Luděk Novák. Bezpečnost standardně a trochu praxe

Podobné dokumenty
MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Bezpečnostní aspekty informačních a komunikačních systémů KS2

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

ČESKÁ TECHNICKÁ NORMA

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Úvod - Podniková informační bezpečnost PS1-2

Normy a standardy ISMS, legislativa v ČR

Bezpečnostní politika společnosti synlab czech s.r.o.

V Brně dne 10. a

Pelantová Věra Technická univerzita v Liberci. Předmět RJS. TU v Liberci

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

ISMS. Bezpečnostní projekt. V Brně dne 10. října 2013

Management informační bezpečnosti. V Brně dne 26. září 2013

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

ČSN ISO/IEC 27001:2014 a zákon o kybernetické bezpečnosti

Přehled legislativy. Přehled legislativy týkající se farmakovigilančního (FV) auditu a inspekce. 30. listopadu

Systém řízení bezpečnosti informací v praxi

1. KURZ č. 1 - QMS - Školení a výklad normy ČSN EN ISO 9001: KURZ č. 2 - QMS - Školení interních auditorů QMS a metrologa

Systém managementu bezpečnosti informací (ISMS) podle ISO/IEC 27001:2005

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

MANAŽER KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.4/2007

MFF UK Praha, 29. duben 2008

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

CYBER SECURITY 2014 Zákon o kybernetické bezpečnosti jeho dopady do praxe

Dokumentace pro plánování a realizaci managementu jakosti dle požadavků

Bezpečnostní politika společnosti synlab czech s.r.o.

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

srpen 2008 Ing. Jan Káda

Bezpečnostní normy a standardy KS - 6

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

Řízení rizik ICT účelně a prakticky?

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Zákon o kybernetické bezpečnosti

METODICKÝ POKYN. Pro žadatele o dotaci na zavedení systému hospodaření s energií v podobě energetického managementu z programu EFEKT

AUDITOR KVALITY PŘEHLED POŽADOVANÝCH ZNALOSTÍ K HODNOCENÍ ZPŮSOBILOSTI CO 4.5/2007

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

BEZPEČNOSTI INFORMACÍ

Kybernetická bezpečnost

V Brně dne a

Představení normy ČSN ISO/IEC Management služeb

Co je a co není implementace ISMS dle ISO a jak měřit její efektivnost. Ing. Václav Štverka, CISA Versa Systems s.r.o.

SMĚRNICE DĚKANA Č. 4/2013

Řízení rizik. RNDr. Igor Čermák, CSc.

Obsah. Příloha č. 2: Standardy a doporučení Verze:

ICT bezpečnost a její praktická implementace v moderním prostředí

Státní pokladna. Centrum sdílených služeb

Systém řízení informační bezpečnosti (ISMS)

Nástroje IT manažera

Zákon o kybernetické bezpečnosti: kdo je připraven?

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Certifikace systému managementu bezpečnosti informací dle ISO/IEC 27001

Popis certifikačního postupu SM - ISO 9001, SM - ISO 14001, SM - ISO/TS 29001, SM - OHSAS a SM - ISO 50001

Požadavky a principy ISMS

Systém řízení informační bezpečnosti Information security management systém

BEZPEČNOST CLOUDOVÝCH SLUŽEB

ČESKÁ TECHNICKÁ NORMA

BEZPEČNOSTNÍ ROLE. a jejich začlenění v organizaci

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Nástroje IT manažera

Normy ISO/IEC Aplikační bezpečnost

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Bezpečnostní politika a dokumentace

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

ISO 9001:2009 a ISO 27001:2005 dobrá praxe. Ing. Martin Havel, MBA

Zkušenosti se zaváděním ISMS z pohledu auditora

Audit ICT. KATALOG služeb. Ing. Jiří Štěrba

Návrh zákona KB Národní centrum KB. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad

Katalog služeb a podmínky poskytování provozu

Kybernetická bezpečnost - nový trend ve vzdělávání. pplk. Ing. Petr HRŮZA, Ph.D. Univerzita obrany Brno, Česká republika

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Specifikace předmětu zakázky

Normy ISO/IEC 27xxx Přehled norem

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Kybernetická bezpečnost MV

Příklad I.vrstvy integrované dokumentace

VPN - Virtual private networks

Řízení informační bezpečnosti a veřejná správa

Úvod. Projektový záměr

Kybernetická bezpečnost resortu MV

BEZPEČNOST ICT. Marek Chlup

ČESKÁ TECHNICKÁ NORMA

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Dopady GDPR a jejich vazby

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

1. Aplikační architektura

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Transkript:

Luděk Novák Bezpečnost standardně a trochu praxe 15. října 2007

Obsah Řízení bezpečnosti informací Koncepce řady ISO/IEC 27000 Systém řízení bezpečnosti informací Soubor postupů pro řízení bezpečnosti informací Technické normy a doporučení Bezpečnost sítí IT Výběr, nasazení a provoz IDS Zvládání bezpečnostních incidentů Případová studie: audit bezpečnosti technologií Závěr

Řada norem ISO/IEC 27000 Vznik řady odsouhlasen na jaře 2005 Odlišné číslování přebíraných standardů BS 7799 (ISO/IEC 17799, resp. ISO/IEC 24743) Systematická harmonizace dvou existujících konceptů ISO/IEC 13335 akademický pohled BS 7799 pragmatický pohled Kritéria pro zařazení do série Přímá podpora a podrobnější výklad pravidel pro implementaci procesů definovaných v ISO/IEC 27001 Obsahuje přidanou hodnotu vůči ISO/IEC 27001 Upřesňuje specifika ISMS pro určitá odvětví Jasně určené vazby na ISO/IEC 27001 Nestačí návody či upřesnění spojená s realizací opatření definovaných v ISO/IEC 17799 (ISO/IEC 27002)

Přehled řady norem ISO/IEC 27000 Základy a slovník ISMS ISO/IEC 27000:2008? (ISO/IEC 13335-1) Pravidla certifikace ISMS ISO/IEC 27006:2007 (EA 7/03) Metody řízení rizik BS 7799-3:2006 ISO/IEC 27005:2007? (ISO/IEC TR 13335-3:1998) Požadavky na ISMS ISO/IEC 27001:2005 (BS 7799-2:2002) Příloha A Měření účinnosti ISMS ISO/IEC 27004:2008? Směrnice pro implementaci ISMS ISO/IEC 27003:2008? Soubor postupů ISMS ISO/IEC 27002:2005 (ISO/IEC 17799) Směrnice auditora ISMS ISO/IEC 27007:2009? Specifické normy, směrnice a standardy

ČSN ISO/IEC 27001:2006 (dříve ČSN BS 7799-2) Systém managementu bezpečnosti informací Požadavky Základem normy jsou pravidla BS 7799-2:2002 ISO/IEC 27001 vydána v říjnu 2005 Jako ČSN ISO/IEC 27001:2006 publikována v říjnu 2006 Definice požadavků na systém řízení bezpečnosti informací (Information Security Management System ISMS) Pravidla a postupy pro systematický a odůvodněný výběr, prosazování, kontrolu a zlepšování bezpečnostních opatření (katalog dle ČSN ISO/IEC 27002:2006) Proces řízení bezpečnosti informací vycházející z modelu PDCA Plánuj Plan, Dělej Do, Kontroluj Check, Jednej Act

ČSN ISO/IEC 27002:2006 (ISO/IEC 17799) Soubor postupů pro management bezpečnosti informací Ucelená a vyvážená soustava opatření pro ochranu informačních aktiv Mezinárodně respektovaná soustava doporučení Publikována v červnu 2005 Jako ČSN srpen 2006 Označení ISO/IEC 27002 platí od července 2007 Norma popisuje nejlepší praxi 11 oddílů bezpečnosti 39 cílů opatření 133 opatření Strukturovaný popis opatření Definice Návod pro implementaci Další informace V textu je sloveso should Norma neupřesňuje systém řízení Nejsou definovány příslušné manažerské techniky pro výběr a prosazení opatření (obsahuje ČSN ISO/IEC 27001)

Uspořádání ČSN ISO/IEC 27002:2005 (ISO/IEC 17799) Zdroj: ČSN ISO/IEC 17799:2006

ISO/IEC 18028 Bezpečnost sítí IT ISO/IEC 18028-1:2006 Část 1: Řízení bezpečnosti sítí ISO/IEC 18028-2:2006 Část 2: Architektura bezpečnosti sítí ISO/IEC 18028-3:2005 Část 3: Bezpečná komunikace mezi sítěmi za použití bezpečnostních bran ISO/IEC 18028-4:2004 Část 4: Bezpečný vzdálený přístup ISO/IEC 18028-5:2005 Část 5: Bezpečná komunikace mezi sítěmi za použití virtuálních privátních sítí

Proces řízení bezpečnosti sítí ISO/IEC 18028-1:2006 IT network security Part 1: Network security management Využití modelu PDCA (Plan Do Check Act) Harmonizace s obecnými přístupy pro řízení bezpečnosti Bezpečnostní opatření sladěna s obecným katalogem ISO/IEC 17799 Upřesnění bezpečnostních rizik a opatření pro různé typy sítí Lokální sítě Globální sítě Bezdrátové sítě Rádiové sítě Broadband Networking Konvergentní sítě (data, hlas, video)

Model řízení bezpečnosti sítí

Vhodná bezpečnostní opatření Architektura bezpečnosti sítě (ISO/IEC 18028-2) Řízení bezpečnosti služeb Řízení bezpečnosti sítě Řízení technických zranitelností (ISO/IEC 27002:12.6) Identifikace a autentizace (ISO/IEC 27002:11.4) Zaznamenávání událostí na síti a monitoring (ISO/IEC 27002:10.10) Detekce průniku (ISO/IEC 27002:13) Ochrana před škodlivým kódem (ISO/IEC 27002:10.4) Služby infrastruktury založené na kryptografii (ISO/IEC 27002:12.3) Řízení kontinuity činností sítě (ISO/IEC 27002:14)

Tři pohledy referenční architektury ISO/IEC 18028-2:2006 IT network security Part 2: Network security architecture Bezpečnostní dimenze (Security Dimension) Množina bezpečnostních opatření prosazujících určitý aspekt bezpečnosti sítě Vrstva bezpečnosti (Security Layer) Představuje hierarchii zařízení a prostředků sítě Rovina bezpečnosti (Security Plane) Představuje určitý typ činností sítě

Zobrazení referenční architektury bezpečnosti Řízení přístupu Autentizace Neodmítnutelnost Důvěrnost dat Bezpečnost komunikací Integrita dat Dostupnost Soukromí

Obsah bezpečnostní politiky sítí Úvod Východiska Definice základních pojmů Oblasti působnosti bezpečnosti sítí Bezpečnost aplikačních služeb Bezpečnost komunikačních služeb Bezpečnost komunikační infrastruktury Dohled bezpečnosti sítí Řízení bezpečnosti sítí Aktualizace politiky Cíle bezpečnosti Aplikovaná opatření

Použití bezpečnostních bran ISO/IEC 18028-3:2005 IT Network Security Part 3: Securing communications between networks using security gateways Techniky Packet filtering Stateful packet inspection Application proxy Network Address Translation (NAT) Content analyzing and filtering Architektury nasazení Packet filter firewall Dual-homed gateway Screened host Screened subnet Doporučení pro výběr a provoz Konfigurace Bezpečnostní vlastnosti a jejich nastavení Administrace Zaznamenávání událostí Dokumentace Audit Výcvik a vzdělávání

Bezpečný vzdálený přístup ISO/IEC 18028-4:2004 IT Network Security Part 4: Securing remote access Upřesnění možných bezpečnostních technik, jejich výběr a provozování Zahrnuje i bezdrátové přístupy Příklad bezpečnostní politiky

Použití virtuálních privátních sítí ISO/IEC 18028-5:2005 IT Network Security Part 5: Securing communications across networks using Virtual Private Networks Cíle a požadavky na VPN Výběr a implementace VPN Techniky a protokoly pro budování VPN 2. vrstva, 3. vrstva, vyšší vrstvy FR, ATM, MPLS, PPP, L2F, L2TP, IPsec, SSL, SShell

Výběr, nasazení a provoz IDS ISO/IEC 18043:2006 Selection, deployment and operations of intrusion detection systems Výběr IDS Ohodnocení rizik Síťové a hostované IDS Provozní souvislosti Bezpečnostní politika IDS Související nástroje (SIM, ) Nasazení IDS Výhody/nevýhody různých typů Provozování IDS Ladění IDS Zvládání varování IDS Typy a způsoby reakce

Zvládání bezpečnostních incidentů ISO/IEC TR 18044:2004 Information Security Incident Management Plan Příprava a implementace Zavedení schématu a pravidla řízení bezpečnostních incidentů Vybudování infrastruktury (procesy lidé nástroje) Informování manažerů, zaměstnanců, uživatelů, Do Provoz monitoringu Detekce, sběr informací pro došetření, pravidelné reportování Reakce na incidenty a náprava případných škod Check Kontrola přínosů a výstupů Vyhodnocení a ponaučení z incidentů Identifikování možností pro vylepšování preventivních opatření Act Trvalé zlepšování bezpečnosti Promítnutí výsledků do celkového managementu bezpečnosti Vyšší objektivita podkladů pro analýzu a zvládání rizik Optimalizace schématu řízení incidentů

Případová studie poptávka Audit firewallů a IDS jako součást celofiremního auditu. Vymezení rozpočtu auditu odpovídajícímu práce 20 člověkodnů. Zadavatel požadoval provést: zhodnocení architektury firewallů, pravidel a konfigurace firewallů s ohledem na současné hrozby, kterým společnost čelí zhodnotit nasazení IDS s ohledem na konfiguraci firewallů a s ohledem na doporučení výrobce zhodnocení dokumentace týkající se následujících procedur: konfigurace a úprava firewallových pravidel logický přístup k firewallům a IDS zhodnocení monitorování logů firewallů a IDS posouzení úplnosti a aktuálnosti provozní dokumentace

Nabídka Identifikace metodik a norem, které budou našim vodítkem Jasná specifikace nabídky, co a jak budeme auditovat specifikace průběhu auditu Vzorkování důležitý prvek všech auditů

Použité principy a metody Využití existujících norem a standardů ČSN EN ISO 19011:2003 Směrnice pro auditování systému managementu jakosti a/nebo systému environmentálního managementu ISO/IEC 18028 bezpečnost sítí IT ISACA, 2003, IS auditing procedure Firewalls ISACA, 2003, IS auditing procedure Intrusion Detection Systems Review

ČSN EN ISO 19011:2003 Etické provedení - základem profesionality jsou principy zachování důvěrnosti. Objektivní prezentace - zjištění auditu prezentovat pravdivě a přesně včetně všech překážek během auditu. Princip práce podle nejlepšího vědomí a svědomí. Nezávislost auditor musí být nezávislý. Audit jen podle důkazů při auditu je nutné vycházet z doložitelných skutečností tak, aby audit byl opakovatelný. Důkazy musí být verifikovatelné.

