Česká Telekomunikační Infrastruktura a.s
Incident management, Radek Živný 5.10.2016
Co je Cetin? Proč vznikl? CETIN je Česká telekomunikační infrastruktura, a.s. která vznikla oddělením ze společnosti O2 Czech Republic, a.s. 1. června 2015. Společnost otevřená všem operátorům s transparentní komunikací nabídek. S vysokou spolehlivostí, bezpečností sítě, a s širokým pokrytím. S cílem vytvořit dvě zcela nezávislé společnosti poskytující velkoobchodní , resp. maloobchodní telekomunikační služby. Historicky první dobrovolná funkční separace telekomunikačního operátora. Historicky nejkratší doba procesu oddělení Odstranění vertikální regulace Zjednodušení regulace Nový business model Motto”vysoké investice do modernizace a dostupnosti sítě” Presentation title
Author's name
10 October, 2016
Co Cetin prodáva a komu?
Produkty CETIN Fixní sítě
Operátoři
Koncoví zákazníci Data Internet Kapacita
Mobilní data
Mobilní sítě Broadband IP TV
Mezinárodní služby
Presentation title
Author's name
10 October, 2016
Fixní hlas
Certifikace dle IMS následně po vzniku Cetinu
Presentation title
Author's name
10 October, 2016
Certifikace dle IMS následně po vzniku Cetinu
Presentation title
Author's name
10 October, 2016
Základní pilíře Bezpečnosti CETIN Kvalitní tým odborníků pro oblasti: Informační bezpečnosti Fyzické Bezpečnosti BOZP Požární Ochrany Kvalitní a jednoduchá předpisová základna. Dostatek nástrojů pro samotný výkon, realizace bezpečnostních opatření
Presentation title
Author's name
10 October, 2016
Řízení Management Rizik Analýzy rizik Audity Předpisová základna Proškolování zaměstnanců Optimalizace Incident management
Presentation title
Author's name
10 October, 2016
Fyzické nástroje Decentralizované řešení. Log-managemnt IDS, FW Aplikační FW Antivir DLP IDM RIAN
Presentation title
Author's name
10 October, 2016
Nástroje
Evidence modul Telco systémy
modul Vyjímky
modul Uživatelský portál
modul Modelování procesů
modul Network systémy
modul Auditoři IMS
modul Dashboard
modul ŘD Workflow
modul IT Systémy
modul Datové toky
modul Reporting
modul E-Learning
modul Ostatní technika
modul Incidenty
modul Incident Management
modul IMS management
modul Lidé
modul Rizika a AR
modul Operátorská Console
modul Analýza rizik (RAM)
modul Projekty
modul Řídící dokumentace
modul Management Console
modul Management Rizik
modul Typy prostorů
modul Procesy
modul Řízení projektů
modul DRP
modul Budovy
modul Nápravná opatření
modul Krizový management
modul Datové toky
modul Smlouvy
modul Externisté
modul BOZP evidence
modul Building
Datové Zdroje CMDB IDM ERP Network Registr
CETIN Security Framework
Logy (Zdroje) CA Syslog servery IT Syslog servery Network Syslog servery Telco
Budovy
F5 ASM
Fyzická bezpečnost
Network IDS
Ticketing
Altex
Incident Management na zelené louce Nezbytná podpora managementu Znalost prostředí Kategorizace Informací Kategorizace IS Strategie obchodu Strategie IT Ostatní potřeby Podpůrný tým napříč společností
Presentation title
Author's name
10 October, 2016
Základní pravidlo Při reakci na incident je na prvním místě: • • •
Ochrana lidského života. A na druhém místě obnovení zpracování informací služby, které byly ztracené nebo poškozené. Posledním aspektem je zmírnění nedostatků, které jsme detekovaly během incidentu.
Incident Management, produkuje následující výhohody: • Obchodní dopad každého incidentu je minimalizováno • Bezpečnost zaměstnanců a dat se zvyšuje • Odpovědnosti právnických osob vzhledem k nedostatku náležité péče je zmírněno • Regulační požadavky jsou splněny • Veřejný obraz organizace je chráněn rychlou a profesionální odpovědí Správa incidentů se skládá ze sady institucionalizovaných politik a procesů!
Presentation title
Author's name
10 October, 2016
Kroky procesu řízení bezpečnosti dat Dříve, než dojde k nehodě, je důležité udělat vše, co rozumně, abychom se připravit pro rychlou a účinnou reakci. Kroky vedoucí k řádnou přípravu vaší organizace patří: • • •
Presentation title
Rozvoj politiky řízení incidentů a ztráty dat Utváření a výcvik týmů Incident Response (ISIRT) Rozvoj komunikačních plán
Author's name
10 October, 2016
Vypracovat politiku Prvním krokem v každém zabezpečení dat činnosti je tvorba politiky, která jasně stanoví své cíle. Vy by měly zahrnovat: • Prohlášení o závazku řízení s účinnou možností správy incidentů • Účel • Cíle, které mají být splněny • Prohlášení, které stanoví, jak vaše organizace definuje ztrátu dat způsobené incidentem • Systém pro správu incidentů, organizační struktura, a odezva. Zaměstnanci odpovědní za reakce na incidenty musí jasně pochopit své role a role ostatních týmů, s nimiž budou muset spolupracovat v rámci řešení, vnímat rozhraní. Nejasná definice organizační struktury ISIRT může způsobit zmatek, což má za následek zpoždění a tím i zpomalení celého procesu šetření.
