Security Management. Přednáška pro ISE 21. března Marek Rychlý (a Ivana Burgetová)

Podobné dokumenty
SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

CA Integrated Threat Management. - Michal Opatřil - Consultant - michal.opatril@ca.com

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Úvod - Podniková informační bezpečnost PS1-2

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti

ANECT, SOCA a bezpečnost aplikací

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Zákon o kybernetické bezpečnosti: kdo je připraven?

BEZPEČNOST CLOUDOVÝCH SLUŽEB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Produktové portfolio

Převezměte kontrolu nad bezpečností sítě s ProCurve

Efektivní řízení rizik webových a portálových aplikací

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

ICT bezpečnost a její praktická implementace v moderním prostředí

Bezpečnostní politika společnosti synlab czech s.r.o.

SOA a Cloud Computing

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Kybernetické hrozby - existuje komplexní řešení?

Životní cyklus rizik - identifikace.

Řešení ochrany databázových dat

Detekce anomálií v síťovém provozu, systémy prevence průniku. Jan Vaněk, IT Security & Business Continuity Services

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

PB169 Operační systémy a sítě

Aktivní bezpečnost sítě

Daniela Lišková Solution Specialist Windows Client.

Integrované řízení a zabezpečení sítě cesta k rychlé reakci na kybernetické hrozby

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Management informační bezpečnosti

Komentáře CISO týkající se ochrany dat

Bezpečnost IS. Základní bezpečnostní cíle

Síťová visibilita a integrovaná správa sítě - nezbytná součást SOC strategie. AddNet a BVS. Jindřich Šavel NOVICOM s.r.o

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Microsoft Services Premier Support. Implementace Zákona o kybernetické bezpečnosti

Úvod do IT Services a Enterprise Systems Management

V Brně dne a

Systém detekce a pokročilé analýzy KBU napříč státní správou

Současné problémy bezpečnosti ve firmách

Monitorování datových sítí: Dnes

Možnosti využití cloudových služeb pro provoz IT

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Případová studie: Ochrana citlivých dat v automobilovém průmyslu

Demilitarizovaná zóna (DMZ)

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Technická opatření pro plnění požadavků GDPR

Implementace systému ISMS

Nástroje IT manažera

Bezpečnostní monitoring v praxi. Watson solution market

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

Normy ISO/IEC Aplikační bezpečnost

Tomáš Kantůrek. IT Evangelist, Microsoft

Defense-in-Depth. Strategie hloubkové ochrany - účinný přístup k ochraně koncových bodů dle kybernetického zákona

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

System Center Operations Manager

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

CHECK POINT INFINITY END TO END BEZPEČNOST JAKO ODPOVĚĎ NA GDPR

Příloha č. 1 Servisní smlouvy. Katalog služeb. S2_P1_Katalog služeb

3 Bezpečnostní politika 3/1 Základní pojmy, principy standardy a požadavky

Forenzní analýza jako doplněk SIEMu. Jiří Slabý Policejní akademie ČR, Praha

PŘEDSTAVENÍ - KAREL HÁJEK Nasazení SD ve skupině ČEZ

Jak efektivně ochránit Informix?

Technická komise ISO/JTC1/SC 27 Technická normalizační komise ÚNMZ TNK 20

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Kybernetická bezpečnost Zákonná povinnost nebo existenční nutnost?

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

TOP 10 produktů a služeb

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

SIEM a 6 let provozu Od požadavků ČNB přes Disaster Recovery až k Log Managementu. Peter Jankovský, Karel Šimeček, David Doležal AXENTA, PPF banka

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

NOVÉ BEZPEČNOSTNÍ HROZBY A JAK SE JIM SPRÁVNĚ BRÁNIT

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

2. Nízké systémové nároky

Co vše přináší viditelnost do počítačové sítě?

Jak na jakost v podnikovém IT Evropský týden kvality Praha

IoT v průmyslové praxi

Storage Management Workload Management Backup and Recovery Management

Nástroje IT manažera

Standardy a definice pojmů bezpečnosti informací

IXPERTA BEZPEČNÝ INTERNET

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Obsah. Úvod 9 Zpětná vazba od čtenářů 10 Errata 10

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Firewall, IDS a jak dále?

