Seminář CyberSecurity II
AGENDA 1. Implementace ZKB 2. Organizační opatření 3. Technická opatření 2
Implementace ZKB Michal Zedníček Security Consultant ALEF NULA
CÍLE ZKB 1. Formální cíl: soulad se ZKB 2. Věcný cíl: Systematické Plánování/Dosažení/Controlování/A zlepšování bezpečnosti ICT 4
IMPLEMENTACE ZKB Postup implementace ZKB - 1.poločas GAP Analýza Cíl: hodnocení stávajícího prostředí Časový milník: hned Výsledek: Zpráva o stavu prostředí k ZKB 5
IMPLEMENTACE ZKB Postup implementace ZKB - 2.poločas Realizace organizačních a technických opatření, dokumentace Cíl: Plný soulad se ZKB Časový milník: konec překlenovací lhůty Výsledek Etapa 1: Plán zvládání rizik Výsledek Etapa 2: soulad se ZKB a zabezpečené ICT 6
IMPLEMENTACE ZKB Realizace organizačních a technických opatření, dokumentace, certifikace Organizační opatření Stanovení cílů, naplánování a popsání cesty, nastavení procesů Technická opatření Implementace technických nástrojů s ohledem na Plán zvládání rizik Dokumentace Definice procesů a jejich zaznamenání písemnou formou Certifikace Zjednodušení kontroly státem 7
ORGANIZAČNÍ OPATŘENÍ Organizační opatření Plánování Povzbuzují k plánování činností Plán zvládání rizik Klíčový dokument popisující postup implementace ZKB Procesy Vedou k zavedení chování podle ZKB procesů 8
TECHNICKÁ OPATŘENÍ Technická opatření Implementace technických opatření Zvolení priority implementačních projektů podle Plánu zvládání rizik Integrita s Organizačními opatřeními 9
DOKUMENTACE Dokumentace Obsah a rozsah Vzor i povinnosti v ZKB Cíle dokumentace Doklad naplnění ZKB Nástroj k efektivnímu rozvoji Nástroj pro efektivní řešení problémů 10
CERTIFIKACE Certifikace Systém řízení informační bezpečnosti je možné ověřit Implementace ZKB je přípravou na certifikační audit ISO/IEC 27001 Výhody certifikace Usnadnění auditu státní správou Nezávislý pohled na řízení informační bezpečnosti 11
SHRNUTÍ 1. GAP analýza 2. Organizační opatření k Plánu zvládání rizik 3. Organizační opatření dle Plánu zvládání rizik 4. Implementace technických opatření + průběžné vytváření/doplňování dokumentace + certifikace (volitelně) 12
Pohled na Organizační opatření Michal Zedníček Security Consultant ALEF NULA
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI Organizační opatření 3 Systém řízení bezpečnosti informací 4 Řízení rizik 5 Bezpečnostní politika 6 Organizační bezpečnost 7 Stanovení bezpečnostních požadavků pro dodavatele 8 Řízení aktiv 9 Bezpečnost lidských zdrojů 10 Řízení provozu a komunikací 11 Řízení přístupu a bezpečné chování uživatelů 12 Akvizice, vývoj a údržba 13 Zvládání kybernetických bezpečnostních událostí a incidentů 14 Řízení kontinuity činností 15 Kontrola a audit 14
ORGANIZAČNÍ OPATŘENÍ 3 Systém řízení bezpečnosti informací Stanovení hranic systému Kde systém začíná a končí Stanovení etalonu Vzorem je ZKB Zavedení PDCA Rozdíly KII a VIS ve zpětné vazbě 15
ORGANIZAČNÍ OPATŘENÍ 4 Řízení rizik Metodika identifikace a hodnocení aktiv a rizik Přílohy 1 a 2 VKB Scénáře hrozeb a zranitelností Předepsané oblasti k řešení Významný milník Dokument Plán zvládání rizik 16
ORGANIZAČNÍ OPATŘENÍ 5 Bezpečnostní politika Povinné oblasti pro bezpečnostní politiku 14 pro VIS, 21 pro KII Souvislost Povinnost znalosti pro všechny role, zahrnutí do Plánu rozvoje bezpečnostního povědomí 17
ORGANIZAČNÍ OPATŘENÍ 6 Organizační bezpečnost Kompetence řízení informační bezpečnosti v rukách Výboru pro řízení kybernetické bezpečnosti Stanovení rolí a jejich kompetencí Přepsané role pro KII Manažer, Architekt, Auditor Kybernetické bezpečnosti Garanti aktiv 18
ORGANIZAČNÍ OPATŘENÍ 7 Stanovení bezpečnostních požadavků pro dodavatele Dohoda o pravidlech Forma ustanovení ve smlouvě, smlouva o úrovni služeb Analýza rizik KII řídí rizika spojená s dodavateli 19
ORGANIZAČNÍ OPATŘENÍ 8 Řízení aktiv Práce s aktivy Identifikace, hodnocení, klasifikace aktiv Metodika Příloha č. 1 VKB Kompetence za aktiva Garanti aktiv 20
ORGANIZAČNÍ OPATŘENÍ 9 Bezpečnost lidských zdrojů Školení osob Vstupní a pravidelná školení všech osob, včetně evidence Dokument Plán rozvoje bezpečnostního povědomí Další povinnosti Vedení přístupových oprávnění Kontrola dodržování bezpečnostní politiky Zajištění vrácení svěřených aktiv a odebrání přístupových práv při ukončení smluvního vztahu 21
ORGANIZAČNÍ OPATŘENÍ 10 Řízení provozu a komunikací Detekce KBU Za pomoci 21 a 23 Bezpečný provoz Zajištění bezpečného provozu, stanovení provozních pravidel a postupů 22
ORGANIZAČNÍ OPATŘENÍ 11 Řízení přístupu a bezpečné chování uživatelů Povinnost řízení přístupu Včetně ochrany autorizačních údajů 23
ORGANIZAČNÍ OPATŘENÍ 12 Akvizice, vývoj, údržba Řešení změn IS nebo KS Bezpečnostní požadavky zahrnuty do projektu akvizice, vývoje a údržby 24
ORGANIZAČNÍ OPATŘENÍ 13 Zvládání KBU a KBI KBU Detekce včetně vyhodnocení KBI Klasifikace a hlášení Hodnocení příčiny, účinnost řešení a nastavení opatření 25
ORGANIZAČNÍ OPATŘENÍ 14 Řízení kontinuity činností Stanovuje cíle řízení kontinuity formou Minimální přijatelná úroveň poskytovaných služeb Doba obnovení chodu na minimální přijatelnou úroveň Doba obnovení dat Stanovuje strategii řízení kontinuity činností Musí obsahovat naplnění cílů řízení kontinuity 26
ORGANIZAČNÍ OPATŘENÍ 15 Kontrola a audit kybernetické bezpečnosti Integrace s dalšími zákony Posuzuje se soulad s jinými právními a regulatorními předpisy Kontrola systému řízení informační bezpečnosti Plán, postup a evidence pravidelných kontrol 27
Thank you!
Pohled na technická opatření Petr Vácha Security Manager ALEF NULA
PŘEHLED TECHNICKÝCH OPATŘENÍ (VYHLÁŠKA) 16 Fyzická bezpečnost 17 Nástroj pro ochranu integrity komunikačních sítí 18 Nástroj pro ověřování identity uživatelů 19 Nástroj pro řízení přístupových oprávnění 20 Nástroj pro ochranu před škodlivým kódem 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a správců 22 Nástroj pro detekci kybernetických bezpečnostních událostí 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí 24 Aplikační bezpečnost 25 Kryptografické prostředky 26 Nástroje pro zajištění vysoké úrovně dostupnosti 27 Bezpečnost průmyslových a řídicích systémů
KDE, JAK A PROČ APLIKOVAT? Pochopení PODSTATY činnosti organizace => vyspecifikování důležitých částí v rámci ICT, lidských zdrojů, Smysluplné aplikování požadavků ZKB => aplikuje se dle plánu na zvládání rizik Nedělejme si to složitější než je to nutné Zákon vychází z best practice pro dané oblasti Nutnost prozkoumat všechny paragrafy
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 16 Fyzická bezpečnost VIS i KII zamezení neoprávněnému vstupu, zamezení poškození a zásahům, kompromitace aktiv KII ochrana objektů, ochrana vymezených prostor s technickými aktivy, ochrana jednotlivých technických aktiv Prostředky fyzické bezpečnosti mechanické zábranné, EZS, systémy pro kontrolu vstupu, kamerové systémy, ochrana před výpadkem el. en., systémy pro zajištění optimálních provoz. podmínek
16 - FYZICKÁ BEZPEČNOST Řešení fyzické bezpečnosti - kamerové systémy - EZS - čipové ověřování - biometrické ověřování - klimatizace - UPS - Diesel agregáty pro napájení -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 17 Nástroj pro ochranu integrity komunikačních sítí VIS i KII ochrana integrity rozhraní vnější a vnitřní sítě řízení bezpečného přístupu mezi vnější a vnitřní sítí segmentace pomocí DMZ => dojde ke zvýšení bezpenosti aplikací v DMZ a k zamezení přímé komunikace mezi vnější a vnitřní sítí šifrování vzdáleného přístupu a u přístupu pomocí bezdrátových technologií odstranění nebo blokování informací, které neodpovídají požadavkům na ochranu integrity KS KII - ochrana integrity vnitřní sítě její segmentací (DMZ...)
17 - NÁSTROJ PRO OCHRANU INTEGRITY Řešení ochrany integrity komunikačních sítí - Firewally, Next Generation Firewally, - 802.1x - Intrusion Prevention System - LAN přepínače - Směrovače - Segmentace sítě - VPN brány - WiFi prvky - Vhodně aplikovaný design sítě dle best practice -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 18 Nástroj pro ověřování identity uživatelů VIS+KII nástroje pro ověření identity musí zajistit Ověření identity všech uživatelů a administrátorů Minimální délka hesla je 8 znaků Minimální složitost hesla vyžaduje alespoň 3 ze 4 parametrů: jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak Maximální doba platnosti hesla je 100 dní
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 18 Nástroj pro ověřování identity uživatelů KII zvýšené nároky na politiku hesel Zajištění kontroly dříve použitých hesel Zamezení více násobné změn hesla jednoho uživatele během definovaného období (nejméně 24 hodin) Vynucení minimální délky hesla u administrátorských účtů 15 znaků
18 - NÁSTROJ PRO OVĚŘOVÁNÍ IDENTITY Řešení nástrojů pro ověřování identity uživatelů - Požadavky na komplexitu hesel a pravidelnou obměnu, - Obvykle nastaveno v nějaké adresářové službe Active Directory, LDAP - Nezapomínat na aplikační služby vytvořené na zakázku - Ověrovat lze na různých místech sítě. Obecně platí, čím dříve, tím lépe - BYOD, 802.1x -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 19 Nástroj pro řízení přístupových oprávnění VIS i KII musí se použít nástroje pro řízení přístupových oprávnění, které musí zajistit Řízení oprávnění uživatelů pro přístup k aplikacím a datovým souborům Řízení oprávnění pro čtení, zápis dat a pro změna oprávnění KII povinnost zaznamenávat použití přístupových oprávnění
