Bezpečnostní projekt podle BSI-Standardu 100

IBM Security Services

Bezpečnostní projekt podle BSI-Standardu 100 Konference Řízení informatiky v soukromém a veřejném sektoru Ing. Stanislav Bíža

1

© 2015 IBM Corporation


Agenda  Postup bezpečnostního projektu

 Představení BSI-Standardu 100  Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM

 Služby a nástroje IBM pro bezpečnostní projekt

2



Postup vypracování bezpečnostní politiky, analýzy rizik a navazující bezpečnostní dokumentace Hodnocení souladu stávajících organizačních a technických bezpečnostních opatření

Bezpečnostní politika

Doplnění stávajících organizačních bezp. opatření Doplnění stávajících technických bezp. opatření

Hrozby

Analýza rizik

3

Aktiva

Zranitelnosti

Bezpečnostní dokumentace • Zpráva z auditu kybernetické bezpečnosti • Zpráva z přezkoumání systému řízení bezpečnosti informací • Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik • Zpráva o hodnocení aktiv a rizik • Prohlášení o aplikovatelnosti • Plán zvládání rizik • Plán rozvoje bezpečnostního povědomí • Zvládání kybernetických bezpečnostních incidentů • Strategie řízení kontinuity činností • Plán obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluv • ......

Rizika



Vliv externích a interních regulací Legislativní požadavky  Zákon č. 101/2000 Sb. o ochraně osobních údajů  Zákon č. 148/1998 Sb. o ochraně utajovaných skutečností  Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu  Zákon č. 181/2014 Sb. o kybernetické bezpečnosti  Vyhlášky NBÚ, ÚOOÚ, ČNB a pod. Bezpečnostní standardy:  ČSN ISO/IEC 27000 – Information Security Management Systems (ISMS) standards  ČSN ISO/IEC 13335 – Management of information and communications technology security  ČSN ISO/IEC 15408 – Common Criteria for Information Technology Security Evaluation (Common Criteria)  Oborové a interní bezpečnostní normy 4



Představení BSI-Standardu 100

 BSI-Standard 100 (neboli IT-Grundschutz Methodology) je sada standardů vyvíjených německým Spolkovým úřadem pro informační bezpečnost. BSI-Standard 100 vychází z ISO/IEC 27000.  BSI-Standard 100 poskytuje ucelenou metodiku, založenou na „best practices“, pro řízení životního cyklu IT bezpečnosti.

 BSI-Standard 100 rozšiřuje standardy ISO/IEC 27000 o praktický přístup a rozsáhlé katalogy modulů, hrozeb a bezpečnostních opatření.

5



Struktura BSI-Standardu 100 Normy BSI pro bezpečnost IT - IT Security Management

Katalogy IT Protection Baseline Kapitola 1: Úvod

Kapitola 2: Model a úrovně bezpečnosti BSI-Standard 100-1: ISMS: Systém řízení bezpečnosti informací (ISMS) BSI-Standard 100-2: Metodika IT Protection Baseline (IT-Grundschutz) BSI-Standard 100-3: Analýza rizik na základě IT Protection Baseline

Kapitola 3: Slovník pojmů Kapitola 4: Role

• Katalog modulů • Obecné aspekty • Infrastruktura • IT Systémy • Datové sítě • Aplikace • Katalog hrozeb • Katalog bezpečnostních opatření

6



Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM ISO 27000

BSI-Standard 100

IBM Method for Architecting Secure Solutions

Katalog hrozeb

Analýza rizik

Katalog modulů

Bezpečnostní role a procesy

•Obecné aspekty •Infrastruktura •IT Systémy •Datové sítě •Aplikace

Katalog bezp. opatření 7

Logický model bezpečnostní architektury Provozní model bezpečnostní architektury



Katalog modulů BSI-Standardu 100-2 S 1 Common aspects

8

Úroveň 1

Obecné aspekty

Úroveň 2

Infrastruktura

Úroveň 3

IT Systémy

Úroveň 4

Datové sítě

Úroveň 5

Aplikace

S 1.0 Security management S 1.1 Organization S 1.2 Personnel S 1.3 Business continuity management S 1.4 Data backup policy S 1.5 Data protection S 1.6 Protection against malware S 1.7 Crypto-concept S 1.8 Handling security incidents S 1.9 Hardware and software management S 1.10 Standard software S 1.11 Outsourcing S 1.12 Archiving S 1.13 Information security awareness and training S 1.14 Patch and change management S 1.15 Deleting and destroying data S 1.16 Compliance management © 2015 IBM Corporation


Katalog hrozeb BSI-Standardu 100-2 T 0 Basic threats

Threat catalogues T 0 Basic threats T 1 Force majeure

T 2 Organisational shortcomings T 3 Human error

T 4 Tecnical failure T 5 Deliberate acts

9

T 0.1 Fire T 0.2 Unfavourable Climatic Conditions T 0.3 Water T 0.4 Pollution, Dust, Corrosion T 0.5 Natural Disasters T 0.6 Environmental Disasters T 0.7 Major Events in the Environment T 0.8 Failure or Disruption of the Power Supply T 0.9 Failure or Disruption of Communication Networks T 0.10 Failure or Disruption of Mains Supply T 0.11 Failure or Disruption of Service Providers T 0.12 Interfering Radiation T 0.13 Intercepting Compromising Emissions T 0.14 Interception of Information / Espionage T 0.15 Eavesdropping T 0.16 Theft of Devices, Storage Media and Documents ... T 0.46 Loss of Integrity of Sensitive Information © 2015 IBM Corporation


Katalog bezpečnostních opatření BSI-Standardu 100-2 S 1 Safeguard catalogues Infrastructure

Safeguard catalogues S 1 Infrastructure S 2 Organization S 3 Personnel S 4 Hard- and software

S 5 Communication S 6 Contingency planning

10

S 1.1 Compliance with relevant standards and regulations S 1.2 Regulations governing access to distributors S 1.3 Appropriate segmentation of circuits S 1.4 Lightning protection devices S 1.5 Galvanic separation of external lines S 1.6 Compliance with fire-protection regulations S 1.7 Hand-held fire extinguishers S 1.8 Room allocation, with due regard to fire loads S 1.9 Fire sealing of trays S 1.10 Safe doors and windows S 1.11 Plans detailing the location of supply lines S 1.12 Avoidance of references to the location of building parts requiring protection S 1.13 Layout of building parts requiring protection S 1.14 Automatic water drainage ... S 1.80 Access control system and authorisation management © 2015 IBM Corporation


Služby IBM pro bezpečnostní projekt IBM má silné kompetence v oblasti bezpečnosti: - metodiky auditu a návrhu bezpečnostních politik/standardů založené na ISO 27000; - metodika pro návrh bezpečnostní architektury a framework bezpečnosti; - několik tisíc certifikovaných specialistů; celosvětově sdílené informace.

Strategie

Organizace

Procesy

 Vypracování strategie řízení bezpečnosti IT  Vypracování Analýzy rizik  Vypracování bezpečnostních politik a standardů  Bezpečnostní audit IT  Příprava na certifikaci podle ISO 27001  Příprava na certifikaci podle PCI-DSS (platební karty)  Audit připravenosti na obnovu systémů po havárii

Data / Aplikace

Technologie

Fyzická zařízení / Prostory

11

   

Návrh bezpečnostní architektury IT systémů Vybudování infrastruktury veřejných klíčů (PKI) Bezpečnostní dohled - SIEM Zabezpečení mobilních zařízení (MDM, BYOD)

 Bezpečné připojení k Internetu – DMZ, FW, VPN ...  Bezpečnostní testy – interní & externí © 2015 IBM Corporation


Nástroje IBM pro bezpečnostní projekt • zabezpečení databází – IBM Guardium • ověřování identity uživatelů – IBM Security Identity Manager, Privilege Identity Manager • řízení přístupových oprávnění - IBM Security Access Manager

• zaznamenávání činnosti, detekce a sběr kybernetických bezpečnostních událostí – QRadar SIEM • aplikační bezpečnost a bezpečný vývoj aplikací – IBM AppScan Standard/Enterprise, IBM AppScan Source Code • ochrana integrity komunikačních sítí - firewall, Network admission control, VPN, IDS/IPS

• nástroje pro zajišťování úrovně dostupnosti informací - řešení High Availability a Disaster Recovery, ochrana proti DoS 12



Know

Monitor

What data we have and where it resides.

Our Process to ensure continuous compliance and improvements.

.

Děkuji za pozornost ... a těším se na dotazy Ing. Stanislav Bíža Senior Architect, CISA [email protected]

Protect Our restricted and confidential data. 13

Respond Quickly and effectively to Information Security threats. © 2015 IBM Corporation

Bezpečnostní projekt podle BSI-Standardu 100

Recommend Documents