Transkript:

Security Management Přednáška pro ISE 21. března 2014 Marek Rychlý (a Ivana Burgetová)

Security Management The service managing the protection of your IT infrastructure from external attacks, and preventative measure taken to meet the same. 2

Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 3

Proč se zabývat bezpečností Ztráta dat Neautorizovaný přístup k datům Ztráta dobré pověsti a důvěry Neautorizovaná změna dat Ohrožení servisu či produkce Vyřazená služba Neautorizova ný přístup ke zdrojům Poškození kriminální činností 4

Proč se zabývat bezpečností Computer Crime and Security Survey 5

Jak se bránit Vzděláním zodpovědných a zúčastněných Nastavením rolí a přístupových práv Vhodným programovým vybavením Pravidelnou aktualizací softwaru Dodrţováním základních pravidel Pravidelnou kontrolou Aktivní kontrolou Fyzickým zabezpečením D/R procedura 6

Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 7

Strategie řízení bezpečnosti Kolik prostředků vynaloţit na bezpečnost? Jak velká bezpečnostní opatření jsou nezbytná pro přiměřenou ochranu našeho IT prostředí? Jaká bezpečnostní opatření uţ jsou pro nás neefektivní? Náklady na bezpečnost = pravděpodobnost útoku * potenciální náklady (přímé, nepřímé) Nepřímé náklady - nelze jednoznačně určit, odhad 8

Strategie řízení bezpečnosti Kdo a proč podniká útoky? Amatéři pro potěšení Odborníci ze zvědavosti Nezávislí profesionálové peněţní zisk Organizované skupiny peněţní zisk 9

Ţivotní cyklus bezpečnosti Úplný uzavřený cyklus řízení programu zabezpečení informací v čase Trvalé zvyšování kvality bezpečnostního programu 10

Ţivotní cyklus bezpečnosti 11

Defence in depth Princip, který zajišťuje to, ţe bezpečnost nebude implementována pouze v jedné vrstvě podnikového prostředí (v souladu se stanovenou bezpečnostní politikou) Uncontrolled Controlled Restricted Secured Internet Intranet, Extranet DMZ & Web Services Transaction Servers 12

Defence in depth Configuration / Patching Antivirus Firewall Workstations Device Configuration / ACL Network Architecture Firewall Intrusion Detection Network Configuration / Patching Authentication and Access Antivirus Firewall Intrusion Detection Security Policy / Support Procedures Servers 13

Strategie řízení bezpečnosti O w n e r s v a lu e w is h t o m in im iz e im p o s e S a fe g u a r d s t o r e d u c e t h a t m a y b e r e d u c e d b y t h a t m a y p o s s e s s m a y b e a w a r e o f V u ln e r a b ilitie s le a d in g t o T h r e a t A g e n ts t h a t e x p lo it g iv e r is e t o T h r e a ts t h a t in c r e a s e R is k w is h t o a b u s e a n d /o r d a m a g e A s s e ts 14

Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 15

Interní a zákaznické bezpečnostní standardy Identifikace Autentifikace (autentizace) Autorizace Ochrana a utajení informací Spolehlivost a dostupnost sluţeb Nastavení Auditu Kontrola Reportování a řízení bezpečnostní incidentů Správa fyzického přístupu 16

Autentifikace Uţivatel - systém Systém - systém Autorizace Vzdálený přístup pro zaměstnance Varování Uţivatelské zdroje Ochrana a utajení informací Zbytkové informace Šifrování Interní a zákaznické bezpečnostní standardy 17

Spolehlivost a dostupnost sluţeb Správa systémových zdrojů Škodlivý kód Monitorování slabin Varovný systém bezpečnostních záplat Modifikace SW Dostupnost sluţeb Nastavení auditu Interní a zákaznické bezpečnostní standardy Zaznamenávání úspěšných a neúspěšných pokusů o přihlášení Správa fyzického přístupu Fyzická ochrana systémů a sítí Fyzická ochrana a inventarizace médií 18

Reportování a řízení bezpečnostních incidentů Je třeba kontaktovat zodpovědné osoby a informovat je Kontaktní osoby za vedení a za technickou oblast. Popis problému, rozsah systémů či dat jeţ byly zasaţeny incidentem, jiţ provedené aktivity. Je třeba okamţitě vytvořit záznam obsahující veškeré informace týkající se incidentu. Ke kaţdé informaci je nutné uvést datum a čas. Technická podpora musí začít aktivity ke zmírnění následků Zodpovědné osoby poskytnou informace a instrukce jak postupovat. Je špatné: Provádět vyšetřování na vlastní pěst. Rizikem můţe být předčasné prozrazení vyšetřování nebo ovlivnění záznamů. Kontaktovat osoby či společnosti podezřelé ze zavinění incidentu, bez přímého pokynu zodpovědné osoby. Pokusit se vrátit útok útočníkovi (jeho systému). Pokusit se vyčistit (odstranit data), bez přímého pokynu zodpovědné osoby. Rizikem by mohla být ztráta dat nutných pro odhalení příčiny. 19

Interní a zákaznické bezpečnostní standardy Fyzická bezpečnostní kontrola Prostory Zařízení Tisky Zodpovědnost pouze za vlastní prostory, nikoliv za prostory zákazníka Kryptování Symetrické šifrování, pouţívá stejný klíč pro zakryptování i pro dekryptování. Asymetrické šifrování, pomocí veřejného a soukromého klíče. Pro oba způsoby je třeba zajistit řízení ţivotního cyklu klíče, jako vytvoření, distribuce, ověření, update, uloţení, pouţívání a také expirace. 20

Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 21

Proces je Interní procesy v rámci dlouhodobý událostmi řízený servisní organizace strukturovaná posloupnost aktivit vyţadujíc určité Osoby Informace Technologie za účelem dosáhnout cíle. 22

Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 23

Sluţby z oblasti bezpečnosti Access Assess Plan Design Implement Manage Assess Kroll Enterprise Assessment Health Check Assessments Site Process System Network Internet Application Wireless Ethical Hacking Assessments Planning Workshops Security Privacy Public Key Infrastructure Wireless Info Asset Profile Privacy Strategy and Implementation Architecture & Design Policy Definition Standards Definition Process Development Enterprise Architecture Internet Architecture Secure Solution Design Secure Wireless Solution Design Implementation Product Selection Security Awareness Program OEM Product Implementation Management Security Services Intrusion Detection Vulnerability Scanning Firewall Management Incident Management Vulnerability Assessment Security Management Standards / Controls Physical & Logical Security Compliance Checking Security Advisories Threat Alert Service Virus Services Network Security Security Education 24

Intrusion Detection Services Monitorování útoků proti vaší organizaci (IDS) Prevence útoků proti vaší organizaci (IPS) Doručuje bezpečnostní zprávy pro podporu rozhodnutí ohledně bezpečnostních opatření Host IDS/IPS Finance Customer Network ` End Users Host IDS/ IPS Web Server Mail Server E-Business Server Internet Network IDS/IPS IBM Security Operations Center 24x7 Support Monitoring 24 x 7 x 365 Wireless intrusion detection HR Wireless AP Wireless IDS Network IDS/IPS 25

Integrated Security Monitoring Sluţba zodpovědná za integraci a korelaci informací získaných od všech bezpečnostních zařízení Je nezbytné sbírat a analyzovat bezpečnostní události od všech zdrojů Zdroje událostí: SW, HW a další zařízení 26

Vulnerability Scanning Kompletní skenování serverů a síťových zařízení s cílem najít zranitelná místa Kontroluje všechny sluţby, které v systému běţí Testování operačního systému, webových a emailových aplikací a dalších aplikací Provádí se pravidelně, periodicky Výstupem je obvykle 3-úrovňová zpráva: Vulnerability tests detailní zpráva o OS Application review detailní zpráva o konkrétní aplikaci Perimeter Assessment podrobná zpráva o síťové architektuře 27

Incident Management Řízení bezpečnostních incidentů Co se vlastně stalo? Jak došlo k incidentu? Jak rozsáhlé škody incident způsobil? Strategie pro zotavení a prevenci Zpracování incidentu: Registrace klasifikace a počáteční podpora vyšetřování a diagnostikování rozhodnutí a zotavení uzavření incidentu Spolupráce s dalšími sluţbami: configuration and change management, patch management, 28

Threat Advisory Service Sluţba, která monitoruje globální a regionální bezpečnostní hrozby, a vydává informační zprávy (daily threat report, monthly Security Threats and Attack Trends report) Shromaţďuje informace z mnoha různých zdrojů 29

Anti-Virus Services Řízení infrastruktury, která chrání před většinou malware (monitoring a likvidace) Ochrana před infekcí na všech úrovních (obvody, servery, pracovní stanice) Zahrnuje firewall a anti-spyware Management Servers AntiSpyware Antivirus Desktop Firewall PDA Internet SMTP Relay Web Server Email Server File Server Laptop Firewall Security Appliance FTP Server Firewall Security Appliance Print Server Computer Perimeter Antivirus Infrastructure Antivirus Workstation Antivirus 30

Další sluţby Vulnerability Assessment Network mapping vytvoří elektronický inventář systému a síťových sluţeb Security Vulnerability Assessment identifikuje bezpečnostní mezery Risk management, Decision support, Security Policies Validation Security Policy Verification Kontrola dodrţování bezpečnostní politiky Detekce porušení bezpečnostní politiky Agent běţící na serveru 31

Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 32

Propojení sluţeb Sluţby pro údrţbu a řízení IT infrastruktury: Software distribution Event management Operations management Network Management Inventory Provisioning (Utility Computing, Resource management) 33

Propojení sluţeb Sluţby, se kterými přichází zákazník přímo do styku: Reporting Management SLA Management Knowledge Management Asset Management Problem Management Notification and Escaltion Management Change Management 34

Security Management "Security is a journey not a destination" Bezpečnost rovnováha mezi akceptovatelnou úrovní ochrany, udrţením jednoduchosti pouţití a cenou bezpečnostních opatření 35

Obsah Úvod Proč se zabývat bezpečností Jak se bránit Strategie řízení bezpečnosti Ţivotní cyklus bezpečnosti Defense in Depth Interní a zákaznické bezpečnostní standardy Interní procesy v rámci servisní organizace Sluţby z oblasti bezpečnosti Propojení sluţeb Information Security Management (ITIL) 36

Information Security Management The purpose of information security management is to align IT and business security and ensure that information security is managed effectively in all services and service management operations. Proces zajišťující důvěrnost, integritu a dostupnost aktiv, informací, dat a sluţeb v IT organizaci. Tvoří část přístupu organizace ke Správě bezpečnosti. ISO/IEC 17799 Informační technologie Soubor postupů pro management bezpečnosti informací 37

Information Security Management Primárním cílem je garantovat bezpečnost informací Informace musí být dostupné a pouţitelné (availability) Informace musí být dostupné pouze oprávněným osobám (confidentiality) Informace musí být kompletní, přesné a chráněné proti neautorizovaným změnám (integrity) Výměna dat a transakce mezi organizací a jejími partnery musí být spolehlivá (authenticity) 38

Information Security Management Zahrnuje: provoz, údrţbu a distribuci bezpečnostní politiky porozumění bezpečnostním poţadavkům společnosti implementaci kontrol, které podporují bezpečnostní politiku, a jejich dokumentování řízení smluv (a jejich doplňků) o přístupu do systému a k jednotlivým sluţbám proaktivní zdokonalování kontrolních systémů 39

Security Management Process Uzavřený cyklus aktivit: Plan Tvorba bezpečnostních politik Implement Systémy bezpečnostních prověrek Stanovení procedur pro řešení incidentů Evaluate Audit, řízení incidentů Maintain Aktualizace plánů podle zhodnocení bezpečnostní situace Control 40

27. 3. 2012 41

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář