Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
NAČRTOVANJE IN OBVLADOVANJE KIBERNETSKE ODPORNOSTI SISTEMOV NA OSNOVI VARNOSTNIH
RAZREDOV MAG. FRANCI MULEC, MAG. FRANC MOČILAR, MAG. SAMO MAČEK
Vsebina
• Kaj so varnostni razredi?
• Odprtost podatkov in dokumentov v državni upravi
• Varnostni razredi v srednjem veku in danes
• Standardni ukrepi in elementi varovanja
• Nekaj primerov
Kaj so varnostni razredi?
Varnostni razredi
so ravni razvrščanja informacijskega premoženja in informacijskih sistemov
glede na možni učinek na poslovanje organizacije,
če bi se zgodil dogodek,
ki bi ogrozil to informacijsko premoženje oziroma ta informacijski sistem.
Zapiranje - odpiranje podatkov
• Carcassonne - srednji vek
izven grajskega obzidja
znotraj grajskega obzidja
dodatna obzidja, varovane zgradbe, prostori
• Vladna palača 1898, 2018
okolica
varovano
upravno
varnostno območje
…
Varnostni razredi
4..Slika je simbolična
Varnostni razredi – danes - informatika
• internet (splet)
• običajni informacijski sistemi države, javnega sektorja in organizacij
• akreditirani (varnostno odobreni) informacijski sistemi držav, javnega sektorja in organizacij
• sistemi za (naj)višje stopnje varnosti
Sklopi ukrepov za varovanje
• fizična varnost
• varnost osebja
• dokumentacijska varnost
• varnost v komunikacijsko informacijskih sistemih
• industrijska varnost
Standardni ukrepi in elementi varovanja glede na varnostne razrede in sklope 1/2
Nivo varnosti/
Področje
Internet (splet) Običajni sistemi Akreditirani sistemi Visoko varni
sistemi
Fizično varovanje Hotel, letališče,
lokal. Opreme ne
puščamo brez
nadzora.
Pisarna, dom. Upravno območje,
podjetje, ki ima
receptorja.
Upravno območje +
bunker s
skrbnikom,
blagajne. Brez
vnosa elektronskih
naprav.
Varnost osebja Usposabljanje
prepuščeno
uporabnikom.
Usposabljanje za
varno delo.
Usposabljanje +
podpis pravilnikov.
Varnostno
preverjanje, ozek
krog, redno
usposabljanje.
Standardni ukrepi in elementi varovanja glede na varnostne razrede in sklope 2/2
Nivo varnosti/
Področje
Internet (splet) Običajni sistemi Akreditirani sistemi Visoko varni
sistemi
Dokumentacijska
varnost
Ne puščamo
dokumentov brez
nadzora.
Postopki, uredbe. Posebni postopki
(osebni podatki,
tajni podatki,
poslovna skrivnost,
industrijska
lastnina).
Beleženje in nadzor
vseh operacij nad
podatki in
dokumenti, hujše
kazni.
Varnost IT Prenosne naprave
in pametni telefoni,
javni oblaki.
Delovne postaje (in
vse ostalo), MDM,
šifriranje.
Posebni predpisi in
standardi,
akreditirane šifrirne
rešitve, upravljanje
s ključi.
Oprema Tempest,
podatkovne diode,
optične povezave.
Lahko uporabimo
papir in svinčnik.
Industrijska
varnost
Uporaba
»brezplačnih«
storitev, BYOD.
Uporaba plačljivih
storitev, standardna
oprema.
Podjetja morajo
imeti preverjeno
minimalno
kakovost oziroma
formalno
primernost.
Natančen nadzor
nad zunanjimi
izvajalci in podjetji.
Nekaj primerov
• kritični sistemi
• kripto telefon
Vladna gradiva
Dokumenti, ki jih v odločanje vladi predložijo MIN, VS…
Obsežni sistemi
Vsa področja družbenega delovanja
Z vsebinskega vidika gre za eno zbirko
Zaupnost: dokumenti se uvrščajo v različne sisteme (tajni > javni)
VLADNA GRADIVA – varnostni razredi
• Notranji del – vlada
• Zunanji del – državna uprava
• Zaprti del (3) Z, T
• Javni del 1*, 5*
I, BT
VIŠJE STOPNJE TAJNOSTI
• ločena infrastruktura – IS, kom.
• ključne sestavine nameščene v varnostnih območjih
• preprečevanje neželenih emisij podatkov
– sevanje
– konduktivne - napajalni, podatkovni vodi, drugo
• ni povezave v internet
• akred. šifrirne rešitve
• varnostno preverjeni uporabniki
• lastni viri
• preprečevanje optičnih, akustičnih napadov
• ...
Javni del
sodelovanje javnosti (izjeme) na spletu – www.vlada.si Portal OPSI – odprta oblika (XML, RDF), ponovna uporaba
(5) * * * * *
https://podatki.gov.si/dataset/vladna-gradiva-2
Slike: http://apitech.com/product-classes/sst-emcon-tempest-communications (sef) http://w3.siemens.com/mcms/topics/en/tempest-products/maximum-protection/pages/default.aspx http://www.creme-de-languedoc.com/_images/tourism/carcassonne/2.jpg www.gsv.gov.si