Presentation title
Author's name
10 October, 2016
Budování týmu – je nezbytné zvážit • •
Jasně definovat úlohy každého řešitelského týmu. Jasně definované odpovědnosti přidělené každému řešitelskému týmu.
•
Hladiny ISIRTU - vedení, vedoucí týmů až k nejnižší úrovni (Recovery Manager), by mělo být snadno sledovatelné. Dostatečné pravomoce – ISIRT by měl mít dostatečnou pravomoc rozhodovat v případě nutnosti vypnout nebo zabavit systémy na ochranu informačních aktiv. Prioritizace incidentů - různé druhy incidentů, každý typ může vyžadovat jedinečnou reakci se specifickými požadavky na podávání zpráv. Vysvětlení požadavků na podávání zpráv. Což je odpovědností každého týmu pro reporting, tzn. jaké by měly být zahrnuty informace ve zprávách, a komu jsou zprávy předloženy
• • •
Presentation title
Author's name
10 October, 2016
Příklad scénáře
Struktura ISIRT týmu
Struktura ISIRT týmu – technické obsazení Správná personální a odborná příprava těchto týmů je rozhodující pro úspěch při řešení bezpečnostních incidentů. • Manažer týmu. Tato osoba má celkovou odpovědnost za zajištění splnění obchodních cílů v průběhu činnosti, odezvy dat incidentu. Navíc, ona je zodpovědná za stav komunikaci s vrcholovým vedením. • Technické vedení. Samotná realizace nápravných opatření, skládá se z : • Jednoho nebo více síťových specialistů • Jednoho nebo více programátorů • Jednoho nebo více zástupců provozu • Vztahy s veřejností. Tato osoba je zodpovědná za komunikaci s akcionáři, tisku a jiných externích subjektů. • Bezpečnost. Tým bezpečnost je obvykle první pomoci jakéhokoli incidentu. Členové tohoto týmu jsou také zodpovědné za poskytnutí dohledu během jednotlivých úseků řešení. • Obchod – Dopad na zákazníky • Finance – Okamžité schválení a uvolnění finančních prostředků na eliminace, Podpůrný tým může: • Zřídit alternativní metody zpracování informací, v případě, že jsou narušeny základní systémy nebo síťové cesty, příprava podkladů pro PČR, nebo žaloby, apod. • Pomáhat s úkoly při obnovení systému • Fyzická bezpečnost a vyšetřování - Zajištění zařízení, reakce na lidské zásahy a výstrahy,atd. • Správa zařízení - odpovědnost za řešení problémů napájení, lokalizaci a koordinaci přechodu na alternativní zařízení a strukturální posouzení. Presentation title
Author's name
10 October, 2016
Příklad notifikačního schématu
Tři hlavní odpovědnosti ISIRT Prevence bezpečnostních incidentů je v podstatě cvičení v řízení rizik přiměřeným a vhodným způsobem, včetně: Identifikace hrozby / zranitelnosti prostředí prostřednictvím: posouzení zranitelnosti penetrační testování Zprávy zranitelnosti od prodejců, stejně jako soukromé a vládní zdroje
•Vyhodnocení pravděpodobnosti, že hrozba využije jednu nebo více zranitelností •Posouzení potenciálních obchodních dopadů, vyskytnou-li se konkrétní události •Rozvoj akčních plánů na základě zdravých zásad řízení rizik, tzn. aktivně snížovat rizika
•Analyzovat data incidentů •Určit rozsah a povahu incidentu •Komunikovat s ostatními týmy pro obnovu dat, včetně informací, které mají být sdělovány •Vydávat doporučení, jak vhodně skládat jednotlivé činností a jejich výskyt
Presentation title
Author's name
10 October, 2016
Hlavní odpovědnosti ISIRT Rozvíjet komunikační plán • •
Jedním z nejdůležitějších aspektů ztráty dat incident management a reakce je komunikace. Přiměřená komunikace za účelem obnovy dat, řízení dopadů, obchodní rizika a úvah pro styk s veřejností vyžaduje oslovení různých interních a externích subjektů. • Media • Legal - právní podpora a vymáhání • CERT, CSIRT • ISP • Majitelé IP, ze kterých byl útok realizován • Poškození ………..
Presentation title
Author's name
10 October, 2016
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
To je naše cesta! Méně agentů a více logiky z pohledu co a jak monitorovat, Více pochopení pro prostředí (není to o složitých analýzách) Integrace stávajících zdrojů Informační bezpečnost Fyzická bezpečnost Personální bezpečnost Musí být skutečně vše separátně odděleno? Bezpečnost a reálné prostředí
Presentation title
Author's name
10 October, 2016
Divider Page
Presentation title
Author's name
10 October, 2016
Confidential
Děkuji za pozornost
