Seminář CyberSecurity II
AGENDA 1. Implementace ZKB 2. Organizační opatření 3. Technická opatření
2
Implementace ZKB Michal Zedníček Security Consultant ALEF NULA
CÍLE ZKB 1. Formální cíl: soulad se ZKB 2. Věcný cíl: Systematické Plánování/Dosažení/Controlování/A zlepšování bezpečnosti ICT
4
IMPLEMENTACE ZKB Postup implementace ZKB - 1.poločas GAP Analýza • Cíl: hodnocení stávajícího prostředí • Časový milník: hned • Výsledek: Zpráva o stavu prostředí k ZKB
5
IMPLEMENTACE ZKB Postup implementace ZKB - 2.poločas Realizace organizačních a technických opatření, dokumentace • Cíl: Plný soulad se ZKB • Časový milník: konec překlenovací lhůty • Výsledek Etapa 1: Plán zvládání rizik • Výsledek Etapa 2: soulad se ZKB a zabezpečené ICT
6
IMPLEMENTACE ZKB Realizace organizačních a technických opatření, dokumentace, certifikace Organizační opatření • Stanovení cílů, naplánování a popsání cesty, nastavení procesů
Technická opatření • Implementace technických nástrojů s ohledem na Plán zvládání rizik
Dokumentace • Definice procesů a jejich zaznamenání písemnou formou
Certifikace • Zjednodušení kontroly státem 7
ORGANIZAČNÍ OPATŘENÍ Organizační opatření Plánování • Povzbuzují k plánování činností Plán zvládání rizik • Klíčový dokument popisující postup implementace ZKB Procesy • Vedou k zavedení chování podle ZKB – „procesů“
8
TECHNICKÁ OPATŘENÍ Technická opatření Implementace technických opatření • Zvolení priority implementačních projektů podle Plánu zvládání rizik • Integrita s Organizačními opatřeními
9
DOKUMENTACE Dokumentace Obsah a rozsah • Vzor i povinnosti v ZKB Cíle dokumentace • Doklad naplnění ZKB • Nástroj k efektivnímu rozvoji • Nástroj pro efektivní řešení problémů
10
CERTIFIKACE Certifikace Systém řízení informační bezpečnosti je možné ověřit • Implementace ZKB je přípravou na certifikační audit ISO/IEC 27001 Výhody certifikace • Usnadnění auditu státní správou • Nezávislý pohled na řízení informační bezpečnosti
11
SHRNUTÍ 1. 2. 3. 4.
GAP analýza Organizační opatření k Plánu zvládání rizik Organizační opatření dle Plánu zvládání rizik Implementace technických opatření
+ průběžné vytváření/doplňování dokumentace + certifikace (volitelně) 12
Pohled na Organizační opatření Michal Zedníček Security Consultant ALEF NULA
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI Organizační opatření § 3 Systém řízení bezpečnosti informací § 4 Řízení rizik § 5 Bezpečnostní politika § 6 Organizační bezpečnost § 7 Stanovení bezpečnostních požadavků pro dodavatele § 8 Řízení aktiv § 9 Bezpečnost lidských zdrojů § 10 Řízení provozu a komunikací § 11 Řízení přístupu a bezpečné chování uživatelů § 12 Akvizice, vývoj a údržba § 13 Zvládání kybernetických bezpečnostních událostí a incidentů § 14 Řízení kontinuity činností § 15 Kontrola a audit 14
ORGANIZAČNÍ OPATŘENÍ §3 Systém řízení bezpečnosti informací Stanovení hranic systému • Kde systém začíná a končí Stanovení etalonu • Vzorem je ZKB Zavedení PDCA • Rozdíly KII a VIS ve zpětné vazbě
15
ORGANIZAČNÍ OPATŘENÍ §4 Řízení rizik Metodika identifikace a hodnocení aktiv a rizik • Přílohy 1 a 2 VKB Scénáře hrozeb a zranitelností • Předepsané oblasti k řešení Významný milník • Dokument Plán zvládání rizik
16
ORGANIZAČNÍ OPATŘENÍ §5 Bezpečnostní politika Povinné oblasti pro bezpečnostní politiku • 14 pro VIS, 21 pro KII Souvislost • Povinnost znalosti pro všechny role, zahrnutí do Plánu rozvoje bezpečnostního povědomí
17
ORGANIZAČNÍ OPATŘENÍ §6 Organizační bezpečnost Kompetence řízení informační bezpečnosti v rukách Výboru pro řízení kybernetické bezpečnosti • Stanovení rolí a jejich kompetencí Přepsané role pro KII • Manažer, Architekt, Auditor Kybernetické bezpečnosti • Garanti aktiv
18
ORGANIZAČNÍ OPATŘENÍ §7 Stanovení bezpečnostních požadavků pro dodavatele Dohoda o pravidlech • Forma ustanovení ve smlouvě, smlouva o úrovni služeb Analýza rizik • KII řídí rizika spojená s dodavateli
19
ORGANIZAČNÍ OPATŘENÍ §8 Řízení aktiv Práce s aktivy • Identifikace, hodnocení, klasifikace aktiv Metodika • Příloha č. 1 VKB Kompetence za aktiva • Garanti aktiv
20
ORGANIZAČNÍ OPATŘENÍ §9 Bezpečnost lidských zdrojů Školení osob • Vstupní a pravidelná školení všech osob, včetně evidence • Dokument Plán rozvoje bezpečnostního povědomí Další povinnosti • Vedení přístupových oprávnění • Kontrola dodržování bezpečnostní politiky • Zajištění vrácení svěřených aktiv a odebrání přístupových práv při ukončení smluvního vztahu 21
ORGANIZAČNÍ OPATŘENÍ §10 Řízení provozu a komunikací Detekce KBU • Za pomoci §21 a §23 Bezpečný provoz • Zajištění bezpečného provozu, stanovení provozních pravidel a postupů
22
ORGANIZAČNÍ OPATŘENÍ §11 Řízení přístupu a bezpečné chování uživatelů Povinnost řízení přístupu • Včetně ochrany autorizačních údajů
23
ORGANIZAČNÍ OPATŘENÍ §12 Akvizice, vývoj, údržba Řešení změn IS nebo KS • Bezpečnostní požadavky zahrnuty do projektu akvizice, vývoje a údržby
24
ORGANIZAČNÍ OPATŘENÍ §13 Zvládání KBU a KBI KBU • Detekce včetně vyhodnocení KBI • Klasifikace a hlášení • Hodnocení příčiny, účinnost řešení a nastavení opatření
25
ORGANIZAČNÍ OPATŘENÍ §14 Řízení kontinuity činností Stanovuje cíle řízení kontinuity formou • Minimální přijatelná úroveň poskytovaných služeb • Doba obnovení chodu na minimální přijatelnou úroveň • Doba obnovení dat Stanovuje strategii řízení kontinuity činností • Musí obsahovat naplnění cílů řízení kontinuity
26
ORGANIZAČNÍ OPATŘENÍ §15 Kontrola a audit kybernetické bezpečnosti Integrace s dalšími zákony • Posuzuje se soulad s jinými právními a regulatorními předpisy Kontrola systému řízení informační bezpečnosti • Plán, postup a evidence pravidelných kontrol
27
Thank you!
Pohled na technická opatření Petr Vácha Security Manager ALEF NULA
PŘEHLED TECHNICKÝCH OPATŘENÍ (VYHLÁŠKA) • • • • • •
• • • • • •
§ 16 Fyzická bezpečnost § 17 Nástroj pro ochranu integrity komunikačních sítí § 18 Nástroj pro ověřování identity uživatelů § 19 Nástroj pro řízení přístupových oprávnění § 20 Nástroj pro ochranu před škodlivým kódem § 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a správců § 22 Nástroj pro detekci kybernetických bezpečnostních událostí § 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí § 24 Aplikační bezpečnost § 25 Kryptografické prostředky § 26 Nástroje pro zajištění vysoké úrovně dostupnosti § 27 Bezpečnost průmyslových a řídicích systémů
KDE, JAK A PROČ APLIKOVAT ? • Pochopení PODSTATY činnosti organizace => vyspecifikování důležitých částí v rámci ICT, lidských zdrojů, … • Smysluplné aplikování požadavků ZKB => aplikuje se dle plánu na zvládání rizik • Nedělejme si to složitější než je to nutné • Zákon vychází z „best practice“ pro dané oblasti • Nutnost prozkoumat všechny paragrafy
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 16 Fyzická bezpečnost – VIS i KII – zamezení neoprávněnému vstupu, zamezení poškození a zásahům, kompromitace aktiv – KII – ochrana objektů, ochrana vymezených prostor s technickými aktivy, ochrana jednotlivých technických aktiv – Prostředky fyzické bezpečnosti – mechanické zábranné, EZS, systémy pro kontrolu vstupu, kamerové systémy, ochrana před výpadkem el. en., systémy pro zajištění optimálních provoz. podmínek
§ 16 - FYZICKÁ BEZPEČNOST • -
Řešení fyzické bezpečnosti kamerové systémy EZS čipové ověřování biometrické ověřování klimatizace UPS Diesel agregáty pro napájení …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 17 Nástroj pro ochranu integrity komunikačních sítí – VIS i KII – ochrana integrity rozhraní vnější a vnitřní sítě • řízení bezpečného přístupu mezi vnější a vnitřní sítí • segmentace pomocí DMZ => dojde ke zvýšení bezpenosti aplikací v DMZ a k zamezení přímé komunikace mezi vnější a vnitřní sítí • šifrování vzdáleného přístupu a u přístupu pomocí bezdrátových technologií • odstranění nebo blokování informací, které neodpovídají požadavkům na ochranu integrity KS
– KII - ochrana integrity vnitřní sítě její segmentací (DMZ ...)
§ 17 - NÁSTROJ PRO OCHRANU INTEGRITY • -
Řešení ochrany integrity komunikačních sítí Firewally, Next Generation Firewally, 802.1x Intrusion Prevention System LAN přepínače Směrovače Segmentace sítě VPN brány WiFi prvky Vhodně aplikovaný design sítě dle „best practice“ …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 18 Nástroj pro ověřování identity uživatelů – VIS+KII – nástroje pro ověření identity musí zajistit • Ověření identity všech uživatelů a administrátorů • Minimální délka hesla je 8 znaků • Minimální složitost hesla vyžaduje alespoň 3 ze 4 parametrů: jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak • Maximální doba platnosti hesla je 100 dní
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 18 Nástroj pro ověřování identity uživatelů – KII – zvýšené nároky na politiku hesel • Zajištění kontroly dříve použitých hesel • Zamezení více násobné změn hesla jednoho uživatele během definovaného období (nejméně 24 hodin) • Vynucení minimální délky hesla u administrátorských účtů 15 znaků
§ 18 - NÁSTROJ PRO OVĚŘOVÁNÍ IDENTITY • Řešení nástrojů pro ověřování identity uživatelů - Požadavky na komplexitu hesel a pravidelnou obměnu, … - Obvykle nastaveno v nějaké adresářové službe Active Directory, LDAP - Nezapomínat na aplikační služby vytvořené na zakázku - Ověrovat lze na různých místech sítě. Obecně platí, čím dříve, tím lépe - BYOD, 802.1x - …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 19 Nástroj pro řízení přístupových oprávnění – VIS i KII – musí se použít nástroje pro řízení přístupových oprávnění, které musí zajistit • Řízení oprávnění uživatelů pro přístup k aplikacím a datovým souborům • Řízení oprávnění pro čtení, zápis dat a pro změna oprávnění – KII – povinnost zaznamenávat použití přístupových oprávnění
§ 19 - NÁSTROJ PRO ŘÍZENÍ PŘÍSTUPOVÝCH OPRÁVNĚNÍ • -
Řešení nástrojů pro řízení přístupových oprávnění Definice práv na úrovni aplikací a operačních systémů Nezapomínat na klíčové aplikace tvořené na zakázku I firewall řídí přístupová oprávnění (minimálně na základě IP adres) 802.1x a BYOD je skvělý způsob řízení přístupu …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 20 Nástroj pro ochranu před škodlivým kódem – VIS i KII – povinnost použití nástrojů pro antivirovou ochranu • Ověření a kontrola komunikace mezi vnější a vnitřní sítí • Ověření a kontrola serverů a sdílených datových uložišť • Ověření a kontrola pracovních stanic • Požadavek na pravidelnou aktualizaci definic a signatur
§ 20 - NÁSTROJ PRO OCHRANU PŘED ŠKODLIVÝM KÓDEM • Řešení ochrany před škodlivým kódem - Anvirus a antimalware řešení pro koncové stanice, servery, datová uložiště - Ideální je řešit tyto hrozby u vstupu do sítě (Web, Email, FTP brány, NGFW …) - Klasické antivirové kontroly již nedostačují a je nutné používat pokročilejší techniky na odhalování malwaru - …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů – VIS i KII – má povinnost použít nástroje pro zaznamenávání činností, které zajistí • Sběr informací o provozních a bezpečnostních událostech • Zaznamenání zejména událostí – typ činnosti – přesný čas události (synchronizace času min. každých 24 hodin) – identifikace technického aktiva, který činnost zaznamenal – identifikace původce a místa činnosti – úspěšnost či neúspěšnost činnosti • Ochranu informací před neoprávněným čtením a změnou
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů – VIS i KII zaznamenává - přihlášení a odhlášení uživatelů a administrátorů - činnosti provedené administrátory - činnosti vedoucí ke změně oprávnění - neúspěšné činnosti - spuštění a ukončení práce systému - varovná nebo chybová hlášení - přístupy logům, pokus o manipulaci - použití mechanismů identifikace a autentizace, včetně změn údajů k přihlášení
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů pro KII – Povinnost uchovávat logy min. 3 měsíce
§ 21 - NÁSTROJ PRO ZAZNAMENÁVÁNÍ ČINNOSTÍ KII A VIS • Řešení pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů -
Logování z klíčových aplikací Aplikace na míru mají často nedostatky vůči požadavkům na logování Logování na úrovni OS (auditování) Logování přístupu a práce se síťovými prvky (TACACS, radius, syslog …) Nejlépe zvolit aplikaci „sběrač logů“ pro centrální sběr událostí …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 22 Nástroj pro detekci kybernetických bezpečnostních událostí (KBU) – VIS i KII • povinnost použití nástroje pro detekci KBU • zajištění ověření, kontroly a případné blokování komunikace mezi vnitřní a vnější sítí – KII • ověření, kontrola a případné blokování komunikace v rámci vnitřní komunikační sítě • ověření, kontrola a případné blokování komunikace v rámci určených serverů
§ 22 - NÁSTROJ PRO DETEKCI KBU • Řešení pro detekci kybernetických bezpečnostních událostí (KBU) - Vyhodnocování útoků pomocí Intrusion Prevention Systemů - Řešení problematiky DoS a DDoS (Pozor! IPS, firewally nejsou nástroje pro efektivní řešení těchto hrozeb) - Next Generation Firewally mají rozšířenou aplikační kontrolu - Nástroje pro behaviorální analýzu provozu
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII – povinné použití nástroje pro sběr a vyhodnocení KBU – poskytnutí informací o KBU bezpečnostním rolím – nepřetržité vyhodnocování KBU – stanovení bezpečnostní politiky pro použití a údržbu nástroje – pravidelná aktualizace nastavených pravidel pro zpřesnění chodu nástroje pro vyhodnocování KBU – zajištění využívání získaných informací o KBU k optimalizaci bezpečnostních vlastností ICT
§ 23 - NÁSTROJ PRO SBĚR A VYHODNOCENÍ KBU UDÁLOSTÍ • Řešení pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII - Sběr a vyhodnocení událostí z pohledu bezpečnosti - Řeší se nasazením SIEMu - Co sledovat ? Správná analýza rizik a bezpečnostní politika vyznamně napoví.
