Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Bezpečnost informací a IS/ICT v ÚZIS ČR Minimum informační bezpečnosti pro uživatele a aktuální informace z EU ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010.

Podobné prezentace


Prezentace na téma: "Bezpečnost informací a IS/ICT v ÚZIS ČR Minimum informační bezpečnosti pro uživatele a aktuální informace z EU ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010."— Transkript prezentace:

1 Bezpečnost informací a IS/ICT v ÚZIS ČR Minimum informační bezpečnosti pro uživatele a aktuální informace z EU ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010 pro IKEM

2 Obsah Co je informační bezpečnost Hrozby informační bezpečnosti – příklady z praxe Řízení informační bezpečnosti Postřehy z EU a RE Shrnutí

3 Co je informační bezpečnost (1) Co chceme a musíme chránit?  Vše co má pro organizaci hodnotu (aktiva)  V případě IS/ICT to jsou informace v těchto systémech zpracovávané Co je cílem informační bezpečnosti?  Upozornit na rizika spojená s využíváním ICT: ztráta, zneužití Jakým způsobem snížíme nebo potlačíme rizika?  Implementací bezpečnostních protiopatření a jejich vysvětlením návrh, zavedení (technologických i organizačně-procesních) opatření, kontrola jejich dodržování apod.  Zvýšení efektivity ICT a celkové úrovně bezpečnosti organizace

4 Motto informační bezpečnosti Dokud uživatel neví, z jakého důvodu musí určitá pravidla dodržovat nebo proč je mu něco zakázáno, bude se snažit tato pravidla, která mu „znepříjemňují“ život, nějakým způsobem obcházet.

5 Co je informační bezpečnost (2) V IS je zajištěna: Informační bezpečnost neznamená pouze zajištění důvěrnosti nebo dostupnosti informace, za kterou bývá izolovaně zaměňována. C – Důvěrnost = Confidentiality Informace je přístupná pouze tomu, kdo je k tomu oprávněn. I – Integrita = Integrity Zajištění správnosti i úplnosti informace a správnost metod zpracování. A – Dostupnost = Availability Informace je dostupná oprávněným uživatelům v okamžiku, kdy ji potřebují N – Nepopiratelnost = Non-repudition Původce informace nemůže popřít autorství. Někdy též popisováno jako autenticita (authenticity).

6 Statistiky a trendy z ČR 2009 Výskyt bezpečnostních incidentů za poslední 2 roky a vnímání trendu Průzkum stavu informační bezpečnosti v ČR Národního bezpečnostního úřadu

7 Nebezpečí el. komunikace >> ochrana (1) Ochrana Kryptografické techniky mají zajistit 3 aspekty: – Autentizaci – Důvěrnost – Integritu Kryptografické algoritmy - šifrovací algoritmy >> zajištění důvěrnosti - podpisové algoritmy >> zajištění autentizace - hašovací algoritmy >> zajištění integrity Osvěta a vzdělávání Bezpečné chování uživatelů není bezpečný, protože není zajištěna DID není jen cílem, ale i zdrojem útoků…

8 Nebezpečí el. komunikace >> ochrana (2) Nebezpečné přílohy (trend: pokles) –Malware Nebezpečný obsah (trend: vzestup) –Nevyžádaná pošta: SPAM, HOAX ověřte si na –Sociální inženýrství (sociotechnika) - Phishing, Pharming –Potíže s aktivním obsahem (Java/Script,…) –Hacking Útoky necílí primárně na technologie, ale na uživatele!

9 Poznáváte phishing ?

10 Pharming: Jak ho rozpoznat a bránit se

11 Nebezpečí el. komunikace >> ochrana (3) Chování uživatelů (7 rad) –Již dopředu přistupovat k u podezřívavě – nepředávat citlivé údaje nikdy na základě výzvy em. –Nespouštět neznámé soubory. –Nepoužívat připojení k WiFi a internetové kavárny k online bankovnictví. –Volit vhodné heslo a chránit jej! –Preferovat šifrovanou komunikaci (https), elektronický podpis. –Kontrolovat vydané certifikáty. –Na doma: Zřiďte si peněžní limit na online transakce, kontrolujte bankovní účet.

12 Řízení informační bezpečnosti aneb od chaosu k normám Důvody a příčiny Mezinárodně uznávané „bezpečnostní“ normy (ISO 2700x) Integrovaný přístup:  Vyvážený přístup k řešení fyzické, technické, organizačně-procesní a personální bezpečnosti informací, založený na vyhodnocování rizik.  Bez formálního přístupu (dle ISO) vždy hrozí opomenutí vedoucí k narušení celkové bezpečnosti.  Informační bezpečnost je zejména o systému řízení, nejen o technologiích. ISO = Procesní přístup pro ustavení, zavedení, provozování, monitorování, udržování, tj. efektivní řízení informační bezpečnosti ve společnosti.

13 Postřehy z Evropské unie  Ochrana soukromí jednotlivce ve světle globalizace a pokroku v IT (Facebook, Cloud Computing)  Legislativa ochrany osobních údajů v kontextu ochrany lidských práv a svobod  Směrnice EU na ochranu osobních údajů z r.1995 a Úmluva Rady Evropy z r > Nevyhovuje potřebám současné moderní informační společnosti  Od r.2009 vyhlásila Evropská komise konzultace k vytvoření nového komplexního rámce při zpracování osobních údajů, návrh na změnu směrnice bude zveřejněn v polovině r V roce 2008 Rada Evropy otevřela Úmluvu o ochraně osobních údajů č.108 k přistoupení jakémukoliv státu světa.

14 Závěrečné shrnutí Vzhledem k neustále narůstajícím hrozbám v prostředí ICT souvisejících s rozmachem technologií a Internetu je nezbytné průběžné vzdělávání všech uživatelů IS a zvyšování jejich bezpečnostního povědomí. Porozumění pravidlům informační bezpečnosti povede k jejich dodržování. Dodržování pravidel informační bezpečnosti pomůže zajistit nejen požadovanou ochranu informací, ale zároveň pomůže omezit výskyt bezpečnostních incidentů způsobených neznalostí nebo běžnou lidskou chybou – a tím vede ke zvýšení celkové efektivity IT.

15 Děkuji za pozornost Ing.Jana Blažková, tel


Stáhnout ppt "Bezpečnost informací a IS/ICT v ÚZIS ČR Minimum informační bezpečnosti pro uživatele a aktuální informace z EU ÚZIS ČR, MBI, Ing. Jana Blažková verze 4.0/2010."

Podobné prezentace


Reklamy Google