Post on 10-Feb-2015
description
BIN GIGACON – Bezpieczeństwo i Niezawodność Systemów IT
Grzegorz DługajczykING Bank Śląski
Warszawa, 24-25 września 2013r.
Risk Management vs. Cybercrime- jak planować bezpieczeństwo przy wdrożeniu systemów IT w internecie, aby nie
stać się ofiarą -
2
Trochę teorii na początek….Trochę teorii na początek….
PROCES – identyfikacji, analizy oraz działań ograniczających i monitorujących potencjalne ryzyko, który powinien być rozpoczęty w trakcie planowania i realizacji zamierzonego przedsięwzięcia biznesowego
RISK MANAGEMENT (zarządzanie ryzykiem) RISK MANAGEMENT (zarządzanie ryzykiem)
CYBERCRIME (cyberprzestępstwo)CYBERCRIME (cyberprzestępstwo)
CZYN PRZESTĘPCZY- dokonany przy użyciu sieci łączności elektronicznej i systemów informatycznych lub skierowane przeciwko takim sieciom i systemom
„Komunikat Komisji do Parlamentu Europejskiego, Rady oraz Komitetu Regionów KOM(2007)nr 267 z dnia 22 maja 2007r.”
PRZESTĘPSTWO - przeciwko poufności, integralności i dostępności danych i systemów informatycznych
„Konwencja Rady Europy (ETS/STE No. 185) z dnia 23 listopada 2001r.” NASTĘPSTWO braku należytego procesu zarządzania ryzykiem NASTĘPSTWO braku należytego procesu zarządzania ryzykiem
3
Jakie znamy zagrożenia związane z CybercrimeJakie znamy zagrożenia związane z Cybercrime
ZEWNĘT
RZNE
WEWNĘTRZNE
SYSTEM INFORMATYCZNY
4
Cel dzisiejszego wykładu?Cel dzisiejszego wykładu?
Jak planować BEZPIECZEŃSTWOprzy wdrożeniu systemów IT w internecie, aby nie stać się ofiarą
Jak planować BEZPIECZEŃSTWOprzy wdrożeniu systemów IT w internecie, aby nie stać się ofiarą
5
Czy tak zazwyczaj zaczynamy?Czy tak zazwyczaj zaczynamy?
BEZPIECZEŃSTWO
WykonywanieWykonywanie Definiowanie Definiowanie
FUNKCJONALNOŚĆ BUDŻET CZAS
6
Wymagania zależne od rodzaju i specyfiki danej organizacji oraz świadczonych usługWymagania zależne od rodzaju i specyfiki danej organizacji oraz świadczonych usług
Agenda
Jakie zadania z zakresu bezpieczeństwa IT?Jakie zadania z zakresu bezpieczeństwa IT?
–Uzgodnienie architektury IT
–Wykonanie analizy ryzyka ITRA
–Wykonanie klasyfikacji BIA
(umowa wsparcia ,SLA)
–Uzgodnienie klauzul do umowy
Wykonanie klasyfikacji BIA
-
Ustalenie właścicielstwa -
Przygotowanie wymagań - bezpieczeństwa (RFP/SIWZ)
.
Opracowanie procedur -
Opracowanie matryc ról -
Opracowanie planów
BCP/DR -
Przygotowanie SIEMa -Wykonanie testów -
bezpieczeństwa -
–Weryfikacja klasyfikacji BIA
–Przegląd bezpieczeństwa ITRA
–Testy odbiorcze zgodności OSG
–Szkolenia (uświadamiające)–Monitorowanie niezgodności, plan naprawczy (rekomendacje)
7
Wycena i określenie odpowiednich poziomów ochrony Zasobów Informacji (danych)
w odniesieniu do związanych z nim ryzyk!!!!
Wycena i określenie odpowiednich poziomów ochrony Zasobów Informacji (danych)
w odniesieniu do związanych z nim ryzyk!!!!
Co to jest klasyfikacja BIA?Co to jest klasyfikacja BIA? DefiniowanieDefiniowanie
8
W zależności od przyjętej klasyfikacji (BIA), inne będą koszty zabezpieczenia zasobów
informacji (danych)!!!!!
W zależności od przyjętej klasyfikacji (BIA), inne będą koszty zabezpieczenia zasobów
informacji (danych)!!!!!
Co to są Zasoby Informacji (dane)?Co to są Zasoby Informacji (dane)?
