Rzen reakc na bezpecnostn incidenty

Podobné dokumenty
Prklad dokumentov e z akladny ISMS

Projekt implementace ISMS Dodatek 1, PDCA

Rzen informacn bezpecnosti v organizaci

Rzen informacn bezpecnosti v organizaci

Prklady opatren, zranitelnost a hrozeb

Projekt implementace ISMS

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

Audit (prezkoum av an) bezpecnostnch opatren, politik, syst em u,...

GPDR, General Data Protection Regulation

Politika informacn bezpecnosti

Projekt implementace ISMS

Projekt implementace ISMS, Dodatek 2, Pozn amky k projektov emu rzen

Uvod, celkov y prehled problematiky

Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018

projektu implementace ISMS

Uvod, celkov y prehled problematiky

Projekt implementace ISMS Dodatek 4, Prklad politiky ISMS

Distribuovan e algoritmy

Politika informacn bezpecnosti, Dodatek

Krit eria hodnocen informacn bezpecnosti, dodatek

Sekven cn soubory. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

Politika informacn bezpecnosti, Dodatek

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Pl anu zachov an kontinuity podnik an,

Pl anu zachov an kontinuity podnik an,

Aplikacn bezpecnost. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2017

Aplikacn bezpecnost. Informacn bezpecnost z pohledu aplikacnch syst em u. PV 017 Bezpecnost informacnch technologi

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Koncept informacn bezpecnosti II

B azov y fenom en pri zajist'ov an bezpecnosti { riziko

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Anatomie informacn bezpecnosti

Koncept informacn bezpecnosti

Soubor, souborov e organizace

PV 017 Bezpecnost IT

ISO/IEC 27002:2013. PV 017 Bezpecnost IT. ISO/IEC 27002:2013, Oddly kategori bezpecnosti. ISO/IEC 27002:2013, Popis kategori bezpecnosti

Koncept informacn bezpecnosti

Krit eria hodnocen informacn bezpecnosti

Operacn syst emy { prehled

Hasov an (hashing) na vn ejsch pam etech

Podsyst em vstupu a v ystupu

Obnova transakc po v ypadku

Procesy. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Vl akna. PB 152 Operacn syst emy. Jan ÐStaudek Verze : jaro 2015

Prepn an, switching. Propojovac probl em. PV 169 Z aklady prenosu dat. Prepnac, prepnan a st' Metody prepn an

Operacn syst emy { prehled

ISMS { Syst em rzen informacn bezpecnosti

Procesy. Uvodem k proces um. PB 152 Operacn syst emy. Program a proces. Uvodem k proces um

Spr ava hlavn pam eti

Spr ava hlavn pam eti

Standardy (normy) a legislativa informacn bezpecnosti

ISMS { Syst em rzen informacn bezpecnosti

Zásady managementu incidentů

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Vzdělávání pro bezpečnostní systém státu

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Poctacov e syst emy { prehled

Volba v udce, Leader Election

Bezs n urov a telefonie, DECT

Volba v udce, Leader Election

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Informační bezpečnost. Dana Pochmanová, Boris Šimák

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Technologie pro budování bezpe nosti IS technická opat ení.

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Obnova transakc po v ypadku

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha,

Vl akna. Proces a vl akna. PB 152 Operacn syst emy. Resen editoru pomoc vl aken. Koncept sekvencnho procesu m uze b yt neefektivn

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Soubor, souborov e organizace

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Security of Things. 6. listopadu Marian Bartl

Soubor, souborov e organizace

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Bezpečnostní projekt Případová studie

Pl anov an. PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Wireless Sensor Networks, ZigBee

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Standardy a definice pojmů bezpečnosti informací

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Standardy (normy) a legislativa informacn bezpecnosti

Security. v českých firmách

Kľúčové pohľady. na kybernetickú bezpečnosť. Tomáš Hlavsa, Atos IT Solutions and Services

Podsyst em vstupu a v ystupu

Sign aly. PV 169 Z aklady prenosu dat. Jan Staudek Verze : podzim 2018

Distribuovan e prostred, cas a stav v distribuovan em prostred

Distribuovan e prostred, cas a stav v distribuovan em prostred

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

PŘÍLOHA 8 BEZPEČNOST, OCHRANA MAJETKU A OSOB

Typologie, funkcn skladba a architektury OS, prklady z Windows, Unix, Linux, Android

Informacn teorie. PV 062 Organizace soubor u. Jan Staudek Verze : jaro 2018

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Virtu aln pam et' PB 152 Operacn syst emy. Jan Staudek Verze : jaro 2017

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Sign aly. Data a sign aly. PV 169 Z aklady prenosu dat. Sign al, elektromagnetick y sign al. (Elektromagnetick y) sign al

Bezpečnostní politika a dokumentace

Standardy (normy) a legislativa. informacn bezpecnosti. Standardy (normy) a legislativa. PV 017 Bezpecnost IT

Transkript:

Rzen reakc na bezpecnostn incidenty PV 017 Bezpecnost informacnch technologi Jan Staudek http://www..muni.cz/usr/staudek/vyuka/ Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018 n

Bezpecnostn ud alost, bezpecnostn incident / utok ISO/IEC27035 Information technology Security techniques Information security incident management Bezpecnostn ud alost A security event is a change in the everyday operations of a network or information technology service, indicating that a security policy may have been violated or a security safeguard may have failed. identikovan a ud alost ve stavu syst emu, sluzby nebo st e indikujc { mozn e porusen politiky informacn bezpecnosti nebo { selh an opatren nebo { vznik dosud nezn am e situace, kter a m uze souviset s informacn bezpecnost zjisten, ze se stalo neco, co souvis s InfSec { m uze to b yt pokus o utok, chyba zprstup nujc n ekterou zranitelnost,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 1

Bezpecnostn ud alost, bezpecnostn incident / utok Bezpecnostn ud alost, pokrac. V yskyt bezpecnostn ud alosti nemus nutn e znamenat, ze jde o usp esn y utok nebo ze doslo ke skode na d uvernosti, integrity ci dostupnosti ne vsechny ud alosti v oblasti informacn bezpecnosti jsou implicitn e klasikov any jako incidenty informacn bezpecnosti, n ahodn a chyba nebo n ahodn e selh an nen bezpecnostnm incidentem napr. proniknut spamov e e-mail zpr avy do inboxu zam estnance je bezpecnostn ud alost, nikoli incident. kliknut na referenci v tomto mailu uz za incident povazovat lze napr. koncov y uzivatel oznamuje na help desk, ze syst em je nezvykle pomal y, reakce jsou zdlouhav e,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 2

Bezpecnostn ud alost, bezpecnostn incident / utok Bezpecnostn incident, utok jedna nebo s erie nez adoucch nebo neocek avan ych bezpecnostnch ud alost, kter e s v yznamnou pravd epodobnost ohrozuj podnikatelsk e cinnosti a ohrozuj informacn bezpecnost vsechny bezpecnostn incidenty jsou bezpecnostnmi ud alostmi, pouze n ekter e bezpecnostn ud alosti jsou bezpecnostn incidenty Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 3

Bezpecnostn ud alost, bezpecnostn incident / utok termnem bezpecnost implicitn e rozumme informacn bezpecnost Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 4

Bezpecnostn ud alost, bezpecnostn incident / utok termny bezpecnost implicitn e rozumme informacn bezpecnost Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 5

Aktivity spr avy reakc na bezpecnost incidenty Prim arn cl minimalizovat prm y negativn dopad bezpecnostnho incidentu Sekund arn cl zsk an poucen z v yskytu incidentu, zefektivn en ochran Cin en e kroky k jejich dosazen zastaven ucinku utoku a zvl adnut, zkrocen sren skody likvidace, odstaven zdroje utoku anal yza incidentu a vypracov an zpr avy o incidentu podrobn e zkoum an incidentu, prciny, efektivity ochran,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 6

Dals pojmy a termny souvisejc s reakcemi na incidenty vysetrov an bezpecnostnch ud alost, information security forensics aplikace vysetrovacch technik pro zachycen, zaznamen an a anal yzu bezpecnostnch ud alost T ym resc rzen/spr avu bezpecnostnch incident u, Information Security Incident Response Team, ISIRT t ym adekv atne kvalikovan ych a d uveryhodn ych clen u organizace, kter y vysetruje bezpecnostn ud alosti b ehem jejich zivotnho cyklu a rd reakce na ne Computer Emergency Response Team, CERT Computer Security Incident Response Team, CSIRT Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 7

ISIRT mus zn at odpovedi na ot azky jak zjist'ovat, hl asit a posuzovat bezpecnostn incidenty? jak reagovat na bezpecnostn incidenty a jak krizov e rdit cinnosti po incidentu? jak detekovat, hodnotit a resit zranitelnosti? jak pomoc v yse uveden ych metod trvale zlepsovat informacn bezpecnost a krizov eho rzen organizace? Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 8

Charakteristiky bezpecnostnch incident u Mohou b yt umysln e nebo n ahodn e n ahodn e: jsou napr. d usledkem chyby nebo prrodnch zivl u Mohou b yt zp usobeny technick ymi nebo fyzick ymi prostredky Jako prklady d usledk u incident u na aktivech organizace lze uv est neautorizovan e zverejn en a modikace nebo znicen nebo zneprstupn en informac nebo poskozen nebo odcizen majetku (aktiv) organizace Vsechny bezpecnostn ud alosti, bez ohledu na to, zda jsou ci nejsou incidentem, mus b yt systematicky dokumentovan e Pokud se za bezpecnostn incidenty prohl as nedokumentovan e ud alosti, bude obtzn e obtzn e je vysetrit a prijmout opatren, kter e by zabr anilo jejich opakov an Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 9

Z akladn kategorizace bezpecnostnch incident u Prm e utoky Odmtnut sluzby, Denial of Service Neautorizovan y prstup, Unauthorized access Zlomysln y software, Malicious code Nepatricn e pouzv an, Inappropriate usage Neprm e utoky { sb er informac, Information gathering identikace potenci alnch cl u utok u porozumen sluzb am, kter e bez na techto clech Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 10

Odmtnut sluzby, Denial of Service, DOS prp. Distribuovan e odmtnut sluzby, Distributed Denial of Service, DDoS syst em, sluzba nebo st' neoperuje v jejich zam yslen e kapacit e, nejcasteji opr avnen ym uzivatel um plne odpr a prstup Formy utoku zasl an aktivac na dostupnou st'ovou adresu s clem vycerpat prenosem odpov ed srku p asma odesl an dat syst emu, sluzbe nebo sti v nepredpokl adan em form atu s clem vyvolat jejich selh an nebo narusit jejich norm aln provoz otevren vce opr avn en ych relac s konkr etnm syst emem, sluzbou nebo st s clem vycerpat jejich zdroje (tj. zpomalit, zamknout je nebo zp usobit jejich zhroucen). Typick y utocnk Botnet { kolekce softwarov ych robot u (zlomysln y software) b ezcch autonomne a automaticky v mnoha (10 2 10 6 ) poctacch Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 11

Neautorizovan y prstup, Unauthorized access neopr avn en e pokusy o prstup nebo zneuzv an syst emu, sluzby nebo st e pokusy o nacten souboru s hesly, utoky typu buffer overflow s clem zskat v ysadn prstup k cli (napr. jako spr avce syst emu) vyuzit zranitelnost v protokolech s clem neopr avn en e prevzt (hijack) nebo presm erovat legitimn st'ov e spojen pokusy o zv ysen opr avn en k pouzvan zdroj u nebo informac nad r amec toho, co utocc uzivatel nebo spr avce jiz legitimn e vlastn narusen fyzick ych bezpecnostnch opatren umoz nujc neopr avn en y prstup k informacm zdrojem utoku m uze b yt i spatne a / nebo nespr avne nakongurovan y operacn syst em nerzenou zm enou syst emu nebo selh an softwaru nebo hardwaru. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 12

Zlomysln y software, Malicious code program nebo c ast programu vlozen eho do jin eho programu s umyslem zmenit jeho p uvodn chov an obvykl y cl { vykon avat zlomysln e cinnosti, jako je kr adez informac, neopr avn en e zsk an ciz identity, znicen informac, utok DoS/DDoS, spam, atd. Formy viry, cervi, Trojsk e kone, mobiln k ody a kombinace techto forem Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 13

Nepatricn e pouzv an, Inappropriate usage uzivatel porusuje bezpecnostn politiku IS organizace nejde o utoky v prav em slova smyslu, ale tyto bezpecnostn ud alosti jsou mnohdy vykazov any jako incidenty a mely by b yt spravov any t ymem ISIRT. Formy stahov an a instalace hackersk ych n astroj u pouzv an remnho e-mailu pro spam ci propagaci osobnho podnik an vyuzit podnikov ych zdroj u pro zrzen neautorizovan ych webov ych str anek zsk av an nebo distribuce pir atsk ych soubor u (hudba, video, software) pomoc peer-to-peer aktivit Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 14

Sb er informac, Information gathering rekognoskace prostred s clem identikace existence cle utoku, rozpozn an topologie st, kter e jej obklopuj a s nmz cl bezne komunikuje potenci alnch zranitelnost v cli nebo v jeho bezprostrednm st'ov em prostred Formy, prklady koprov an DNS z aznam u clov e internetov e dom eny ping na st'ov e adresy s clem najt syst emy, kter e jsou,,ziv e" prohled av an dostupn ych st'ov ych port u syst emu s clem identikovat souvisejc sluzby (napr. e-mail, FTP, web, atd.) a verzi softwaru t echto sluzeb vyhled av an zn am ych zraniteln ych sluzeb ve skupine st'ov ych adres kr adez znalost a fakt u ulozen ych v elektronick e podobe,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 15

Ch ap an incidentu dle z akona o kybernetick e bezpecnosti Typy bezpecnostnch incident u podle prciny zp usoben y utokem nebo jinou ud alost vedouc k pr uniku do syst emu nebo k omezen dostupnosti sluzeb zp usoben y skodliv ym softwarem nebo k odem zp usoben y kompromitac technick ych opatren zp usoben y porusenm organizacnch opatren ostatn typy Typy bezpecnostnch incident u podle dopadu zp usobujc narusen d uv ernosti aktiv zp usobujc narusen integrity aktiv zp usobujc narusen dostupnosti aktiv zp usobujc kombinac narusen v yseuveden ych typ u Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 16

Prklady kategori incident u podle kybernetick eho z akona Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 17

Ch ap an incidentu dle z akona o kybernetick e bezpecnosti Typy bezpecnostnch incident u podle n asledk u a negativnch projev u Kategorie III velmi z avazn y bezpecnostn incident, pri kter em je prmo a v yznamne narusena bezpecnost poskytovan ych sluzeb nebo informacnch aktiv. Jeho resen vyzaduje neprodlen e z asahy obsluhy s tm, ze mus b yt vsemi dostupn ymi prostredky zabr an eno dalsmu sren bezpecnostnho incidentu vcetn e minimalizace vznikl ych i potenci alnch skod Kategorie II z avazn y bezpecnostn incident, pri kter em je narusena bezpecnost poskytovan ych sluzeb nebo informacnch aktiv. Jeho resen vyzaduje neprodlen e z asahy obsluhy s tm, ze mus b yt vhodn ymi prostredky zabr an eno dalsmu sren incidentu vcetn e minimalizace vznikl ych skod. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 18

Ch ap an incidentu dle z akona o kybernetick e bezpecnosti Kategorie I m ene z avazn y bezpecnostn incident, pri kter em doch az k m ene v yznamn emu narusen bezpecnosti poskytovan ych sluzeb nebo informacnch aktiv. Jeho resen vyzaduje z asahy obsluhy s tm, ze mus b yt vhodn ymi prostredky omezeno dals sren bezpecnostnho incidentu vcetn e minimalizace vznikl ych skod. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 19

Kategorizace bezpecnostnch incident u podle ISO 27000 Very serious (Class IV), siln y dopad, nast av a nouzov y stav Serious (Class III), stredn dopad, nast av a kritick y stav Less serious (Class II), nzk y dopad, jde spse o varov an Small (Class I) jedn a se o informacn podn et, zanedbateln y dopad, ale anal yza incidentu by mohla b yt pouzita ke zlepsen politik, procedur nebo opatren v oblasti informacn bezpecnosti Vce o klasikacch a stavech z avaznosti viz predn aska Rzen rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 20

Klasikace bezpecnostnch incident u podle ISO 27000 Very serious (Class IV), nastal nouzov y stav utok na velmi d ulezit e informacn syst emy velmi z avazn e obchodn ztr aty vede k velmi v yznamn ym soci alnm dopad um Serious (Class III), nastal kritick y stav utok na d ulezit e informacn syst emy z avazn e obchodn ztr aty vede k v yznamn ym soci alnm dopad um Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 21

Klasikace bezpecnostnch incident u podle ISO 27000 Less serious (Class II) { varov an utok na v yznamn e informacn syst emy nepominuteln e obchodn ztr aty vede k nepominuteln ym soci alnm dopad um Small (Class I) { poznac v yskyt, zapamatuj moznost v yskytu utok na b ezn e informacn syst emy mal e nebo z adn e obchodn ztr aty mal e nebo z adn e soci aln dopady z adn e skody, nepozaduj se z adn e akce vyjma registrace Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 22

Klasikace bezpecnostnch incident u podle dopad u... Podle oblasti, kde zp usobuj skodu incidenty majc dopad na informacn syst em organizace, incidenty zp usobujc podnikatelsk e ztr aty, incidenty majc soci aln dopad. Z pohledu nancnch ztr at narusenm byznysov ych cinnost Z pohledu nancnch ztr at dky narusen pozice na poli konkurenceschopnosti, d uv eryhodnosti,... Z pohledu z avaznosti narusen osobn dat a soukrom Z pohledu z avaznosti narusen pr avnch a smluvnch z avazk u Z pohledu z avaznosti narusen rzen chodu organizace... konkrétní příklady klasifikačních metod viz přednáška Řízení rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 23

Kategorizace bezpecnostnch incident u podle trd hrozeb Ziveln e ud alosti Ztr ata informacn bezpecnosti je zp usobena prrodnmi katastrofami mimo lidskou kontrolu Zem etresen, sopky, povodn e, prudk e vtr, blesk, tsunami, zrcen... Soci aln nepokoje v alka, terorismus,... Fyzick e poskozen Umysln a nebo n ahodn a fyzick a akce Ohe n, voda, elektrostatika, znecist en, prach, koroze, mr az, znicen zarzen, znicen m edia, kr adez zarzen, kr adez m edi, ztr ata zarzen, ztr ata m edi, manipulace s vybavenm, manipulace s m edii... Selh an infrastruktury { z akladnch syst em u a sluzeb, kter e podporuj fungov an informacnch syst em u energie, st', klimatizace, dod avka vody... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 24

Kategorizace bezpecnostnch incident u podle trd hrozeb Poruchy zp usoben e vyzarov anm Elektromagnetick e z aren, elektromagnetick e pulsy, elektronick e rusen, kols an napet, tepeln e z aren,... Technick a selh an Chyby v oblasti informacnch syst em u a souvisejcch ne-technick ych zarzench Probl emy zp usoben e lidmi ne umyslne majc za n asledek nedostupnost nebo znicen informacnch syst em u Selh an hardwaru, softwaru porucha, pretzen (vycerp an kapacity informacnch syst em u), narusen udrzovatelnosti... Utok skodliv ym softwarem vir, trojsk y k u n, cerv,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 25

Kategorizace bezpecnostnch incident u podle trd hrozeb Technick y utok napaden informacnch syst em u prostrednictvm st nebo jin ych technick ych prostredk u, vyuzit zranitelnosti informacnch syst em u v protokolech, konguracch, nebo v programech, nebo silou majc za n asledek abnorm aln stav informacnch syst em u nebo potenci aln ujmu na jejich standardnm provozu Porusen pravidel chov an { at' jz z amern e ci nez amern e Porusen autorsk ych pr av prodejem ci instalac kopi komercnho software nebo jin ych autorsky chr anen ych materi al u bez licence Neopr avn en e pouzv an prostredk u organizace { ret ezov e e-maily v akcch typu letadlo... Kompromitace funkcnosti umysln e nebo n ahodn e ohrozen funkc informacnch syst em u z hlediska informacn bezpecnosti Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 26

Kategorizace bezpecnostnch incident u podle trd hrozeb Kompromitace informac umysln e nebo n ahodn e ohrozen informacn bezpecnosti v rovine d uvernosti, integrity, dostupnosti... Utok skodliv ym obsahem... sren nez adoucho obsahu prostrednictvm informacnch st ohrozujc bezpecnost st atu, soci aln stabilitu a/nebo verejn e bezpecnosti a benety. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 27

F aze proces u spr avy/rzen bezpecnostnch incident u Pl an a prprava vypracov an politiky spr avy bezpecnostnch incident u v oblasti informacn bezpecnosti a jej odsouhlasen vrcholov ym vedenm organizace aktualizce politik informacn bezpecnosti a rzen rizik na urovni organizace, syst em u, sluzeb a st ustanoven ISIRT a zaclen en ISIRT do organizacnho sch ematu organizace zajist en technick e a provozn podpory ISIRT seznamovac skolen a tr eningy na cinnosti spr avy incident u, zvysov an povedom a vzdel av an testov an syst emu rzen incident u Detekce a vypracov an zpr avy o bezpecnostn ud alosti detekce bezpecnostn ud alosti a vypracov an zpr avy o n Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 28

F aze proces u spr avy/rzen bezpecnostnch incident u Posouzen ud alosti a vyd an rozhodnut o incidentu posouzen zda bezpecnostn ud alost reprezentuje bezpecnostn incident Reakce na incident reakce na bezpecnostn incident { viz cinen e kroky v yse vc. vysetrov an bezpecnostnho incidentu obnova r adn eho stavu poskozen ych aktiv incidentem Poucen z incidentu prpadn e dals hlubs vysetrov an a identikace zskan ych zkusenost identikace potrebn eho vylepsen ch ap an informacn bezpecnosti a zajist en jeho implementace identikace potrebn eho vylepsen ch ap an ohodnocov an rizik v oblasti informacn bezpecnosti, jeho prezkoum an vedenm organizace a zajist en jeho implementace identikace potrebn eho vylepsen ch ap an organizacnho sch ematu rzen incident u a zajist en jeho implementace Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 29

Diagram postupu reakce na bezpecnostn ud alost / incident Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 30

Diagram postupu reakce na bezpecnostn ud alost / incident Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 31

Diagram postupu reakce na bezpecnostn ud alost / incident Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 32

Reakce na incident Reakce je v pln e odpovednosti ISIRT Inici aln reakce identikace akc inici aln reakce na konkr etn incident minimalizace neprzniv ych dopad u na podnikatelsk e procesy { odstaven napaden ych syst em u, sluzb ci st { informov an managementu IT a podnikatelsk ych cinnost a relevantnch uzivatel u identikace zdroje utoku Klasikace incidentu, rozhodnut o z avaznosti incidentu prpadn e spust en akc podle pripraven eho krizov eho pl anu Fin aln reakce po inici alnm zvl adnut incidentu Obnova norm aln funkce napaden eho syst emu, sluzby, st e Vypracov an z aznamu o incidentu a reakci do DB ud alost, incident u, zranitelnost informacn bezpecnosti Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 33

Prklad z aznamu o bezpecnostn ud alosti Z akladn informace datum ud alosti identikacn cslo ud alosti souvisejc ud alosti a/nebo incidenty (pokud se znaj) Podrobnosti o osob e ohlasujc ud alost Jm eno Kontaktn informace: adresa, organizace, odd elen, telefon, e-mail Popis ud alosti Co se stalo Jak doslo k ud alosti Proc doslo k ud alosti Inici aln pohled na dotcen a aktiva / komponenty Dopad na podnikatelsk e procesy Prpadn e identikovan a zranitelnost Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 34

Prklad z aznamu o bezpecnostn ud alosti Detaily ud alosti Datum a cas v yskytu ud alosti Datum a cas zjist en ud alosti Datum a cas ohl asen ud alosti Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 35

Prklad z aznamu o bezpecnostnm incidentu Z akladn informace datum incidentu identikacn cslo incidentu souvisejc ud alosti a/nebo incidenty (pokud se znaj) Podrobnosti o osob e ohlasujc incident Jm eno Kontaktn informace: adresa, organizace, odd elen, telefon, e-mail Podrobnosti o clenu t ymu PoC prebrajcm hl asen incidentu Jm eno Kontaktn informace: adresa, organizace, odd elen, telefon, e-mail Podrobnosti o clenu ISIRT prebrajcm p eci o incident Jm eno Kontaktn informace: adresa, organizace, odd elen, telefon, e-mail Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 36

Prklad z aznamu o bezpecnostnm incidentu Popis incidentu Co se stalo Jak doslo k incidentu Proc doslo k incidentu Inici aln pohled na dotcen a aktiva / komponenty Dopad na podnikatelsk e procesy Prpadn e identikovan a zranitelnost Detaily incidentu Datum a cas v yskytu incidentu Datum a cas zjist en incidentu Datum a cas ohl asen incidentu Kategorie incidentu Postizen e komponenty / aktiva Ucinek incidentu, skodliv y dopad na podnikatelsk e procesy Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 37

Prklad z aznamu o bezpecnostnm incidentu Celkov e n aklady na obnovu norm alnho stavu po incidentu Vyresen incidentu Osoba(y) / pachatel( e) zp usobivs incident (pokud se incident zp usobil lidmi) Popis pachatele( u) Zn am e nebo domnel e motivace utoku Akce proveden e pri resen incidentu Akce pl anovan e pro resen incidentu Neuplatn en e akce Z aver Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 38

Prklad z aznamu o zranitelnosti Z akladn informace datum identikace zranitelnosti identikacn cslo zranitelnosti Podrobnosti o osob e ohlasujc zranitelnost Jm eno Kontaktn informace: adresa, organizace, odd elen, telefon, e-mail Popis zranitelnosti Osetren zranitelnosti Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen reakc na bezpecnostn incidenty 39