Uloga industrijskog sektora u informacijskoj sigurnosti - nova legislativa u RH

1
(No Transcript)
2
Uloga industrijskog sektora u informacijskoj
sigurnosti nova legislativa u RH

• Mr. sc. Aleksandar Klaic, dipl. ing. el.
• Ured Vijeca za nacionalnu sigurnost (UVNS)

3
Sponzori
4
(No Transcript)
5
Definicija

• Informacijska sigurnost podrazumijeva ocuvanje
• Povjerljivosti osiguravanje dostupnosti
  informacija samo za ovlaštene korisnike
• Cjelovitosti ocuvanje tocnosti i potpunosti
  informacija i metoda obrade
• Raspoloživosti osiguravanje da ovlašteni
  korisnici imaju, kada im je to potrebno, pristup
  informacijama i s njima povezanim sadržajima.

6
Kontekst

• Informacijska sigurnost
• predstavlja integralni dio sustava nacionalne
  sigurnosti i
• cini temelj izgradnje suvremenog informacijskog
  društva u kojem participiraju
• državni sektor,
• poslovni sektor,
• gradanstvo u cjelini.

7
Sigurnosna suradnja
8
Ciljevi predavanja

• Izgradnja minimalnog stupnja razumijevanja izmedu
  razlicitih društvenih sektora
• Uocavanje kompleksnih odnosa koje diktira
  stvaranje globalnog informacijskog prostora
• Razumijevanje multidisciplinarnosti podrucja
  informacijske sigurnosti

9
Teme

• 1. dio
• Uloga industrijskog sektora u informacijskoj
  sigurnosti
• 2. dio
• Stvaranje globalnog informacijskog prostora
• Informacijski kriteriji i domene
• 3. dio
• Razvoj informacijske sigurnosti
• Usporedba organizacije informacijske sigurnosti u
  državnom i poslovnom sektoru
• 4. dio
• Razvoj informacijske sigurnosti u RH
• Legislativni i organizacijski okvir u RH

10
1. dio

• Uloga industrijskog sektora u informacijskoj
  sigurnosti

11
Industrijski sektor

• Za potrebe ovog predavanja
• Informacijska i komunikacijska tehnologija (ICT)
• Usluge i sustavi
• Hardver i softver
• Usluge i tehnologije u tradicionalnim sigurnosnim
  podrucjima
• Fizicka sigurnost
• Sigurnost dokumenata
• Dio poslovnog sektora u širem smislu

12
Zahtjevi informacijske sigurnosti
13
Izazovi i mogucnosti (1/2)

• Proces nacionalne normizacije
• Informacijska tehnologija, informacijska
  sigurnost
• Hrvatski zavod za norme (HZN)
• Okvir i poticaj - država (SDUeH, UVNS, ZSIS,
  CARNet, )
• Sadržaj primarno poslovni sektor
• Informacijska sigurnost u državnom sektoru
• Edukacija i razvoj sigurnosne svijesti
• Prilagodeni i sadržajno lokalizirani seminari
• Suradnja s akademskim i obrazovnim sustavom
• Nadležna tijela UVNS, ZSIS, SDUeH, MZOŠ

14
Izazovi i mogucnosti (2/2)

• Informacijska sigurnost u tijelima državne vlasti
  (TDU)
• Klasificirane i neklasificirane mreže za prijenos
  podataka
• Mrežni operatori za najam komunikacijske
  infrastrukture
• Centri za upravljanje i nadzor mreža
• Razvoj informacijskih i infrastrukturnih servisa
  TDU
• Tehnologije IT sigurnosti
• Tehnologije fizicke sigurnosti
• Tehnologije sigurnosti dokumenata
• Poslovi certificiranja (CC, ISO, Tempest, )
• Laboratoriji, edukacija
• Nadležna tijela UVNS, ZSIS, SDUeH, MZOŠ
• Nacionalni proizvodi na tržištu NATO zemalja ?
• Nadležna tijela UVNS, ZSIS

15
Zakljucno

• Prednosti uredenog sustava su dugorocne
• Kratkorocni problemi
• Nužna profesionalizacija državne uprave, ali i
  dobavljaca roba i usluga
• Da li je državna uprava RH na potrebnom nivou
  uredenosti?
• Da li je industrijski sektor u RH spreman za nove
  izazove?

