Скачать презентацию OSNOVI ZAŠTITE INFORMACIJA 12 UPRAVLJANJE OSTALIM KOMPONENTAMA SISTEMA Скачать презентацию OSNOVI ZAŠTITE INFORMACIJA 12 UPRAVLJANJE OSTALIM KOMPONENTAMA SISTEMA

20d077d54f82774273df48cee0a0ee03.ppt

  • Количество слайдов: 62

OSNOVI ZAŠTITE INFORMACIJA 12. UPRAVLJANJE OSTALIM KOMPONENTAMA SISTEMA ZAŠTITE -PZ, FZ, OO, C&A- 15. OSNOVI ZAŠTITE INFORMACIJA 12. UPRAVLJANJE OSTALIM KOMPONENTAMA SISTEMA ZAŠTITE -PZ, FZ, OO, C&A- 15. 03. 2018 UNIVERZITET SINERGIJAI 1

CILJEVI OSTALIH KOMPONENTI ZAŠTITE (PZ, FZ, OO, NR, C&A ) • Razumeti i naučiti: CILJEVI OSTALIH KOMPONENTI ZAŠTITE (PZ, FZ, OO, NR, C&A ) • Razumeti i naučiti: – značaj komponenti personalne zaštite (PZ), fizičke zaštite (FZ), obuke i obrazovanja (OO), nadzora i revizije (NR) i sertifikacije i akreditacije zaštite (C&A) u razvoju i održavanju programa i sistema zaštite – organizaciju, uloge i standarde ovih komponenti sistema zaštite u sistemu zaštite – značaj obuke i obrazovanja u zaštiti 15. 03. 2018 UNIVERZITET SINERGIJAI 2

Terminologija • • Bezbednosna provera, Minimalne privilegije Osetljivost radnog mesta Personalna zaštita. . Fizička Terminologija • • Bezbednosna provera, Minimalne privilegije Osetljivost radnog mesta Personalna zaštita. . Fizička zaštita Fizički objekti Saniranje medija Zaštita okruženja IKT sistema • Kompetentnost • Kvalifikacije 15. 03. 2018 • • • Kvalifikacije Kvalitet Obrazovni modul Veština Kontrola, revizija (provera) (Audit) Kontrolni mehanizam Kontrolni trag) Sertifikacija i akreditacija Autoritet akredicije Granice akreditacije UNIVERZITET SINERGIJAI 3

Personalna zaštita Proces popune radnih mesta. 1. Popuna zaposlenih u IKT sistemu 2. Administriranje Personalna zaštita Proces popune radnih mesta. 1. Popuna zaposlenih u IKT sistemu 2. Administriranje korisničkih naloga 15. 03. 2018 UNIVERZITET SINERGIJAI 4

Definisanje i opis radnih mesta (r/m) • • Razdvajanje dužnosti Davanje minimalnih privilegija Određivanje Definisanje i opis radnih mesta (r/m) • • Razdvajanje dužnosti Davanje minimalnih privilegija Određivanje nivoa osetljivosti r/m Kriterijumi za određivanje n/o r/m (model B/K): – vrsta i stepen štete od zloupotrebe IKT sistema – pristupi klasifikovanim informacijama – zaštita velikog broja osetljivih r/m - veći resursi – izbor malog broja osetljivih r/m - veliki rizik 15. 03. 2018 UNIVERZITET SINERGIJAI 5

Popuna radnih mesta • Javni sektor: konkurs, profil kandidata za svako r/m • b. Popuna radnih mesta • Javni sektor: konkurs, profil kandidata za svako r/m • b. /provera kandidata (zvanični organi): • provera poverljivosti/pouzdanosti lica za r/m (menadžeri) • Privatni sektor: – CV, provera ličnih kvalifikacija, radnog iskustva, hobija. . . – organizacije - balansiraju strah/potreba (kroz politike i procedure) – inicijalno postavljenje - na manje osetljivo r/m 15. 03. 2018 UNIVERZITET SINERGIJAI 6

Obuka zaposlenih 1. Prijem lica na r/m - popuna nije završena 2. Pripravnički staž Obuka zaposlenih 1. Prijem lica na r/m - popuna nije završena 2. Pripravnički staž i obuka za poslove na r/m: • • • obuka za rad na PC i odgovornosti u zaštiti obuka iz oblasti zaštite - vrlo rentabilna pristup samo ličnim PC - dok se b/p ne završi inicijalna obuka iz zaštite - pre dodele AC. . obuka novih korisnika - kritičan faktor pers. z. 15. 03. 2018 UNIVERZITET SINERGIJAI 7

2. Administriranje korisnika - procesi 1. 2. 3. 4. 5. 6. Upravljanje korisničkim nalozima 2. Administriranje korisnika - procesi 1. 2. 3. 4. 5. 6. Upravljanje korisničkim nalozima (k/n) Kontrola prakse upravljanja k/n Detekcija ilegalnih aktivnosti zaposlenih Ukidanje naloga: prijateljsko, ne-prijateljsko Personalna zaštita spoljnih saradnika Personalna zaštita u sistemu javne uprave 15. 03. 2018 UNIVERZITET SINERGIJAI 8

STANDARDI FIZIČKE ZAŠTITE -Standard za računarsku sobu- 1. Klasifikovane Radna Soba (RS) ima značajniju STANDARDI FIZIČKE ZAŠTITE -Standard za računarsku sobu- 1. Klasifikovane Radna Soba (RS) ima značajniju PPZ i senzore: – RS 1 - bezbedna (restriktivna) zona – RS 2 - delimično bezbedna – RS 3 - otporna na upad 2. Neklasifikovana RS: – RS 4 - javno raspoloživa 15. 03. 2018 UNIVERZITET SINERGIJAI 9

STANDARDI FIZIČKE ZAŠTITE • Standard za radnu stanicu (RSt) je uključen u standarnu RS: STANDARDI FIZIČKE ZAŠTITE • Standard za radnu stanicu (RSt) je uključen u standarnu RS: 1. Klasifikovane (sadrže HD i memorije) – RSt 1 - bezbedna – RSt 2 - delimično bezbedna – RSt 3 - otporna na upad 2. Neklasifikovane – RSt 4 -javno dostupna (terminal) 15. 03. 2018 UNIVERZITET SINERGIJAI 10

(NIST) Primer: standardi fizičke zaštite -Stepeni nivoa fizičke zaštite. Uputstvo za zaštitu: 4. nivo (NIST) Primer: standardi fizičke zaštite -Stepeni nivoa fizičke zaštite. Uputstvo za zaštitu: 4. nivo najviši, 1. nivo najniži stepen f/z Nivo f/z Bezbedna Delimično Otporna na zona bezbedna zona upad 4. nivo RS 2 i RSt 2 RS 1 i RSt 1 Nema standarda 3. nivo RS 3 i RSt 3 RS 2 i RSt 2 RS 1 i RSt 1 2. nivo RS 3 i RSt 3 RS 2 i RSt 2 1. nivo Nema standarda RS 2 i RSt 2 15. 03. 2018 UNIVERZITET SINERGIJAI 11

Fizička zaštita IKTS i okruženja • – – – Kategorije: fizički objekti (mob. i Fizička zaštita IKTS i okruženja • – – – Kategorije: fizički objekti (mob. i prenosni uređaji!!) geografska operativna lokacija (prirodne pretnje) okruženje za podršku rada IKTS • – – – Rizici (zaštita od pretnji): prekid u davanju servisa IKT sistema fizička oštećenja, neovlašćeno otkrivanje inform. gubitak kontrole integriteta IKT sistema 15. 03. 2018 UNIVERZITET SINERGIJAI 12

Mere i metode fizičke i zaštite okruženja IKTS 1. 2. 3. 4. 5. 6. Mere i metode fizičke i zaštite okruženja IKTS 1. 2. 3. 4. 5. 6. 7. 8. barijere za fizički pristup protiv požarna zaštita (PPZ) sistemi za grejanje, hlađenje i ventilaciju fizička struktura objekta (kolaps) vodovodne instalacije prisluškivanje podataka utcaj EM smetnji stacionarnost/mobilnost/prenosivost IS 15. 03. 2018 UNIVERZITET SINERGIJAI 13

Deklasifikacija medija/opreme (M/O) • Uklanjanje ili redukcija nivoa klasifikacije: – prethodi procena rizika, prodaje, Deklasifikacija medija/opreme (M/O) • Uklanjanje ili redukcija nivoa klasifikacije: – prethodi procena rizika, prodaje, odlaganja. . . 1. Demagnetizacija 2. Višekratno presnimavanje magnetskih medija 15. 03. 2018 UNIVERZITET SINERGIJAI 14

Saniranje i deklasifikacija • Kategorije za sanaciju M/O: – magnetski mediji, laserski printeri, osetljive Saniranje i deklasifikacija • Kategorije za sanaciju M/O: – magnetski mediji, laserski printeri, osetljive memorije • Laserski printeri i kopir aparati – nakon poslednjeg korišćenja printovati prazne kopije • Memorijski čipovi (na osnovu procene rizika) – uklanjanjem izvora napajanja i uzemljivanjem – po odobrenom metodu destrukcije HD i memorija (topljenjem, lomljenjem ili mlevenjem) 15. 03. 2018 UNIVERZITET SINERGIJAI 15

Stepeni saniranja medija Četiri nivoa saniranja M/O: v 0. nivo: magnetni mediji, printeri, memorije Stepeni saniranja medija Četiri nivoa saniranja M/O: v 0. nivo: magnetni mediji, printeri, memorije nisu sanirani v 1. nivo: 1. Magnetski mediji sanirani 2. Laserski printer/kopir, osetljiva memorija nisu sanirani v 2. nivo: 1. Magnetski mediji, 2. Nivo deklasifikacije - barem dva nivoa niži od originalne 3. Laserski printer/kopir i osetljiva memorija - sanirana prema propisanom metodu 15. 03. 2018 UNIVERZITET SINERGIJAI 16

Stepeni saniranja medija-1 v 3. nivo: – Svi magnetski mediji su uništeni – Laserski Stepeni saniranja medija-1 v 3. nivo: – Svi magnetski mediji su uništeni – Laserski printer/kopir i osetljiva memorija - sanirana propisano na osnovu procene rizika v 4. nivo: – Svi magnetski mediji uništeni – Svi laserski printeri/kopiri uništeni – Sve osetljive memorije uništene 15. 03. 2018 UNIVERZITET SINERGIJAI 17

Primer: proces saniranja i odlaganja dokumenata i medija 15. 03. 2018 UNIVERZITET SINERGIJAI 18 Primer: proces saniranja i odlaganja dokumenata i medija 15. 03. 2018 UNIVERZITET SINERGIJAI 18

Sistem fizičke zaštite 1. Kontroliše pravo pristupa objektima org. 2. Tipična infrastruktura: – uređaj Sistem fizičke zaštite 1. Kontroliše pravo pristupa objektima org. 2. Tipična infrastruktura: – uređaj za kontrolu fizičkog pristupa – fizičke blokade i mehanizmi za zaključavanje – PPZ sistem , sistemi za grejanje, hlađenje. . . – sistem za video nadzor sa tonskim zapisom – sistem za protivprovalnu zaštitu 15. 03. 2018 UNIVERZITET SINERGIJAI 19

Primer: Ranjivost CCTV sistema • Gotham Digital Science istraživanje: – Većina CCTV sistema dolazi Primer: Ranjivost CCTV sistema • Gotham Digital Science istraživanje: – Većina CCTV sistema dolazi sa podrazumevanim setovanjem: – Omogućenim udaljenim pristupom – Prekonfigurisanim nalogom i pasvordom (>70% korisnika) – Većina vlasnika ovog nije svesna – Pristup CCTV sistemu može kroz : • Win 32 debeli (thick) klijent, mobilni uređaj ili • IE Active X kontrolu gde se zahtevaju korisničko ime i pasvord • Moguća kontrola zuma i kretanja kamere i pristup svim arhiviranim podacima – Metaspolit za testiranje ranjivosti nema modul za CCTV 15. 03. 2018 UNIVERZITET SINERGIJAI 20

Metodi implementacije fizičke zaštite • Opšti kriterijumi za implementaciju: – Mere zaštite prema zakonu Metodi implementacije fizičke zaštite • Opšti kriterijumi za implementaciju: – Mere zaštite prema zakonu i regulativi – Troškovi su beznačajni, ali je korist bitna – IS fatalno izložen, ozbiljni troškovi zaštite – Procenjuje se da je IKT zaštita rentabilna 15. 03. 2018 UNIVERZITET SINERGIJAI 21

Konvergencija fizičke i logičke zaštite • Do nedavno dve odvojene celine i potpuno odvojeno Konvergencija fizičke i logičke zaštite • Do nedavno dve odvojene celine i potpuno odvojeno upravljanje: ACL i sistem fizičke zaštite • Tehnološka integracija: – logička i fizička zaštitu konvergiraju u integrisani sistem – koncept upravljanja digitalnim identitetom • Pristup zahteva: – jasno definisanje politike zaštite i vlasnika imovine org. – zaštitu korisnika i imovine, nadzor i kontrolu sistema zaštite – odgovore na KI i VD, oporavak i kontinuitet poslovanja – konvergencija - smanjuje troškove zaštite 15. 03. 2018 UNIVERZITET SINERGIJAI 22

Primer: Model odnosa logičke i fizičke zaštite 15. 03. 2018 UNIVERZITET SINERGIJAI 23 Primer: Model odnosa logičke i fizičke zaštite 15. 03. 2018 UNIVERZITET SINERGIJAI 23

Koncept sistema za upravljanje identitetom 1. Jedinicu za skladištenje podataka 2. Jedinicu za autentifikaciju Koncept sistema za upravljanje identitetom 1. Jedinicu za skladištenje podataka 2. Jedinicu za autentifikaciju 3. Kontrole politike zaštite (MKP) 4. Jedinica za kontrolu (auditing) 15. 03. 2018 UNIVERZITET SINERGIJAI 24

OBRAZOVANJE I OBUKA O ZAŠTITI Svest o potrebi zaštite (S/P/Z) 1. S/P/Z nije obuka OBRAZOVANJE I OBUKA O ZAŠTITI Svest o potrebi zaštite (S/P/Z) 1. S/P/Z nije obuka 2. Namena: – usmeravanje pažnje na zaštitu – prepoznavanje problema i odgovora – pasivno primanje informacija – učesnici nemaju aktivnu ulogu kao u obuci – što veći broj učesnika 15. 03. 2018 UNIVERZITET SINERGIJAI 25

S/P/Z - Izvori materijala • • akademske institucije, centar za zaštitu org. relevantni materijali S/P/Z - Izvori materijala • • akademske institucije, centar za zaštitu org. relevantni materijali o zaštiti na Internetu savetnici zaštite preko e-mailova organizactije i proizvođači proizvoda zaštite online Web lokacije o zaštiti IKT sistema časopisi o zaštiti konferencije, seminari i kursevi o zaštiti 15. 03. 2018 UNIVERZITET SINERGIJAI 26

Cilj obuke 1. Obučiti korisnike veštinama: • šta i kako treba da rade • Cilj obuke 1. Obučiti korisnike veštinama: • šta i kako treba da rade • kako mogu to da urade 2. Obuhvata više nivoa: • • • osnovna prakse zaštite srednji kurs obuke napredni kurs obuke (specijalistički) specifična obuka za jedan kompjuterski sistem generička da obuhvati sve sisteme 15. 03. 2018 UNIVERZITET SINERGIJAI 27

Obuka - individualna odgovornost 1. Program obuke: – izjave o prihvatanju - zaposleni pročitao Obuka - individualna odgovornost 1. Program obuke: – izjave o prihvatanju - zaposleni pročitao i shvatio bezbednosne zahteve. 2. Razvoj materijala za obuku: – prikupljanje, izbor, definisanje obima i sadržaja 3. Implementacija programa – na bazi web-a, učenje na daljinu, video, na r/m itd. 15. 03. 2018 UNIVERZITET SINERGIJAI 28

Obuka –realizacija i evaluacija 1. Kvalitet programa: • razvoj politike i plana zaštite na Obuka –realizacija i evaluacija 1. Kvalitet programa: • razvoj politike i plana zaštite na bazi procene R • upoznavanje korisnika o odgovornostima u zaštiti • proces nadzora i evaluacije programa 2. Model za obuku • standard Cobit, automatski alati, interaktivni rad 3. Analiza i evaluacija programa – evaluacija rezultata – izrada uputstva za ažuriranje programa – monitorisanje efektivnosti programa 15. 03. 2018 UNIVERZITET SINERGIJAI 29

Ljudi u obuci 1. Ljudi najbitniji faktor u zaštiti 2. Ljudske aktivnosti - daleko Ljudi u obuci 1. Ljudi najbitniji faktor u zaštiti 2. Ljudske aktivnosti - daleko veći gubici od svih izvora pretnji zajedno 3. Obuka opštih korisnika 4. Obuka specijalista zaštite – osposobljavaju se za izvršavanje specifičnih funkcija zaštite Primer: kurs za administratora zaštite sistema U, O i T kontrole koje treba implementirati 15. 03. 2018 UNIVERZITET SINERGIJAI 30

Obuka opštih korisnika 1. Cilj obuke: – poboljšati osnovnu praksu zaštite kod korisnika – Obuka opštih korisnika 1. Cilj obuke: – poboljšati osnovnu praksu zaštite kod korisnika – postati familijaran sa terminologijom i filozofijom z. – razumeti osnovne element dobre prakse zaštite: • zaštita fizičkog prostora i opreme (zaključavanje i sl) • zaštita pasvorda (tokena, smart kartice) • izveštavanje o povredama s/z i incidentima • poznavanje Politike zaštite informacija • uloge i odgovornosti org. jedinica – ne preoptereti sa nepotrebnim detaljima – samo pitanja koja se direktno odnose na korisnike 15. 03. 2018 UNIVERZITET SINERGIJAI 31

Specialistička obuka • Viša od osnovne prakse zaštite Primer: – menadžeri - shvatiti bezbednosne Specialistička obuka • Viša od osnovne prakse zaštite Primer: – menadžeri - shvatiti bezbednosne posledice i troškove zaštite – sistem administartori – implementirati i koristiti spec. proizvode za AC • Kriterijumi izbora za spec. obuku: – kategorija posla – radne funkcije – prema specifičnim tehnologijama i proizvodima – obuka za rad sa novim sistemima 15. 03. 2018 UNIVERZITET SINERGIJAI 32

Obrazovanje • Proces obrazovanja u zaštiti : – integriše multidisciplinarne znanja u jedinstvenu bazu Obrazovanje • Proces obrazovanja u zaštiti : – integriše multidisciplinarne znanja u jedinstvenu bazu znanja – obuhvata principe, koncepte, multidisciplinarne nauke – osposobljava profesionalce za proaktivnu zaštitu – zahtevaju veliku stručnost i bezbednosnu kulturu • Program: – izvan obima i granica programa obuke o zaštiti – deo razvoja profesionalne karijere pojedinaca Primer: redovne, specijalističke ili magistarske studije 15. 03. 2018 UNIVERZITET SINERGIJAI 33

Primer: Model kontinuiteta procesa učenja u zaštiti 15. 03. 2018 UNIVERZITET SINERGIJAI 34 Primer: Model kontinuiteta procesa učenja u zaštiti 15. 03. 2018 UNIVERZITET SINERGIJAI 34

Primer: Upravljanje programom obuke - Centarlizovano upravljanje - 15. 03. 2018 UNIVERZITET SINERGIJAI 35 Primer: Upravljanje programom obuke - Centarlizovano upravljanje - 15. 03. 2018 UNIVERZITET SINERGIJAI 35

Primer: Upravljanje programom obuke - Delimično decentralizovano - 15. 03. 2018 UNIVERZITET SINERGIJAI 36 Primer: Upravljanje programom obuke - Delimično decentralizovano - 15. 03. 2018 UNIVERZITET SINERGIJAI 36

Primer: Upravljanje programom obuke - Potpuno decentralzovano - 15. 03. 2018 UNIVERZITET SINERGIJAI 37 Primer: Upravljanje programom obuke - Potpuno decentralzovano - 15. 03. 2018 UNIVERZITET SINERGIJAI 37

Primer: Implementacija programa za razvoj S/P/Z I Ob/Z 15. 03. 2018 UNIVERZITET SINERGIJAI 38 Primer: Implementacija programa za razvoj S/P/Z I Ob/Z 15. 03. 2018 UNIVERZITET SINERGIJAI 38

Primer: Evaluacija i tehnike za kontrolu programa obuke 15. 03. 2018 UNIVERZITET SINERGIJAI 39 Primer: Evaluacija i tehnike za kontrolu programa obuke 15. 03. 2018 UNIVERZITET SINERGIJAI 39

NADZOR, KONTROLA I REVIZIJE ZAŠTITE (N/K/R/Z) • Funkcije: – nezavisna evaluacija dokumentacije zaštite – NADZOR, KONTROLA I REVIZIJE ZAŠTITE (N/K/R/Z) • Funkcije: – nezavisna evaluacija dokumentacije zaštite – procena kontrola zaštite • Bezbednosni ciljevi: – evaluaciju zaštite informacione imovine • Namena: – pregled obrazaca pristupa i ponovljenih pokušaja pristupa – omogućiti otkrivanje svakog korišćenja privilegija, – delovati kao faktor odvraćanja napadača • Korisnici: kontrolori/revizori, korisnici sistema, menadžeri 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 40

Razvoj strategije N/K/R/Z -Metodološka osnova- • Standardi i uputstva za N/K/R/Z: – ISACA (The Razvoj strategije N/K/R/Z -Metodološka osnova- • Standardi i uputstva za N/K/R/Z: – ISACA (The Information Systems Audit and Control Association) – ISACF (The Information Systems Audit and Control Foundation), – COBIT (Control Objectives for Information and Related Technology) – ISO/IEC 27001: interna i menadžerska revizija – Zakon o zaštiti informacija u IS – Uputstvo za nadzor i kontrolu zaštite (interna) 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 41

Primer: Kritičnih faktora uspeha N/K/R/Z • Primer: Postizanje strategijskih ciljeva N/K/Z – finansijska dobit Primer: Kritičnih faktora uspeha N/K/R/Z • Primer: Postizanje strategijskih ciljeva N/K/Z – finansijska dobit – poboljšanje sistema zaštite – predlozi mera za korekciju sistema zaštite i sl. 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 42

Metodi merenja performansi kapaciteta za K/R/Z • • Proces evaluacije Procena zadovoljstva sa procesom Metodi merenja performansi kapaciteta za K/R/Z • • Proces evaluacije Procena zadovoljstva sa procesom kontrole K/Z/R Izveštavanje o progresu Definisanje benčmark indikatora kapaciteta za K/R/Z: – nezavisnost kapaciteta za kontrolu/reviziju – profesionalna etika i standardi – kompetentnost i zadržavanje kvalifikovanog osoblja – planiranje 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 43

Evluacija rezultata i preporuke K/R/Z • Evaluacija rezultata K/R/Z treba da bude: – efektivna Evluacija rezultata i preporuke K/R/Z • Evaluacija rezultata K/R/Z treba da bude: – efektivna i da – zadovoljava standarde i legalne zahteve • Kapaciteti za K/R/Z treba da: – privlače i zadržavaju VK, motivisane i posvećene eksperte • Radno okruženje treba da vrednuje: – poverenje, otvorenu komunikaciju i profesionalne rezultate 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 44

Korišćenje rezultata merenja performansi K/R/Z i izveštavanja • Merenje performansi procesa K/R/Z • Merenje Korišćenje rezultata merenja performansi K/R/Z i izveštavanja • Merenje performansi procesa K/R/Z • Merenje sistema izveštavanja • Merenje aktivnosti posle procesa kontrole Primer: Bezbednosni cilj da vreme K/R/Z ne premašuje budžet za više od 10% za sve zadatke • Merenje: – akumulirati sva realna vremena – uporediti ih sa finansiranim vremenom K/R/Z – odrediti kumulativne premašaje/podbačaje za sve procese K/R/Z 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 45