NIE WSZYSTKIE ZASOBY INFORMACJI (DANE)
MAJĄ TAKĄ SAMĄ WARTOŚĆ I KRYTYCZNOŚĆ DLA ORGANIZACJI
NIE WSZYSTKIE ZASOBY INFORMACJI (DANE)
MAJĄ TAKĄ SAMĄ WARTOŚĆ I KRYTYCZNOŚĆ DLA ORGANIZACJI
Definiowani
eDefiniowani
e
9
Wycena i mierzalność Zasobu Informacji (danych) określana jest w trzech obszarach:Wycena i mierzalność Zasobu Informacji (danych) określana jest w trzech obszarach:
Dostę
pn
ość
Dostę
pn
ość Poufność
Poufność
Integralność
IntegralnośćCIA
Jak wyceniamy poziom ochrony Zasobów Informacji (danych)?Jak wyceniamy poziom ochrony Zasobów Informacji (danych)?
skutek nieautoryzowanego ujawnienia Zasobów Informacji /danych/
skutek nieautoryzowanego ujawnienia Zasobów Informacji /danych/POUFNOŚĆ
skutek nieautoryzowanej zmiany Zasobów Informacji /danych/ skutek nieautoryzowanej zmiany Zasobów Informacji /danych/INTEGRALNOŚĆ
skutek braku dostępności Zasobów Informacji /danych/ skutek braku dostępności Zasobów Informacji /danych/DOSTĘPNOŚĆ
Definiowani
eDefiniowani
e
Dostę
pn
ość
Dostę
pn
ość Poufność
Poufność
Integralność
Integralność
10
gdzie będą znajdować się Zasoby Informacyjne (dane)
kto będzie Właścicielem danych (jaka jednostka wewnętrzna firmy/przedsiębiorstwa)
jakie dokładnie będą przetwarzane i przechowywane dane
jaką istotę działania przetwarzane dane pełnić będą dla organizacji oraz
klientów
jak dużą stratę może spowodować ryzyko ich ujawnienia
jakie duży wpływ na działalność operacyjną może mieć potencjalna modyfikacja
danych
jak utrata bądź niedostępność danych zaburzy kluczowe procesy
firmy/przedsiębiorstwa
kto będzie miał dostęp do danych i w jaki sposób
jaki powinien być maksymalny czas odtworzenia danych po awarii
z jakiego okresu czasu dopuszczalna jest trwała utrata danych ………itd..
gdzie będą znajdować się Zasoby Informacyjne (dane)
kto będzie Właścicielem danych (jaka jednostka wewnętrzna firmy/przedsiębiorstwa)
jakie dokładnie będą przetwarzane i przechowywane dane
jaką istotę działania przetwarzane dane pełnić będą dla organizacji oraz
klientów
jak dużą stratę może spowodować ryzyko ich ujawnienia
jakie duży wpływ na działalność operacyjną może mieć potencjalna modyfikacja
danych
jak utrata bądź niedostępność danych zaburzy kluczowe procesy
firmy/przedsiębiorstwa
kto będzie miał dostęp do danych i w jaki sposób
jaki powinien być maksymalny czas odtworzenia danych po awarii
z jakiego okresu czasu dopuszczalna jest trwała utrata danych ………itd..
Wybrane przykłady informacji koniecznej do wyceny potencjalnych strat:
Co zostanie ustalone w trakcie BIA?Co zostanie ustalone w trakcie BIA? Definiowani
eDefiniowani
e
WARTOŚĆ Zasobów Informacji (danych), które należy chronić oraz
wymagania bezpieczeństwa, konieczne do zapewnienia ich ochrony
WARTOŚĆ Zasobów Informacji (danych), które należy chronić oraz
wymagania bezpieczeństwa, konieczne do zapewnienia ich ochrony
11
Właściciel Biznesowy – przekazuje informacje związane z aspektami biznesowymi systemu/aplikacji, istotne dla oceny dostępności i krytyczność danych oraz ważności zasobów informacji (danych) i wycenia potencjalne straty
Właściciel Zasobów – przekazuje informacje istotne z obszaru przyszłego zarządzania systemem/aplikacją oraz wspiera Właściciela Biznesowego
Ekspert IT – przekazuje informacje związane z technologią, konfiguracją, administracją, architekturą IT oraz wspiera Właściciela Biznesowego
Oficer Bezpieczeństwa – przekazuje informacje związane z obszaru bezpieczeństwa systemu / danych i koordynuje ocenę ryzyka zaproponowaną przez zaangażowanych Uczestników klasyfikacji BIA
Właściciel Biznesowy – przekazuje informacje związane z aspektami biznesowymi systemu/aplikacji, istotne dla oceny dostępności i krytyczność danych oraz ważności zasobów informacji (danych) i wycenia potencjalne straty
Właściciel Zasobów – przekazuje informacje istotne z obszaru przyszłego zarządzania systemem/aplikacją oraz wspiera Właściciela Biznesowego
Ekspert IT – przekazuje informacje związane z technologią, konfiguracją, administracją, architekturą IT oraz wspiera Właściciela Biznesowego
Oficer Bezpieczeństwa – przekazuje informacje związane z obszaru bezpieczeństwa systemu / danych i koordynuje ocenę ryzyka zaproponowaną przez zaangażowanych Uczestników klasyfikacji BIA
Kto jest zaangażowany w klasyfikację BIA?Kto jest zaangażowany w klasyfikację BIA? Definiowani
eDefiniowani
e
12
Jakie wymagania bezpieczeństwa do RFP/SIWZ?Jakie wymagania bezpieczeństwa do RFP/SIWZ? Definiowani
eDefiniowani
e
13Fire
walls
Fire
walls
WebServers
DDOS Protector/IPS
Czy architektura, sieć i integracja z systemami jest ważna?Czy architektura, sieć i integracja z systemami jest ważna?
WebServices (SOA)
LoadBalancer
Pra
cow
nic
yA
dm
inis
trato
rzy
Wsp
arc
ie
PO
UFN
OŚ
Ć
INTEG
RA
LN
OŚ
Ć
DO
STĘP
NO
ŚĆ
Projektowan
ieProjektowan
ie
14
Określone działanie skierowane do obniżenia wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich
środków przeciwdziałania i minimalizacji ryzyka
Określone działanie skierowane do obniżenia wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich
środków przeciwdziałania i minimalizacji ryzyka
Co to jest analiza ryzyka?Co to jest analiza ryzyka? Projektowan
ieProjektowan
ie
Obszar techniczny:• Kontrola dostępu
(autentykacja/autoryzacja)• Ochrona danych
(przesyłanie/przechowywanie)• Konfiguracja infrastruktury/systemów/DB• Monitoring i logowanie zdarzeń• Role systemowe/stanowiskowe• Technologia/architektura• Hosting/Cloud Computing• Zdalne wsparcie
Obszar techniczny:• Kontrola dostępu
(autentykacja/autoryzacja)• Ochrona danych
(przesyłanie/przechowywanie)• Konfiguracja infrastruktury/systemów/DB• Monitoring i logowanie zdarzeń• Role systemowe/stanowiskowe• Technologia/architektura• Hosting/Cloud Computing• Zdalne wsparcie
15
Co powinna obejmować analiza ryzyka - obszar kontroli?Co powinna obejmować analiza ryzyka - obszar kontroli?
Obszar organizacyjny:• Polityki bezpieczeństwa• Standardy/Dobre praktyki• Ustawy/Rozporządzenia/Regulacje• Procedury• Normy• Instrukcje/Wytyczne organizacji• Umowy/porozumienia
Obszar organizacyjny:• Polityki bezpieczeństwa• Standardy/Dobre praktyki• Ustawy/Rozporządzenia/Regulacje• Procedury• Normy• Instrukcje/Wytyczne organizacji• Umowy/porozumienia
„Ocena” zagrożeń, podatności, wycena ryzyk i zdefiniowanie działań naprawczych
„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)
ProjektowanieProjektowanie
16
Działania mitygujące powinny zostać określone w trakcie analizy ryzyka i najlepiej wykonane przed uruchomieniem produkcyjnym systemu IT, usługi
Wielkość ryzyka - określa kombinacją podatności i prawdopodobieństwa, które może wynikać z zagrożenia i spowodować straty, określone w klasyfikacji BIA (np. wysokie, średnie, niskie)
Prawdopodobieństwo zdarzenie – szacowane następstwo, które może wystąpić w określonym czasie (np. możliwe, prawdopodobne, itd.)
Określenie zagrożeń i potencjalnych podatnościOkreślenie zagrożeń i potencjalnych podatności
Zagrożenie – zjawisko wywołane wskutek istnienia podatnościPodatność - luka, błąd która może zostać wykorzystana przez dane zagrożenie
Określenie prawdopodobieństwa wystąpienia zdarzeniaOkreślenie prawdopodobieństwa wystąpienia zdarzenia
Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny
Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny
Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub ich akceptację
Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub ich akceptację
„Ocena” zagrożeń, podatności, wycena ryzyk i zdefiniowanie działań naprawczych
Co powinna obejmować analiza ryzyka – obszar oceny?Co powinna obejmować analiza ryzyka – obszar oceny?
„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)
Projektowan
ieProjektowan
ie
17
1. Umowa poufności (NDA)
2. Fizyczny dostęp do zasobów Zleceniodawcy (serwerownie, poruszanie się po budynku)
3. Logiczny dostęp do zasobów Zleceniodawcy (dostęp do infrastruktury LAN)
4. Zdalny dostęp do zasobów Zleceniodawcy ( w jaki sposób, kiedy i jak)
5. Prawo do akceptacji Podwykonawców – (kto, jaki zakres usług, itd.)
6. PES (kwalifikacje, tożsamość, kompetencje, referencje) Zleceniobiorcy/Podwykonawcy
7. Sposób i zakres przekazywania danych do Zleceniobiorcy
8. Sposób ochrony danych, wymagany i uzgodniony przez strony
9. Szczególne zapisy dot. przetwarzania w chmurze (Cloud Computing)
10. Określone procedury reagowania na incydenty/zdarzenia przez Zleceniobiorcę
11. Zasady zwrotu przekazanych danych / ‘know-how’ w przypadku zakończenia współpracy
12. Prawo Zleceniodawcy (lub wyznaczonej przez niego firmy audytorskiej) do audytu Zleceniobiorcy
w zakresie świadczenia usługi i powierzonych danych
1. Umowa poufności (NDA)
2. Fizyczny dostęp do zasobów Zleceniodawcy (serwerownie, poruszanie się po budynku)
3. Logiczny dostęp do zasobów Zleceniodawcy (dostęp do infrastruktury LAN)
4. Zdalny dostęp do zasobów Zleceniodawcy ( w jaki sposób, kiedy i jak)
5. Prawo do akceptacji Podwykonawców – (kto, jaki zakres usług, itd.)
6. PES (kwalifikacje, tożsamość, kompetencje, referencje) Zleceniobiorcy/Podwykonawcy
7. Sposób i zakres przekazywania danych do Zleceniobiorcy
8. Sposób ochrony danych, wymagany i uzgodniony przez strony
9. Szczególne zapisy dot. przetwarzania w chmurze (Cloud Computing)
10. Określone procedury reagowania na incydenty/zdarzenia przez Zleceniobiorcę
11. Zasady zwrotu przekazanych danych / ‘know-how’ w przypadku zakończenia współpracy
12. Prawo Zleceniodawcy (lub wyznaczonej przez niego firmy audytorskiej) do audytu Zleceniobiorcy
w zakresie świadczenia usługi i powierzonych danych
‘Klauzule do umowy’ dla Dostawców - jakie i kiedy?‘Klauzule do umowy’ dla Dostawców - jakie i kiedy? Projektowan
ieProjektowan
ie
UMOWY – wsparcia, hostingu, consultingu, wdrożenia, itd.. UMOWY – wsparcia, hostingu, consultingu, wdrożenia, itd..
18
Opracowanie procedur
Opracowanie matryc ról
Przygotowanie SIEMa
Opracowanie BCP/DR
Wykonanie testów bezpieczeństwa
Działania realizowane w trakcie fazy wykonywania?Działania realizowane w trakcie fazy wykonywania? WykonywanieWykonywanie
19
Działania realizowane w trakcie fazy wdrożenia?Działania realizowane w trakcie fazy wdrożenia? WdrożenieWdrożenie
20
Podsumowanie – Risk Management – jak to zrozumieć?Podsumowanie – Risk Management – jak to zrozumieć?
Uproszczony model zarządzania ryzykiem IT
Klasyfikacja zasobów informacji (danych)
Klasyfikacja zasobów informacji (danych)
Ocena zagrożeń
Ocena podatności
Ocena prawdopodobieństwa
Określenie/wycena ryzyka i zaleceń naprawczych
Ocena zagrożeń
Ocena podatności
Ocena prawdopodobieństwa
Określenie/wycena ryzyka i zaleceń naprawczych
Cykliczna kontrola zaleceń naprawczych
Weryfikacja zmitygowanego ryzyka (planu naprawczego i ryzyk pozostałych)
Cykliczna kontrola zaleceń naprawczych
Weryfikacja zmitygowanego ryzyka (planu naprawczego i ryzyk pozostałych)
22 33 4411
High
Medium
Low
Przegląd zaleceń naprawczych
Ponowna wycena ryzyk
Plan naprawczy (zalecenia lub akceptacja ryzyka)
Przegląd zaleceń naprawczych
Ponowna wycena ryzyk
Plan naprawczy (zalecenia lub akceptacja ryzyka)
21
Jak ING planuje bezpieczeństwa dla systemów IT w internecie?Jak ING planuje bezpieczeństwa dla systemów IT w internecie?
Foundation
User Access
Change Manageme
nt
Platform Security
Security Monitorin
g
IT Resiliance
IT Sourcing
22
Dziękuję za uwagę.Dziękuję za uwagę.
Grzegorz Długajczyk
ING Bank Śląski S.A.ul. Sokolska 34, 40-090 Katowicegrzegorz.dlugajczyk@ingbank.pl
Grzegorz Długajczyk
ING Bank Śląski S.A.ul. Sokolska 34, 40-090 Katowicegrzegorz.dlugajczyk@ingbank.pl
PYTANIA?PYTANIA?