Bezpečnost informací a IS/ICT v ÚZIS ČR Minimum informační bezpečnosti pro uživatele

a aktuální informace z EU

ÚZIS ČR, MBI, Ing. Jana Blažková

verze 4.0/2010 pro IKEM

Obsah• Co je informační bezpečnost• Hrozby informační bezpečnosti – příklady z praxe• Řízení informační bezpečnosti• Postřehy z EU a RE• Shrnutí

Co je informační bezpečnost (1)• Co chceme a musíme chránit?

Vše co má pro organizaci hodnotu (aktiva) V případě IS/ICT to jsou informace v těchto systémech zpracovávané

• Co je cílem informační bezpečnosti? Upozornit na rizika spojená s využíváním ICT:

ztráta, zneužití

• Jakým způsobem snížíme nebo potlačíme rizika? Implementací bezpečnostních protiopatření a jejich vysvětlením

návrh,zavedení (technologických i organizačně-procesních) opatření, kontrola jejich dodržování apod.

Zvýšení efektivity ICT a celkové úrovně bezpečnosti organizace

Motto informační bezpečnosti

Dokud uživatel neví, z jakého důvodu musí určitá pravidla dodržovat nebo proč je mu něco zakázáno, bude se snažit tato pravidla, která mu „znepříjemňují“ život, nějakým způsobem obcházet.

Co je informační bezpečnost (2)V IS je zajištěna:

Informační bezpečnost neznamená pouze zajištění důvěrnosti nebo dostupnosti informace, za kterou bývá izolovaně zaměňována.

C – Důvěrnost = ConfidentialityInformace je přístupná pouze tomu, kdo je k tomu

oprávněn. I – Integrita = Integrity

Zajištění správnosti i úplnosti informace a správnost metod zpracování.

A – Dostupnost = AvailabilityInformace je dostupná oprávněným uživatelům v okamžiku, kdy ji potřebují.------------------

N – Nepopiratelnost = Non-repuditionPůvodce informace nemůže popřít autorství.Někdy též popisováno jako autenticita (authenticity).

Statistiky a trendy z ČR 2009Výskyt bezpečnostních incidentů za poslední 2 roky a vnímání trenduPrůzkum stavu informační bezpečnosti v ČR Národního bezpečnostního úřadu

Nebezpečí el. komunikace >> ochrana (1)

Ochrana• Kryptografické techniky mají zajistit 3 aspekty:

– Autentizaci – Důvěrnost– Integritu

Kryptografické algoritmy - šifrovací algoritmy >> zajištění důvěrnosti - podpisové algoritmy >> zajištění autentizace - hašovací algoritmy >> zajištění integrity• Osvěta a vzdělávání• Bezpečné chování uživatelů

Email není bezpečný, protože není zajištěna DID

Email není jen cílem, ale i zdrojem útoků…

Nebezpečí el. komunikace >> ochrana (2)

• Nebezpečné přílohy (trend: pokles)– Malware

• Nebezpečný obsah (trend: vzestup)– Nevyžádaná pošta: SPAM, HOAX

ověřte si na http://www.hoax.cz – Sociální inženýrství (sociotechnika) - Phishing, Pharming – Potíže s aktivním obsahem (Java/Script,…)– Hacking

Útoky necílí primárně na technologie, ale na uživatele!

Poznáváte phishing ?

Pharming: Jak ho rozpoznat a bránit se

Nebezpečí el. komunikace >> ochrana (3)

Chování uživatelů (7 rad)– Již dopředu přistupovat k e-mailu podezřívavě – nepředávat

citlivé údaje nikdy na základě výzvy emailem.– Nespouštět neznámé soubory.– Nepoužívat připojení k WiFi a internetové kavárny k online

bankovnictví.– Volit vhodné heslo a chránit jej! – Preferovat šifrovanou komunikaci (https), elektronický podpis.– Kontrolovat vydané certifikáty.– Na doma: Zřiďte si peněžní limit na online transakce, kontrolujte

bankovní účet.

Řízení informační bezpečnostianeb od chaosu k normám• Důvody a příčiny• Mezinárodně uznávané „bezpečnostní“ normy (ISO 2700x)

Integrovaný přístup:Vyvážený přístup k řešení fyzické, technické, organizačně-procesní

a personální bezpečnosti informací, založený na vyhodnocování rizik.

Bez formálního přístupu (dle ISO) vždy hrozí opomenutí vedoucí k narušení celkové bezpečnosti.

Informační bezpečnost je zejména o systému řízení, nejen o technologiích.

ISO 27001 = Procesní přístup pro ustavení, zavedení, provozování, monitorování, udržování, tj. efektivní řízení informační bezpečnosti ve společnosti.

Postřehy z Evropské unie Ochrana soukromí jednotlivce ve světle globalizace a

pokroku v IT (Facebook, Cloud Computing) Legislativa ochrany osobních údajů v kontextu

ochrany lidských práv a svobod

Směrnice EU na ochranu osobních údajů z r.1995

a Úmluva Rady Evropy z r. 1981 > Nevyhovuje potřebám současné moderní informační společnosti

Od r.2009 vyhlásila Evropská komise konzultace k vytvoření nového komplexního rámce při zpracování osobních údajů, návrh na změnu směrnice bude zveřejněn v polovině r.2011.

V roce 2008 Rada Evropy otevřela Úmluvu o ochraně osobních údajů č.108 k přistoupení jakémukoliv státu světa.

Závěrečné shrnutí

• Vzhledem k neustále narůstajícím hrozbám v prostředí ICT souvisejících s rozmachem technologií a Internetu je nezbytné průběžné vzdělávání všech uživatelů IS a zvyšování jejich bezpečnostního povědomí.

• Porozumění pravidlům informační bezpečnosti povede k jejich dodržování.

• Dodržování pravidel informační bezpečnosti pomůže zajistit nejen požadovanou ochranu informací, ale zároveň pomůže omezit výskyt bezpečnostních incidentů způsobených neznalostí nebo běžnou lidskou chybou – a tím vede ke zvýšení celkové efektivity IT.

Děkuji za pozornost

Ing.Jana Blažková, blazkova@uzis.cz, tel. 22497 2106