2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)



Podobné dokumenty
Trendy v oblasti bezpečnosti

Efektivní řízení rizik webových a portálových aplikací

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Trend Micro - základní informace o společnosti, technologiích a řešeních

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Policejní akademie České republiky v Praze BEZPEČNOST INFORMACÍ

ANECT, SOCA a bezpečnost aplikací

Systém řízení informační bezpečnosti (ISMS)

Flow monitoring a NBA: Kdy, kde, jak a proč? Petr Špringl springl@invea.cz

Adware ENISA. Aktivní kybernetická obrana. Aktivum. Analýza hrozeb. Analýza počítačového viru. Antispamový filtr. Antivirový program

Hrozby a trendy Internetbankingu

Vývoj Internetových Aplikací

Koordinační středisko pro resortní zdravotnické informační systémy. Závěrečný test Základy informační bezpečnosti pro uživatele. Verze: 1.

Technické aspekty zákona o kybernetické bezpečnosti

Počítačová bezpečnost Aktualizace OS a aplikačních programů Firewall a další bezpečnostní nástroje

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Efektivní řízení rizik

IDS systémy a honeypoty. Jan Mach CESNET, z. s. p. o.

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Současné problémy bezpečnosti ve firmách

Typy bezpečnostních incidentů

Postačí z hlediska bezpečnosti ochrana heslem?

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Zabezpečení kolejní sítě

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

ISMS. Uživatel jako zdroj rizik. V Brně dne 5. a 12. prosince 2013

Zranitelnosti webových aplikací. Vlastimil Pečínka, Seznam.cz Roman Kümmel, Soom.cz

Řešení ochrany databázových dat

Zákon o kybernetické bezpečnosti: kdo je připraven?

Bezpečnostní monitoring v praxi. Watson solution market

Metody zabezpečení webového provozu. Jakub Truschka Konference Security Praha,

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

ESET NEXT GENERATION. Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Kaspersky Mobile Security

CYBERSECURITY INKUBÁTOR

Informační a komunikační technologie. 1.5 Malware

TOP. Agenda. bezpečnostní témata pro Milan Chromý. Zavádíme a provozujeme užitečné informační technologie v organizacích.

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

Testování webových aplikací Seznam.cz

Uživatelská příručka. Chráníme více lidí před více online hrozbami než kdokoli jiný na světě.

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha,

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Kybernetická bezpečnost

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Havěť v praxi. Bc. Igor Hák, Eset software spol. s r. o. Copyright 2006 Eset software spol. s r. o.

Obrana sítě - základní principy

profil společnosti www. veracomp.cz

3.přednáška. Informační bezpečnost: Řízení IS/IT

Bezpečnostní audity, penetrační testy

Úvod - Podniková informační bezpečnost PS1-2

Internetová ochrana: optimální kombinace rychlosti a detekce

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Maturitní témata. Informační a komunikační technologie. Gymnázium, Střední odborná škola a Vyšší odborná škola Ledeč nad Sázavou.

PB169 Operační systémy a sítě

Flow monitoring a NBA

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Bezpečnostní politika společnosti synlab czech s.r.o.

Realita všedního dne, nebo sci-fi?

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

ICT bezpečnost a její praktická implementace v moderním prostředí

ANECT & SOCA ANECT Security Day

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

CA Protection Suites. - Michal Opatřil - Consultant - michal.opatril@ca.com

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

KASPERSKY SECURITY FOR BUSINESS KATALOG PRODUKTŮ

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Bezpečnost ve světě ICT - 10

Služby e-infrastruktury CESNET

14 bezpečnostních předpovědí pro rok 2014

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Prémiová internetová ochrana: optimální kombinace rychlosti a detekce

Bezpečnostní projekt Případová studie

Demilitarizovaná zóna (DMZ)

Vykazování a kontrola zdravotní péče z pohledu zdravotní pojišťovny. Ing. Ladislav Friedrich, CSc. generální ředitel Oborové zdravotní pojišťovny

2. Nízké systémové nároky

Bezpečnost IS. Základní bezpečnostní cíle

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Víme, co se děje aneb Log Management v praxi. Petr Dvořák, GAPP System

& GDPR & ŘÍZENÍ PŘÍSTUPU

Kybernetické hrozby jak detekovat?

Základní zabezpečení. Ing. Radomír Orkáč , Ostrava.

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Bezpečnost intranetových aplikací

Bezpečnostní zásady. d) Disponent je povinen při používání čipové karty nebo USB tokenu, na nichž je

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Napadnutelná místa v komunikaci

Stav podnikové bezpečnosti, Globální zpráva Jakub Jiříček, Symantec ČR a SR

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

Transkript:

Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 2 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 2.přednáška Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS) 1

Aktuální hrozby pro informační bezpečnost současný stav Situace je špatná a bude se zhoršovat (Autor: nejmenovaný expert renomované konzultační firmy, 2007) Současný stav Množí se počty a složitost útoků Roste profesionalita útočníků Rostou počty cílených útoků na objednávku Roste počet typů a složitost škodlivých programů (malware) 2

Současný stav Probíhají předem připravené útoky na atraktivní cíle i všeobecné útoky cílené na získání přístupu do systémů a dat (hesla, čísla karet, čísla pojištění, ) Využití sociálního inženýrství (znalost prostředí, struktury organizace, sociální návyky zaměstnanců) Současný stav Triky na uživatele (nejen) WWW aplikací o Phishing o Pharming o finty s URL o Spyware (a jiný škodlivý kód) 3

Útoky na WWW aplikace Typ útoku SQL injection Cross site scripting (XSS) Popis nedůsledné ošetření vstupů v některých případech umožňuje útočníkovi modifikovat SQL dotazy spouštěné v databázi, což může vést k neoprávněnému získání/modifikaci dat nebo dokonce ke spuštění vlastního kódu na databázovém serveru WWW server trpící touto slabinou může být zneužit jako prostředník při útoku spočívajícím ve spuštění kódu (obvykle Javascript) v prohlížeči uživateleoběti, který považuje zranitelný server za důvěryhodný URL tampering manipulace se strukturou URL a/nebo parametry předávanými v rámci URL může u zranitelné aplikace vést k provedení neočekávaných akcí Hidden field manipulation HTTP response splitting attack Cross site tracing (XST) útok na často citlivá data předávaná v rámci HTML formulářů v tzv. HIDDEN polích (nejsou viditelná pro běžného uživatele) specifický útok, při kterém je útočník schopen nežádoucím způsobem rozdělit HTTP hlavičku a vytvořit falešnou odpověď pocházející ze zranitelného serveru možnost zneužití metody TRACE k získání citlivých informací z http hlaviček (session cookies, autentizační údaje) Jak se bránit? Technická opatření: Antivirová ochrana + antispyware Personální firewall (nejen na noteboocích) Nastavení a aktualizace operačního systému a prohlížeče Organizační opatření: Poučený, uvědomělý, ostražitý, opatrný uživatel Ostatní: Použití silné autentizace (čipové karty, kalkulátory) Kvalitně navržená architektura WWW/SSL aplikací Komplexní bezpečnost stanice uživatele 4

Ochrana proti útokům Pravidelné sledování sítí (vulnerability scanning, sledování logů) Systémy pro řízení přístupu (NAC, firewall,anti-malware) Bezpečnostní politika Vzdělávání a osvěta Současný stav Počítačový zločin (cyber crime) přerostl v organizovaný zločin se všemi rysy typickými pro tento druh zločinnosti Není to záležitost nadaných jednotlivců s nízkým prahem morálky Vývoj od zranitelností a internetových červů a virů (2001) přes spam (2003), spyware (2004), inteligentní botnety (2005) až k etapě web based malware attacks (D.Perry, Trend Micro) 5

Současný stav Odhady: 1/10 webových stránek je infikována 7% stanic (75-100 mil.pc) jsou botnety Ceníky : 500 USD za kreditku s PIN 100 USD za kartu sociálního pojištění 7 USD za účet PayPal s heslem Současný stav E-mail ztratil kredibilitu Prostředí WWW je extrémně nebezpečné, zejména pro nezkušené uživatele 6

Hrozby podle McAffe, Inc. Vzroste počet stránek zaměřených na krádeže hesel, které využívají sign-in populárních on-line služeb jako je e-bay, Bude pokračovat růst spamu, zejména obrázkového, který spotřebovává největší část kapacity připojení Oblíbenost sdílení videa na Webu nevyhnutelně povede k zaměření hackerů na MPEG soubory jako na způsob šíření škodlivého kódu Hrozby podle McAffe, Inc. Útoky na mobilní zařízení se stanou stále častější, s tím, jak se tato zařízení stávají stále chytřejší a stále více propojená, Adware se stane hlavním proudem a bude následovat nárůst komerčních PUP programů (potentially unwanted programs) Krádeže identity a ztráty dat budou stále na pořadu dne Parazitní malware (virusy modifikující data) bude slavit comeback 7

Hrozby podle McAffe, Inc. Použití botů (počítačových programů provádějící automatizované úkoly) jako oblíbených nástrojů hackerů bude narůstat Počet rootkitů na 32-bitových platformách vzroste, spolu s obrannými možnostmi Zranitelnosti (vulnerabilities) budou nadále problémem PSIB ČR Od r. 1999 probíhá rozsáhlý průzkum stavu informační bezpečnosti v ČR zaměřený na střední a velké organizace (100+) Každé dva roky, naposled v roce 2011. Paralelně v SR (KPMG) 2005: 11 okruhů, 407 respondentů Výstupem je dokument Průzkum stavu informační bezpečnosti v ČR (PSIB ČR 2011) Ernst & Young, DSM, NBÚ ČR 8

Jak se proti těmto hrozbám bránit? Jak se bránit? Antivirová ochrana + antispyware Personální firewall (nejen na noteboocích); systémy pro řízení přístupu (NAC, firewall,antimalware) SW pro detekci a prevenci útoků (pravidla chování aplikací vyplývající z definované bezpečnostní politiky) Nastavení a aktualizace operačního systému a prohlížeče Komplexní bezpečnost stanice uživatele 9

Jak se bránit? Pravidelné sledování sítí (vulnerability scanning, sledování logů) systémy pro správu bezpečnostních informací (automatizace sběru a analýzy bezpečnostních systémů a zařízení koincidence) Systémy pro management bezpečnostních informací a událostí (SIEM) nástroje pro sběr, korelaci a analýzu a vyhodnocení různých typů bezpečnostních událostí (firewall, IDS, antivirové systémy, RADIUS servery, VPN servery,..) klíčová je schopnost nakládat s takto získanými daty (kvalifikovaní zaměstnanci nebo outsorcing) Jak se bránit? Použití silné autentizace (čipové karty, kalkulátory) nástroje pro správu identity a řízení přístupů (kontrola přístupů, efektivní řízení životního cyklu) systémy infrastruktury veřejných klíčů (PKI), Systémy aktualizace oprav (Patch Management) Systémy pro zálohování a archivaci dat Systémy VPN, bezpečné komunikace Kvalitně navržená architektura WWW/SSL aplikací 10

Organizační opatření: Poučený, uvědomělý, ostražitý, opatrný uživatel Vzdělávání a osvěta Bezpečnostní politika (informační bezpečnost) (Information Security) Systém řízení (Management System) ISMS (Information Security Management System) Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení 11

Součásti systému řízení MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review Information Security Management System (ISMS) ISMS je systém managementu bezpečnosti informací o Součást globálního systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany 12

ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 13

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář