Technická bezpečnostní opatření nejen ve smyslu ZKB. Jan Zdvořáček ASKON International s.r.o.

Transkript

1 Technická bezpečnostní opatření nejen ve smyslu ZKB Jan Zdvořáček ASKON International s.r.o.

2 Agenda o Představení společnosti Askon International s. r. o. o Zákon o kybernetické bezpečnosti o Jak to vidí manažeři informační bezpečnosti o Využití SafeNet technologií pro realizaci technických bezpečnostních opatření

3 Askon International s. r. o založení firmy v Praze orientace na oblast IT bezpečnosti a ochrany dat 1993 zahájení spolupráce s Rainbow Technologies (USA) 1999 rozšíření nabídky o USB tokeny zaměření na autentizaci, HSM a PKI 2004 zastoupení společnosti SafeNet (USA) v ČR (Distributor) a SR (Gold Partner) 2010 zastoupení společnosti OpenTrust (Francie) 2013 Distributor kompletního SafeNet portfolia pro ČR

4 Agenda Představení společnosti Askon International s. r. o. o Zákon o kybernetické bezpečnosti o Jak to vidí manažeři informační bezpečnosti o Využití SafeNet technologií pro realizaci technických bezpečnostních opatření

5 Zákon o kybernetické bezpečnosti o ZKB se opírá o tři pilíře o Bezpečnostní opatření 5 o Hlášení kybernetických incidentů 9 o Protiopatření 13 o Hlášení incidentů dle americké legislativy dovoluje vzniknout podobných databází

6 Zákon o kybernetické bezpečnosti

7 Zákon o kybernetické bezpečnosti o Bezpečnostní opatření (rozdělena podle 6) o Organizační bezpečnostní opatření o Technická bezpečnostní opatření

8 Podle 3. odst. 6 Technická bezpečnostní opatření a) fyzická bezpečnost, b) nástroj pro ochranu integrity komunikačních sítí, c) nástroj pro ověřování identity uživatelů, d) nástroj pro řízení přístupových oprávnění, e) nástroj pro ochranu před škodlivým kódem, f) nástroj pro zaznamenávání činnosti kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a správců, g) nástroj pro detekci kybernetických bezpečnostních událostí, h) nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí, i) aplikační bezpečnost, j) kryptografické prostředky, k) nástroj pro zajišťování úrovně dostupnosti informací a l) bezpečnost průmyslových a řídících systémů.

9 Agenda Představení společnosti Askon International s. r. o. Zákon o kybernetické bezpečnosti o Jak to vidí manažeři informační bezpečnosti o Využití SafeNet technologií pro realizaci technických bezpečnostních opatření

10 Jak to vidí manažeři informační bezpečnosti

11 Jak to vidí manažeři informační bezpečnosti

12 Jak to vidí manažeři informační bezpečnosti

13 Změna uvažování o Ochrana perimetru již nestačí! o Průniky do systému se budou dít a je potřeba se na ně připravit o Vždy mějte plán B Data jsou novým perimetrem! o Chraňte to co je potřeba a kde je potřeba o Kde jsou Vaše citlivá data? o Kde jsou Vaše šifrovací klíče? o Kdo k ním přistupuje? Šifrujte citlivá data Bezpečná správa klíčů Silná autentizace

14 Jak tedy zabezpečit citlivá data

15 Jak tedy zabezpečit citlivá data Sp rá va klí čů Bezpeč né úložišt ě klíčů When cryptography is used to protect valued data, the risk is transferred from the content to the keys. Once encryprion has occured, protection of cryptographic keying material becames paramount. (Cloud Security Alliance )

16 Plán B Ne, neříkáme hned vypněte své firewally, ale smiřte se s hrozbou úniku dat a vždy mějte svůj plán B.

17 Agenda Představení společnosti Askon International s. r. o. Zákon o kybernetické bezpečnosti Jak to vidí manažeři informační bezpečnosti o Využití SafeNet technologií pro realizaci technických bezpečnostních opatření

18 Nástroje pro ochranu integrity komunikačních sítí o Šifrátory Senetas představují jediné řešení pro point-to-point šifrování linek certifikované podle standardů Common Criteria, FIPS a NATO o Jsou plně autonomní s vlastní PKI infrastrukturou, vlastní správou klíčů bez jakékoliv vazby na okolní servery. Nabízí možnost centralizovaného managementu. o Šifrují na druhé vrstvě o Výkon - vyšší propustnost (10Gb/s), nízká latence (<5µs) o Škálovatelnost jednoduchá architektura, integrace, transparentní vůči protokolům běžícím na 3 vrstvě (IPv4, IPv6, IPsec, ARP, )

19 Nástroje pro ochranu integrity komunikačních sítí CN4010 CN6010 CN6040 CN6100 Kompaktní zařízení 10Mbps 1Gbps Ethernet RJ45 interface Signalizace pomocí LED diod Latence <10µs V procesu CC, FIPS certifikace 1U formát pro rack 100Mbps- 1Gbps Ethernet Škálovatelná licence Přídavný SFP interface LCD/Keypad Redundantní zdroj Latence <10µs V procesu CC, FIPS certifikace 1U formát pro rack 100/1000Mbps Ethernet a 1,2 nebo 4G FC Škálovatelná licence Přídavný SFP interface LCD/Keypad Redundantní zdroj Latence <10µs CC EAL2+, FIPS level 3 1U formát pro rack 10Gbps Škálovatelná licence Přídavný XFP interface LCD/Keypad Redundantní zdroj Latence <5µs CC EAL2+, FIPS level 3

20 Nástroje pro ověřování identity uživatelů ZKB vůbec neuvažuje silnou autentizaci. Silná dvoufaktorová autentizace o o?! Mám nějakou znalost - PIN Něco vlastním - autentizační předmět Autentizační předměty o CBA (Certificate Based Authentication) o Čipová karta o USB token o OTP (One Time Password)

21 Nástroje pro ověřování identity uživatelů SafeNet Authentication Manager o Robustní řešení pro zprávu celého životního cyklu všech typů autentizačních prostředků SafeNet o Context-based Authentication o Spolupráce s o MS Windows Server OS o Microsoft CA o SafeNet HSM moduly SafeNet Authentication Service o Autentizace jako služba o Poskytovatel SafeNet nebo formou privátního cloudu o Nezávislý na OS o Pro všechny mobilní platformy o Široká škála konektorů o ISO 27001

22 Šifrování dat v heterogenním prostředí WHERE IS YOUR DATA? WHERE ARE YOUR KEYS? Live Data 1 Site-to-site Data in Motion Stored Data 2 Virtualized Data 3 Key Management and Root of Trust Databases Virtual Machines 4 File Servers Applications SaaS Apps WHO AND WHAT IS ACCESSING YOUR DATA? Access 5 Warning Pockets of Encryption Operational Inefficiencies Audit Deficiencies & Failures Sensitive Data Exposure Internal Users + Administrators Customers + Partners

23 Správa šifrovacích klíčů Keysecure o Hardwarová jednotka o Řídí celý životní cyklus kryptografických klíčů o Centralizovaný management o Může obsahovat HSM modul Luna

24 Děkuji za pozornost