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 24 Aplikační bezpečnost – VIS i KII – provádí se bezpečnostní testy aplikací, které jsou přístupné z vnější sítě před uvedením do provozu a po každé zásadní změně bezpečnostních mechanizmů – KII – zajišťuje ochranu aplikací a informací dostupných z vnějších sítí • neoprávněnou činností • popřením provedených činností • kompromitací nebo neautorizovanou změnou • transakcí před nedokončením, nesprávným směrováním, neautorizovanou změnou, kompromitací, neautorizovaným duplikováním, opakováním
§ 24 - APLIKAČNÍ BEZPEČNOST • Řešení nástrojů pro aplikační bezpečnost - U kritických aplikací je pro KII nutný specializovaný aplikační firewall - Je nutné aplikace pravidelně prověřovat pomocí auditovacích a penetračních nástrojů - …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 25 Kryptografické prostředky – VIS i KII – stanovuje bezpečnostní politiku pro používání kryptografické ochrany • Typ a síla kryptografického algoritmu • Ochrana citlivých dat při přenosu po KS, při uložení na mobilní zařízení nebo na vyměnitelná média – Povinnost kryptografickými prostředky zajistit • Ochranu důvěryhodnosti a integrity předávaných nebo ukládaných dat • Prokázání odpovědnosti za provedené činnosti
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 25 Kryptografické prostředky dle přílohy č. 3 – KII – stanovení požadavků na správu a minimálních požadavků na sílu šifrovacích klíčů • Symetrické algoritmy – blokové a proudové šifry – AES (128,192,256), RC4 (min. 128), SNOW 2.0 (128,256) … – Omezené použití pro 3DES (168) ... => migrace na AES • Symetrické algoritmy – šifrovací módy pro integritu dat – HMAC, CBC-MAC-EMAC,CMAC – Omezené použití pro CBC-MAC-X9.19 • Asymetrické algoritmy – pro technologii digitálního podpisu – DSA (min. 2048,224), EC-DSA (min. 224), EC-DSA (min. 224), RSA PSS (min. 2048) • Asymetrické algoritmy – pro procesy dohod na klíči a šifrování klíčů – Diffie-Hellman (min.2048,224), ECDH (min.224), ECIES-KEM (min.256), PSEC-KEM (min.256), (ACE-KEM (min.256), RSA-OAEP (min.2048), RSA-KEM (min.2048) • Algoritmy hash funkcí – SHA2 (SHA-224, SHA-256, SHA-384, SHA-512/224, SHA-512/256) – RIPEMD-160 – Whirpool – SHA1 nepoužívat v podepisovaných algoritmech
§ 25 - KRYPTOGRAFICKÉ PROSTŘEDKY • Řešení nástrojů pro kryptografickou bezpečnost - Nutné prověřit aktivní prvky, aplikace i operační systémy z hlediska podporovaných šifrovacích standardů - Je nutné řešit i mobilní zařízení a přenosná datové uložiště - …
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 26 Nástroje pro zajištění vysoké úrovně dostupnosti pro KII – použití nástrojů pro vysokou úroveň dostupnosti a odolnosti, které zajistí • Potřebnou úroveň kontinuity činností • Odolnost vůči útokům (KBU) na snížení dostupnosti • Zálohováním důležitých technických aktiv – Využitím redundance v návrhu – Zajištěním výměny vadných technických aktiv v definovaném čase
§ 26 - ZAJIŠTĚNÍ VYSOKÉ ÚROVNĚ DOSTUPNOSTI • Zajištění vysoké úrovně dostupnosti pro KII - Použitém redudantního designu pokud to je nutné a finančně opodstatněné - Je možné si nasmlouvat službu na výměnu pod SLA - Je nutné pravidelně prověřovat dodavatele
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI • § 27 Bezpečnost průmyslových a řídicích systémů pro KII – Omezení fyzického přístupu k průmyslovým a řídícím systémům – Omezení propojení a vzdáleného přístupu k průmyslovým a řídícím systémům – Ochrana jednotlivých technických aktiv před známými zranitelnostmi – Obnovení chodu po kybernetickém bezpečnostním incidentu
§ 27 - BEZPEČNOST PRŮMYSLOVÝCH A ŘÍDICÍCH SYSTÉMŮ • -
Zajištění bezpečnost průmyslových a řídicích systémů pro KII Obvykle se jedná o sítě typu SCADA Sítě typu SCADA = nízké riziko, ale hrozba vysoká SCADA má velmi nízkou úroveň zabezpečení Rizika jsou hodně spjaty i s fyzickou bezpečností Obvykle komplikované řízení přístupu pro externí dodavatele Nutnost oddělení od běžného uživatelského provozu Je vhodný spíše konzervativní „neinvazivní“ model zabezpečení
Thank you!
