Privacy act, bangladesh
•Transferir como PPTX, PDF•
3 gostaram•1,596 visualizações
Privacy Act of Bagladesh
Recomendados
Mais conteúdo relacionado
Destaque
Mais de Nadia Nahar
Mais de Nadia Nahar (19)
Privacy act, bangladesh
- 2. Mostafijur Rahman – BSSE 0312 Md Irfan– BSSE 0326 Nadia Nahar – BSSE 0327 Moshiur Rahman – BSSE 0330 2 11/18/2014
- 3. Information Security Policy Guideline, Version 1.12.12.00 ICT Act, 2006 3 11/18/2014
- 4. Vision 2021: Digital Bangladesh Implementation of e-governance Information Security Policy 4 11/18/2014
- 5. lack of information protection procedure weak and unmanaged security controls under skilled personnel and lack of expertise 5 11/18/2014
- 6. Ministry of ICT on behalf of the Government of Bangladesh will have the ownership Ministry of ICT will monitor the implementation Bangladesh Computer Council, Office of the CCA and Bangladesh Telecommunication Regulatory Commission (BTRC) will jointly coordinate the implementation 6 11/18/2014
- 7. Agency Asset Attack Authentication Authenticity Availability Business continuity Confidentiality Certification Classified Information Control Control objective Corrective action Eavesdropping Exploit Guideline Information Information asset Information System Integrity IS Policy Information security Information security event PKI Policy Risk Risk analysis Risk Risk assessment Social Engineering Spoofing assessment 7 11/18/2014
- 8. • to help agencies of the Government of Bangladesh to understand the nutshell of Information Security, • to define the methodology to prepare Information Security policy • to give them proper guidance to implement Information Security Policy 8 11/18/2014
- 9. 9 11/18/2014
- 10. Information is an asset that, like other important business assets, is essential to an organization’s business and consequently be appropriately safeguarded. Information can be in any form. It includes: documents and papers electronic data the systems (software, hardware and networks) on which the information is stored, processed or communicated intellectual information (knowledge or perceptions) acquired by individuals physical items from which information regarding design, components or use could be derived Images, audio or video clips. 10 11/18/2014
- 11. Asset is anything that has a value to the organization, agency or nation. Information is a key asset for an organization. databases and data files, contracts and agreements, system documentation including process, research information, user manuals, training material, operational or support procedures, business continuity plans, fallback arrangements, audit trails, and archived information; application software, system software, development tools, and utilities; computer equipment, communications equipment, removable media, and other equipment; computing and communications services; people, and their qualifications, skills, and experience; intangibles, such as reputation and image of the organization 11 11/18/2014
- 12. 12 11/18/2014
