Česká Telekomunikační Infrastruktura a.s Incident management, Radek Živný 5.10.2016
Co je Cetin? Proč vznikl? CETIN je Česká telekomunikační infrastruktura, a.s. která vznikla oddělením ze společnosti O2 Czech Republic, a.s. 1. června 2015. Společnost otevřená všem operátorům s transparentní komunikací nabídek. S vysokou spolehlivostí, bezpečností sítě, a s širokým pokrytím. S cílem vytvořit dvě zcela nezávislé společnosti poskytující velkoobchodní, resp. maloobchodní telekomunikační služby. Historicky první dobrovolná funkční separace telekomunikačního operátora. Historicky nejkratší doba procesu oddělení Odstranění vertikální regulace Zjednodušení regulace Nový business model Motto vysoké investice do modernizace a dostupnosti sítě
Co Cetin prodáva a komu? Produkty CETIN Operátoři Koncoví zákazníci Fixní sítě Data Internet Kapacita Mobilní sítě Mobilní data Broadband IP TV Mezinárodní služby Fixní hlas
Certifikace dle IMS následně po vzniku Cetinu
Certifikace dle IMS následně po vzniku Cetinu
Základní pilíře Bezpečnosti CETIN Kvalitní tým odborníků pro oblasti: Informační bezpečnosti Fyzické Bezpečnosti BOZP Požární Ochrany Kvalitní a jednoduchá předpisová základna. Dostatek nástrojů pro samotný výkon, realizace bezpečnostních opatření
Řízení Management Rizik Analýzy rizik Audity Předpisová základna Proškolování zaměstnanců Optimalizace Incident management
Fyzické nástroje Decentralizované řešení. Log-managemnt IDS, FW Aplikační FW Antivir DLP IDM RIAN
Evidence Nástroje modul Telco systémy modul Vyjímky modul Uživatelský portál modul Modelování procesů modul Network systémy modul Auditoři IMS modul Dashboard modul ŘD Workflow modul IT Systémy modul Datové toky modul Reporting modul E-Learning modul Ostatní technika modul Incidenty modul Incident Management modul IMS management modul Lidé modul Rizika a AR modul Operátorská Console modul Analýza rizik (RAM) modul Projekty modul Řídící dokumentace modul Management Console modul Management Rizik modul Typy prostorů modul Procesy modul Řízení projektů modul DRP modul Budovy modul Nápravná opatření modul Krizový management modul Datové toky modul Smlouvy modul Externisté modul BOZP evidence modul Building Datové Zdroje CMDB IDM ERP CETIN Security Framework Logy (Zdroje) CA Syslog servery IT Syslog servery Network Network Registr Syslog servery Telco Budovy F5 ASM Fyzická bezpečnost Network IDS Ticketing Altex
Incident Management na zelené louce Nezbytná podpora managementu Znalost prostředí Kategorizace Informací Kategorizace IS Strategie obchodu Strategie IT Ostatní potřeby Podpůrný tým napříč společností
Základní pravidlo Při reakci na incident je na prvním místě: Ochrana lidského života. A na druhém místě obnovení zpracování informací služby, které byly ztracené nebo poškozené. Posledním aspektem je zmírnění nedostatků, které jsme detekovaly během incidentu. Incident Management, produkuje následující výhohody: Obchodní dopad každého incidentu je minimalizováno Bezpečnost zaměstnanců a dat se zvyšuje Odpovědnosti právnických osob vzhledem k nedostatku náležité péče je zmírněno Regulační požadavky jsou splněny Veřejný obraz organizace je chráněn rychlou a profesionální odpovědí Správa incidentů se skládá ze sady institucionalizovaných politik a procesů!
Kroky procesu řízení bezpečnosti dat Dříve, než dojde k nehodě, je důležité udělat vše, co rozumně, abychom se připravit pro rychlou a účinnou reakci. Kroky vedoucí k řádnou přípravu vaší organizace patří: Rozvoj politiky řízení incidentů a ztráty dat Utváření a výcvik týmů Incident Response (ISIRT) Rozvoj komunikačních plán
Vypracovat politiku Prvním krokem v každém zabezpečení dat činnosti je tvorba politiky, která jasně stanoví své cíle. Vy by měly zahrnovat: Prohlášení o závazku řízení s účinnou možností správy incidentů Účel Cíle, které mají být splněny Prohlášení, které stanoví, jak vaše organizace definuje ztrátu dat způsobené incidentem Systém pro správu incidentů, organizační struktura, a odezva. Zaměstnanci odpovědní za reakce na incidenty musí jasně pochopit své role a role ostatních týmů, s nimiž budou muset spolupracovat v rámci řešení, vnímat rozhraní. Nejasná definice organizační struktury ISIRT může způsobit zmatek, což má za následek zpoždění a tím i zpomalení celého procesu šetření.
Budování týmu je nezbytné zvážit Jasně definovat úlohy každého řešitelského týmu. Jasně definované odpovědnosti přidělené každému řešitelskému týmu. Hladiny ISIRTU - vedení, vedoucí týmů až k nejnižší úrovni (Recovery Manager), by mělo být snadno sledovatelné. Dostatečné pravomoce ISIRT by měl mít dostatečnou pravomoc rozhodovat v případě nutnosti vypnout nebo zabavit systémy na ochranu informačních aktiv. Prioritizace incidentů - různé druhy incidentů, každý typ může vyžadovat jedinečnou reakci se specifickými požadavky na podávání zpráv. Vysvětlení požadavků na podávání zpráv. Což je odpovědností každého týmu pro reporting, tzn. jaké by měly být zahrnuty informace ve zprávách, a komu jsou zprávy předloženy
Příklad scénáře
Struktura ISIRT týmu
Struktura ISIRT týmu technické obsazení Správná personální a odborná příprava těchto týmů je rozhodující pro úspěch při řešení bezpečnostních incidentů. Manažer týmu. Tato osoba má celkovou odpovědnost za zajištění splnění obchodních cílů v průběhu činnosti, odezvy dat incidentu. Navíc, ona je zodpovědná za stav komunikaci s vrcholovým vedením. Technické vedení. Samotná realizace nápravných opatření, skládá se z : Jednoho nebo více síťových specialistů Jednoho nebo více programátorů Jednoho nebo více zástupců provozu Vztahy s veřejností. Tato osoba je zodpovědná za komunikaci s akcionáři, tisku a jiných externích subjektů. Bezpečnost. Tým bezpečnost je obvykle první pomoci jakéhokoli incidentu. Členové tohoto týmu jsou také zodpovědné za poskytnutí dohledu během jednotlivých úseků řešení. Obchod Dopad na zákazníky Finance Okamžité schválení a uvolnění finančních prostředků na eliminace, Podpůrný tým může: Zřídit alternativní metody zpracování informací, v případě, že jsou narušeny základní systémy nebo síťové cesty, příprava podkladů pro PČR, nebo žaloby, apod. Pomáhat s úkoly při obnovení systému Fyzická bezpečnost a vyšetřování - Zajištění zařízení, reakce na lidské zásahy a výstrahy,atd. Správa zařízení - odpovědnost za řešení problémů napájení, lokalizaci a koordinaci přechodu na alternativní zařízení a strukturální posouzení.
Příklad notifikačního schématu
Tři hlavní odpovědnosti ISIRT Prevence bezpečnostních incidentů je v podstatě cvičení v řízení rizik přiměřeným a vhodným způsobem, včetně: Identifikace hrozby / zranitelnosti prostředí prostřednictvím: posouzení zranitelnosti penetrační testování Zprávy zranitelnosti od prodejců, stejně jako soukromé a vládní zdroje Vyhodnocení pravděpodobnosti, že hrozba využije jednu nebo více zranitelností Posouzení potenciálních obchodních dopadů, vyskytnou-li se konkrétní události Rozvoj akčních plánů na základě zdravých zásad řízení rizik, tzn. aktivně snížovat rizika Analyzovat data incidentů Určit rozsah a povahu incidentu Komunikovat s ostatními týmy pro obnovu dat, včetně informací, které mají být sdělovány Vydávat doporučení, jak vhodně skládat jednotlivé činností a jejich výskyt
Hlavní odpovědnosti ISIRT Rozvíjet komunikační plán Jedním z nejdůležitějších aspektů ztráty dat incident management a reakce je komunikace. Přiměřená komunikace za účelem obnovy dat, řízení dopadů, obchodní rizika a úvah pro styk s veřejností vyžaduje oslovení různých interních a externích subjektů. Media Legal - právní podpora a vymáhání CERT, CSIRT ISP Majitelé IP, ze kterých byl útok realizován Poškození..
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
To je naše cesta! Méně agentů a více logiky z pohledu co a jak monitorovat, Více pochopení pro prostředí (není to o složitých analýzách) Integrace stávajících zdrojů Informační bezpečnost Fyzická bezpečnost Personální bezpečnost Musí být skutečně vše separátně odděleno? Bezpečnost a reálné prostředí
Confidential Divider Page
Děkuji za pozornost