16
2. dio

• Stvaranje globalnog informacijskog prostora
• Informacijski kriteriji i domene

17
Informacijska (r)evolucija

• Promjena kulture stvaranja znanja
• Dostupnost, brza distribucija
• Povecana ovisnost društva o informacijskim
  sustavima
• Nacionalni, medunarodni
• Razvoj suvremenih demokratskih koncepata
• Pravo na pristup podacima, privatnost podataka
• ? Utjecaj na temeljne informacijske kriterije
• Raspoloživost, cjelovitost, povjerljivost

18
Informacijski kriteriji

• Primjena na skupove podataka relevantne za
  društvo, državnu upravu, privatnu kompaniju,
• Nastaju podatkovne domene koje cine informacijski
  prostor
• ? Dinamican informacijski prostor
• Oblikuje se sukladno razvoju društva i
  tehnologije

19
Stvaranje globalnog informacijskog prostora
20
Kljucni utjecaji iz 90-tih godina

• Koncept privatnosti
• Koncept e-Governmenta
• Suceljavanje razlicitih sektora društva (državni,
  poslovni, gradanstvo)
• ? Istovremeno i rastuci problemi

21
Sigurnosni problemi u informacijskom prostoru

• Rastuca interakcija razlicitih informacijskih
  domena
• Medusobna suceljavanja razlicitih sigurnosnih
  modela
• Informacijska sigurnost u državnom i poslovnom
  sektoru
• Norme, standardi
• Telekomunikacijska regulativa
• ? Zahtjevi na informacijske sustave

22
Sigurnosni zahtjevi

• Temeljni informacijski kriteriji
• Povjerljivost, cjelovitost, raspoloživost (CIA
  triad)
• Klasificirane i neklasificirane domene (C)

23
Zahtjevi povjerenja

• Informacijski kriteriji
• uskladenost i pouzdanost (compliance and
  reliability)
• Harmonizacija i uspostava uzajamnog povjerenja u
  informacijskim sustavima koji se koriste u okviru
  odredene informacijske domene
• Sigurnosna akreditacija
• Sukladnost s temeljnim principima informacijske
  domene
• Uvjet korištenja i/ili interkonekcije
  informacijskih sustava

24
Zahtjevi kakvoce

• Informacijski kriteriji
• ucinkovitost i djelotvornost (effectiveness and
  efficiency)
• Primarno kod javnih e-Government usluga
• Javna telekomunikacijska infrastruktura
• Sporazum o razini usluge (SLA)

25
Informacijski sustavi državne uprave
26
Definicija kriterija povjerenja za informacijske
sustave
IT infra-structure Private Private Private Public
IT services Private Public Public Public
IT users Private Private Public Public
TRUST Implicit Controled Limited Uncontrolled
27
Kriterij povjerenja informacijska domena -
Internet
Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust
Information Domain Classified (Secret) Unclassified (Private) Public
Internet Connection Isolated Manageable Connection Shared Infrastructure
28
Kategorizacija informacijskih sustava temeljena
na povjerenju
Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust
Government Sector Classified IS Unclassified IS e-Gov Services
Business Sector Corporate Networks On-line Busi-ness Services SOHO
Citizens Private PCs
29
Zakljucno 2. dio

• Sveprisutnost Interneta
• sve manje izoliranih mreža
• Rastuce ugroze na Internetu
• sve više velikih informacijskih sustava u
  kategorijama kontroliranog i ogranicenog
  povjerenja temelj e-Gov usluga
• Velike slicnosti državnih i poslovnih
  informacijskih sustava

30
3. dio

• Razvoj informacijske sigurnosti
• Usporedba organizacije informacijske sigurnosti u
  državnom i poslovnom sektoru

31
Razvoj informacijske sigurnosti

• Vrlo duga tradicija u državnom sektoru
• Koncept nacionalne sigurnosti
• Minimalni sigurnosni zahtjevi za sva državna
  tijela
• Modeli ugroza promijenjeni
• Hladni rat ? terorizam
• Sukobljavanje ? suradnja

32
Sigurnosna podrucja

• Tradicionalna sigurnosna podrucja
• Fizicka sigurnost, sigurnosne provjere, sigurnost
  podataka
• Tradicionalna tehnicka sigurnosna podrucja
• COMSEC, COMPUSEC, TECSEC
• ? Sigurnost informacijskih sustava (INFOSEC)
• Informacijska sigurnost državne uprave
• Fizicka sigurnost, sigurnosne provjere, sigurnost
  podataka, sigurnost informacijskih sustava
  (INFOSEC), industrijska sigurnost

33
Trendovi razvoja informacijske sigurnosti
34
Karakteristike državnog sektora

• Usmjerenost na organizacijske aspekte
• Funkcionalni model organizacijskih tijela
• NSA, IA ili NCSA, SAA, NDA, CISO/LISO ili CIS OA,
  ITSOA ili CIS PI, CERT ili CIRC
• Nacela i zahtjevi
• Odgovornost, razdvajanje nadležnosti i nadzornih
  procesa, optimizacija resursa
• Eksplicitni i implicitni zahtjevi

35
Karakteristike poslovnog sektora

• Tradicionalno
• Specijalni vladini/vojni projekti
• Financijski sektor
• 1990-te
• Brzi razvoj ICT-a i širenje Interneta
• ? IT sigurnost
• Danas širi koncept informacijske sigurnosti
• Ovisnost poslovnih procesa o IT-u
• Ljudi, organizacija, tehnologija

36
Nove inicijative

• Standardizacija informacijske i komunikacijske
  tehnologije te podrucja informacijske sigurnosti
• Koncepti i zahtjevi informacijske sigurnosti u
  temeljima modela informacijskog društva
• Interoperabilnost
• Tehnicka, semanticka, organizacijska

37
Standardizacija

• Stimulirana i podržana od vlada zemalja
• Tradicionalna normizacija (nacionalna,
  medunarodna),
• Vlasnicki standardi,
• Otvoreni standardi.
• Nacionalni normizacijski okviri (Security ICT)
• Protection and Security of the Citizen (EU),
• ANSI-HSSP (USA),
• ? ISO JTC 1 / SC 27 (medunarodno)
• Pozitivan utjecaj na industriju, upravljanje
  poslovnim procesima, razvoj represivnih mjera

38
Smisao standardizacije (ISO)

• Standardi pridonose pojednostavljenju života te
  povecanju pouzdanosti i djelotvornosti robe i
  usluga koje koristimo
• Snaga koju standardi donose korisnicima (državni
  ili privatni sektor) leži u njihovoj sposobnosti
  da konsenzusom odrede koje ce postojece standarde
  koristiti, a ne da kreiraju nove standarde.

39
Standardi informacijske sigurnosti i IT-a

• Poslovni i tehnicki standardi
• Poslovni standardi i procesi ovise i realiziraju
  se pomocu IT-a

40
Sigurnost informacijskog društva procesni pogled
41
Interoperabilnost

• Tehnicka infrastrukturna
• Semanticka aplikacijska
• Organizacijska procesna
• Informacijska sigurnost
• Primarno se referira na organizacijski sloj
• Pretpostavlja uredenost tehnickog i semantickog
  sloja (IT problematika)
• Strategija Programa One Stop Shop

42
Temeljne kategorije sustava informacijske
sigurnosti

• Preduvjet uspostave sustava upravljanja
  informacijskom sigurnosti
• Nezaobilazno u velikim okruženjima
• Osnovne kategorije i usporedba državnog i
  poslovnog sektora
• Regulativa informacijske sigurnosti
• Odgovorna tijela
• Vlasnici podataka
• Vlasnici infrastrukture

43
Legislativa i regulativa informacijske sigurnosti
Državni sektor Poslovni sektor
Opca legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl. Opca legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl.
Nacionalna politika inf. sigurnosti, Uredbe Vlade o sig. podrucjima, Pravilnici središnjih državnih tijela za informacijsku sigurnost, Ostali unutarnji akti Sigurnosna politika, Organizacijska sigurnosna politika, Funkcionalna implementacijska politika, Smjernice i procedure
Norme informacijske sigurnosti i IT-a, Otvoreni standardi, Preporuke, smjernice i najbolje prakse (nacionalne i medunarodne) Norme informacijske sigurnosti i IT-a, Otvoreni standardi, Preporuke, smjernice i najbolje prakse (nacionalne i medunarodne)
44
Odgovorna tijela
Državni sektor Poslovni sektor
Vlada / Sabor CEO / Upravni odbor
NSA CSO
NCSA (IA) IT odjel / Vanjski konzultanti
ITSOA IT odjel / Vanjska suradnja
SAA Ovlaštena vanjska kuca
45
Vlasnici podataka i infrastrukture
Državni sektor Poslovni sektor
Vlasnici podataka Državno tijelo, celnik tijela ili najviši rang rukovoditelja Tvrtka, CEO ili clan uprave
Vlasnici infra-strukture Državno tijelo, IT odjel ili posebno tijelo nadležno za zajednicku državnu infrastrukturu. Tvrtka, IT odjel Vanjska tvrtka
46
CoBIT kocka i razvoj informacijske sigurnosti

• Control Objectives for Information and Related
  Technology
• IT Government Institute
• ISACA Information System Audit and Control
  Association

47
Zakljucno 3. dio

• Prilagodba politika informacijske sigurnosti
  razvijenih država
• Primjena neklasificiranih kriterija sigurnosti na
  najniži stupanj tajnosti klasificiranih podataka
  te na osobne podatke gradana
• Suceljavanje razlicitih informacijskih domena i
  razlicitih društvenih sektora
• Konvergencija standarda informacijske sigurnosti
  ISO/IEC 17799/27001 (?)
• Sve jaca uloga procjene i upravljanja rizicima
• Neklasificirani državni i korporativni
  informacijski sustavi
• Daljnje smanjenje znacajnih razlika izmedu
  klasificiranih i neklasificiranih (korporativnih)
  informacijskih sustava

48
4. dio

• Razvoj informacijske sigurnosti u RH
• Legislativni i organizacijski okvir u RH

49
Odgovornost

• Niti jedan dio sigurnosti nece biti u potpunosti
  ucinkovit ako ne bude proveden regulativom,
  zakonom i pravnom odgovornosti.
• Stegovna odgovornost (unutarnja)
• Pravna odgovornost (vanjska)
• Vrh organizacijske hijerarhije

50
Razvoj informacijske sigurnosti u RH

• Promjena pristupa orijentiranost na nacionalnu
  razinu od 2000.g.
• Prva postignuca na nacionalnoj razini
• Svibanj 2000. RH pristupila NATO PfP programu
• Lipanj 2000. RH i NATO potpisale sigurnosni
  sporazum
• Srpanj 2000. RH uspostavila NATO NSA i
  Središnji registar
• Legislativa još uvijek nije u potpunosti
  revidirana
• Zakon o zaštiti tajnosti podataka (1996.)
• Zakon o sigurnosnim službama (2002.)
• Novi paket zakona
• Zakon o sigurnosno-obavještajnom sustavu (srpanj
  2006.)
• Zakon o tajnosti podataka (u prijedlogu)
• Zakon o sustavu informacijske sigurnosti (u
  prijedlogu)

51
Nacionalni program informacijske sigurnosti u RH

• Zašto?
• Konzistentan pristup na nacionalnoj razini!
• Strucna skupina za informacijsku sigurnost
• SDUeH, predstavnici TDU, akademskog sektora
• Održana javna rasprava
• Prihvacen na Vladi 31. ožujka 2005.

52
Nacionalni program informacijske sigurnosti u RH
(2005.)

• Strateški cilj
• Temelj za dugorocni razvoj informacijskog društva
• Takticki plan
• Postupan razvoj i sustavna implementacija mjera
  informacijske sigurnosti u RH (državni sektor,
  poslovni sektor i gradanstvo)
• Zahtjevi
• Integracijski procesi RH u NATO i EU
• Strateški dokument s preporukama
• Nacionalni zakonodavni i institucionalni okvir
• Planovi edukacije i razvoja sigurnosne svijesti
• Uskladivanje postojecih zakona, organizacije i
  postupanja

53
Realizacija Programa

• Pripremne radnje do kraja 2006.
• Zakonski okvir, uspostava središnjih državnih
  tijela za informacijsku sigurnost NSA, NCSA,
  CERT
• 1. faza implementacije Programa 2 godine
• Institucije središnje izvršne vlasti
• Minimalni sigurnosni zahtjevi u skladu s NATO
  zahtjevima (MAP)
• 2. faza implementacije Programa 1 godina
• Ostali stupovi i nivoi vlasti
• Minimalni sigurnosni zahtjevi u skladu s EU
  zahtjevima (i2010)
• 3. faza implementacije Programa kontinuirano
• Edukacija i razvoj sigurnosne svijesti u društvu,
• Razvoj informacijskog društva i javno-privatno
  partnerstvo

54
Novi zakoni

• Zamjena za Zakon o zaštiti tajnosti podataka iz
  1996.
• Pristup na nacionalnoj razini
• Zakon o tajnosti podataka
• Suvremeni koncept tajnosti podataka
• Zakon o sustavu informacijske sigurnosti
• Suvremeni koncept zaštite podataka s vizijom
  izgradnje informacijskog društva

55
Zakon o tajnosti podataka

• Temeljni principi tajnosti podataka
• Klasificirani i neklasificirani podaci
• Nacela
• poslovne potrebe za pristupom podacima
• sigurnosne provjere
• Procedure klasifikacije/deklasifikacije
• Odredivanje odgovornosti
• Uskladivanje sa Zakonom o kaznenom postupku,
  uredskim poslovanjem, konceptom privatnosti i
  prava na pristup podacima
• Nacrt prijedloga Zakona predviden je za
  parlamentarnu proceduru u jesen 2006.

56
Zakon o sustavu informacijske sigurnosti

• Suvremeni koncept zaštite podataka s vizijom
  izgradnje informacijskog društva
• Opsežan zakonski okvir za regulativu
  informacijske sigurnosti (nacionalna politika
  inf. sigurnosti, uredbe, pravilnici, )
• Odgovorna tijela i rokovi za donošenje
  regulativnih akata
• 5 sigurnosnih podrucja koordiniranih na
  nacionalnoj razini (sukladnost NATO/EU
  sigurnosnoj politici)
• Uspostava nacionalnog CERT-a kao javne
  institucije
• Medusobni odnosi središnjih državnih tijela za
  informacijsku sigurnost, obzirom na medunarodno
  definirane funkcionalnosti NSA, NCSA, SAA, NDA,
  CERT, CIS PI, CIS Operating
• Nacrt prijedloga Zakona predviden je za
  parlamentarnu proceduru u jesen 2006.

57
Središnja državna tijela za informacijsku
sigurnost

• Ured Vijeca za nacionalnu sigurnost (UVNS)
• Uspostavljen u svibnju 2002. temeljem Zakona o
  sigurnosnim službama (2002.)
• National Security Authority, Središnji registar
  za razmjenu podataka - NATO problematika
• U tijeku reorganizacija temeljem Zakona o
  sigurnosno-obavještajnom sustavu (2006.)
• Odgovornosti NSA za nacionalnu, NATO i EU
  problematiku
• Zavod za sigurnost informacijskih sustava (ZSIS)
• Osnivanje propisano 2002.
• Zbog potrebe harmonizacije nekoliko zakona
  uspostavlja se tek sada temeljem Zakona o
  sigurnosno-obavještajnom sustavu (2006.)
• Odgovornosti NCSA, NDA, SAA, Government CERT

58
Zakonski okvir inf. sigurnosti u RH
59
Institucionalni okvir inf. sigurnosti u RH
60
Zakljucno 4. dio

• Središnja tijela tocke kontakta i koordinacije
• UVNS NSA
• ZSIS NCSA, SAA, NDA, Gov CERT
• CARNet Nacionalni CERT
• UVNS krovno koordinacijsko tijelo za
  informacijsku sigurnost
• Fizicka sigurnost, sigurnosne provjere,
  Industrijska sigurnost, sigurnost podataka
• ZSIS tehnicko tijelo
• Sigurnost informacijskih sustava

61
aleksandar.klaic_at_uvns.vlada.hraklaic_at_hi.t-com.hr
62
(No Transcript)