOSEC)
- Informacijska sigurnost državne uprave
- Fizicka sigurnost, sigurnosne provjere, sigurnost
podataka, sigurnost informacijskih sustava
(INFOSEC), industrijska sigurnost
33Trendovi razvoja informacijske sigurnosti
34Karakteristike državnog sektora
- Usmjerenost na organizacijske aspekte
- Funkcionalni model organizacijskih tijela
- NSA, IA ili NCSA, SAA, NDA, CISO/LISO ili CIS OA,
ITSOA ili CIS PI, CERT ili CIRC - Nacela i zahtjevi
- Odgovornost, razdvajanje nadležnosti i nadzornih
procesa, optimizacija resursa - Eksplicitni i implicitni zahtjevi
35Karakteristike poslovnog sektora
- Tradicionalno
- Specijalni vladini/vojni projekti
- Financijski sektor
- 1990-te
- Brzi razvoj ICT-a i širenje Interneta
- ? IT sigurnost
- Danas širi koncept informacijske sigurnosti
- Ovisnost poslovnih procesa o IT-u
- Ljudi, organizacija, tehnologija
36Nove inicijative
- Standardizacija informacijske i komunikacijske
tehnologije te podrucja informacijske sigurnosti - Koncepti i zahtjevi informacijske sigurnosti u
temeljima modela informacijskog društva - Interoperabilnost
- Tehnicka, semanticka, organizacijska
37Standardizacija
- Stimulirana i podržana od vlada zemalja
- Tradicionalna normizacija (nacionalna,
medunarodna), - Vlasnicki standardi,
- Otvoreni standardi.
- Nacionalni normizacijski okviri (Security ICT)
- Protection and Security of the Citizen (EU),
- ANSI-HSSP (USA),
- ? ISO JTC 1 / SC 27 (medunarodno)
- Pozitivan utjecaj na industriju, upravljanje
poslovnim procesima, razvoj represivnih mjera
38Smisao standardizacije (ISO)
- Standardi pridonose pojednostavljenju života te
povecanju pouzdanosti i djelotvornosti robe i
usluga koje koristimo - Snaga koju standardi donose korisnicima (državni
ili privatni sektor) leži u njihovoj sposobnosti
da konsenzusom odrede koje ce postojece standarde
koristiti, a ne da kreiraju nove standarde.
39Standardi informacijske sigurnosti i IT-a
- Poslovni i tehnicki standardi
- Poslovni standardi i procesi ovise i realiziraju
se pomocu IT-a
40Sigurnost informacijskog društva procesni pogled
41Interoperabilnost
- Tehnicka infrastrukturna
- Semanticka aplikacijska
- Organizacijska procesna
- Informacijska sigurnost
- Primarno se referira na organizacijski sloj
- Pretpostavlja uredenost tehnickog i semantickog
sloja (IT problematika) - Strategija Programa One Stop Shop
42Temeljne kategorije sustava informacijske
sigurnosti
- Preduvjet uspostave sustava upravljanja
informacijskom sigurnosti - Nezaobilazno u velikim okruženjima
- Osnovne kategorije i usporedba državnog i
poslovnog sektora - Regulativa informacijske sigurnosti
- Odgovorna tijela
- Vlasnici podataka
- Vlasnici infrastrukture
43Legislativa i regulativa informacijske sigurnosti
Državni sektor Poslovni sektor
Opca legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl. Opca legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl.
Nacionalna politika inf. sigurnosti, Uredbe Vlade o sig. podrucjima, Pravilnici središnjih državnih tijela za informacijsku sigurnost, Ostali unutarnji akti Sigurnosna politika, Organizacijska sigurnosna politika, Funkcionalna implementacijska politika, Smjernice i procedure
Norme informacijske sigurnosti i IT-a, Otvoreni standardi, Preporuke, smjernice i najbolje prakse (nacionalne i medunarodne) Norme informacijske sigurnosti i IT-a, Otvoreni standardi, Preporuke, smjernice i najbolje prakse (nacionalne i medunarodne)
44Odgovorna tijela
Državni sektor Poslovni sektor
Vlada / Sabor CEO / Upravni odbor
NSA CSO
NCSA (IA) IT odjel / Vanjski konzultanti
ITSOA IT odjel / Vanjska suradnja
SAA Ovlaštena vanjska kuca
45Vlasnici podataka i infrastrukture
Državni sektor Poslovni sektor
Vlasnici podataka Državno tijelo, celnik tijela ili najviši rang rukovoditelja Tvrtka, CEO ili clan uprave
Vlasnici infra-strukture Državno tijelo, IT odjel ili posebno tijelo nadležno za zajednicku državnu infrastrukturu. Tvrtka, IT odjel Vanjska tvrtka
46CoBIT kocka i razvoj informacijske sigurnosti
- Control Objectives for Information and Related
Technology - IT Government Institute
- ISACA Information System Audit and Control
Association
47Zakljucno 3. dio
- Prilagodba politika informacijske sigurnosti
razvijenih država - Primjena neklasificiranih kriterija sigurnosti na
najniži stupanj tajnosti klasificiranih podataka
te na osobne podatke gradana - Suceljavanje razlicitih informacijskih domena i
razlicitih društvenih sektora - Konvergencija standarda informacijske sigurnosti
ISO/IEC 17799/27001 (?) - Sve jaca uloga procjene i upravljanja rizicima
- Neklasificirani državni i korporativni
informacijski sustavi - Daljnje smanjenje znacajnih razlika izmedu
klasificiranih i neklasificiranih (korporativnih)
informacijskih sustava
484. dio
- Razvoj informacijske sigurnosti u RH
- Legislativni i organizacijski okvir u RH
49Odgovornost
- Niti jedan dio sigurnosti nece biti u potpunosti
ucinkovit ako ne bude proveden regulativom,
zakonom i pravnom odgovornosti. - Stegovna odgovornost (unutarnja)
- Pravna odgovornost (vanjska)
- Vrh organizacijske hijerarhije
50Razvoj informacijske sigurnosti u RH
- Promjena pristupa orijentiranost na nacionalnu
razinu od 2000.g. - Prva postignuca na nacionalnoj razini
- Svibanj 2000. RH pristupila NATO PfP programu
- Lipanj 2000. RH i NATO potpisale sigurnosni
sporazum - Srpanj 2000. RH uspostavila NATO NSA i
Središnji registar - Legislativa još uvijek nije u potpunosti
revidirana - Zakon o zaštiti tajnosti podataka (1996.)
- Zakon o sigurnosnim službama (2002.)
- Novi paket zakona
- Zakon o sigurnosno-obavještajnom sustavu (srpanj
2006.) - Zakon o tajnosti podataka (u prijedlogu)
- Zakon o sustavu informacijske sigurnosti (u
prijedlogu)
51Nacionalni program informacijske sigurnosti u RH
- Zašto?
- Konzistentan pristup na nacionalnoj razini!
- Strucna skupina za informacijsku sigurnost
- SDUeH, predstavnici TDU, akademskog sektora
- Održana javna rasprava
- Prihvacen na Vladi 31. ožujka 2005.
52Nacionalni program informacijske sigurnosti u RH
(2005.)
- Strateški cilj
- Temelj za dugorocni razvoj informacijskog društva
- Takticki plan
- Postupan razvoj i sustavna implementacija mjera
informacijske sigurnosti u RH (državni sektor,
poslovni sektor i gradanstvo) - Zahtjevi
- Integracijski procesi RH u NATO i EU
- Strateški dokument s preporukama
- Nacionalni zakonodavni i institucionalni okvir
- Planovi edukacije i razvoja sigurnosne svijesti
- Uskladivanje postojecih zakona, organizacije i
postupanja
53Realizacija Programa
- Pripremne radnje do kraja 2006.
- Zakonski okvir, uspostava središnjih državnih
tijela za informacijsku sigurnost NSA, NCSA,
CERT - 1. faza implementacije Programa 2 godine
- Institucije središnje izvršne vlasti
- Minimalni sigurnosni zahtjevi u skladu s NATO
zahtjevima (MAP) - 2. faza implementacije Programa 1 godina
- Ostali stupovi i nivoi vlasti
- Minimalni sigurnosni zahtjevi u skladu s EU
zahtjevima (i2010) - 3. faza implementacije Programa kontinuirano
- Edukacija i razvoj sigurnosne svijesti u društvu,
- Razvoj informacijskog društva i javno-privatno
partnerstvo
54Novi zakoni
- Zamjena za Zakon o zaštiti tajnosti podataka iz
1996. - Pristup na nacionalnoj razini
- Zakon o tajnosti podataka
- Suvremeni koncept tajnosti podataka
- Zakon o sustavu informacijske sigurnosti
- Suvremeni koncept zaštite podataka s vizijom
izgradnje informacijskog društva
55Zakon o tajnosti podataka
- Temeljni principi tajnosti podataka
- Klasificirani i neklasificirani podaci
- Nacela
- poslovne potrebe za pristupom podacima
- sigurnosne provjere
- Procedure klasifikacije/deklasifikacije
- Odredivanje odgovornosti
- Uskladivanje sa Zakonom o kaznenom postupku,
uredskim poslovanjem, konceptom privatnosti i
prava na pristup podacima - Nacrt prijedloga Zakona predviden je za
parlamentarnu proceduru u jesen 2006.
56Zakon o sustavu informacijske sigurnosti
- Suvremeni koncept zaštite podataka s vizijom
izgradnje informacijskog društva - Opsežan zakonski okvir za regulativu
informacijske sigurnosti (nacionalna politika
inf. sigurnosti, uredbe, pravilnici, ) - Odgovorna tijela i rokovi za donošenje
regulativnih akata - 5 sigurnosnih podrucja koordiniranih na
nacionalnoj razini (sukladnost NATO/EU
sigurnosnoj politici) - Uspostava nacionalnog CERT-a kao javne
institucije - Medusobni odnosi središnjih državnih tijela za
informacijsku sigurnost, obzirom na medunarodno
definirane funkcionalnosti NSA, NCSA, SAA, NDA,
CERT, CIS PI, CIS Operating - Nacrt prijedloga Zakona predviden je za
parlamentarnu proceduru u jesen 2006.
57Središnja državna tijela za informacijsku
sigurnost
- Ured Vijeca za nacionalnu sigurnost (UVNS)
- Uspostavljen u svibnju 2002. temeljem Zakona o
sigurnosnim službama (2002.) - National Security Authority, Središnji registar
za razmjenu podataka - NATO problematika - U tijeku reorganizacija temeljem Zakona o
sigurnosno-obavještajnom sustavu (2006.) - Odgovornosti NSA za nacionalnu, NATO i EU
problematiku - Zavod za sigurnost informacijskih sustava (ZSIS)
- Osnivanje propisano 2002.
- Zbog potrebe harmonizacije nekoliko zakona
uspostavlja se tek sada temeljem Zakona o
sigurnosno-obavještajnom sustavu (2006.) - Odgovornosti NCSA, NDA, SAA, Government CERT
58Zakonski okvir inf. sigurnosti u RH
59Institucionalni okvir inf. sigurnosti u RH
60Zakljucno 4. dio
- Središnja tijela tocke kontakta i koordinacije
- UVNS NSA
- ZSIS NCSA, SAA, NDA, Gov CERT
- CARNet Nacionalni CERT
- UVNS krovno koordinacijsko tijelo za
informacijsku sigurnost - Fizicka sigurnost, sigurnosne provjere,
Industrijska sigurnost, sigurnost podataka - ZSIS tehnicko tijelo
- Sigurnost informacijskih sustava
61aleksandar.klaic_at_uvns.vlada.hraklaic_at_hi.t-com.hr
62(No Transcript)