IBM Security Services
Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti
eHealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA
[email protected]
©12016 IBM Corporation
© 2016 IBM Corporation
IBM Security Services
Požadavky legislativy a standardů Každý projekt zahrnující řešení bezpečnosti IT musí vycházet z legislativy platné pro danou organizaci, jejích standardů bezpečnosti a interních norem Legislativní požadavky Zákon č. 101/2000 Sb. o ochraně osobních údajů Zákon č. 412/2005 Sb. o ochraně utajovaných skutečností Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu Zákon č. 181/2014 Sb. o kybernetické bezpečnosti Vyhlášky NBÚ, ÚOOÚ, ČNB a pod.
Obvykle využívané bezpečnostní standardy: ČSN ISO/IEC 27000 – Information Security Management Systems (ISMS) standards ČSN ISO/IEC 13335 – Management of information and communications technology security ČSN ISO/IEC 15408 – Common Criteria for Information Technology Security Evaluation (Common Criteria) 2
© 2016 IBM Corporation
IBM Security Services
Požadavky legislativy a standardů Příklad: Vyhláška č. 316/2014 Sb. k Zákonu o kybernetické bezpečnosti Technická opatření §16 Fyzická bezpečnost §17 Nástroj pro ochranu integrity komunikačních sítí §18 Nástroj pro ověřování identity uživatelů §19 Nástroj pro řízení přístupových oprávnění §20 Nástroj pro ochranu před škodlivým kódem §21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů §22 Nástroj pro detekci kybernetických bezpečnostních událostí §23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí §24 Aplikační bezpečnost §25 Kryptografické prostředky §26 Nástroje pro zajištění úrovně dostupnosti §27 Bezpečnost průmyslových a řídicích systémů
3
© 2016 IBM Corporation
IBM Security Services
IBM framework „10 Essential Practices“ jako praktický přístup k řízení bezpečnosti z pohledu vlastníků aktiv Porozumět vlivným prvkům bezpečnosti
3 Bezpečná spolupráce na sociálních sítích a mobilních zařízeních
4 Zahrnutí bezpečnosti již do návrhu aplikací
5 Správa IT infrastruktury v souladu s požadavky bezpečnosti
6 Zabezpečené a vysoce dostupné datové sítě
2 Systém řízení provozní bezpečnosti a rychlé reakce na bezpečnostní incidenty
1 Security Governance a řízení rizik IT
7 Porozumění komplexním problémům bezpečnosti v řešeních virtualizace a cloudu 4
IBM 10 Essential Practices
8 Řízení rizik při přístupu 3. stran
9 Klasifikace informací a ochrana osobních údajů
10 Řízení identit uživatelů
© 2016 IBM Corporation
IBM Security Services
10 Essential Practices Zavedení Securit Governance a řízení rizik IT Hodnocení souladu stávajících rganizačních a technických bezpečnostních opatření s přijatým standardem/legislativou
Doplnění stávajících organizačních bezp. opatření
Bezpečnostní politika
Doplnění stávajících technických bezp. opatření
Hrozby
Analýza rizik
5
Aktiva
Zranitelnosti
Bezpečnostní dokumentace • Zpráva z auditu kybernetické bezpečnosti • Zpráva z přezkoumání systému řízení bezpečnosti informací • Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik • Zpráva o hodnocení aktiv a rizik • Prohlášení o aplikovatelnosti • Plán zvládání rizik • Plán rozvoje bezpečnostního povědomí • Zvládání kybernetických bezpečnostních incidentů • Strategie řízení kontinuity činností • Plán obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a sml.
Rizika
© 2016 IBM Corporation
IBM Security Services
IBM 10 Essential Practices Systém řízení provozní bezpečnosti a rychlé reakce na bezpečnostní incidenty
Politiky a procesy pro řešení bezpečnostních incidentů Včasná detekce incidentů: Security Information Event Management (SIEM) Forenzní nástroje pro vyšetřování bezpečnostních incidentů Provozní role, jejich odpovědnosti a workflow pro rychlou reakci na incidenty
Bezpečná spolupráce na sociálních sítích a mobilních zařízeních Interní politiky pro používání sociálních sítí BYOD Prosazování konzistentní bezpečnostní politiky přes všechna koncová zařízení používaná pro služební účely – PC, notebooky, tablety , telefony ... Oddělení služebních a soukromých dat, zvýšená ochrana citlivých informací
6
© 2016 IBM Corporation
IBM Security Services
IBM 10 Essential Practices Začlenění bezpečnosti již do fáze návrhu aplikací Zavedení SDLC do celého vývojového cyklu Bezpečnostní požadavky jako součást Mimofunkčních požadavků již v prvotních fázích projektu Zabezpečená rozhraní na okolní systémy Testy zranitelností a Ethical hacking
Zabezpečené a vysoce dostupné datové sítě
7
Topologie sítě reflektující oddělení aktiv s různými požadavky na zabezpečení Optimalizace síťové infrastruktury s ohledem na požadavky vysoké dostupnosti Ochrana před síťovými útoky Detekce podezřelých aktivit na síti Logování komunikace, monitorování a včasná detekce incidentů – napojení na SIEM
© 2016 IBM Corporation
IBM Security Services
IBM 10 Essential Practices Porozumění komplexním problémům bezpečnosti v řešeních virtualizace a cloudu Konzistentní bezpečnostní politiky přes externí poskytovatele IT služeb a poskytovatele cloudových služeb Pravidelné kontroly dodržování bezpečnostních standardů u poskytovatelů cloudových služeb Předhled o bezpečnostních limitech cloudových služeb a řízení jejich rizik
Řízení rizik při přístupu 3. stran
8
Prosazování bezpečnostních politik u dodavatelů Vzdělávání o požadavcích souladu s legislativou a externími regulátory Zahrnutí 3. stran do systému řešení bezpečnostních incidentů a jejich reportování Řízení rizik přístupu externích dodavatelů a kontraktorů
© 2016 IBM Corporation
IBM Security Services
Příklad: bezpečnostní testy IT infrastruktury a aplikací Bezpečnostní testy se skládají z několika modulů, které mohou být provedeny společně pro komplexní testování nebo jednotlivě pro ověření zabezpečení jednotlivých komponent infrastruktury a aplikací. Moduly bezpečnostních testů:
– – – – –
9
Audit bezpečnosti segmentů LAN a DMZ Penetrační testování Network-based zranitelností síťových prvků a serverů Penetrační testování Host-based zranitelností serverů Testování přístupového a auditního systému aplikací Testování zranitelností webových aplikací a webových služeb
© 2016 IBM Corporation
IBM Security Services
IBM 10 Essential Practices Klasifikace informací a ochrana osobních ůdajů
Klasifikace informací, určení vlastníků a hodnoty Zabezpečení dat v databázích (i před DB administrátory) Data Loss Prevention Architektura řešení pro komplexní zabezpečení dat (ne oddělená „sila“)
Řízení identit uživatelů
10
Identity a Access Management Standardizace nástrojů IAM, řízení na základě požadavků bezpečnostních politik Single-sign-on Správa separace rolí Monitorování přístupů, napojení na SIEM
© 2016 IBM Corporation
IBM Security Services
Know What data we have and where it resides.
.
Monitor
Our Process to ensure continuous compliance and improvements.
Děkuji za pozornost ... a těším se na dotazy Stanislav Bíža Senior Architect, CISA
Protect Respond Our restricted and confidential data.
Quickly and effectively to Information Security threats. 11
© 2016 IBM Corporation
