IBM Security Services
Bezpečnostní projekt podle BSI-Standardu 100 Konference Řízení informatiky v soukromém a veřejném sektoru Ing. Stanislav Bíža
1
© 2015 IBM Corporation
IBM Security Services
Agenda Postup bezpečnostního projektu
Představení BSI-Standardu 100 Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM
Služby a nástroje IBM pro bezpečnostní projekt
2
© 2015 IBM Corporation
IBM Security Services
Postup vypracování bezpečnostní politiky, analýzy rizik a navazující bezpečnostní dokumentace Hodnocení souladu stávajících organizačních a technických bezpečnostních opatření
Bezpečnostní politika
Doplnění stávajících organizačních bezp. opatření Doplnění stávajících technických bezp. opatření
Hrozby
Analýza rizik
3
Aktiva
Zranitelnosti
Bezpečnostní dokumentace • Zpráva z auditu kybernetické bezpečnosti • Zpráva z přezkoumání systému řízení bezpečnosti informací • Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik • Zpráva o hodnocení aktiv a rizik • Prohlášení o aplikovatelnosti • Plán zvládání rizik • Plán rozvoje bezpečnostního povědomí • Zvládání kybernetických bezpečnostních incidentů • Strategie řízení kontinuity činností • Plán obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluv • ......
Rizika
© 2015 IBM Corporation
IBM Security Services
Vliv externích a interních regulací Legislativní požadavky Zákon č. 101/2000 Sb. o ochraně osobních údajů Zákon č. 148/1998 Sb. o ochraně utajovaných skutečností Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu Zákon č. 181/2014 Sb. o kybernetické bezpečnosti Vyhlášky NBÚ, ÚOOÚ, ČNB a pod. Bezpečnostní standardy: ČSN ISO/IEC 27000 – Information Security Management Systems (ISMS) standards ČSN ISO/IEC 13335 – Management of information and communications technology security ČSN ISO/IEC 15408 – Common Criteria for Information Technology Security Evaluation (Common Criteria) Oborové a interní bezpečnostní normy 4
© 2015 IBM Corporation
IBM Security Services
Představení BSI-Standardu 100
BSI-Standard 100 (neboli IT-Grundschutz Methodology) je sada standardů vyvíjených německým Spolkovým úřadem pro informační bezpečnost. BSI-Standard 100 vychází z ISO/IEC 27000. BSI-Standard 100 poskytuje ucelenou metodiku, založenou na „best practices“, pro řízení životního cyklu IT bezpečnosti.
BSI-Standard 100 rozšiřuje standardy ISO/IEC 27000 o praktický přístup a rozsáhlé katalogy modulů, hrozeb a bezpečnostních opatření.
5
© 2015 IBM Corporation
IBM Security Services
Struktura BSI-Standardu 100 Normy BSI pro bezpečnost IT - IT Security Management
Katalogy IT Protection Baseline Kapitola 1: Úvod
Kapitola 2: Model a úrovně bezpečnosti BSI-Standard 100-1: ISMS: Systém řízení bezpečnosti informací (ISMS) BSI-Standard 100-2: Metodika IT Protection Baseline (IT-Grundschutz) BSI-Standard 100-3: Analýza rizik na základě IT Protection Baseline
Kapitola 3: Slovník pojmů Kapitola 4: Role
• Katalog modulů • Obecné aspekty • Infrastruktura • IT Systémy • Datové sítě • Aplikace • Katalog hrozeb • Katalog bezpečnostních opatření
6
© 2015 IBM Corporation
IBM Security Services
Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM ISO 27000
BSI-Standard 100
IBM Method for Architecting Secure Solutions
Katalog hrozeb
Analýza rizik
Katalog modulů
Bezpečnostní role a procesy
•Obecné aspekty •Infrastruktura •IT Systémy •Datové sítě •Aplikace
Katalog bezp. opatření 7
Logický model bezpečnostní architektury Provozní model bezpečnostní architektury
© 2015 IBM Corporation
IBM Security Services
Katalog modulů BSI-Standardu 100-2 S 1 Common aspects
8
Úroveň 1
Obecné aspekty
Úroveň 2
Infrastruktura
Úroveň 3
IT Systémy
Úroveň 4
Datové sítě
Úroveň 5
Aplikace
S 1.0 Security management S 1.1 Organization S 1.2 Personnel S 1.3 Business continuity management S 1.4 Data backup policy S 1.5 Data protection S 1.6 Protection against malware S 1.7 Crypto-concept S 1.8 Handling security incidents S 1.9 Hardware and software management S 1.10 Standard software S 1.11 Outsourcing S 1.12 Archiving S 1.13 Information security awareness and training S 1.14 Patch and change management S 1.15 Deleting and destroying data S 1.16 Compliance management © 2015 IBM Corporation
IBM Security Services
Katalog hrozeb BSI-Standardu 100-2 T 0 Basic threats
Threat catalogues T 0 Basic threats T 1 Force majeure
T 2 Organisational shortcomings T 3 Human error
T 4 Tecnical failure T 5 Deliberate acts
9
T 0.1 Fire T 0.2 Unfavourable Climatic Conditions T 0.3 Water T 0.4 Pollution, Dust, Corrosion T 0.5 Natural Disasters T 0.6 Environmental Disasters T 0.7 Major Events in the Environment T 0.8 Failure or Disruption of the Power Supply T 0.9 Failure or Disruption of Communication Networks T 0.10 Failure or Disruption of Mains Supply T 0.11 Failure or Disruption of Service Providers T 0.12 Interfering Radiation T 0.13 Intercepting Compromising Emissions T 0.14 Interception of Information / Espionage T 0.15 Eavesdropping T 0.16 Theft of Devices, Storage Media and Documents ... T 0.46 Loss of Integrity of Sensitive Information © 2015 IBM Corporation
IBM Security Services
Katalog bezpečnostních opatření BSI-Standardu 100-2 S 1 Safeguard catalogues Infrastructure
Safeguard catalogues S 1 Infrastructure S 2 Organization S 3 Personnel S 4 Hard- and software
S 5 Communication S 6 Contingency planning
10
S 1.1 Compliance with relevant standards and regulations S 1.2 Regulations governing access to distributors S 1.3 Appropriate segmentation of circuits S 1.4 Lightning protection devices S 1.5 Galvanic separation of external lines S 1.6 Compliance with fire-protection regulations S 1.7 Hand-held fire extinguishers S 1.8 Room allocation, with due regard to fire loads S 1.9 Fire sealing of trays S 1.10 Safe doors and windows S 1.11 Plans detailing the location of supply lines S 1.12 Avoidance of references to the location of building parts requiring protection S 1.13 Layout of building parts requiring protection S 1.14 Automatic water drainage ... S 1.80 Access control system and authorisation management © 2015 IBM Corporation
IBM Security Services
Služby IBM pro bezpečnostní projekt IBM má silné kompetence v oblasti bezpečnosti: - metodiky auditu a návrhu bezpečnostních politik/standardů založené na ISO 27000; - metodika pro návrh bezpečnostní architektury a framework bezpečnosti; - několik tisíc certifikovaných specialistů; celosvětově sdílené informace.
Strategie
Organizace
Procesy
Vypracování strategie řízení bezpečnosti IT Vypracování Analýzy rizik Vypracování bezpečnostních politik a standardů Bezpečnostní audit IT Příprava na certifikaci podle ISO 27001 Příprava na certifikaci podle PCI-DSS (platební karty) Audit připravenosti na obnovu systémů po havárii
Data / Aplikace
Technologie
Fyzická zařízení / Prostory
11
Návrh bezpečnostní architektury IT systémů Vybudování infrastruktury veřejných klíčů (PKI) Bezpečnostní dohled - SIEM Zabezpečení mobilních zařízení (MDM, BYOD)
Bezpečné připojení k Internetu – DMZ, FW, VPN ... Bezpečnostní testy – interní & externí © 2015 IBM Corporation
IBM Security Services
Nástroje IBM pro bezpečnostní projekt • zabezpečení databází – IBM Guardium • ověřování identity uživatelů – IBM Security Identity Manager, Privilege Identity Manager • řízení přístupových oprávnění - IBM Security Access Manager
• zaznamenávání činnosti, detekce a sběr kybernetických bezpečnostních událostí – QRadar SIEM • aplikační bezpečnost a bezpečný vývoj aplikací – IBM AppScan Standard/Enterprise, IBM AppScan Source Code • ochrana integrity komunikačních sítí - firewall, Network admission control, VPN, IDS/IPS
• nástroje pro zajišťování úrovně dostupnosti informací - řešení High Availability a Disaster Recovery, ochrana proti DoS 12
© 2015 IBM Corporation
IBM Security Services
Know
Monitor
What data we have and where it resides.
Our Process to ensure continuous compliance and improvements.
.
Děkuji za pozornost ... a těším se na dotazy Ing. Stanislav Bíža Senior Architect, CISA
[email protected]
Protect Our restricted and confidential data. 13
Respond Quickly and effectively to Information Security threats. © 2015 IBM Corporation