Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti ehealth Day 2016 16.2.2016 Ing. Stanislav Bíža, Senior IT Architekt, CISA stanislav.biza@cz.ibm.com 12016 IBM Corporation
Požadavky legislativy a standardů Každý projekt zahrnující řešení bezpečnosti IT musí vycházet z legislativy platné pro danou organizaci, jejích standardů bezpečnosti a interních norem Legislativní požadavky Zákon č. 101/2000 Sb. o ochraně osobních údajů Zákon č. 412/2005 Sb. o ochraně utajovaných skutečností Zákon č. 227/2000 Sb. (366/2001 Sb.) o elektronickém podpisu Zákon č. 181/2014 Sb. o kybernetické bezpečnosti Vyhlášky NBÚ, ÚOOÚ, ČNB a pod. Obvykle využívané bezpečnostní standardy: ČSN ISO/IEC 27000 Information Security Management Systems (ISMS) standards ČSN ISO/IEC 13335 Management of information and communications technology security ČSN ISO/IEC 15408 Common Criteria for Information Technology Security Evaluation (Common Criteria) 2
Požadavky legislativy a standardů Příklad: Vyhláška č. 316/2014 Sb. k Zákonu o kybernetické bezpečnosti Technická opatření 16 Fyzická bezpečnost 17 Nástroj pro ochranu integrity komunikačních sítí 18 Nástroj pro ověřování identity uživatelů 19 Nástroj pro řízení přístupových oprávnění 20 Nástroj pro ochranu před škodlivým kódem 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů 22 Nástroj pro detekci kybernetických bezpečnostních událostí 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí 24 Aplikační bezpečnost 25 Kryptografické prostředky 26 Nástroje pro zajištění úrovně dostupnosti 27 Bezpečnost průmyslových a řídicích systémů 3
IBM framework 10 Essential Practices jako praktický přístup k řízení bezpečnosti z pohledu vlastníků aktiv Porozumět vlivným prvkům bezpečnosti 3 Bezpečná spolupráce na sociálních sítích a mobilních zařízeních 4 Zahrnutí bezpečnosti již do návrhu aplikací 5 Správa IT infrastruktury v souladu s požadavky bezpečnosti 6 Zabezpečené a vysoce dostupné datové sítě 1 Security Governance a řízení rizik IT 2 Systém řízení provozní bezpečnosti a rychlé reakce na bezpečnostní incidenty 7 Porozumění komplexním problémům bezpečnosti v řešeních virtualizace a cloudu 8 Řízení rizik při přístupu 3. stran 9 Klasifikace informací a ochrana osobních údajů 10 Řízení identit uživatelů 4 IBM 10 Essential Practices
10 Essential Practices Zavedení Securit Governance a řízení rizik IT Hodnocení souladu stávajících rganizačních a technických bezpečnostních opatření s přijatým standardem/legislativou Doplnění stávajících organizačních bezp. opatření Doplnění stávajících technických bezp. opatření Bezpečnostní politika Hrozby Aktiva Zranitelnosti Bezpečnostní dokumentace Zpráva z auditu kybernetické bezpečnosti Zpráva z přezkoumání systému řízení bezpečnosti informací Metodika pro identifikaci a hodnocení aktiv a pro identifikaci a hodnocení rizik Zpráva o hodnocení aktiv a rizik Prohlášení o aplikovatelnosti Plán zvládání rizik Plán rozvoje bezpečnostního povědomí Zvládání kybernetických bezpečnostních incidentů Strategie řízení kontinuity činností Plán obecně závazných právních předpisů, vnitřních předpisů a jiných předpisů a sml. Analýza rizik Rizika 5
IBM 10 Essential Practices Systém řízení provozní bezpečnosti a rychlé reakce na bezpečnostní incidenty Politiky a procesy pro řešení bezpečnostních incidentů Včasná detekce incidentů: Security Information Event Management (SIEM) Forenzní nástroje pro vyšetřování bezpečnostních incidentů Provozní role, jejich odpovědnosti a workflow pro rychlou reakci na incidenty Bezpečná spolupráce na sociálních sítích a mobilních zařízeních Interní politiky pro používání sociálních sítí BYOD Prosazování konzistentní bezpečnostní politiky přes všechna koncová zařízení používaná pro služební účely PC, notebooky, tablety, telefony... Oddělení služebních a soukromých dat, zvýšená ochrana citlivých informací 6
IBM 10 Essential Practices Začlenění bezpečnosti již do fáze návrhu aplikací Zavedení SDLC do celého vývojového cyklu Bezpečnostní požadavky jako součást Mimofunkčních požadavků již v prvotních fázích projektu Zabezpečená rozhraní na okolní systémy Testy zranitelností a Ethical hacking Zabezpečené a vysoce dostupné datové sítě Topologie sítě reflektující oddělení aktiv s různými požadavky na zabezpečení Optimalizace síťové infrastruktury s ohledem na požadavky vysoké dostupnosti Ochrana před síťovými útoky Detekce podezřelých aktivit na síti Logování komunikace, monitorování a včasná detekce incidentů napojení na SIEM 7
IBM 10 Essential Practices Porozumění komplexním problémům bezpečnosti v řešeních virtualizace a cloudu Konzistentní bezpečnostní politiky přes externí poskytovatele IT služeb a poskytovatele cloudových služeb Pravidelné kontroly dodržování bezpečnostních standardů u poskytovatelů cloudových služeb Předhled o bezpečnostních limitech cloudových služeb a řízení jejich rizik Řízení rizik při přístupu 3. stran Prosazování bezpečnostních politik u dodavatelů Vzdělávání o požadavcích souladu s legislativou a externími regulátory Zahrnutí 3. stran do systému řešení bezpečnostních incidentů a jejich reportování Řízení rizik přístupu externích dodavatelů a kontraktorů 8
Příklad: bezpečnostní testy IT infrastruktury a aplikací Bezpečnostní testy se skládají z několika modulů, které mohou být provedeny společně pro komplexní testování nebo jednotlivě pro ověření zabezpečení jednotlivých komponent infrastruktury a aplikací. Moduly bezpečnostních testů: Audit bezpečnosti segmentů LAN a DMZ Penetrační testování Network-based zranitelností síťových prvků a serverů Penetrační testování Host-based zranitelností serverů Testování přístupového a auditního systému aplikací Testování zranitelností webových aplikací a webových služeb 9
IBM 10 Essential Practices Klasifikace informací a ochrana osobních ůdajů Klasifikace informací, určení vlastníků a hodnoty Zabezpečení dat v databázích (i před DB administrátory) Data Loss Prevention Architektura řešení pro komplexní zabezpečení dat (ne oddělená sila ) Řízení identit uživatelů Identity a Access Management Standardizace nástrojů IAM, řízení na základě požadavků bezpečnostních politik Single-sign-on Správa separace rolí Monitorování přístupů, napojení na SIEM 10
Know What data we have and where it resides.. Děkuji za pozornost... a těším se na dotazy Stanislav Bíža Senior Architect, CISA Monitor Our Process to ensure continuous compliance and improvements. Protect Our restricted and confidential data. 11 Respond Quickly and effectively to Information Security threats.