DOHLEDOVÉ CENTRUM egovernmentu SOCCR 10 12/6/2015 (Security Operation Center for Cyber Reliability)

Transkript

1 DOHLEDOVÉ CENTRUM egovernmentu SOCCR 10 12/6/2015 (Security Operation Center for Cyber Reliability) ROK INFORAMTIKY 2015

2 o.z. ICT Služby Odštěpný závod ICT služby byl zřízen na základě změny Zakládací listiny České pošty s.p. v dubnu 2012 Zatím jsme odštěpeni v rámci ČP, s.p. (máme jedno IČO), ale jsme striktně interně oddělení (účetnictví, nákup, projekty, řízení, ) Pro svého zakladatele (MV) realizujeme vybrané dodávky a služby ICT Většinu činnosti vykonáváme pro MV a jsme výlučně ovládáni MV Příklady projektů: ITS = Integrovaná komunikační síť (provoz stávající i stavba nové) Síť Pegas = provoz a rozvoj CMS = centrální místo služeb NIS + KSP = nová 112 Outsorcing EKIS

3 Pozice OZ v oblasti egovernmentu Vláda Na vrcholové úrovni schvaluje strategii veřejné správy. Jejímu schválení tedy podléhá i vrcholová koncepce egovernmentu v ČR. RV IZ Plní koordinační roli na meziresortní CENTRÁLNÍ úrovni. Poskytuje vládě vědomostní základnu zejména pro její rozhodování v koncepčních otázkách rozvoje MV CŘ Definuje strategické priority v oblasti egovernment a CENTRÁLNÍ projekty k jejich naplnění Vystupuje v roli garanta oblasti egovernment ČP OZ Realizátor CENTRÁLNÍCH projektů v oblasti egovernmentu Navazuje na hlavního architekta MV ČR rolí realizačního architekta pro CENTRÁLNÍ projekty egovernmentu

4 SOCCR

5 SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV 24x7 IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB

6 SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV ŘÍDÍ BEZPEČNOS T 24x7 IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNOS TI

7 SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV JE V SOULADU ISO ISO ISO PODPORUJE ŘÍZENÍ RIZIK A KONTINUITY ŘÍDÍ BEZPEČNOS T JE MODULÁRNÍ A PŘIPRAVEN NA DALŠÍ ROZVOJ 24x7 IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB TÝM SOCCR = CIRT MV POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNOS TI

8 SOCCR DOHLEDUJE BEZPEČNOST ICT SYSTÉMŮ RESORTU MV JE V SOULADU ISO ISO ISO PODPORUJE ŘÍZENÍ RIZIK A KONTINUITY ŘÍDÍ BEZPEČNOS T JE MODULÁRNÍ A PŘIPRAVEN NA DALŠÍ ROZVOJ 24x7 IDENTIFIKUJE, VYHODNOCUJE A HLÁSÍ INCIDENTY DO NCKB TÝM SOCCR = CIRT MV POSKYTUJE PROVOZNÍ A BEZPEČNOSTNÍ REPORTING SKENUJE ZRANITELNOS TI PROVOZUJE ČPOZ

9 Geografie SOCCR

10 Geografie SOCCR

11 Geografie SOCCR SOCCR dohleduje až aktivních prvků po celém Česku (stav 2016)

12 Aktivní vs. pasivní mód AKTIVNÍ MÓD ŘÍDÍ BEZPEČNOST SOCCR je bezpečnostní administrátor systému SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, aktivně řeší incident (technicky, procesně), ve spolupráci s administrátory zasahuje do konfigurace SIEM v systému je implementována sonda/agent, sbírá události, vyhodnocuje, do SOCCR zasílá agregované údaje SOCCR vyžaduje plný přístup do systému, implementaci nástroje PIM/PAM + 2FA (administrátorské přístupy) SOCCR provádí automatizované skenování zranitelností s autentizací Honeypot implementován v (interní) síti, aktivně dohleduje technologií IPS/IDS Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj) PASIVNÍ MÓD DOHLÍŽÍ BEZPEČNOST SOCCR je dohlížitel - pouze dostává informace ze systému SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, dává doporučení na reakci SIEM získává agregované události z koncového systému pomocí systémového účtu, logy se analyzují až v SOCCR N/A SOCCR má pouze přístup pro čtení SOCCR (ne-)pravidelně skenuje zranitelnosti bez autentizace (s povolením správce systému) N/A SOCCR neřeší procesy RM a BCM, pouze jednoduchá metodická podpora zdarma

13 Kompetenční centrum doplňuje

14 Kompetenční centrum doplňuje SLUŽBY ŘEŠENÍ TECHNOLOG IE PRODUKTY

15 Kompetenční centrum doplňuje SLUŽBY ŘEŠENÍ TECHNOLOG IE PRODUKTY DOHLEDOVÉ CENTRUM SOCCR

16 Kompetenční centrum doplňuje SLUŽBY ŘEŠENÍ TECHNOLOG IE PRODUKTY ZNALOSTI LIDI DOHLEDOVÉ CENTRUM SOCCR ZKUŠENOSTI

17 Další kroky 2015 Definovat rozhraní pro připojené systémy (detail aktivního a pasivního módu) Připravit typové projekty pro konektory na SOCCR Implementovat technologie a procesy v rámci MV Zahájit provoz dohledového centra SOCCR

18 Rozvoj SOCCR Rozšířit pro korelaci interních událostí v systémech MV s podezřelými událostmi v externím prostředí Získávat informace o všech hrozbách z různých zdrojů a koncentrovat úsilí na relevantní nebezpečné případy Vytvořit SOCCR Intelligence Database shromažďuje a koreluje všechny události v systémech MV Automatizovat procesy řízení rizik a kontinuity systémů MV Rozšířit bezpečnostní reporting o stavu systémů

19 Dohledové centrum SOCCR Děkuji za pozornost

20 Dohledové centrum SOCCR Děkuji za pozornost