DOHLEDOVÉ CENTRUM eGOVERNMENTU SOCCR 10 – 12/6/2015 (Security Operation Center for Cyber Reliability)
ROK INFORAMTIKY 2015
o.z. ICT Služby
Odštěpný závod ICT služby byl zřízen na základě změny Zakládací listiny České pošty s.p. v dubnu 2012 Zatím jsme „odštěpeni“ v rámci ČP, s.p. (máme jedno IČO), ale jsme striktně interně oddělení (účetnictví, nákup, projekty, řízení,…) Pro svého zakladatele (MV) realizujeme vybrané dodávky a služby ICT Většinu činnosti vykonáváme pro MV a jsme výlučně ovládáni MV Příklady projektů:
ITS = Integrovaná komunikační síť (provoz stávající i stavba nové) Síť Pegas = provoz a rozvoj CMS = centrální místo služeb NIS + KSP = nová 112 Outsorcing EKIS
Pozice OZ v oblasti eGovernmentu Vláda • Na vrcholové úrovni schvaluje strategii veřejné správy. • Jejímu schválení tedy podléhá i vrcholová koncepce eGovernmentu v ČR.
RV IZ • Plní koordinační roli na meziresortní CENTRÁLNÍ úrovni. • Poskytuje vládě vědomostní základnu zejména pro její rozhodování v koncepčních otázkách rozvoje
MV CŘ • Definuje strategické priority v oblasti eGovernment a CENTRÁLNÍ projekty k jejich naplnění • Vystupuje v roli garanta oblasti eGovernment
ČP OZ • Realizátor CENTRÁLNÍCH projektů v oblasti eGovernmentu • Navazuje na hlavního architekta MV ČR rolí realizačního architekta pro CENTRÁLNÍ projekty eGovernmentu
SOCCR
SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV
IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB 24x7
SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV
IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB ŘÍDÍ BEZPEČNOS T
24x7 POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNOS TI
SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV
JE V SOULADU ISO 27001 ISO 22301 ISO 20000
PODPORUJE ŘÍZENÍ RIZIK A KONTINUITY
IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB
ŘÍDÍ BEZPEČNOS T
TÝM SOCCR = CIRT MV
JE MODULÁRNÍ A PŘIPRAVEN NA DALŠÍ ROZVOJ
24x7
POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNOS TI
SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV
JE V SOULADU ISO 27001 ISO 22301 ISO 20000
PODPORUJE ŘÍZENÍ RIZIK A KONTINUITY
IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB
ŘÍDÍ BEZPEČNOS T
TÝM SOCCR = CIRT MV
JE MODULÁRNÍ A PŘIPRAVEN NA DALŠÍ ROZVOJ
24x7
POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNOS TI
PROVOZUJE ČPOZ
Geografie SOCCR
Geografie SOCCR
Geografie SOCCR SOCCR dohleduje až 10 000 aktivních prvků po celém Česku (stav 2016)
Aktivní vs. pasivní mód AKTIVNÍ MÓD – ŘÍDÍ BEZPEČNOST
PASIVNÍ MÓD – DOHLÍŽÍ BEZPEČNOST
SOCCR je bezpečnostní administrátor systému
SOCCR je dohlížitel - pouze dostává informace ze systému
SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, aktivně řeší incident (technicky, procesně), ve spolupráci s administrátory zasahuje do konfigurace
SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, dává doporučení na reakci
SIEM – v systému je implementována sonda/agent, sbírá události, vyhodnocuje, do SOCCR zasílá agregované údaje
SIEM – získává agregované události z koncového systému pomocí systémového účtu, logy se analyzují až v SOCCR N/A – SOCCR má pouze přístup „pro čtení“
SOCCR vyžaduje plný přístup do systému, implementaci nástroje PIM/PAM + 2FA (administrátorské přístupy) SOCCR provádí automatizované skenování zranitelností s autentizací
SOCCR (ne-)pravidelně skenuje zranitelnosti bez autentizace (s povolením správce systému)
Honeypot – implementován v (interní) síti, aktivně dohleduje technologií IPS/IDS
N/A
Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj)
SOCCR neřeší procesy RM a BCM, pouze jednoduchá metodická podpora zdarma
Kompetenční centrum doplňuje
Kompetenční centrum doplňuje SLUŽBY ŘEŠENÍ TECHNOLOG IE PRODUKTY
Kompetenční centrum doplňuje SLUŽBY ŘEŠENÍ TECHNOLOG IE PRODUKTY
DOHLEDOVÉ CENTRUM SOCCR
Kompetenční centrum doplňuje SLUŽBY ŘEŠENÍ TECHNOLOG IE PRODUKTY
ZNALOSTI
DOHLEDOVÉ CENTRUM SOCCR
LIDI
ZKUŠENOSTI
Další kroky 2015
Definovat rozhraní pro připojené systémy (detail aktivního a pasivního módu)
Připravit typové projekty pro konektory na SOCCR Implementovat technologie a procesy v rámci MV Zahájit provoz dohledového centra SOCCR
Rozvoj SOCCR 2016+
Rozšířit pro korelaci interních událostí v systémech MV s podezřelými událostmi v externím prostředí Získávat informace o všech hrozbách z různých zdrojů a koncentrovat úsilí na relevantní nebezpečné případy Vytvořit SOCCR Intelligence Database – shromažďuje a koreluje všechny události v systémech MV Automatizovat procesy řízení rizik a kontinuity systémů MV Rozšířit bezpečnostní reporting o stavu systémů
Dohledové centrum SOCCR Děkuji za pozornost
Dohledové centrum SOCCR Děkuji za pozornost