ČSN EN ISO 19011:2003 Zahájení auditu definování cíle, předmětu a kritérií auditu. Je definován auditní tým včetně jmenování hlavního auditora. Přezkoumání dokumentace a příprava činností na místě prostudování existující dokumentace, příprava různých pracovních dokumentů (např. dotazníky). Provádění auditu na místě jádro celého auditu, vlastní sběr informací o skutečném fungování systému, ověření zjištěných skutečností a shromáždění důkazů. Příprava, schválení a distribuce zprávy z auditu - důkladné vyhodnocení všech zjištěných skutečností, zformulování stručné a výstižné zprávy z auditu, oponentura zadavatelem, prezentace výsledků a následná diskuze se všemi odpovědnými manažery a administrátory. Dokončení auditu vyhodnocení úspěšné i méně zdařilé stránky auditu.

Zahájení auditu Jmenování auditního týmu na straně zadavatele i odběratele Jmenování vedoucího auditora Definování cílů a rozsahu auditu Žádost o dodání dokumentace (konkrétní dokumenty) Dohodnutí stupnice závažnosti nalezených skutečností

Přezkoumání dokumentace I Předložená dokumentace velmi omezená a nedostatečná některé body auditu buď není možné provést nebo je možné provést je pouze částečně. Nedodány především: bezpečnostní politika firewallu (která by umožnila zhodnotit design firewallů a pravidla firewallů) detailní analýza rizik a projekt nasazení IDS, který by umožnil zhodnotit vhodnost nasazení IDS Princip auditu založený na evidenci opakovatelnost.

Přezkoumání dokumentace II Bylo evidentní, že správci svou síť znají. Interview zformulování neformální politiky firewallu Interview legální metoda sběru dat Přehodnocení plánu a rozsahu auditu: IDS audit výrazně zkrácen z důvodu nedostatečné dokumentace kompenzace: neformální politika firewallu kostry dokumentů doporučení ohledně monitorování bezpečnosti

Přezkoumání dokumentace III Neformální bezpečnostní politika firewallu oponovaná zadavatelem Internet VPN Inbound access from Internet to DMZ, outbound from DMZ to Internet DMZ A Outbound access Inbound access DMZ B Traffic from DMZ to inside DMZ B Internal network

Audit na místě Principy maximální objektivita Auditor by měl být: přístupný názorům - je ochotný připustit jiné alternativy pohledu na věc taktický při jednání s lidmi vnímavý jedná eticky vytrvalý otevřený

Audit na místě Firewally zhodnocení pravidel firewallu s ohledem na IS bezpečnostní politiku zhodnocení designu základních služeb chráněných firewallem (DNS, SMTP, HTTP, proxy); zhodnocení pravidel firewallu vztažené k těmto službám zhodnocení architektury DMZs a firewallových pravidel vztažených k DMZ zhodnocení procedur pro administraci firewallu (zhodnocení fyzického přístupu k firewallu a logických přístupových mechanismů) zhodnocení procedur pro konfiguraci pravidel firewallu, procedur pro schvalování úprav pravidel, kvalitou komentářů zhodnocení základní konfigurace jako operační systém, záplaty, směrování, NTP, zhodnocení konfigurace nižších vrstev (antispoofing, fragmentované pakety, ) zhodnocení logování a alertování zhodnocení pravidel zálohování zhodnocení úplnosti a aktuálnosti provozní dokumentace IDS zhodnocení úplnosti a aktuálnosti provozní dokumentace

Prezentace výsledků Předložení auditní zprávy Oponentura auditní zprávy (objektivita!!) Prezentace výsledků auditu formou workshopu Prezentace pozitivních i negativních zjištění!!

Výsledek Zákazník spokojený Auditoři pocit dobře odvedené práce Normy a metodiky dobrý zdroj informací Vodítko, check-list Samotné normy nestačí

Shrnutí Bezpečnost je dnes standardní součástí každého informačního a komunikačního systému Ne všichni odborníci to chápou stejně Rozsáhlé odborné know-how, které odráží nejlepší praxi, je dostupné v mezinárodních standardech Je potřeba mít představu o tom, z čeho je možné vybírat Využívání mezinárodních standardů není nevýhoda řešení, ale naopak prokazuje vysokou profesionalitu

ludek.novak@anect.com

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář