Vzdělávání pro bezpečnostní systém státu

Transkript

1 KOMUNIKAČNÍ A INFORMAČNÍ SYSTÉMY A JEJICH BEZPEČNOST TÉMA Č. 20 BEZPEČNOST INFORMACÍ MOŽNOSTI VZNIKU INCIDENTŮ A JEJICH TYPY pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky .: petr.hruza@unob.cz Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )

2 OBSAH Základní pojmy Co je to bezpečnostní incident. Průběh incidentu(detekce analýza reakce). ISIRT (Information Security Incident Response Team). Co je potřeba evidovat. Postup při šetření bezpečnostního incidentu. Závěr

3 Literatura LUKÁŠ Luděk, HRŮZA Petr, KNÝ Milan. Informační management v bezpečnostních složkách. 1. vydání. Praha : Ministerstvo obrany České republiky, s. ISBN: ČSN ISO/IEC Datum vydání : Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník. ČSN ISO/IEC Datum vydání : Informační technologie - Bezpečnostní techniky managementu bezpečnosti informací - Požadavky. - Systémy ČSN ISO/IEC / Datum vydání : Informační technologie - Bezpečnostní techniky - Soubor postupů pro management bezpečnosti informací.

4 ZÁKLADNÍ POJMY informace incident bezpečnost informací bezpečnostní událost bezpečnostní incident riziko zranitelnost

5 Co je to bezpečnostní incident Za bezpečnostní incident se často považuje i podezření na porušení bezpečnostní politiky nebo pokus o překonání bezpečnostních opatření. bezpečnostní incident (information security incident) bezpečnostní incident je jedna nebo více nežádoucích nebo neočekávaných bezpečnostních událostí, u kterých existuje vysoká pravděpodobnost kompromitace činností organizace a ohrožení bezpečnosti informací

6 Průběh incidentu Bezpečnostní incident má obvykle tento průběh: detekce incidentu analýza incidentu reakce na incident. Detekce může být automatická na základě informace z nějakého monitorovacího systému nebo manuální tzn., že incident někdo nahlásí. Společnost, která má zájem bezpečnostní incidenty efektivně řešit, by měla vydat odpovídající bezpečnostní standard a vhodnou formou s ním seznámit všechny zaměstnance.

7 Hlášení bezpečnostních událostí Bezpečnostní události by měly být co nejrychleji hlášeny příslušnými řídícími kanály. Postupy hlášení by měly zahrnovat: vytvoření procesu zajišťujícího přiměřenou zpětnou vazbu; formuláře podporující proces hlášení bezpečnostních událostí a zároveň zajišťující, že hlášení bude splňovat všechny nezbytné kroky; nastavení správného chování v případě bezpečnostní události; odkaz na zavedená formalizovaná pravidla pro disciplinární proces se zaměstnanci, smluvními stranami nebo uživateli třetích stran, kteří způsobili narušení bezpečnosti.

8 Hlášení bezpečnostních událostí Jakékoliv chybné anebo jiné neobvyklé chování systému může být příznakem pokusu o narušení nebo útoku na bezpečnost a mělo by tedy vždy být hlášeno jako bezpečnostní událost. Příklady bezpečnostních událostí a incidentů: ztráta služby, zařízení nebo vybavení; chybné fungování nebo přetížení systému; lidské chyby; nesoulad s politikami nebo směrnicemi; porušení opatření fyzické bezpečnosti; nekontrolované změny systému; chybné fungování technického a programového vybavení; porušení přístupu.

9 Information Security Incident Response Team Dalším krokem je sestavení týmu, který bude za příjem hlášení, evidenci a šetření incidentů zodpovědný. Zahraniční literatura používá pro označení takového týmu zkratku ISIRT neboli Information Security Incident Response Team. Počet členů ISIRT závisí na počtu incidentů a velikosti organizace. Je zřejmé, že pokud má takový ISIRT fungovat, musí disponovat i odpovídajícím vybavením a pravomocemi.

10 V bezpečnostním standardu by mělo být uvedeno V bezpečnostním standardu by mělo být uvedeno: co je to bezpečnostní incident, vhodné je uvést ve formě přílohy i nějaké příklady bezpečnostních incidentů. komu se má bezpečnostní incident hlásit. (Měla by být uvedena adresa na intranetu, , telefon i adresa pracoviště, protože je třeba počítat s tím, že síťová infrastruktura nemusí fungovat.) jakou formu má hlášení o bezpečnostním incidentu mít. Standard by měl obsahovat ve formě přílohy formulář pro hlášení bezpečnostního incidentu.

11 U bezpečnostních incidentů bychom měli evidovat kdy k incidentu došlo. kde k incidentu došlo. kdo incident spáchal. jak k incidentu došlo. co bylo cílem útoku. jaký atribut bezpečnosti byl narušen. jaký byl charakter narušení. jaké opatření bylo překonáno. jaké aktivum bylo narušeno. jak vysoká je pravděpodobnost, že se incident bude znovu opakovat.

12 Postup při šetření bezpečnostního incidentu identifikovat, kde k bezpečnostnímu incidentu došlo, co nejrychleji zamezit dalším škodám, analyzovat příčinu a zajistit stopy pro další analýzu, odstranit příčinu a obnovit funkčnost, zhodnotit škody, navrhnout a implementovat vhodná opatření k zamezení opakování tohoto incidentu, seznámit ostatní s výsledky šetření.

13 Ponaučení z bezpečnostních incidentů Informace získané při vyhodnocení bezpečnostních incidentů by měly být využity pro identifikaci opakujících se incidentů nebo incidentů s velkými následky. Závěry z vyhodnocení bezpečnostních incidentů mohou také signalizovat potřebu využití dodatečných nebo důkladnějších opatření, která by omezila frekvenci, škody a náklady jejich budoucích výskytů. Kromě toho by měly být vzaty v úvahu při revizi bezpečnostní politiky.

14 ZÁVĚR Za bezpečnostní incident se často považuje i podezření na porušení bezpečnostní politiky nebo pokus o překonání bezpečnostních opatření. Bezpečnostní incident má obvykle tento průběh: detekce incidentu analýza incidentu reakce na incident. Detekce může být automatická na základě informace z nějakého monitorovacího systému nebo manuální tzn., že incident někdo nahlásí. Společnost, která má zájem bezpečnostní incidenty efektivně řešit, by měla vydat odpovídající bezpečnostní standard a vhodnou formou s ním seznámit všechny zaměstnance. Pro zajištění rychlé, účinné a systematické reakce na bezpečnostní incidenty by měly být zavedeny odpovědnosti a postupy pro zvládání bezpečnostních incidentů.

15 Dotazy? pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany, Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky .: petr.hruza@unob.cz