- 13. Historical information Agencies private information or personnel information Regular business information Static and dynamic information Communication/ correspondence, perception and knowledge Information that’s processed in the Intranet of the agency/government Information that’s processed in the internet of the agency/government Information that’s processed in the extranet 13 11/18/2014
- 14. 1 • Top Secret 2 • Secret 3 • Confidential 4 • Restricted 5 • Public or Unclassified 14 11/18/2014
- 15. More Issues Related to Information Information Owner Information Custodian Roles and responsibilities Archiving of Information Asset 15 11/18/2014
- 16. Preparing Strategy ISO/IEC 27002: Code of Practice for Information Security Management 16 11/18/2014
- 17. Understanding Risk, Threats and Vulnerabilities Identification of Risk, Threats and Vulnerabilities Risk Management Risk Management Template 17 11/18/2014
- 18. The potential (merely “chance”) for loss, damage or destruction of an information asset as a result of a threat exploiting a vulnerability. 18 11/18/2014
- 19. lack of security awareness are there Operating procedures are not documented Lack of fire prevention system little support for security measures information is not classified no official policy and no monitoring/intrusion detection or incident response team are in place The building is in an earthquake zone, where minor quakes are expected weak access control mechanisms exists inadequate information security policy operates The building is in an flooded zone or can be affected by flood because of lack of proper water disposal system Employees are not identified adequately, visitors may roam unchecked 19 11/18/2014
- 20. A threat is a potential cause of an unwanted incident, which may result in harm to a system or organizations’ information assets. 20 11/18/2014
- 21. unauthorized access, disclosure of information, legal threats, sabotage, inadequate security awareness, poor security policy, fraudulent, workload, denial of service, spoofing, advanced persistent threat (APT), applications with bugs, eavesdropping 21 11/18/2014
- 22. Vulnerabilities are flaws or weaknesses associated with an agency’s assets or capabilities. Vulnerability is merely a condition or set of conditions that may allow a threat to affect an asset. Typically vulnerability results from: flawed procedures, under-skilled staff, incorrectly configured or defective technology. 22 11/18/2014
- 23. Organizati onal Vulnerability Personnel Environme ntal Hardware, software and network Spatial 23 11/18/2014
- 24. Information Asset • Information asset is something what agency tries to protect. Threat • Threat is something against what an agency tries to protect their information asset. Vulnerability • Vulnerability is the weakness or gap in the protection efforts made by an agency. Risk • Risk is destruction (or chance of destruction) of an information asset as a result of threat exploiting vulnerability. 24 11/18/2014
- 25. 25 11/18/2014
- 26. 26 11/18/2014
- 27. Security controls are safeguards or countermeasures to avoid, counteract or minimize security risks. 27 11/18/2014
- 28. Preve ntative According to Time Detecti ve Correc tive Physica l According to Nature Proced ural Techni cal Legal and regulat ory 28 11/18/2014
- 29. Personnel Security, Equipment Control, Access controls, Physical and Environmental Protection, Operational Procedure and responsibilities, Third party service delivery management, System planning and acceptance, Application Security, Protection against malicious code, Information back-up, Network security management, Removable Media handling, Information exchange/transmission, Information disposal, Information system security, Cryptographic controls, Correct processing, System files security, Monitoring 29 11/18/2014
- 30. Authenticity Confidentiality Integrity Non-repudiation 30 11/18/2014
- 31. ICT Act 2006 (amended in 2009) ICT Policy 2009 Right to Information Act Intellectual Property Rights Copyright, Patent, Trademark related laws PKI related rules/guidelines for cryptographic controls Laws on document & records retention Cyber Security related laws/guideline/policy UN conventions/Laws related to internet or cyber security 31 11/18/2014
- 32. Step s Including information security in the business continuity management process; Business continuity and risk assessment; Developing and implementing continuity plans including information security; Business continuity planning framework; Testing, maintaining and re-assessing business continuity plans; 32 11/18/2014
- 33. Standards and Guideline Information System Audit and Certification Incident Management Monitoring & Improvement National Cyber Security Strategy 33 11/18/2014
- 35. বিষয়িস্তু সংজ্ঞা আইনের অবিরাবিক প্রনয়াগ ইনেবিক সাক্ষর এিং ইনেবিক ররকর্ড ইনেবিক ররকর্ড স্বীকৃবি, প্রাবিস্বীকার, রপ্ররে বেরাপদ ইনেবিক ররকর্ড ও বেরাপদ ইনেবিক স্বাক্ষর বেয়ন্ত্রক ও সার্টডবিনকট প্রদােকারী কর্ডকিডা
- 36. বকছু সংজ্ঞা ইনেবিক স্বাক্ষর ইনেবিক স্বাক্ষর সার্টডবিনকট ইনেবিক উপাও বিবের্য় ইনেবিক রগনেট ইনেবিক ররকর্ড উপাও গ্রাহক স্বাক্ষর প্রবিপাদে যন্ত্র
- 37. আইনের অবিরাবিক প্রনয়াগ িাংোনদশ এর িাইনর এই আইে এর অধীে এ অপরাধ সম্পে কনর িাংোনদশ হনি িাইনর এই আইে এর অধীে এ অপরাধ সম্পে কনর
- 38. ইনেবিক সাক্ষর এিং ইনেবিক ররকর্ড
- 39. ইনেবিক সাক্ষর দ্বারা ইনেবিক ররকর্ড সিযাবয়ি ইনেবিক ররকর্ড এর আইোেুগ স্বীকৃবি ইনেবিক সাক্ষর এর আইোেুগ স্বীকৃবি সরকাবর অবিস, ইিযাবদ স্থাে এ ইনেবিক সাক্ষর এিং ইনেবিক ররকর্ড এর িযিহার ইনেবিক ররকর্ড সংরক্ষণ ইনেবিক পদ্ধবিনি দবেে গ্রহনে িাধযিাধকিা ো থাকা
- 40. ইনেবিক ররকর্ড স্বীকৃবি প্রাবিস্বীকার রপ্ররে
- 41. স্বীকৃবি রকাে রপ্ররক স্বয়ং রকাে ইনেবিক ররকর্ড রপ্ররণ কনর থাকনে উক্ত ররকর্ড রপ্ররক এর রপ্ররক এিং প্রাপক এর র্ানে রকাে ইনেবিক ররকর্ড রপ্ররনকর হনি যবদ • রপ্ররনকর পনক্ষ কাে করার েেয রপ্ররণ করা হয় • িথয রপ্ররণ রকৌশনের র্ানে রপ্ররণ করা হয়
- 42. প্রাবি স্বীকার প্রাপক দ্বারা স্বয়ংবিয় িা অেযনকানো রযাগানযানগ দ্বারা প্রাপক দ্বারা প্রাবি স্বীকার এর্ে রকাে কর্ডকাণ্ড যা বেবিি কনর ইনেবিক ররকর্ড প্রাপক পায়নছ ইলেক্ট্রিক রেকর্ড রেেণ ও গ্রহলেে সময় এবং স্থাে
- 43. বেরাপদ ইনেবিক ররকর্ড ও বেরাপদ ইনেবিক স্বাক্ষর • ইনেবিক ররকর্ড এর েেয রয বেরাপত্তা পদ্ধবি গ্রহণ করা হয়, িা যাচাই পযডন্ত বেরাপদ ইনেবিক ররকর্ড িনে গণয হনি বেরাপদ ইনেবিক ররকর্ড • উহা সংযুক্তকারীর একান্ত বেেস্ব বছে • সংযুক্তকারীনক সোক্ত করার সুনযাগ বছে • ইনেবিক সাক্ষনরর সানথ সম্পকড যুক্ত ইনেবিক ররকর্ড এ রকােরূপ পবরিিডে ো হয় বেরাপদ ইনেবিক স্বাক্ষর
- 44. বেয়ন্ত্রক ও সার্টডবিনকট প্রদােকারী কর্ডকিডা বেয়ন্ত্রক ও অেযােয কর্ডকিডা বেয়ন্ত্রনকর কাযডািেী • সাটডবিনকট প্রদােকারীর কাে িক্তািধাে করা • সাটডবিনকট প্রদােকারীর কাে পবরচােোর শিডািেী বেধডারণ • কবম্পউটারোি উপাও ভাণ্ডার সংরক্ষণ বিনদশী সাটড বিনকট প্রদােকারী কর্ডকিডানক স্বীকৃি প্রদাে বেয়ন্ত্রনকর সংরক্ষনণর আধার বহসানি দাবয়ত্ব পােে ইনেবিক স্বাক্ষর সার্টডবিনকট ইসুযনয়র েেয আনিদে
- 45. বেয়ন্ত্রক ও সার্টডবিনকট প্রদােকারী কর্ডকিডা োইনসন্স এর েেয আনিদে োইনসন্স েিায়ে োইনসন্স র্ঞ্জুর িা অগ্রাহয করার প্রবিয়া োইনসন্স িাবিে িা স্থবগিকরণ োইনসন্স িাবিে িা স্থবগনির রোর্টশ ক্ষর্িা অপডণ িদনন্তর ক্ষর্িা কবম্পউটার এিং উহানি ধারণকৃি উপানক্ত প্রনিশ
- 46. বেয়ন্ত্রক ও সার্টডবিনকট প্রদােকারী কর্ডকিডা োইনসন্স সর্পডণ ইনেবিক স্বাক্ষর সার্টডবিনকট িাবিে
- 49. িাইনে রবিগি িথয বিেষ্ট িা িাইে হনি িথয উদ্ধার উপাত্ত, উপাত্ত ভাণ্ডার িা িথয িা উহার উবদ্ধি অংশ সংগ্রহ স্থাোন্তরনযাগয সংরিগে িািস্থায় রবিগি িথয উপাত্তসহ উক্ত কবম্পউটানরর িথয িা রকাে উপাত্তর অেুবেবপ িা অংশ বিনশষ সংগ্রহ উনেশযর্ূেকভানি রকাে ধরনণর কক্ট্রিউটাে সংক্রমক, দূষক িা ভাইরাস প্রনিশ করানো িা করানোর রচষ্টা করা
- 50. উপাত্ত, কক্ট্রিউটাে উপাত্ত-ভান্ডালেে ক্ষবিসাধে কনরে িা ক্ষবিসাধনের রচষ্টা কনরে িা রবিগি অেয রকাে প্রগ্রানর্র ক্ষবিসাধাে কনরে িা ক্ষবিসাধনের রচষ্টা কনরে ক্ট্রবঘ্ন সৃক্ট্রি কনরে িা কবরিার রচষ্টা কনরে বিধ িা ক্ষর্িাপ্রাি রকাে িাবক্তনক প্রনিশ কবরনি িাধা সৃবষ্ট অবিধ প্রনিনশ সহয়িা প্রধাে পণয িা রসিা বিপনের উনেনশয স্পার্ উৎপাদে িা িাোরোি কনরে িা অযাবচি রর্ইে রপ্ররে কনরে
- 51. অেযায়ভানি কারসাবে কবরয়া রকাে িযবক্তর রসিা গ্রহে িািদ ধাযড চােড অেযর বহসানি ের্া করা রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দশ িছর কারাদণ্ড িা দশ েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 52. কক্ট্রিউটাে রসাসড রকার্ রগাপে, ধ্বংস িা পবরিিডে অেয রকাে িযবক্তর র্াধযনর্ উক্ত রকার্ রগাপে, ধ্বংস িা পবরিিডে “কবম্পউটার রসাসড রকার্” অথড – িাবেকাভুক্ত রপ্রাগ্রার্, কবম্পউটার কর্ান্ড, বর্োইে ও রে-আউট িাবেকাভুবক্ত এিং কবম্পউটার বরনসানসডর রপ্রাগ্রার্ বিনেষণ। রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক বিে িছর কারাদণ্ড িা বিে েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 53. ক্ষবি কবরিার উনেনশয িা ক্ষবি হইনি জ্ঞাি হওয়া সনেও এর্ে কাে কনরে যার িনে কবম্পউটার বরনসানসডর িথয বিোশ, িাবিে িা পবরিবিডি হয় উহার র্ূেয িা উপনযাবগিা হ্রাস পায় িা অেয রকােভানি উহানক ক্ষবিগ্রস্থ কনর । কবম্পউটার, সাভডার, কবম্পউটার রেটওয়াকড িা অেয রকাে ইবেবিক বসনেনর্ অবিধ ভানি প্রনিশ হযাবকং অপরাধ রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দশ িছর কারাদণ্ড িা এক রকার্ট টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 54. এর্ে বকছু প্রকাশ িা সম্প্রচার কনরে, যাহা বর্থযা ও অেীে রকউ রদবিনে , পবিনে িা শুবেনে েীবিভ্রষ্ট হইনি পানরে র্ােহাবে, আইে শৃǨোর অিেবি, রাি ও িযবক্তর ভাির্ূবিড ক্ষুণ্ণ হয় িা ধর্ীয় অেুভুবিনি আঘাি রকাে িযবক্ত িা সংগঠনের বিরুনদ্ধ উস্কােী রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দশ িছর কারাদণ্ড িা এক রকার্ট টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 55. সার্টডবিনকট প্রদােকারী করবিপক্ষ োইনসন্স সর্পডনণ িযথড হনে যার অেুকূনে োইনসন্স প্রধাে করা হনয়বছে রসই িযবক্তর িযথডিা অপরাধ রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক ছয় র্াস কারাদণ্ড িা দশ হাোর টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 56. রকাে সার্টডবিনকট প্রদােকারী করবিপক্ষ িা উহার কর্ডচারী আনদশ পােনে িযথড হনে িা বেনদডশ েঙ্খে করনে রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক এক িছর কারাদণ্ড িা এক েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 57. সািডনভৌর্ত্ব, অিণ্ডিা, বেরাপত্তা, অেযােয রানির সবহি িন্ধুত্বপূণড সম্পকড, েেশৃǨো ও বেরাপত্তার স্বানথড বেবিি আনদশ দ্বারা আইে প্রেয়েকারী সংস্থানক িাধা রদয়া স্বনত্বও বেনদডশ অর্ােয করনে রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক পাাঁচ িছর কারাদণ্ড িা পাাঁচ েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 58. রকাে সংরবক্ষি কবম্পউটার, কবম্পউটার বসনের্ িা কবম্পউটার রেটওয়াকডএ অেেুর্বদিভানি প্রনিশ করা রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দশ িছর কারাদণ্ড িা দশ েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 59. োইনসন্স িা ইনেিবেক সার্টডবিনকট প্রাবির েেয বেয়ন্ত্রক িা সার্টডবিনকট প্রদােকারী করবিপনক্ষর বেকট বর্থযা পবরচয় প্রদাে রকাে গুরুত্বপূণড িথয রগাপে করা রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দুই িছর কারাদণ্ড িা দুই েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 60. ইবেিবেক ররকর্ড , িই, ররবেোর, পত্রনযাগানযাগ, িথয, দবেে িা অেয রকাে বিষয় িস্তুনি প্রনিশবধকার প্রাি হনয় অেয রকাে িযবক্তর বেকট প্রকাশ করা রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দুই িছর কারাদণ্ড িা দুই েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 61. প্রিারো িা রিআইবে উনেনশয ইনেিবেক স্বাক্ষর িা সার্টডবিনকট প্রস্তুবি, প্রকাশ িা প্রাবিসাধে রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দুই িছর কারাদণ্ড িা দুই েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 62. কবম্পউটার, ই-রর্ইে, কবম্পউটার রেটওয়াকড, বরনসাসড িা বসনের্ িযিহার এর র্াধযনর্ অপরাধ সাধে রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দশ িছর কারাদণ্ড িা দশ েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 63. রকািাক্ট্রে করবিক অপরাধ সংগঠিি হনে অপরাধ এর সবহি প্রিযক্ষ সংবেষ্টিা রনয়নছ এর্ে প্রনিযক পবরচােক, র্যানেোর, সবচি, অংশীদার, কর্ডকিডা িা করর্চারী ই অপরাধী । রকাে িযবক্ত উপনরাক্ত অপরাধ কবরনে অেবধক দশ িছর কারাদণ্ড িা দশ েক্ষ টাকা অথডদণ্ড িা উভয় দনণ্ড দবণ্ডি হনি।
- 64. রে কবম্পউটার, কবম্পউটার বসনের্, ফ্লবপ, কর্পযাক্ট বর্স্ক, রটপ ড্রাইভ িা অেয রকাে বর্ভাইস দ্বারা অপরাধ সংগঠিি হনয়নছ রসগুে িানেয়াি করা হনি । িানেয়ািকরে অেয রকাে দণ্ড প্রদানে িাধা হনি ো ।
Notas do Editor
- Government of the Peoples Republic of Bangladesh intends to materialize the Vision 2021: Digital Bangladesh. To achieve this vision government Ministries/Divisions, Departments/agencies and their subordinate bodies have started implementing e-Governance . increase the productivity of the government . It is very important to consider information security for a government while implementing e-Governance . This document is a guideline to help government agencies to formulate their own Information Security Policy to protect their information in the cyber space.
- In recent past, Bangladesh especially the government sector has faced number of cyber attack incident (e.g. web defacement, information damage, information theft, Distributed Denial of Service, etc.).
- Agency: Agency includes ministry/division, departments and sub-ordinate bodies of the Government of Bangladesh. Asset: Anything of value to an agency. Attack: Attempt to destroy, expose, alter, disable, steal or gain unauthorized access to or make unauthorized use of an asset. Authentication: Provision of assurance that a claimed characteristic of an entity is correct. Authenticity: Property that an entity is what it claims to be. Availability: Information Systems available to users at any given or specified period of time and being accessible and usable upon demand by an authorized entity. Business continuity: Processes and/or Procedures for ensuring continued business operations. Confidentiality: Information is not made available or disclosed to unauthorized individuals, entities, systems or processes. Certification: Certification is something provided by any standard bodies or by some form of external review to an agency after evaluating their information system infrastructure and information security management system. Classified Information: It refers to the categories of information classified in accordance with the Security Regulations. Control: It means of managing risk, including policies, procedures, guidelines, practices or organizational structures, which can be of administrative, technical, management, or legal nature. Control is also used as a synonym for safeguard or countermeasure. Control objective: Statement describing what is to be achieved as a result of implementing controls. Corrective action: Action to eliminate the cause of a detected nonconformity or other undesirable situation. Eavesdropping: Eavesdropping, an unauthorized access to information, is a kind of network attack by capturing packets while communication/transmission of information. Exploit: A technique or code that uses a vulnerability to provide system access to the attacker. Guideline: A description that clarifies what should be done and how, to achieve the objectives set out in policies information processing facilities any information processing system, service or infrastructure, or the physical locations housing them Information: Digitally processed data or digitized information of an agency or an individual. Information asset: Information or data that has value to the agency or individual. Information System: An electronic information system that processes data electronically through the use of information technology - including but is not limited to: computer systems, servers, workstations, terminals, storage media, communication devices, network resources and Internet. Integrity: When authorized persons are allowed to make changes to the information stored or processed by Information Systems in any aspects. IS Policy: A documented list of management instructions that describe in detail the proper use and management of computer and network resources with the objective to protect these resources as well as the information stored or processed by Information Systems from any unauthorized disclosure, modifications or destruction. Information security: Preservation of confidentiality, integrity and availability of information; in addition, other properties, such as authenticity, accountability, non-repudiation, and reliability can also be involved Information security event: An information security event is an identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of safeguards, or a previously unknown situation that may be security relevant Information security incident: An information security incident is indicated by a single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security PKI: PKI is a framework that consists of hardware, software, policies, and procedures for managing keys and certificates. Policy: Overall intention and direction as formally expressed by management Risk: Combination of the probability of an event and its consequence Risk analysis: Systematic use of information to identify sources and to estimate the risk Risk assessment: Overall process of risk analysis and risk evaluation Risk evaluation: Process of comparing the estimated risk against given risk criteria to determine the significance of the risk Risk management: Coordinated activities to direct and control an organization with regard to risk Risk treatment: Process of selection and implementation of measures to control or minimize risk Social engineering: Obtaining information from individuals by trickery. Spoofing: A form of masquerading where a trusted IP address is used instead of the true IP address as a means of gaining access to a computer system. Third party: That person or body that is recognized as being independent of the parties involved, as concerns the issue in question Threat: A potential cause of an unwanted incident, which may result in harm to a system or organization Vulnerability: A weakness of an asset or group of assets that can be exploited by a threat
- Information is an important asset for an agency as well as for a state.
- All government, semi-government, autonomous agency or public limited company in Bangladesh who wants to prepare their Information Security Policy document, can use this guideline. This is a baseline for them to prepare their policy to protect their information. Any private organization inside Bangladesh can also adopt this guideline.
- Broadly defin. The Government holds information that is operationally, administratively, politically, commercially or personally significant. d Information is the basis on which the agency conducts their business .
- Agency before preparing its Information Security Policy should set a plan for integrating process, people, technology, procedures to safeguard its information from threats. The strategy should be reviewed periodically to mitigate newer threats and vulnerabilities in the area of information security. Objective-safeguard their information from threats in the cyber space Understanding-Before start developing security policy for the agency, it is required to have a thorough understanding of the agency. It is also required to consider the goals and direction of the agency….. conform to existing policies, rules, regulations and laws that the agency is subject to. Plan-agency shall prepare its security policy in this stage. This stage may include procedures, standards, guidelines etc along with the policy. Implementation-educate its personnel and distribute these guidelines to all its implementers…Seminars and awareness campaigns Check Compliance-It is always recommended that the agency must develop a method to measure compliance with the policy and check compliance in a periodical basis. This compliance method may include the formation of auditing team to ensure that the policy is enforced Monitor-It is important to have monitoring and review mechanism for future improvement since new threats are being discovered as time passes by. Security controls have to be modified as necessary to mitigate any new threat introduced
- While formulating a security policy every organization or agency should be aware of possible risks that can affect the safety and security of their information asset. The organization or agency should also have clear understanding about threats and vulnerabilities that could damage its information assets This section will assist an agency to understand and identify and analyze threats, risks and vulnerabilities.
- Reducing the risk of an organization requires risk identification and risk management process to be done periodically. An agency should know major risks that may cause potential loss of their information asset.
- Threats can be occur by natural disaster, intentional or accidental acts originating inside or outside the agency. Most threats exploit vulnerabilities in information assets or their supporting infrastructure (hardware or software).
- Therefore, a vulnerability that cannot be exploited by a threat or an asset with no known or suspected vulnerabilities cannot be a security risk
- It is always seen that most agencies always mix up the definition of risk, threat and vulnerability. Risk, threat and vulnerability are not terminologies for same meaning. For clear understanding of these three terms, this is a good simple relational definition between information asset, risk, threat and vulnerability
- The objective of the risk management process is to identify threats and vulnerabilities and to provide recommendations to ensure protection of information asset. Establish the context-The purpose of the context establishment is to characterize the target of the analysis and its environment. Criteria against which risk will be evaluated should be established and the structure of the analysis to be defined. Identify Risk -In this stage, the agency must identify where, when, why and how incident can happen. Analyze Risk -This is the stage where an agency will do the risk estimation. Here an agency will identify and evaluate existing controls. ---Then the agency will determine the consequences and likelihood and hence the level of risk. Evaluate Risk -This is a very important stage to make decision how to treat a risk. In this stage, on the basis of the result of analyzing risks, an agency will map the resulting risks with their associated risk values to decide how to treat risks Treat Risk -As per the result came from previous stage, the agency may prepare effective plans and procedure to mitigate the risks. It is always recommended to prepare plans with maximum effectiveness and minimum cost.
- Risk assessment template is a simple form with fields that an agency will periodically fill up after completing the risk analysis.
- Before the event, preventive controls; During the event, detective controls; After the event, corrective controls.
- A digital signature is an electronic signature that can be used to authenticate the identity of the sender of a message or the signer of a document, and possibly to ensure that the original content of the message or document that has been sent is unchanged. An agency must use digital signature certificate to ensure their cryptographic controls Authenticity (authenticity of information and parties involved in information exchange) Confidentiality (ensures confidentiality of information using encryption technology) Integrity (assures information user about the alteration of information) Non-repudiation (information originator or signer can not challenge legally that (s)he or they did not sign or originate the information)
- While preparing the policy the agency must be aware of legal and compliance issues that may be affected if the policy put in place. List of some legal and compliance document that an agency must consider while developing their policy:
- Business continuity: Processes and/or Procedures for ensuring continued business operations. To protect critical business processes from the effects of major failures of information systems or disasters and to ensure their timely resumption, a business continuity management process should be implemented. Steps in Business continuity plan (as per ISO/IEC 27002)
- Standards and Guideline-there must be some guidance in the policy document. the agency must set the standards and guideline they are going to follow in every stage of protecting their information asset Information System Audit and Certification -In the context of Bangladesh, agencies those handle critical information system infrastructure, must go through IS audit periodically. The auditor in this case can be internal or external or both. IS audit is very significant to minimize disruptions in operational procedures and to improve performance. Incident Management -it is very crucial to consider incident management plan before an incident occur. No one can exactly know when and what incident is coming. Information security incidents may occur at any time. It is very important to establish robust and effective processes to deal with incident. National Cyber Security Strategy -National Cyber Security Strategy needs to be formulated. Moreover, a separate agency may be established in future for addressing cyber security and information security issues and may be titled as “National Information Security Agency, Bangladesh (NISAB)”.
- গ