4/9/18. Normy, legislativa pokračování ISO/IEC 27002:2013 ISO/IEC 27001:2013. Agenda. Informační bezpečnost pro manažery

Transkript

1 Agenda Informační bezpečnost pro manažery Alena Řezníčková, Brno , 1 - Normy, legislativa - Hrozby / rizika kybernetického prostoru - Možnosti ochrany - řešení, vektory ochrany - Několik rad pro zavedení systému řízení informační bezpečnosti - Otázky, diskuse 2 Normy, legislativa Zák.č. 181/2014 Sb., o kybernetické bezpečnosti; Zák.č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů (novela z.č. 256/2017 Sb NBÚ, NÚKIB (205/2017 Sb., ) GDPR - ÚOOÚ eidas = nařízení EU 910/2014 o el. identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu ( ruší pův. směrnici 1999/93/ES, na které byl založen zák. o el. podpisu 227/2000 Sb., nahrazen z.č. 297/2016 Sb. o službách vytvářejících důvěru pro elektronické transakce); MVČR, CertIQ 3 Normy, legislativa pokračování ISO/IEC Information Security Management Systems (dále jen ISMS), založen na BS 7799/ISO 17799, r ISO/IEC 27002: mezinárodně přijatý standard, sbírka nejlepších praktik z oblasti bezpečnosti informací. Další IT standardy: COBIT (rámec vytvořený ISACA pro správu a řízení informatiky = soubor praktik pro dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik). ITIL (soubor prověřených konceptů a postupů pro plánování a zkvalitnění využití IT) 4 ISO/IEC 27001: mezinárodně platný standard - definuje požadavky na systém managementu bezpečnosti informací (ISMS), řízení bezpečnosti důvěry informací pro zaměstnance, procesy, IT systémy a strategii firmy. Zaručuje soulad s aktuálními legislativními požadavky (OOÚ) - systémový přístup přináší větší bezpečnost a snižuje riziko úniku citlivých informací - spolu s ISO 9001, = integrovaný systém řízení 5 ISO/IEC 27002: doporučovaná opatření nutná pro ISMS - nástroj využitelný pro proces splnění různých legislativních požadavků bezpečnosti v organizaci - Obsahuje 113 bezpečnostních opatření ve 14 oblastech 6 1

2 Kyberprostor lákavý - - Normy, legislativa Hrozby / rizika kybernetického prostoru Možnosti ochrany - řešení, vektory ochrany Několik rad pro zavedení systému řízení informační bezpečnosti Otázky, diskuse 7 Kyberprostor nebezpečný Cíle útoku Malware poškození dat, záměna údajů, snížení výkonnosti, vydírání Útoky na data zneužití dat, zisk, reputace interní i externí narušení, porušení důvěrnosti, celistvosti, dostupnosti Spam kombinace s phishingem, zahlcení DDoS útoky nedostupnost (konkurence) Neautorizovaný přístup Sociální inženýrství Nikdo není dost nicotným cílem! Ransomware Útoky jako služba / Nutnost penetračních testů Zneužití architektury procesorů (Spectre, Meltdown) Advanced Persistent Threats na kritickou infrastrukturu, SCADA (Supervisory Control and Data Acquisition) Stuxnet, BlackEnergy 9 Klíčové výzvy pro ochranu dat Ztráta zařízení 40% všech incidentů ztr áty dat r epor továno na základě ztr áty / kr ádeže zař ízení notebook, m obilní zař ízení, exter ní pam ěťová m édia 8 10 Advanced Persistent Threat čím se vyznačují Externí útočník Zaměstnanci a dodavatelé Okolo 59% r epor tovaných incidentů způsobených m alwar e nebo zneužitím zr anitelnosti aplikace exter ním i útočníky, obsahovaly citlivá data 57% r epor tovaných incidentů, kter é m ají na svědom í inter ní zam ěstanci (vědom ě nebo nevědom ě) obsahovaly citlivá data Zaměřením Finanční instituce, kritická infrastruktura, státy; infiltrace není náhodná; navržen specificky pro konkrétní cíl 11 Pokročilostí Zneužití dosud neobjevených slabých míst, zero day zranitelností; použití rootkitů, stealth technik. Persistence Hrozba přetrvává, dokud útočník neuspěje; cílené techniky sociálního inženýrství a phishingu na různých kanálech. 12 2

3 Tradiční opatření při detekci APT selhávají: Antivirus Detekuje známé formy malware, AV výrobci nevydají update dost rychle a koncový bod je i den od prvního výskytu nechráněný Next Gen. Firewall Kombinuje klasický firewall s technikami analýzy paketů a IPS. Negeneruje pravidla pro nový druh malware. IPS systémy Detekují pokročilé útoky pomocí technik navržených pro síťovou analýzu; neodhalí zapouzdřený malware na aplikační vrstvě /PDF, flash plugin, prohlížeč/ Útočník využívá současně více vektorů hrozeb, např. web, , sdílení souborů, mobilní zařízení; konkrétní útok je zpravidla rozdělen do fází, které trvají až několik měsíců. 13 Příklady APT Stuxnet speciální červ s cílem narušit íránský jaderný rozvoj. Operace Aurora = zero-day zranitelnost v IE 6.0 použita při pokusu o krádež duševního vlastnictví a získání přístupu k uživatelským účtům v Google, Adobe aj. (2010) Útok na RSA - phishingový poslaný na zaměstnance, dobře reflektoval bezpečnostní návyky; obsahoval soubor Excel s přílohou, pomocí ní instalován backdoor přes Adobe Flash zero-day zranitelnost (2011). Zero-day zranitelnost v IE (CVE ) využita pro cílený útok na vojenský, letecký a energetický průmysl. Původ v Číně a skládal se z phishigových ů s odkazem na webové servery s exploit kódem. 14 Pro zajímavost: Fenomén kryptoměn Proč zmínit z hlediska bezpečnosti? Nevědomá těžba Facebook zakázal reklamu na kryptoměny Vliv na reálný svět? Fenomén kryptoměn Jak z toho ven? Používej zdravý rozum Nebuď klikačem Spolehni se na služby odborníků Buď v obraze - Normy, legislativa - Hrozby / rizika kybernetického prostoru - Možnosti ochrany - řešení, vektory ochrany - Několik rad pro zavedení systému řízení informační bezpečnosti - Otázky, diskuse

4 Vektory ochrany / řešení Antimalware = nejen antivirus - nutný, nikoliv postačující Šifrování, Data Loss (leak) Prevention Antispam Firewall IPS = Intrusion Prevention Systém SIEM = Security Information and Event Management Autentizace, OTP, privilegované účty Lidský faktor - pravidelné motivující vzdělávání, jednoduché postupy pro rizikové situace + výše uvedené technologie 19 Aktuální potřeby zabezpečení Zvýšit viditelnost, co je užíváno a kudy proudí data Zabránit neautorizovanému přístupu Roste podíl cloudových aplikací Potřeba konzistentního řízení politik v různých prostředích Compliance, standardy, audit 20 Aktuální potřeby zabezpečení Nautralizace pokročilých hrozeb Ochrana zákaznických a firemních dat Ochrana kritické infrastruktury Optimalizované bezpečnostní operace Adaptivní detekce neznámých hrozeb, sanboxing, aplikační kontrola Data Loss Protection pro data in Use, At Rest, in Motion, šifrování disků, souborů Ochrana před hrozbami a viditelnost datacenter, clo udových serverů a aplika cí Rychlá detekce hrozeb a rychlá reakce na nápravu Integrace navzájem i s řešeními třetích stran, prvky UI 21 Příklad řešení výrobce pro ochranu endpoint Antimalware rozšíření: DB DB Threat Prevention Module Firewall Module Web Control Module Adaptive Threat Protection Module Dynamic Applic ation Containment Real Protect epo (konzole), Device Control, Security Application Control for Desktop Threat Intelligence Exchange (TIE) Ac tiv e Response 22 Příklad nasazení Data Loss Prevention a šifrování McAfee epo DLP Discover DLP Endpoint Drive Encryption File Encr yption Šifrování médií Database Monitor Mi c ro s o f t File ser ver y a Ex c hange Active Sync databáze CIFS/Sh a repo in t Gateway DLP Prevent Web Gateway ICAP SMTP DLP Prevent TAP or SPAN Switch Switch DLP Mobile Fir ewall Firewall DLP Monitor 23 - Normy, legislativa - Hrozby / rizika kybernetického prostoru - Možnosti ochrany - řešení, vektory ochrany - Několik rad pro zavedení systému řízení informační bezpečnosti souvislost s nasazením konkrétních technologií - Otázky, diskuse 24 Switch 4

5 ISO/IEC 27002:2013 Životní cyklus ISMS Zlepšování - Zlepšování ISMS - Opatření k nápravě a pr eventivní činnosti - Projednávání výsledk. - Záruka dosažení cílů Ustavení - Rozsah ISMS - Bezpečnost ní politika - Analýza rizik - Prohlášení o aplikovatel nosti 25 Monitor ová ní - Monitor ing pr ocesů - Aktualizace analýzy rizik - Pravidelné přehodnocování ISMS - Aktualizace bezpečnost ní ch plánů - Pravidelné interní audity Zavedení - Plán zvládání rizik - Příručka bezpečnos ti - Školení - Řízení provozu a zdrojů - Detekce narušení a zvládání incidentů Bezpečnostní politika - Pravidla, směrnice a zvyklosti řízení a distribuce aktiv v organizaci - Zajišťuje úroveň důvěrnosti, autenticity a integrity dat v IS a požadovanou bezpečnost transakcí - Požadavek podpory vedení organizace pro záměr zavedení a provozování ISMS - Každoroční hodnocení efektivity = vyhodnocení počtu incidentů, příčin, dopadů a nákladů přijatých opatření - Politika bezpečnosti pro vztahy s dodavateli (rizika, do smluv) - Politika mobilních zařízení (BYOD, MDM) 7. Bezpečnost lidských zdrojů - Před vznikem pracovního vztahu: kritéria výběru, závazek mlčenlivosti v pracovní smlouvě; proces přidělení prostředků a přístupů - Během pracovního vztahu: školení, opatření při porušení - Změna / ukončení pracovního vztahu: vrácení prostředků IT, odebrání přístupových práv spolupráce manažer, IT a HR Řízení aktiv - Odpovědnost za aktiva určení vlastníků aktiv, evidence aktiv - Klasifikace informací: - stupně ochrany aktiv dle citlivosti / kritičnosti - pravidla manipulace dle klasifikačního stupně (důvěrné, soukromé, citlivé, veřejné (odlišné od utajovaných informací dle zákona) Řízení přístupu uživatelů IS - Závazná pravidla pro přidělování přístupových oprávnění (registrace, evidence, privilegovaná oprávnění, správa hesel, kontroly, zásada prázdné obrazovky, přístup k síti, aplikaci, OS) - Monitorování přístupu event management, kontrola, synchronizace času Identifikace = rozpoznání entity systémem Autentizace = ověření identity entity nebo zprávy Autorizace = ověření údajů při vstupu do systému/aplikace Pro citlivé aplikace --- Dvoufaktorová autentizace (něco vím / něco jsem / něco mám) 30 5

6 10. Kryptografická opatření Pojmy kryptologie x kryptografie (převedení zprávy ze srozumitelné do nesrozumitelné podoby a zpět) Symetrická x asymetrická šifra Kryptologické systémy DES, IDEA, RSA, AES Steganografie = informace vložena do zdánlivě neškodné zprávy Elektronický podpis jednoznačná identifikace původce, integrita zprávy, nepopiratelnost, nelze napodobit. Využití hash funkce (konverze zprávy do textu pevné délky díky odolné kryptografii) a 13. Bezpečnost provozu, komunikací, přenos dat - Provozní postupy a odpovědnosti - Dodávky služeb (SLA, monitorovnání, řízení změn) - Ochrana proti škodlivým kódům pravidla aktualizace, vzdělávání managementu a uživatelů - Zálohování (metodika, dodržování plánu, testování čitelnosti) - Správa sítě - Zacházení s médii - Výměna informací - Monitorování provozu auditní záznamy, jejich ochrana, záznamy selhání - Synchronizace času Kontinuita podnikání s ohledem na IT bezpečnost - Business Continuity Management - Disaster Recovery obnova po havárii - DR plán = návod jak co nejrychleji s minimem zdrojů a rizik obnovit chod kritických aplikací - Strategie řízení kontinuity = analýza dopadů při přerušení procesu - Plán kontinuity tvorba a testování plánů 18. Soulad s požadavky - Právní požadavky právní a technické normy, ochrana duševního vlastnictví, archivní a spisová služba, OOÚ, prevence zneužití prostředků pro zpracování - Interní předpisy - Audit IS funkcionalita IS, provozní statistiky, vzdělávání správců a uživatelů, zálohování a profylaxe