Bezpečnostní projekt podle BSI-Standardu 100

Transkript

1 Bezpečnostní projekt podle BSI-Standardu 100 Konference Řízení informatiky v soukromém a veřejném sektoru Ing. Stanislav Bíža 1

2 Agenda Postup bezpečnostního projektu Představení BSI-Standardu 100 Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM Služby a nástroje IBM pro bezpečnostní projekt 2

3 Postup vypracování bezpečnostní politiky, analýzy rizik a navazující bezpečnostní dokumentace Bezpečnostní politika Hrozby Aktiva Zranitelnosti Analýza rizik Hodnocení souladu stávajících organizačních a technických bezpečnostních opatření Doplnění stávajících organizačních bezp. opatření Doplnění stávajících technických bezp. opatření Rizika Bezpečnostní dokumentace Zpráva z auditu kybernetické bezpečnosti Zpráva z přezkoumání systému řízení bezpečnosti informací Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik Zpráva o hodnocení aktiv a rizik Prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí Zvládání kybernetických bezpečnostních incidentů Strategie řízení kontinuity činností Plán obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a smluv... 3

4 Vliv externích a interních regulací Legislativní požadavky Zákon č. 101/2000 Sb. o ochraně osobních údajů Zákon č. 148/1998 Sb. o ochraně utajovaných skutečností Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu Zákon č. 181/2014 Sb. o kybernetické bezpečnosti Vyhlášky NBÚ, ÚOOÚ, ČNB a pod. Bezpečnostní standardy: ČSN ISO/IEC Information Security Management Systems (ISMS) standards ČSN ISO/IEC Management of information and communications technology security ČSN ISO/IEC Common Criteria for Information Technology Security Evaluation (Common Criteria) Oborové a interní bezpečnostní normy 4

5 Představení BSI-Standardu 100 BSI-Standard 100 (neboli IT-Grundschutz Methodology) je sada standardů vyvíjených německým Spolkovým úřadem pro informační bezpečnost. BSI-Standard 100 vychází z ISO/IEC BSI-Standard 100 poskytuje ucelenou metodiku, založenou na best practices, pro řízení životního cyklu IT bezpečnosti. BSI-Standard 100 rozšiřuje standardy ISO/IEC o praktický přístup a rozsáhlé katalogy modulů, hrozeb a bezpečnostních opatření. 5

6 Struktura BSI-Standardu 100 Normy BSI pro bezpečnost IT - IT Security Management BSI-Standard 100-1: ISMS: Systém řízení bezpečnosti informací (ISMS) BSI-Standard 100-2: Metodika IT Protection Baseline (IT-Grundschutz) BSI-Standard 100-3: Analýza rizik na základě IT Protection Baseline Katalogy IT Protection Baseline Kapitola 1: Úvod Kapitola 2: Model a úrovně bezpečnosti Kapitola 3: Slovník pojmů Kapitola 4: Role Katalog modulů Obecné aspekty Infrastruktura IT Systémy Datové sítě Aplikace Katalog hrozeb Katalog bezpečnostních opatření 6

7 Začlenění BSI-Standardu 100 do bezpečnostního projektu IBM ISO BSI-Standard 100 Katalog hrozeb IBM Method for Architecting Secure Solutions Analýza rizik Katalog modulů Obecné aspekty Infrastruktura IT Systémy Datové sítě Aplikace Katalog bezp. opatření Bezpečnostní role a procesy Logický model bezpečnostní architektury Provozní model bezpečnostní architektury 7

8 Katalog modulů BSI-Standardu Úroveň 1 Úroveň 2 Úroveň 3 Úroveň 4 Úroveň 5 Obecné aspekty Infrastruktura IT Systémy Datové sítě Aplikace S 1 Common aspects S 1.0 Security management S 1.1 Organization S 1.2 Personnel S 1.3 Business continuity management S 1.4 Data backup policy S 1.5 Data protection S 1.6 Protection against malware S 1.7 Crypto-concept S 1.8 Handling security incidents S 1.9 Hardware and software management S 1.10 Standard software S 1.11 Outsourcing S 1.12 Archiving S 1.13 Information security awareness and training S 1.14 Patch and change management S 1.15 Deleting and destroying data S 1.16 Compliance management 8

9 Katalog hrozeb BSI-Standardu Threat catalogues T 0 Basic threats T 1 Force majeure T 2 Organisational shortcomings T 3 Human error T 4 Tecnical failure T 5 Deliberate acts T 0 Basic threats T 0.1 Fire T 0.2 Unfavourable Climatic Conditions T 0.3 Water T 0.4 Pollution, Dust, Corrosion T 0.5 Natural Disasters T 0.6 Environmental Disasters T 0.7 Major Events in the Environment T 0.8 Failure or Disruption of the Power Supply T 0.9 Failure or Disruption of Communication Networks T 0.10 Failure or Disruption of Mains Supply T 0.11 Failure or Disruption of Service Providers T 0.12 Interfering Radiation T 0.13 Intercepting Compromising Emissions T 0.14 Interception of Information / Espionage T 0.15 Eavesdropping T 0.16 Theft of Devices, Storage Media and Documents... T 0.46 Loss of Integrity of Sensitive Information 9

10 Katalog bezpečnostních opatření BSI-Standardu Safeguard catalogues S 1 Infrastructure S 2 Organization S 3 Personnel S 4 Hard- and software S 5 Communication S 6 Contingency planning S 1 Safeguard catalogues Infrastructure S 1.1 Compliance with relevant standards and regulations S 1.2 Regulations governing access to distributors S 1.3 Appropriate segmentation of circuits S 1.4 Lightning protection devices S 1.5 Galvanic separation of external lines S 1.6 Compliance with fire-protection regulations S 1.7 Hand-held fire extinguishers S 1.8 Room allocation, with due regard to fire loads S 1.9 Fire sealing of trays S 1.10 Safe doors and windows S 1.11 Plans detailing the location of supply lines S 1.12 Avoidance of references to the location of building parts requiring protection S 1.13 Layout of building parts requiring protection S 1.14 Automatic water drainage... S 1.80 Access control system and authorisation management 10

11 Služby IBM pro bezpečnostní projekt IBM má silné kompetence v oblasti bezpečnosti: - metodiky auditu a návrhu bezpečnostních politik/standardů založené na ISO 27000; - metodika pro návrh bezpečnostní architektury a framework bezpečnosti; - několik tisíc certifikovaných specialistů; celosvětově sdílené informace. Strategie Organizace Procesy Data / Aplikace Technologie Fyzická zařízení / Prostory Vypracování strategie řízení bezpečnosti IT Vypracování Analýzy rizik Vypracování bezpečnostních politik a standardů Bezpečnostní audit IT Příprava na certifikaci podle ISO Příprava na certifikaci podle PCI-DSS (platební karty) Audit připravenosti na obnovu systémů po havárii Návrh bezpečnostní architektury IT systémů Vybudování infrastruktury veřejných klíčů (PKI) Bezpečnostní dohled - SIEM Zabezpečení mobilních zařízení (MDM, BYOD) Bezpečné připojení k Internetu DMZ, FW, VPN... Bezpečnostní testy interní & externí 11

12 Nástroje IBM pro bezpečnostní projekt zabezpečení databází IBM Guardium ověřování identity uživatelů IBM Security Identity Manager, Privilege Identity Manager řízení přístupových oprávnění - IBM Security Access Manager zaznamenávání činnosti, detekce a sběr kybernetických bezpečnostních událostí QRadar SIEM aplikační bezpečnost a bezpečný vývoj aplikací IBM AppScan Standard/Enterprise, IBM AppScan Source Code ochrana integrity komunikačních sítí - firewall, Network admission control, VPN, IDS/IPS nástroje pro zajišťování úrovně dostupnosti informací - řešení High Availability a Disaster Recovery, ochrana proti DoS 12

13 Know What data we have and where it resides. Monitor Děkuji za pozornost.... a těším se na dotazy Ing. Stanislav Bíža Senior Architect, CISA stanislav.biza@cz.ibm.com Our Process to ensure continuous compliance and improvements. 13 Protect Our restricted and confidential data. Respond Quickly and effectively to Information Security threats.