19 - NÁSTROJ PRO ŘÍZENÍ PŘÍSTUPOVÝCH OPRÁVNĚNÍ Řešení nástrojů pro řízení přístupových oprávnění - Definice práv na úrovni aplikací a operačních systémů - Nezapomínat na klíčové aplikace tvořené na zakázku - I firewall řídí přístupová oprávnění (minimálně na základě IP adres) - 802.1x a BYOD je skvělý způsob řízení přístupu -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 20 Nástroj pro ochranu před škodlivým kódem VIS i KII povinnost použití nástrojů pro antivirovou ochranu Ověření a kontrola komunikace mezi vnější a vnitřní sítí Ověření a kontrola serverů a sdílených datových uložišť Ověření a kontrola pracovních stanic Požadavek na pravidelnou aktualizaci definic a signatur
20 - NÁSTROJ PRO OCHRANU PŘED ŠKODLIVÝM KÓDEM Řešení ochrany před škodlivým kódem - Anvirus a antimalware řešení pro koncové stanice, servery, datová uložiště - Ideální je řešit tyto hrozby u vstupu do sítě (Web, Email, FTP brány, NGFW ) - Klasické antivirové kontroly již nedostačují a je nutné používat pokročilejší techniky na odhalování malwaru -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů VIS i KII má povinnost použít nástroje pro zaznamenávání činností, které zajistí Sběr informací o provozních a bezpečnostních událostech Zaznamenání zejména událostí typ činnosti přesný čas události (synchronizace času min. každých 24 hodin) identifikace technického aktiva, který činnost zaznamenal identifikace původce a místa činnosti úspěšnost či neúspěšnost činnosti Ochranu informací před neoprávněným čtením a změnou
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů VIS i KII zaznamenává - přihlášení a odhlášení uživatelů a administrátorů - činnosti provedené administrátory - činnosti vedoucí ke změně oprávnění - neúspěšné činnosti - spuštění a ukončení práce systému - varovná nebo chybová hlášení - přístupy logům, pokus o manipulaci - použití mechanismů identifikace a autentizace, včetně změn údajů k přihlášení
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů pro KII Povinnost uchovávat logy min. 3 měsíce
21 - NÁSTROJ PRO ZAZNAMENÁVÁNÍ ČINNOSTÍ KII A VIS Řešení pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů - Logování z klíčových aplikací - Aplikace na míru mají často nedostatky vůči požadavkům na logování - Logování na úrovni OS (auditování) - Logování přístupu a práce se síťovými prvky (TACACS, radius, syslog ) - Nejlépe zvolit aplikaci sběrač logů pro centrální sběr událostí -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 22 Nástroj pro detekci kybernetických bezpečnostních událostí (KBU) VIS i KII povinnost použití nástroje pro detekci KBU zajištění ověření, kontroly a případné blokování komunikace mezi vnitřní a vnější sítí KII ověření, kontrola a případné blokování komunikace v rámci vnitřní komunikační sítě ověření, kontrola a případné blokování komunikace v rámci určených serverů
22 - NÁSTROJ PRO DETEKCI KBU Řešení pro detekci kybernetických bezpečnostních událostí (KBU) - Vyhodnocování útoků pomocí Intrusion Prevention Systemů - Řešení problematiky DoS a DDoS (Pozor! IPS, firewally nejsou nástroje pro efektivní řešení těchto hrozeb) - Next Generation Firewally mají rozšířenou aplikační kontrolu - Nástroje pro behaviorální analýzu provozu
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII povinné použití nástroje pro sběr a vyhodnocení KBU poskytnutí informací o KBU bezpečnostním rolím nepřetržité vyhodnocování KBU stanovení bezpečnostní politiky pro použití a údržbu nástroje pravidelná aktualizace nastavených pravidel pro zpřesnění chodu nástroje pro vyhodnocování KBU zajištění využívání získaných informací o KBU k optimalizaci bezpečnostních vlastností ICT
23 - NÁSTROJ PRO SBĚR A VYHODNOCENÍ KBU UDÁLOSTÍ Řešení pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII - Sběr a vyhodnocení událostí z pohledu bezpečnosti - Řeší se nasazením SIEMu - Co sledovat? Správná analýza rizik a bezpečnostní politika vyznamně napoví.
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 24 Aplikační bezpečnost VIS i KII provádí se bezpečnostní testy aplikací, které jsou přístupné z vnější sítě před uvedením do provozu a po každé zásadní změně bezpečnostních mechanizmů KII zajišťuje ochranu aplikací a informací dostupných z vnějších sítí neoprávněnou činností popřením provedených činností kompromitací nebo neautorizovanou změnou transakcí před nedokončením, nesprávným směrováním, neautorizovanou změnou, kompromitací, neautorizovaným duplikováním, opakováním
24 - APLIKAČNÍ BEZPEČNOST Řešení nástrojů pro aplikační bezpečnost - U kritických aplikací je pro KII nutný specializovaný aplikační firewall - Je nutné aplikace pravidelně prověřovat pomocí auditovacích a penetračních nástrojů -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 25 Kryptografické prostředky VIS i KII stanovuje bezpečnostní politiku pro používání kryptografické ochrany Typ a síla kryptografického algoritmu Ochrana citlivých dat při přenosu po KS, při uložení na mobilní zařízení nebo na vyměnitelná média Povinnost kryptografickými prostředky zajistit Ochranu důvěryhodnosti a integrity předávaných nebo ukládaných dat Prokázání odpovědnosti za provedené činnosti
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 25 Kryptografické prostředky dle přílohy č. 3 KII stanovení požadavků na správu a minimálních požadavků na sílu šifrovacích klíčů Symetrické algoritmy blokové a proudové šifry AES (128,192,256), RC4 (min. 128), SNOW 2.0 (128,256) Omezené použití pro 3DES (168)... => migrace na AES Symetrické algoritmy šifrovací módy pro integritu dat HMAC, CBC-MAC-EMAC,CMAC Omezené použití pro CBC-MAC-X9.19 Asymetrické algoritmy pro technologii digitálního podpisu DSA (min. 2048,224), EC-DSA (min. 224), EC-DSA (min. 224), RSA PSS (min. 2048) Asymetrické algoritmy pro procesy dohod na klíči a šifrování klíčů Diffie-Hellman (min.2048,224), ECDH (min.224), ECIES-KEM (min.256), PSEC-KEM (min.256), (ACE-KEM (min.256), RSA-OAEP (min.2048), RSA-KEM (min.2048) Algoritmy hash funkcí SHA2 (SHA-224, SHA-256, SHA-384, SHA-512/224, SHA-512/256) RIPEMD-160 Whirpool SHA1 nepoužívat v podepisovaných algoritmech
25 - KRYPTOGRAFICKÉ PROSTŘEDKY Řešení nástrojů pro kryptografickou bezpečnost - Nutné prověřit aktivní prvky, aplikace i operační systémy z hlediska podporovaných šifrovacích standardů - Je nutné řešit i mobilní zařízení a přenosná datové uložiště -
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 26 Nástroje pro zajištění vysoké úrovně dostupnosti pro KII použití nástrojů pro vysokou úroveň dostupnosti a odolnosti, které zajistí Potřebnou úroveň kontinuity činností Odolnost vůči útokům (KBU) na snížení dostupnosti Zálohováním důležitých technických aktiv Využitím redundance v návrhu Zajištěním výměny vadných technických aktiv v definovaném čase
26 - ZAJIŠTĚNÍ VYSOKÉ ÚROVNĚ DOSTUPNOSTI Zajištění vysoké úrovně dostupnosti pro KII - Použitém redudantního designu pokud to je nutné a finančně opodstatněné - Je možné si nasmlouvat službu na výměnu pod SLA - Je nutné pravidelně prověřovat dodavatele
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI 27 Bezpečnost průmyslových a řídicích systémů pro KII Omezení fyzického přístupu k průmyslovým a řídícím systémům Omezení propojení a vzdáleného přístupu k průmyslovým a řídícím systémům Ochrana jednotlivých technických aktiv před známými zranitelnostmi Obnovení chodu po kybernetickém bezpečnostním incidentu
27 - BEZPEČNOST PRŮMYSLOVÝCH A ŘÍDICÍCH SYSTÉMŮ Zajištění bezpečnost průmyslových a řídicích systémů pro KII - Obvykle se jedná o sítě typu SCADA - Sítě typu SCADA = nízké riziko, ale hrozba vysoká - SCADA má velmi nízkou úroveň zabezpečení - Rizika jsou hodně spjaty i s fyzickou bezpečností - Obvykle komplikované řízení přístupu pro externí dodavatele - Nutnost oddělení od běžného uživatelského provozu - Je vhodný spíše konzervativní neinvazivní model zabezpečení
Thank you!