Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.



Podobné dokumenty
Sjednocení dohledových systémů a CMDB

Vnitřní kontrolní systém a jeho audit

Důvěryhodná výpočetní základna -DVZ

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Katalog služeb a podmínky poskytování provozu

(NE)BEZPEČNÝ CLOUD. Libor Kovář CSO, ČEZ ICT Services, a. s. Head of Corporate CyberSec Group. Pavel Hejduk CSIRT Team Leader, ČEZ ICT Services, a. s.

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

1. Integrační koncept

1.05 Informační systémy a technologie

Úvod do validace počítačových systémů Ing. Miroslav Mík. Obsah

Petr Náhlovský, Servodata a.s. Michal Oškera, AUKRO s.r.o. IT PROJEKT ROKU 2017

Ne-bezpeční zemědělci

RDF DSPS ROZVOJ PORTÁLU

Řízení dodávky IT služeb v enterprise společnosti

Koncept centrálního monitoringu a IP správy sítě

Jak být online a ušetřit? Ing. Ondřej Helar

METODIKA PROVÁDĚNÍ AUDITU COBIT

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

Chytřejší Moravskoslezský kraj Strategie pro roky Akční plán pro roky

Zhodnocení architektury podniku. Jiří Mach

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

PŘEDSTAVENÍ - KAREL HÁJEK Nasazení SD ve skupině ČEZ

Technická specifikace předmětu plnění:

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

Provozně-bezpečnostní monitoring datové infrastruktury

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Služby datového centra

Zvýšení kvality IA s využitím nových technologií: Představení řešení IDEA - SymSure pro CCM

GORDIC + CA = vaše cesta ke zvýšení kvality a efektivity služeb

1.05 Informační systémy a technologie

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

1.1. Správa a provozní podpora APV ROS, HW ROS a základního SW

Podrobná analýza k aktivitě č. 3 - implementace procesního řízení do praxe úřadu

Jak efektivně ochránit Informix?

Automatizace správy linuxové infrastruktury pomocí Katello a Puppet LinuxDays

Dohledové centrum egovernmentu. Aplikace ZoKB v praxi

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

KATALOG SLUŽEB NÁSLEDNÉ PODPORY

Proces vývoje HRIS Vema (Human Resources Information System) Jaroslav Šmarda

INFORMAČNÍ SYSTÉMY , Ing. Jiří Mráz

Informační strategie hl. města Prahy do roku 2010

Vysvětlení zadávací dokumentace č. 3

Služby datového centra

Zajištění dostupnosti vybraných IT služeb

Definice služby katalogový list (KL-1, KL-2, KL-3)

Mobile Device Management Mobilita v bankovním prostředí. Jan Andraščík, Petra Fritzová,

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Evaluační plán. REGIONÁLNÍ OPERAČNÍ PROGRAM NUTS II SEVEROVÝCHOD pro rok Datum zveřejnění:

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

SCADA? Jasně, to slovo znám

O2 a jeho komplexní řešení pro nařízení GDPR

Referenční projekty STRANA 1 (CELKEM 6)

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

SAP PROCUREMENT DAY SAP CLM (Contract Lifecycle Management) Správa životního cyklu kontraktů. smooth business flow

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Výzvy a milníky v přípravě inovační strategie Prahy Úvodní slovo k panelové diskusi

OZNAČENÍ SLUŽBY ITSM/HELPDESK-PROVOZ TYP KL: PAUŠÁLNÍ. Služba zajištění obsluhy HelpDesku Objednatele

Manažerský informační systém pro efektivní řízení zdravotnictví ve Středočeském kraji

Zkušenosti z nasazení a provozu systémů SIEM

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Projektové řízení jako základ řízení organizace

Zkušenosti z průběhu nasazení virtualizace a nástrojů pro správu infrastruktury v IT prostředí České správy sociálního zabezpečení

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnost na internetu. přednáška

Vývoj informačních systémů. Obecně o IS

ISVS v cloudu? ANO! Ing. Václav Koudele, Ing. Zdeněk Jiříček

Cíle a měřitelné parametry budování a provozu egc. Příloha č. 1 Souhrnné analytické zprávy

Co je to COBIT? metodika


Nasazení CA Role & Compliance Manager

Elektronická provozní dokumentace (epd) případová studie MPSV

Shrnutí systémové role IPN Metodika Konference k 1. dílčí zprávě Pardubice,

SŽDC M20/MP001 METODICKÝ POKYN PRO ŘÍZENÍ DOKUMENTACE ŘÍDÍCÍCH TECHNICKÝCH AKTŮ SŽDC M20

Vazba na Cobit 5

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Personální audit. a personální strategie na úřadech. územních samosprávných celků

Využití EPM 2013 pro podporu řízení projektů - Případová studie

Bezpečnostní monitoring v praxi. Watson solution market

REGIONÁLNÍ ROZMĚR ROZVOJOVÝCH PRIORIT a STRATEGIE REGIONÁLNÍHO ROVZOJE ČR RNDr. Josef Postránecký Ministerstvo pro místní rozvoj

Vytvoření portálu odboru strukturálních fondů Ministerstva vnitra a zajištění jeho hostingu na serveru dodavatele

Cloud Computing pro státní správu v praxi. Martin Vondrouš - Software602, a.s. Pavel Kovář - T-Systems Czech Republic a.s.

GINIS na KrÚ Středočeského kraje

Zhodnocení průběžného plnění Informační strategie hl. m. Prahy do roku 2010 (Cesta k e-praze) Duben 2009

POŽADAVKY NA FUNKCIONALIT Y HELPDESKU

Možnosti využití cloudových služeb pro provoz IT

ČD Telematika a.s. Efektivní správa infrastruktury. 11. května Konference FÓRUM e-time, Kongresové centrum Praha. Ing.

Náhled společnosti Atos na elektronizaci veřejné správy E-government Mikulov 2013

Představení společnosti

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Transkript:

Hardening ICT platforem: teorie nebo praxe Pavel Hejduk ČEZ ICT Services, a. s.

Agenda ICT prostředí ČEZ ICT Services a. s. Hardening ICT platforem - definice Obvyklý přístup a jeho omezení zhodnocení Lze to udělat lépe? Definice politiky Prosazení požadavků Ověření požadavků Shrnutí

ČEZ ICT Services, a. s. Poskytovatel IT a TELCO služeb pro Skupinu ČEZ Provoz a rozvoj systémů ERP, CIS, TIS/GIS, 12tis. interních uživatelů 15tis. koncových zařízení Více jak 1000 instancí serverových OS, stovky aplikačních serverů a databází Poskytování ICT služeb pro Integrované společnosti Skupiny ČEZ v ČR (22 lokalit) Akvizice (Bulharsko, Rumunsko, Polsko, ) Další majetkové účasti

Hardening ICT platforem - definice Hardening kalení, přitvrzení, zpevnění, tvrdnutí, zatvrdnutí, tvrzení Hardening ICT systémů proces zabezpečení ICT systémů s cílem eliminovat jejich platformní/implementační zranitelnosti Hardening ICT systémů základní činnosti: Definice politiky Definice & nastavení konkrétních požadavků Detekce a prioritizace zranitelností / neshod Průběžné ověřování & nastavení & revize politiky

Obvyklý přístup (příklad) Definice politiky Máme ji, je na webu Definice & nastavení konkrétních požadavků Vytvoření požadavků na míru Posouzení dle nasazení/použití/kritičnosti systému Provedení nastavení ručně přímo v systému Detekce a prioritizace zranitelností Ručně ověření namátkou Skriptem / vulnerability scanner automatizace Průběžné ověřování & nastavení & revize politiky Pouštím test v cronnu Revize bezpečnostní politiky???

Definice politiky (příklad) a jeho omezení Formalizace požadavků TOP vs. systémová BP Definice & nastavení konkrétních požadavků Posuzujeme každý implementovaný systém samostatně Nastavení nelze jednoduše zobecnit - automatizovat Detekce a prioritizace zranitelností Opakovatelnost ověření Interpretace výstupů co je důležité, vazba na SBP Průběžné ověřování & nastavení & revize politiky Opakovatelnost & možnost srovnání výstupů Životní cyklus systémové bezpečnostní politiky

(příklad) a jeho zhodnocení Realizace hardeningu je kapacitně náročné Dílčí nastavení pro jednotlivé systémy košaté výstupy z vulnerability scanneru není zřejmé, která zjištění jsou relevantní / validní vůči SBP Ověřování & vyhodnocování jednou za čas Kvalita hardeningu Je úměrná času, který tím trávíme Definovaná politika vs. skutečný stav Zabezpečení systémů je na rozdílné úrovni => hardening nepřináší zlepšení

Lze to udělat lépe? Definice strukturované a detailní politiky (SBP) Bezpečnostní požadavky nadřazená BP Platformní možnosti (omezení, zranitelnosti) Celkový bezpečnostní koncept (kombinace opatření) Řízení životního cyklu politiky Prosazení v infrastruktuře Kampaň pokrytí priorit V rámci změn v IS dopady do change managementu Ověření parametrů, kontrola Formální ověření - checklist Automatické ověření

Definice politiky Struktura Úvod Cíl politiky Rozsah platnosti Základní popis Předpoklady Metodiky a informační zdroje Definice odpovědnosti Procesy bezpečné správy Aktualizace systémů patch management Monitoring provozu Systémová dokumentace Změny v konfiguraci Bezpečnostní požadavky (genericky) Popis (stručný popis) Riziko (definuje prioritu opatření) Nastavení (postup pro nastavení a kontrolu) Security checklist samostatná příloha politiky Životní cyklus Zneplatnění/ zrušení SBP Automatizovaná kontrola Reporty z nástroje Definice potřeby vzniku nové politky Schválení vzniku nové politiky Vytvoření návrhu SBP Draft SBP Připomínkování návrhu bezpečnostními správci Zapracování a diskuse nad připomínkami Schválení SBP oddělením security Schválená SBP Implementace politiky do provozu Kontrola dodržování politiky Vypořádání neshod z kontrol/auditů Revize a aktualizace politiky Manuální kontrola (audit) Vyplněný checklist Aktualizovaná SBP Legenda: Iniciace procesu Pdproces Proces Dokument

Příklad bezpečnostního požadavku

Prosazení/nastavení požadavků Ve vazbě na jednotlivé platformy: Využití prvků centrální správy Využití připravených konfiguračních balíčků Využití instalačních images / masterů Využití specifických skriptů Ruční nastavení Prosazení požadavků hardeningu a jeho ověření v rámci change managementu

Kontrola shody ve velkém Systémové bezpečnostní politiky Platforma A Platforma B CL-A CL-B Systém 1 Systém 2 Systém 99 Provedení kontroly Kontrolní pluginy Report shody: Dle platforem Dle systémů Dle priority Plugin-A Plugin-B Vulnerability Scanner

Ověření bezpečnostní politiky Využití checklistu formální ověření Využití Vulnerability scanneru technické ověření

Kde uplatnit hardening Operační systémy Databáze Virtualizační SW Komponenty dohledů (agenti) Běhová prostředí / aplikační servery Obecně, ICT komponenty s větším výskytem Kde začít? Nejčastěji využívané / kritické komponenty Využít potenciál centrální správy / masterů

Rekapitulace Předpoklady úspěšného hardeningu: Strukturované a detailní politiky (SBP) Platformní pohled Prosazení nastavení v infrastruktuře Zakotvení v change managementu Ověření parametrů, kontrola Efektivní, opakovatelné ověření Hardening je myšlenka, která lze realizovat.

Děkujeme za pozornost. Pavel Hejduk ČEZ ICT Services, a. s. pavel.hejduk@cez.cz 16. února 2011? PROSTOR PRO OTÁZKY

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář