NAČRTOVANJE IN OBVLADOVANJE KIBERNETSKE ODPORNOSTI SISTEMOV NA OSNOVI VARNOSTNIH

RAZREDOV MAG. FRANCI MULEC, MAG. FRANC MOČILAR, MAG. SAMO MAČEK

Vsebina

• Kaj so varnostni razredi?

• Odprtost podatkov in dokumentov v državni upravi

• Varnostni razredi v srednjem veku in danes

• Standardni ukrepi in elementi varovanja

• Nekaj primerov

Kaj so varnostni razredi?

Varnostni razredi

so ravni razvrščanja informacijskega premoženja in informacijskih sistemov

glede na možni učinek na poslovanje organizacije,

če bi se zgodil dogodek,

ki bi ogrozil to informacijsko premoženje oziroma ta informacijski sistem.

Zapiranje - odpiranje podatkov

• Carcassonne - srednji vek

izven grajskega obzidja

znotraj grajskega obzidja

dodatna obzidja, varovane zgradbe, prostori

• Vladna palača 1898, 2018

okolica

varovano

upravno

varnostno območje

…

Varnostni razredi

4..Slika je simbolična

Varnostni razredi – danes - informatika

• internet (splet)

• običajni informacijski sistemi države, javnega sektorja in organizacij

• akreditirani (varnostno odobreni) informacijski sistemi držav, javnega sektorja in organizacij

• sistemi za (naj)višje stopnje varnosti

Sklopi ukrepov za varovanje

• fizična varnost

• varnost osebja

• dokumentacijska varnost

• varnost v komunikacijsko informacijskih sistemih

• industrijska varnost

Standardni ukrepi in elementi varovanja glede na varnostne razrede in sklope 1/2

Nivo varnosti/

Področje

Internet (splet) Običajni sistemi Akreditirani sistemi Visoko varni

sistemi

Fizično varovanje Hotel, letališče,

lokal. Opreme ne

puščamo brez

nadzora.

Pisarna, dom. Upravno območje,

podjetje, ki ima

receptorja.

Upravno območje +

bunker s

skrbnikom,

blagajne. Brez

vnosa elektronskih

naprav.

Varnost osebja Usposabljanje

prepuščeno

uporabnikom.

Usposabljanje za

varno delo.

Usposabljanje +

podpis pravilnikov.

Varnostno

preverjanje, ozek

krog, redno

usposabljanje.

Standardni ukrepi in elementi varovanja glede na varnostne razrede in sklope 2/2

Nivo varnosti/

Področje

Internet (splet) Običajni sistemi Akreditirani sistemi Visoko varni

sistemi

Dokumentacijska

varnost

Ne puščamo

dokumentov brez

nadzora.

Postopki, uredbe. Posebni postopki

(osebni podatki,

tajni podatki,

poslovna skrivnost,

industrijska

lastnina).

Beleženje in nadzor

vseh operacij nad

podatki in

dokumenti, hujše

kazni.

Varnost IT Prenosne naprave

in pametni telefoni,

javni oblaki.

Delovne postaje (in

vse ostalo), MDM,

šifriranje.

Posebni predpisi in

standardi,

akreditirane šifrirne

rešitve, upravljanje

s ključi.

Oprema Tempest,

podatkovne diode,

optične povezave.

Lahko uporabimo

papir in svinčnik.

Industrijska

varnost

Uporaba

»brezplačnih«

storitev, BYOD.

Uporaba plačljivih

storitev, standardna

oprema.

Podjetja morajo

imeti preverjeno

minimalno

kakovost oziroma

formalno

primernost.

Natančen nadzor

nad zunanjimi

izvajalci in podjetji.

Nekaj primerov

• kritični sistemi

• kripto telefon

Vladna gradiva

Dokumenti, ki jih v odločanje vladi predložijo MIN, VS…

Obsežni sistemi

Vsa področja družbenega delovanja

Z vsebinskega vidika gre za eno zbirko

Zaupnost: dokumenti se uvrščajo v različne sisteme (tajni > javni)

VLADNA GRADIVA – varnostni razredi

• Notranji del – vlada

• Zunanji del – državna uprava

• Zaprti del (3) Z, T

• Javni del 1*, 5*

I, BT

VIŠJE STOPNJE TAJNOSTI

• ločena infrastruktura – IS, kom.

• ključne sestavine nameščene v varnostnih območjih

• preprečevanje neželenih emisij podatkov

– sevanje

– konduktivne - napajalni, podatkovni vodi, drugo

• ni povezave v internet

• akred. šifrirne rešitve

• varnostno preverjeni uporabniki

• lastni viri

• preprečevanje optičnih, akustičnih napadov

• ...

Javni del

sodelovanje javnosti (izjeme) na spletu – www.vlada.si Portal OPSI – odprta oblika (XML, RDF), ponovna uporaba

(5) * * * * *

https://podatki.gov.si/dataset/vladna-gradiva-2

Slike: http://apitech.com/product-classes/sst-emcon-tempest-communications (sef) http://w3.siemens.com/mcms/topics/en/tempest-products/maximum-protection/pages/default.aspx http://www.creme-de-languedoc.com/_images/tourism/carcassonne/2.jpg www.gsv.gov.si