Presentation is loading. Please wait.

Presentation is loading. Please wait.

Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH

Published byAndrea Sáez Botella Modified over 5 years ago

Similar presentations

Presentation on theme: "Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH"— Presentation transcript:

1

2 Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH
Mr. sc. Aleksandar Klaić, dipl. ing. el. Ured Vijeća za nacionalnu sigurnost (UVNS)

3 Sponzori

4

5 Definicija Informacijska sigurnost podrazumijeva očuvanje:
Povjerljivosti: osiguravanje dostupnosti informacija samo za ovlaštene korisnike; Cjelovitosti: očuvanje točnosti i potpunosti informacija i metoda obrade; Raspoloživosti: osiguravanje da ovlašteni korisnici imaju, kada im je to potrebno, pristup informacijama i s njima povezanim sadržajima.

6 Kontekst Informacijska sigurnost:
predstavlja integralni dio sustava nacionalne sigurnosti i čini temelj izgradnje suvremenog informacijskog društva u kojem participiraju državni sektor, poslovni sektor, građanstvo u cjelini.

7 Sigurnosna suradnja

8 Ciljevi predavanja Izgradnja minimalnog stupnja razumijevanja između različitih društvenih sektora Uočavanje kompleksnih odnosa koje diktira stvaranje globalnog informacijskog prostora Razumijevanje multidisciplinarnosti područja informacijske sigurnosti

9 Teme 1. dio: 2. dio: 3. dio: 4. dio:
Uloga industrijskog sektora u informacijskoj sigurnosti 2. dio: Stvaranje globalnog informacijskog prostora Informacijski kriteriji i domene 3. dio: Razvoj informacijske sigurnosti Usporedba organizacije informacijske sigurnosti u državnom i poslovnom sektoru 4. dio: Razvoj informacijske sigurnosti u RH Legislativni i organizacijski okvir u RH

10 1. dio Uloga industrijskog sektora u informacijskoj sigurnosti

11 Industrijski sektor Za potrebe ovog predavanja:
Informacijska i komunikacijska tehnologija (ICT) Usluge i sustavi Hardver i softver Usluge i tehnologije u tradicionalnim sigurnosnim područjima: Fizička sigurnost Sigurnost dokumenata Dio poslovnog sektora u širem smislu

12 Zahtjevi informacijske sigurnosti

13 Izazovi i mogućnosti (1/2)
Proces nacionalne normizacije Informacijska tehnologija, informacijska sigurnost Hrvatski zavod za norme (HZN) Okvir i poticaj - država (SDUeH, UVNS, ZSIS, CARNet, …) Sadržaj – primarno poslovni sektor Informacijska sigurnost u državnom sektoru Edukacija i razvoj sigurnosne svijesti Prilagođeni i sadržajno lokalizirani seminari Suradnja s akademskim i obrazovnim sustavom Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ

14 Izazovi i mogućnosti (2/2)
Informacijska sigurnost u tijelima državne vlasti (TDU) Klasificirane i neklasificirane mreže za prijenos podataka Mrežni operatori za najam komunikacijske infrastrukture Centri za upravljanje i nadzor mreža Razvoj informacijskih i infrastrukturnih servisa TDU Tehnologije IT sigurnosti Tehnologije fizičke sigurnosti Tehnologije sigurnosti dokumenata Poslovi certificiranja (CC, ISO, Tempest, …) Laboratoriji, edukacija Nadležna tijela: UVNS, ZSIS, SDUeH, MZOŠ Nacionalni proizvodi na tržištu NATO zemalja ? Nadležna tijela: UVNS, ZSIS

15 Zaključno Prednosti uređenog sustava su dugoročne
Kratkoročni problemi: Nužna profesionalizacija državne uprave, ali i dobavljača roba i usluga Da li je državna uprava RH na potrebnom nivou uređenosti? Da li je industrijski sektor u RH spreman za nove izazove?

16 2. dio Stvaranje globalnog informacijskog prostora
Informacijski kriteriji i domene

17 Informacijska (r)evolucija
Promjena kulture stvaranja znanja Dostupnost, brza distribucija Povećana ovisnost društva o informacijskim sustavima Nacionalni, međunarodni Razvoj suvremenih demokratskih koncepata Pravo na pristup podacima, privatnost podataka  Utjecaj na temeljne informacijske kriterije: Raspoloživost, cjelovitost, povjerljivost

18 Informacijski kriteriji
Primjena na skupove podataka relevantne za društvo, državnu upravu, privatnu kompaniju, … Nastaju podatkovne domene koje čine informacijski prostor  Dinamičan informacijski prostor Oblikuje se sukladno razvoju društva i tehnologije

19 Stvaranje globalnog informacijskog prostora

20 Ključni utjecaji iz 90-tih godina
Koncept privatnosti: Koncept e-Governmenta Sučeljavanje različitih sektora društva (državni, poslovni, građanstvo)  Istovremeno i rastući problemi

21 Sigurnosni problemi u informacijskom prostoru
Rastuća interakcija različitih informacijskih domena Međusobna sučeljavanja različitih sigurnosnih modela Informacijska sigurnost u državnom i poslovnom sektoru Norme, standardi Telekomunikacijska regulativa  Zahtjevi na informacijske sustave

22 Sigurnosni zahtjevi Temeljni informacijski kriteriji
Povjerljivost, cjelovitost, raspoloživost (CIA triad) Klasificirane i neklasificirane domene (C)

23 Zahtjevi povjerenja Informacijski kriteriji:
usklađenost i pouzdanost (compliance and reliability) Harmonizacija i uspostava uzajamnog povjerenja u informacijskim sustavima koji se koriste u okviru određene informacijske domene Sigurnosna akreditacija Sukladnost s temeljnim principima informacijske domene Uvjet korištenja i/ili interkonekcije informacijskih sustava

24 Zahtjevi kakvoće Informacijski kriteriji:
učinkovitost i djelotvornost (effectiveness and efficiency) Primarno kod javnih e-Government usluga Javna telekomunikacijska infrastruktura Sporazum o razini usluge (SLA)

25 Informacijski sustavi državne uprave

26 Definicija kriterija povjerenja za informacijske sustave
IT infra-structure Private Public IT services IT users TRUST Implicit Controled Limited Uncontrolled

27 Kriterij povjerenja – informacijska domena - Internet
Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust Information Domain Classified (Secret) Unclassified (Private) Public Internet Connection Isolated Manageable Connection Shared Infrastructure

28 Kategorizacija informacijskih sustava temeljena na povjerenju
Implicit Trust Controlled Trust Limited Trust Uncontrolled Trust Government Sector Classified IS Unclassified IS e-Gov Services Business Sector Corporate Networks On-line Busi-ness Services SOHO Citizens Private PCs

29 Zaključno 2. dio Sveprisutnost Interneta Rastuće ugroze na Internetu
sve manje izoliranih mreža Rastuće ugroze na Internetu sve više velikih informacijskih sustava u kategorijama kontroliranog i ograničenog povjerenja – temelj e-Gov usluga Velike sličnosti državnih i poslovnih informacijskih sustava

30 3. dio Razvoj informacijske sigurnosti
Usporedba organizacije informacijske sigurnosti u državnom i poslovnom sektoru

31 Razvoj informacijske sigurnosti
Vrlo duga tradicija u državnom sektoru Koncept nacionalne sigurnosti Minimalni sigurnosni zahtjevi za sva državna tijela Modeli ugroza promijenjeni Hladni rat  terorizam Sukobljavanje  suradnja

32 Sigurnosna područja Tradicionalna sigurnosna područja:
Fizička sigurnost, sigurnosne provjere, sigurnost podataka Tradicionalna tehnička sigurnosna područja: COMSEC, COMPUSEC, TECSEC  Sigurnost informacijskih sustava (INFOSEC) Informacijska sigurnost državne uprave: Fizička sigurnost, sigurnosne provjere, sigurnost podataka, sigurnost informacijskih sustava (INFOSEC), industrijska sigurnost

33 Trendovi razvoja informacijske sigurnosti

34 Karakteristike državnog sektora
Usmjerenost na organizacijske aspekte Funkcionalni model organizacijskih tijela: NSA, IA ili NCSA, SAA, NDA, CISO/LISO ili CIS OA, ITSOA ili CIS P&I, CERT ili CIRC Načela i zahtjevi: Odgovornost, razdvajanje nadležnosti i nadzornih procesa, optimizacija resursa Eksplicitni i implicitni zahtjevi

35 Karakteristike poslovnog sektora
Tradicionalno: Specijalni vladini/vojni projekti Financijski sektor 1990-te: Brzi razvoj ICT-a i širenje Interneta  IT sigurnost Danas širi koncept informacijske sigurnosti Ovisnost poslovnih procesa o IT-u Ljudi, organizacija, tehnologija

36 Nove inicijative Standardizacija informacijske i komunikacijske tehnologije te područja informacijske sigurnosti Koncepti i zahtjevi informacijske sigurnosti u temeljima modela informacijskog društva Interoperabilnost Tehnička, semantička, organizacijska

37 Standardizacija Stimulirana i podržana od vlada zemalja:
Tradicionalna normizacija (nacionalna, međunarodna), Vlasnički standardi, Otvoreni standardi. Nacionalni normizacijski okviri (Security & ICT): Protection and Security of the Citizen (EU), ANSI-HSSP (USA),  ISO JTC 1 / SC 27 (međunarodno) Pozitivan utjecaj na industriju, upravljanje poslovnim procesima, razvoj represivnih mjera…

38 Smisao standardizacije (ISO)
“Standardi pridonose pojednostavljenju života te povećanju pouzdanosti i djelotvornosti robe i usluga koje koristimo” “Snaga koju standardi donose korisnicima (državni ili privatni sektor) leži u njihovoj sposobnosti da konsenzusom odrede koje će postojeće standarde koristiti, a ne da kreiraju nove standarde.”

39 Standardi informacijske sigurnosti i IT-a
Poslovni i tehnički standardi Poslovni standardi i procesi ovise i realiziraju se pomoću IT-a

40 Sigurnost informacijskog društva – procesni pogled

41 Interoperabilnost Tehnička – infrastrukturna Semantička – aplikacijska
Organizacijska – procesna Informacijska sigurnost: Primarno se referira na organizacijski sloj Pretpostavlja uređenost tehničkog i semantičkog sloja (“IT problematika”) Strategija Programa One Stop Shop

42 Temeljne kategorije sustava informacijske sigurnosti
Preduvjet uspostave sustava upravljanja informacijskom sigurnosti Nezaobilazno u velikim okruženjima Osnovne kategorije i usporedba državnog i poslovnog sektora: Regulativa informacijske sigurnosti Odgovorna tijela Vlasnici podataka Vlasnici infrastrukture

43 Legislativa i regulativa informacijske sigurnosti
Državni sektor Poslovni sektor Opća legislativa poput Zakona o zaštiti osobnih podataka, Zakona o pravu na pristup podacima i sl. Nacionalna politika inf. sigurnosti, Uredbe Vlade o sig. područjima, Pravilnici središnjih državnih tijela za informacijsku sigurnost, Ostali unutarnji akti Sigurnosna politika, Organizacijska sigurnosna politika, Funkcionalna implementacijska politika, Smjernice i procedure Norme informacijske sigurnosti i IT-a, Otvoreni standardi, Preporuke, smjernice i najbolje prakse (nacionalne i međunarodne)

44 Odgovorna tijela Državni sektor Poslovni sektor Vlada / Sabor
CEO / Upravni odbor NSA CSO NCSA (IA) IT odjel / Vanjski konzultanti ITSOA IT odjel / Vanjska suradnja SAA Ovlaštena vanjska kuća

45 Vlasnici podataka i infrastrukture
Državni sektor Poslovni sektor Vlasnici podataka Državno tijelo, čelnik tijela ili najviši rang rukovoditelja Tvrtka, CEO ili član uprave Vlasnici infra-strukture IT odjel ili posebno tijelo nadležno za zajedničku državnu infrastrukturu. IT odjel Vanjska tvrtka

46 CoBIT* kocka i razvoj informacijske sigurnosti
* Control Objectives for Information and Related Technology IT Government Institute ISACA – Information System Audit and Control Association

47 Zaključno 3. dio Prilagodba politika informacijske sigurnosti razvijenih država Primjena neklasificiranih kriterija sigurnosti na najniži stupanj tajnosti klasificiranih podataka te na osobne podatke građana Sučeljavanje različitih informacijskih domena i različitih društvenih sektora Konvergencija standarda informacijske sigurnosti – ISO/IEC 17799/27001 (?) Sve jača uloga procjene i upravljanja rizicima Neklasificirani državni i korporativni informacijski sustavi Daljnje smanjenje značajnih razlika između klasificiranih i neklasificiranih (korporativnih) informacijskih sustava

48 4. dio Razvoj informacijske sigurnosti u RH
Legislativni i organizacijski okvir u RH

49 Odgovornost “Niti jedan dio sigurnosti neće biti u potpunosti učinkovit ako ne bude proveden regulativom, zakonom i pravnom odgovornosti.” Stegovna odgovornost (unutarnja) Pravna odgovornost (vanjska) Vrh organizacijske hijerarhije

50 Razvoj informacijske sigurnosti u RH
Promjena pristupa – orijentiranost na nacionalnu razinu od 2000.g. Prva postignuća na nacionalnoj razini: Svibanj – RH pristupila NATO PfP programu Lipanj – RH i NATO potpisale sigurnosni sporazum Srpanj – RH uspostavila NATO NSA i Središnji registar Legislativa još uvijek nije u potpunosti revidirana Zakon o zaštiti tajnosti podataka (1996.) Zakon o sigurnosnim službama (2002.) Novi paket zakona: Zakon o sigurnosno-obavještajnom sustavu (srpanj 2006.) Zakon o tajnosti podataka (u prijedlogu) Zakon o sustavu informacijske sigurnosti (u prijedlogu)

51 Nacionalni program informacijske sigurnosti u RH
Zašto? Konzistentan pristup na nacionalnoj razini! Stručna skupina za informacijsku sigurnost SDUeH, predstavnici TDU, akademskog sektora Održana javna rasprava Prihvaćen na Vladi 31. ožujka 2005.

52 Nacionalni program informacijske sigurnosti u RH (2005.)
Strateški cilj Temelj za dugoročni razvoj informacijskog društva Taktički plan Postupan razvoj i sustavna implementacija mjera informacijske sigurnosti u RH (državni sektor, poslovni sektor i građanstvo) Zahtjevi Integracijski procesi RH u NATO i EU Strateški dokument s preporukama: Nacionalni zakonodavni i institucionalni okvir Planovi edukacije i razvoja sigurnosne svijesti Usklađivanje postojećih zakona, organizacije i postupanja

53 Realizacija Programa Pripremne radnje – do kraja 2006.
Zakonski okvir, uspostava središnjih državnih tijela za informacijsku sigurnost: NSA, NCSA, CERT 1. faza implementacije Programa – 2 godine Institucije središnje izvršne vlasti Minimalni sigurnosni zahtjevi u skladu s NATO zahtjevima (MAP) 2. faza implementacije Programa – 1 godina Ostali stupovi i nivoi vlasti Minimalni sigurnosni zahtjevi u skladu s EU zahtjevima (i2010) 3. faza implementacije Programa – kontinuirano Edukacija i razvoj sigurnosne svijesti u društvu, Razvoj informacijskog društva i javno-privatno partnerstvo

54 Novi zakoni Zamjena za Zakon o zaštiti tajnosti podataka iz 1996.
Pristup na nacionalnoj razini: Zakon o tajnosti podataka Suvremeni koncept tajnosti podataka Zakon o sustavu informacijske sigurnosti Suvremeni koncept zaštite podataka s vizijom izgradnje informacijskog društva

55 Zakon o tajnosti podataka
Temeljni principi tajnosti podataka: Klasificirani i neklasificirani podaci Načela: poslovne potrebe za pristupom podacima sigurnosne provjere Procedure klasifikacije/deklasifikacije Određivanje odgovornosti Usklađivanje sa Zakonom o kaznenom postupku, uredskim poslovanjem, konceptom privatnosti i prava na pristup podacima Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.

56 Zakon o sustavu informacijske sigurnosti
Suvremeni koncept zaštite podataka s vizijom izgradnje informacijskog društva: Opsežan zakonski okvir za regulativu informacijske sigurnosti (nacionalna politika inf. sigurnosti, uredbe, pravilnici, …) Odgovorna tijela i rokovi za donošenje regulativnih akata 5 sigurnosnih područja koordiniranih na nacionalnoj razini (sukladnost NATO/EU sigurnosnoj politici) Uspostava nacionalnog CERT-a kao javne institucije Međusobni odnosi središnjih državnih tijela za informacijsku sigurnost, obzirom na međunarodno definirane funkcionalnosti: NSA, NCSA, SAA, NDA, CERT, CIS P&I, CIS Operating Nacrt prijedloga Zakona predviđen je za parlamentarnu proceduru u jesen 2006.

57 Središnja državna tijela za informacijsku sigurnost
Ured Vijeća za nacionalnu sigurnost (UVNS) Uspostavljen u svibnju temeljem Zakona o sigurnosnim službama (2002.) National Security Authority, Središnji registar za razmjenu podataka - NATO problematika U tijeku reorganizacija temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.) Odgovornosti: NSA za nacionalnu, NATO i EU problematiku Zavod za sigurnost informacijskih sustava (ZSIS) Osnivanje propisano 2002. Zbog potrebe harmonizacije nekoliko zakona uspostavlja se tek sada temeljem Zakona o sigurnosno-obavještajnom sustavu (2006.) Odgovornosti: NCSA, NDA, SAA, Government CERT

58 Zakonski okvir inf. sigurnosti u RH

59 Institucionalni okvir inf. sigurnosti u RH

60 Zaključno 4. dio Središnja tijela – točke kontakta i koordinacije:
UVNS – NSA ZSIS – NCSA, SAA, NDA, Gov CERT CARNet – Nacionalni CERT UVNS – krovno koordinacijsko tijelo za informacijsku sigurnost Fizička sigurnost, sigurnosne provjere, Industrijska sigurnost, sigurnost podataka ZSIS – tehničko tijelo Sigurnost informacijskih sustava

61 aleksandar.klaic@uvns.vlada.hr aklaic@hi.t-com.hr

62

Download ppt "Uloga industrijskog sektora u informacijskoj sigurnosti – nova legislativa u RH"

Similar presentations

22/10/20081 Poslovanje i sigurnost 2008 Business and security 2008 AKTUALNOSTI INFORMACIJSKE SIGURNOSTI U HRVATSKOM OKRUžENJU mag.oec.Saša Aksentijević,univ.spec.

22/10/20081 Poslovanje i sigurnost 2008 Business and security 2008 AKTUALNOSTI INFORMACIJSKE SIGURNOSTI U HRVATSKOM OKRUžENJU mag.oec.Saša Aksentijević,univ.spec.
Zakon o informacijskoj sigurnosti izazov informatičkoj industriji (panel) Mr. sc. Aleksandar Klaić, dipl. ing. Ured Vijeća za nacionalnu sigurnost (UVNS)

Zakon o informacijskoj sigurnosti izazov informatičkoj industriji (panel) Mr. sc. Aleksandar Klaić, dipl. ing. Ured Vijeća za nacionalnu sigurnost (UVNS)
Javni Oblak Uloga SaaS WEB servisa Ljubomir Ivaniš CPU d.o.o.

Javni Oblak Uloga SaaS WEB servisa Ljubomir Ivaniš CPU d.o.o.
The Ministry of Public Administration

The Ministry of Public Administration
BUDGET TRANSPARENCY IN THE REPUBLIC OF CROATIA Zagreb, 2 December 2015

BUDGET TRANSPARENCY IN THE REPUBLIC OF CROATIA Zagreb, 2 December 2015
Katedra za informatiku

Katedra za informatiku
Siniša Petrović Zagreb,

Siniša Petrović Zagreb,
Ekonomska škola Šibenik Nada Bujas, prof.

Ekonomska škola Šibenik Nada Bujas, prof.
1.6. Pohrana podataka.

1.6. Pohrana podataka.
Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima

Provisioning Windowsa 10 na IoT, mobilnim i desktop uređajima
Programi zasnovani na prozorima

Programi zasnovani na prozorima
Pomoć informatičkih i računalnih stručnjaka u provedbi revizije

Pomoć informatičkih i računalnih stručnjaka u provedbi revizije
Microsoft Microsoft je američka softverska tvrtka. Osnovali su je 1975. godine Bill Gates i Paul Allen. Osnovna djelatnost tvrtke je razvoj osnovnog računalnog.

Microsoft Microsoft je američka softverska tvrtka. Osnovali su je godine Bill Gates i Paul Allen. Osnovna djelatnost tvrtke je razvoj osnovnog računalnog.
SMJERNICE ZA PRIMJENU ISO 9001:2015

SMJERNICE ZA PRIMJENU ISO 9001:2015
Uvod u projekte Rijeka, 25.07.2013..

Uvod u projekte Rijeka,
NoSQL.

NoSQL.
Teorema o 4 boje(Four color theorem)

Teorema o 4 boje(Four color theorem)
Grad Rijeka RAZVOJNI PROJEKT TURISTIČKA ZONA PRELUK

Grad Rijeka RAZVOJNI PROJEKT TURISTIČKA ZONA PRELUK
INFORMACIJSKI SUSTAV ZAŠTITE PRIRODE

INFORMACIJSKI SUSTAV ZAŠTITE PRIRODE
Istorijski razvoj WINDOWS-a

Istorijski razvoj WINDOWS-a

Similar presentations

Ads by Google