SERTIFIKACIJA I AKREDITACIJA (C&A) Sertifikacija • postupak tehničke i netehničke evaluacije IKTS • Obezbeđuje SERTIFIKACIJA I AKREDITACIJA (C&A) Sertifikacija • postupak tehničke i netehničke evaluacije IKTS • Obezbeđuje informacije za akreditaciju Akreditacija • autorizacija ili ovlašćenje IKTS za rad • sprovode je visoki menadžeri organizacije 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 46

Proces C&A - Uloge i odgovornosti 1. ovlašćeno lice za akreditaciju - akreditator (DAA) Proces C&A - Uloge i odgovornosti 1. ovlašćeno lice za akreditaciju - akreditator (DAA) 2. lice koje vrši sertifikaciju i izdaje sertifikat – sertifikator 3. rukovodilac programa ili vlasnik sistema 4. specijalista za bezbednost sistema 5. ostale uloge i odgovornosti • predstavnik korisnika, rukovodilac programa zaštite, operativni rukovodilac sistema i tehnički rukovodilac sistema 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 47

Objekti C&A 1. IKTS za glavnu Primer: sistem za elektronske finansijske transakcije 2. IKTS Objekti C&A 1. IKTS za glavnu Primer: sistem za elektronske finansijske transakcije 2. IKTS za opštu podršku Primer: lokalna mreža (LAN) organizacije 3. Povezani i distribuirani IKTS Kategorije akreditacije 1. akreditacija sistema 2. tipska akreditacija 3. lokacijska akreditacija 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 48

Akreditacija sistema • najčešći oblik akreditacije • za glavne aplikacija (GA) i • za Akreditacija sistema • najčešći oblik akreditacije • za glavne aplikacija (GA) i • za sisteme za opštu podršku (SOP) 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 49

Tipska akreditacija • za tipična radna okruženja • među-forma akreditacije • C&A većeg broja Tipska akreditacija • za tipična radna okruženja • među-forma akreditacije • C&A većeg broja pojavljivanja GA ili SOP na lokacijama istog tipa okruženja • značajno smanjuje vreme trajanja procene 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 50

Lokacijska akreditacija • za IKTS na istoj lokaciji u istom okruženju i sa jednakim Lokacijska akreditacija • za IKTS na istoj lokaciji u istom okruženju i sa jednakim faktorima rizika • dele zajedničku strategiju i imaju uporedive ranjivosti sistema • primenljiva na sve GA i/ili SOP 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 51

Dokumentacija C&A Sertifkacioni paket: 1) Plan zaštite (pregledan i dopunjen po potrebi) 2) Izveštaji Dokumentacija C&A Sertifkacioni paket: 1) Plan zaštite (pregledan i dopunjen po potrebi) 2) Izveštaji bezbednosnog testa i evaluacije (ST&E) sistema u razvoju i/ili radu 3) Završni izveštaj o proceni rizika (Plan tretmana rizika) 4) Izjava sertifikatora 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 52

Proces sertifikacije kontrola zaštite -Osnovna namena. Odrediti da li su kontrole zaštite: • korektno Proces sertifikacije kontrola zaštite -Osnovna namena. Odrediti da li su kontrole zaštite: • korektno implementirane • efektivne u praksi zaštite i da li • zadovoljavaju bezbednosne zahteve 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 53

Tehnike za verifikaciju • • • intervjuisanje zaposlenih u organizaciji pregled i analiza politika, Tehnike za verifikaciju • • • intervjuisanje zaposlenih u organizaciji pregled i analiza politika, procedura. . . nadzor operativnog rada i prakse zaštite analiza, testiranje i procena hw, sw i operacija demonstracija ponašanja sistema zaštite. . . 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 54

Bezbednosni nivoi sertifikacije -SLC(Security Level Certification)- 1. SLC-1 2. SLC-2 3. SLC-3 • Svaki Bezbednosni nivoi sertifikacije -SLC(Security Level Certification)- 1. SLC-1 2. SLC-2 3. SLC-3 • Svaki viši nivo - veći intenzitet tehnika verifikacije • SLC se opisuju u Uputstvu za C&A • Tipično ih vode nezavesne profesionalne org. 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 55

SCL-1 1. • • • Početni nivo bezbednosne sertifikacije IKTS: odgovarajući za sisteme koji SCL-1 1. • • • Početni nivo bezbednosne sertifikacije IKTS: odgovarajući za sisteme koji zahtevaju N nivoe zaštite CIA demonstrira da su k/z IKTS korektno implementirane i efikasne ne zahteva visok nivo aktivnosti (rada) mogu se kompletirati sa minimalnim resursima Tehnike verifikacije: – intervju zaposlenih, pregled dokumentacije, posmatranje 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 56

SLC-2 2. Srednji nivo bezbednosne sertifikacije IKTS: • odgovarajući za sisteme u okruženju sa SLC-2 2. Srednji nivo bezbednosne sertifikacije IKTS: • odgovarajući za sisteme u okruženju sa S nivoom R • zahtevaju S nivo zaštite CIA. • Tehnike vertifikacije: – tehnike i procedure iz SLC-1 – po potrebi dodati malo strožije tehnike ili procedure – koriste standardne komercijalno raspoložive alate za testiranje sistema na proboj. 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 57

SCL-3 3. Najviši nivo bezbednosne sertifikacija IKTS: • odgovarajući za sisteme koji zahtevaju V SCL-3 3. Najviši nivo bezbednosne sertifikacija IKTS: • odgovarajući za sisteme koji zahtevaju V zaštitu CIA • Tehnike verifikacije: – koristi tehnike verifikacije i procedure iz SLC-1 i SLC-2 – koristi najrigoroznije raspoložive tehnike verifikacije da: • pokaže korektnu implementaciju k/z na V nivou zaštite i da su k/z efikasne u svojoj primeni 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 58

Akreditacione odluke i preostali rizik • Tipovi akreditacionih odluka: – Potpuna akreditacija – Delimična Akreditacione odluke i preostali rizik • Tipovi akreditacionih odluka: – Potpuna akreditacija – Delimična (privremena, uslovna) i – Ne prihvaćena (odbijena) akreditacija 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 59

Odnos između k/z i nivoa sertifikacije • važno je razumeti ovaj odnos • zasnovani Odnos između k/z i nivoa sertifikacije • važno je razumeti ovaj odnos • zasnovani su na utvrđenim nivoima zaštite CIA • standardni paket osnovnih k/z i dodatni paketi poboljšanih k/z (198): – obezbeđuju minimalne kontrole zaštite CIA za N, S, V nivoe pretnji • osnovni koncept - kako nivo pretnji (rizika) raste: – uvode se dodatne k/z po diskrecionoj odluci organizacije – dodaju se robusnije kontrole zaštite – proces sertifikacije postaje strožiji – intenzitet procesa sertifikacije se povećava – dodaju se novi resursi za sertifikaciju (validaciju, verifikaciju. . ) UNIVERZITET SINGIDUNUM 15. 03. 2018 60 FPI

Primer: Plan C&A sistema zaštite 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 61 Primer: Plan C&A sistema zaštite 15. 03. 2018 UNIVERZITET SINGIDUNUM FPI 61

Zaključci • Personalna zaštita obuhvata popunu kadrova i administraciju korisnika • Fizička zaštita i Zaključci • Personalna zaštita obuhvata popunu kadrova i administraciju korisnika • Fizička zaštita i zaštita okruženja IKTS zasniva se na standardima i principima dobre prakse fizičke zaštite značajnih objekata • Program za razvoj S/P/Z i Ob/Z realizuje se kroz dizajn, razvoj materijala, implementaciju i analizu i evaluaciju • Za razvoj programa nadzora/kontrole i revizije sistema zaštite treba uspostaviti tim sa potrebnim znanjima i veštinama, izabrati alate i primeniti standardne metode • Sertifikacija je proces tehničke i netehničke evaluacije s/z IKTS koji obezbeđuje neophodne informacije za akreditaciju (davanje dozvole za rad). • Akreditacija je autorizacija s/z IKTS za rad koju daje visoki menadžer organizacije. 15. 03. 2018 UNIVERZITET SINERGIJAI 62