18044 prezentacja

5/16/2018 18044 prezentacja - slidepdf.com

http://slidepdf.com/reader/full/18044-prezentacja 1/14

Zarządzanie incydentami z

bezpieczeństwa informacji

zgodnie z ISO /IEC TR 18044:2004

dr inż. Bolesław Szomański

Zak ład Systemów Zapewniania Jakości

Instytut Organizacji Systemów Produkcyjnych

Wydział Inżynierii Produkcji

[email protected]

Oraz Jarosł aw Majczyk

Plan prezentacji

Wymagania ISO/IEC 27001 i zalecenia ISO/IEC

27002Budowa normy ISO/IEC TR 18044

struktura

definicje

Podstawy i korzyści z ISO 18044

Przyk ładowe incydenty

Przyk ład raportu dotyczącego incydentuBibliografia

Wymagania ISO/IEC 27001

o 4.2.2. Wdrożyć procedury i inne zabezpieczenia zdolne

• do natychmiastowego

• Wykrycia zdarzeń i reakcji na incydenty zwią zane z naruszeniem

bezpieczeń stwa (patrz 4.2.3a)

o 4.2.3. Wykonywać procedury monitorowania i przegl ądu i inne

zabezpieczenia

• . .. .. ...

• 2) natychmiastowego identyfikowania naruszeń bezpieczeństwa i

incydentów, zakończonych niepowodzeniem lub sukcesem;

A.13 Zarzą dzanie incydentami zwią zanymi z

bezpieczeństwem informacji

A.13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem

informacji i słabości

Cel: Zapewnienie, ż e zdarzenia zwią zane z bezpieczeń stwem informacjioraz sł abo ści systemów informacyjnych, są zg ł aszane w sposób

umo ż liwiający szybkie podjęcie dział ań korygujących.

A.13.1.1 Zgłaszanie zdarzeń zwią zanych z bezpieczeństwem

informacji

Zdarzenia zwią zane z bezpieczeństwem informacji powinny być

zgłaszane poprzez odpowiednie kanały organizacyjne

tak szybko, jak to możliwe.

Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT

22/04/2007

(c) B.Sz Strona 1 z 14



A.13.1

Zalecenia :

opracowanie formalnej procedury zgłaszania• wraz z

o procedurą reagowania na wystąpienie danego naruszenia i

eskalacji

o określających działania podejmowane

o po otrzymaniu zgłoszenia o naruszeniu;

Wyznaczenie punktu kontaktowego znanego i

powszechnie dostępnego

A.13.1

Uświadomienie

o pracownikówo Wykonawców

o użytkowników trzeciej strony

o Zapoznanie z procedurą i lokalizacją punktu;

Procedury zgłaszania powinny obejmować:

o odpowiedni proces zwrotnego informowania zgłaszających zdarzeniatak, że po zamknięciu problemu przekazywane są im wyniki jegoobsługi;

o formularze zgłaszania zdarzeń związanych z bezpieczeństweminformacji wspomagające proces zgłaszania i pomagające zgłaszającym

zapamiętać wszystkie niezbędne działania na wypadek takiegozdarzenia;

A.13.1

poprawne zachowanie na wypadek zdarzeń związanych zbezpieczeństwem informacji, tzn.:

o natychmiastowe zanotowanie wszystkich ważnych szczegółów (np. typu

niezgodności lub naruszenia, błędu działania, wiadomości z ekranu,dziwnego zachowania);

o zakaz podejmowania jakichkolwiek własnych działań, lecznatychmiastowe zgłoszenie do punktu kontaktowego;

odwołania do ustanowionego formalnego procesu dyscyplinarnego,który określa sposób postępowania z pracownikami, wykonawcami iużytkownikami reprezentującymi stronę trzecią, którzy naruszająbezpieczeństwo.

W środowiskach o wysokim ryzyku, można wprowadzić

alarm działania pod przymusemSzczegółowo tak że ISO TR 18044

A.13.1

A.13.1.2 Zgłaszanie słabości systemu bezpieczeństwa

Wszystkich pracowników, wykonawców i użytkowników

reprezentują cych stronę trzecią ,

korzystają cych z systemów informacyjnych i usług,

należy zobowią zać do zgłaszania zaobserwowanych lub

podejrzewanych

słabości bezpieczeństwa w systemach lub usługach.


22/04/2007

(c) B.Sz Strona 2 z 14



Zaleca się,

o aby wszyscy pracownicy,o wykonawcy i

o użytkownicy reprezentujący stronę trzecią

o zgłaszali takie sytuacje albo do kierownictwa,

• albo bezpośrednio do swojego dostawcy usług

o tak szybko,

• jak to możliwe, aby

• uniknąć

o incydentów naruszenia bezpieczeństwa informacji.

A.13.1.2

Zaleca się, aby mechanizm zgłaszania był

o prosty,

o dostępny i

o osiągalny.

Zaleca się też, aby byli oni informowani, że nie należy,

pod żadnym pozorem, próbować dowodzić

podejrzewanej słabości na własną ręk ę..

Takie zalecenie służy ich bezpieczeństwu,

o bowiem testowanie słabych punktówo może być interpretowane w systemie

o jako potencjalne nadużycie

A.13.2

A.13.2 Zarz ądzanie incydentami zwi ą zanymi z bezpieczeństwem informacji oraz udoskonaleniami

Cel: Zapewnienie, ż e stosowane jest spójne i skuteczne podej ście do zarządzania incydentami zwią zanymi zbezpieczeń stwem informacji.

A.13.2.1 Odpowiedzialność i procedury

Należy wprowadzić odpowiedzialność kierownictwa oraz

procedury zapewniają ce szybk ą , skuteczną i uporzą dkowaną reakcję

na incydenty zwią zane z bezpieczeństwem informacji.

A.13.2.1

Oprócz zgłaszania zdarzeń związanych z

bezpieczeństwem informacji oraz słabości (patrz tak że

13.1), zaleca się wykorzystywanie monitorowania systemów,

alarmowania i podatności (10.10.2) do

wykrycia incydentów naruszenia bezpieczeństwa

informacji.


22/04/2007 (c) B.Sz Strona 3 z 14

Z d i i d t i B i t t l i f t WAT



A.13.2.1

Zaleca się żeby procedury zawierały

naruszenia bezpieczeństwa informacji.o gdzie jest to wymagane, tak że gromadzenie dowodów w celu

zapewnienia zgodności z wymaganiami prawnymi.

o awarie systemów informacyjnych i utratę usługi;

o szkodliwe oprogramowanie (10.4.1);

o odmowę usługi;

o błędy wynikające z niekompletnych lub niewłaściwych danychbiznesowych;

o naruszenia poufności i integralności;o niewłaściwe użycie systemów informacyjnych;

A.13.2.1

dodatkowo, w odniesieniu do zwyk łych planów ciągłości

działania (patrz 14.1.3), zaleca się, aby proceduryobejmowały (patrz tak że 13.2.2):

analizę i identyfikację przyczyny incydentu;

ograniczanie zasięgu naruszenia;

jeśli to potrzebne, planowanie i wdrażanie działań naprawczych w

celu uniknięcia ponownego wystąpienia incydentu;

komunikację z podmiotami dotkniętymi incydentem i tymi, które są

zaangażowane w jego usunięcie;

raportowanie działań do odpowiednich osób

A.13.2.1

jeśli zachodzi taka potrzeba, to zaleca się

gromadzenie i zabezpieczanie dzienników audytu

lub podobnych dowodów (patrz 13.2.3) w celu:

wewnętrznej analizy problemu;

wykorzystania w postępowaniu dowodowym;

negocjacji rekompensat ze strony dostawców

oprogramowania lub usług

ponadto zaleca się, aby procedury zapewniały, że:

o tylko jednoznacznie zidentyfikowany i uprawniony personel ma

dostęp do działających systemów i rzeczywistych danych (patrztak że 6.2 – dostęp zewnętrzny);

o wszystkie podejmowane działania awaryjne są szczegółowo

dokumentowane;

o działania awaryjne są zgłaszane kierownictwu i sprawnie

przeglądane;

o integralność systemów biznesowych i zabezpieczeń jest

potwierdzana z minimalnym opóźnieniem.


22/04/2007 (c) B.Sz Strona 4 z 14




Należy zapewnić, że cele• Zarzą dzania incydentami naruszenia bezpieczeństwa informacji

o są uzgodnione z kierownictwem oraz

o osoby odpowiedzialne

• za zarządzanie incydentami naruszenia bezpieczeń stwa informacji

o rozumieją priorytety organizacji

• zwią zane z obsługą takich incydentów.

A.13.2

A.13.2.2 Wycią ganie wniosków z incydentów

zwią zanych z bezpieczeństwem informacji W organizacji powinny istnieć

o mechanizmy umożliwiają ce

liczenie i monitorowanie

o rodzajów,

o rozmiarów i

o kosztów incydentów

zwią zanych z bezpieczeństwem informacji.

Zaleca się wykorzystywanie informacji zebranych

w trakcie oceny incydentów naruszenia

bezpieczeństwa informacji do identyfikowania incydentów powtarzających się lub

o znacznych konsekwencjach.

A.13.2

A.13.2.3 Gromadzenie materiału dowodowego

Jeśli działania podejmowane po wystą pieniu incydentu

zwią zanego z bezpieczeństwem informacji

obejmują kroki prawne (natury cywilnoprawnej lub karnej),

powinno się gromadzić, zachować i przedstawić materiał

dowodowy

zgodnie z zasadami materiału dowodowego obowią zują cymi

w odpowiednim prawodawstwie (prawodawstwach).


22/04/2007 (c) B.Sz Strona 5 z 14




Zaleca się opracowanie i stosowanie procedur wewnętrznych

przy zbieraniu i przedstawianiu materiału dowodowego napotrzeby postępowania dyscyplinarnego prowadzonego w

organizacji.

W ogólnym przypadku zasady związane z materiałem

dowodowym odnoszą się do:

dopuszczalności materiału dowodowego: czy materiał dowodowy

może być wykorzystany w sądzie, czy nie;

wagi materiału dowodowego: jakości i kompletności materiału

dowodowego.

zaleca się, aby organizacja zapewniła, że jej systemy informacyjne są

zgodne z opublikowanymi normami lub praktycznymi zasadamitworzenia takiego materiału dowodowego.

Zaleca się, aby waga dostarczonego materiału dowodowego była

zgodna z odnośnymi wymaganiami.

Zaleca się utrzymanie jakości i kompletności zabezpieczeń

poprawnie i w sposób ciągły używanych do ochrony materiału

dowodowego (tzn. proces zabezpieczania materiału dowodowego);

Zaleca się, aby przez okres, w którym materiał dowodowy

przeznaczony do odtworzenia ma być przechowywany i

przetwarzany,

o utrzymać mocny ślad dowodowy

Warunki uzyskania śladu dowodowego: dla dokumentów papierowych: oryginał jest bezpiecznie

przechowywany

o wraz z informacją kto go znalazł, gdzie, kiedy i kto był świadkiem tegozdarzenia;;

dla dokumentów na nośnikach komputerowych:

o zaleca się utworzenie obrazu lub kopii (zależnie od stosownychwymagań) wszelkich nośników wymiennych;

zaleca się zapisanie informacji znajdujących się na dyskachtwardych lub w pamięci komputera, aby zapewnić ich dostępność;

zaleca się zachowanie zapisów wszelkich działań podczasprocesu kopiowania oraz aby proces ten odbywał się w obecności świadków

Budowa ISO 18044:2004

Wstęp

1. Zakres normy

2. Odwołania normatywne

3. Terminy i definicje

4. Tło

5. Korzyści i podstawowe sprawy

6. Przyk łady incydentów bezpieczeństwa informacji i ich

przyczyny


22/04/2007 (c) B.Sz Strona 6 z 14




Budowa ISO 18044:2004

7. Planowanie i przygotowanie

8. Stosowanie

9. Przeglą d

10. Doskonalenie

11. Podsumowanie

Załą cznik A Przykład raportu dotyczą cego zdarzeń i

incydentów z bezpieczeństwa informacji

Załą cznik B Szkic przykładowych zaleceń oszacowania incydentów z bezpieczeństwa informacji

ISO/IEC TR 18044:2004

Information technology

Security techniques

Information security incident

management Zatwierdzona w 2004

Raport typu 3 nie norma Typ 1 nie udało się opracować normy mimo prób

Typ 2 prace są prowadzone ale nie jest możliwe uzgodnienie normy

Typ 3 zbierane są materiały do publikacji normy

Obecnie w fazie przeglądu Możliwe że będzie polskie tłumaczenia

Wprowadzenie

Mimo zastosowania polityki bezpieczeństwa i zabezpieczeń Nie da się uniknąć słabości bezpieczeństwa

o Co powoduje możliwość

Wystąpienia incydentu bezpieczeństwa informacji

Złe przygotowanie obniża efektywność podejmowanych działań

Konieczne jest strukturalne podejście obejmujące: Wykrycie, raportowanie i ocenę incydentu bezpieczeństwa

informacji

Reakcję na incydent bezpieczeństwa informacji (IBI)

Wyciągnięcie wniosków z IBI, zastosowanie zabezpieczeń prewencyjnych i doskonalenie podejścia do zarządzania incydentamibezpieczeństwa informacji (ZIBI)

Definicje:

Planowanie ciągłości działania Proces zapewnienia zagwarantowania

odtworzenia operacji biznesowych organizacji

o w przypadku wystąpienia jakiegokolwiek

• nieoczekiwanego lub

• niechcianego incydentu, który

o mógłby negatywnie wpłynąć

• na cią głość istotnych funkcji biznesowych organizacji.

o Odtworzenie operacji biznesowych powinno być osiągalne

• w zdefiniowanych czasie i

• z określonym priorytetem


22/04/2007 (c) B.Sz Strona 7 z 14




zdarzenie związane z bezpieczeństwem informacji

Jest określonym wystąpieniem stanu

o systemu,

o usługi lub

o sieci, który

• wskazuje na możliwe

przełamanie polityki bezpieczeństwa informacji,

błąd zabezpieczenia lub

nieznaną dotychczas sytuację, która

o może być związana z bezpieczeństwem.

incydent związany z bezpieczeństwem informacji

jest to

o pojedyncze zdarzenie lub

o seria

niepożądanych lub niespodziewanych zdarzeń

o związanych z bezpieczeństwem informacji,

o które stwarzają

znaczne prawdopodobieństwo zak łócenia

o działań biznesowych i

o zagrażają bezpieczeństwu informacji.

Definicje

Zespół reagowania na incydent bezpieczeństwa

informacji (ZRIBI)

o Grupa kompetentnych i zaufanych osób w organizacji, które

o potrafią zarządzać (handle) incydentami w trakcie całego ich

cyklu życia.

o Czasami mogą korzystać ze wsparcia zewnętrznych ekspertów

takich jak znanych zespołów reagowania na incydenty lub zespół

reagujący na naruszenia bezpieczeństwa w sieci Internet (CERT)

4. Tło (1)

4. 1. Przedmiot

Zdarzenia z bezpieczeństwa informacji mogą być wykryte i

kategoryzowane

Incydenty z bezpieczeństwa informacji mogą być oceniane i

odpowiednie działania prowadzone skutecznie i efektywnie

Skutki mogą być minimalizowane poprzez odpowiednie

zabezpieczenia i powiązanie z planami ciągłości działania

Powinna być wyciągana odpowiednia nauka z incydentów

y p y

22/04/2007 (c) B.Sz Strona 8 z 14




Tło (2)

4.2. ProcesyPlanowanie i przygotowanie

Wykonywanie

Przeglą d

Doskonalenie

Czyli cykl PDCA (Deminga) jak w ISO 9000 i ISO 14000

Tło (3)

Planowanie i przygotowanie

Polityka zarzą dzania incydentami bezpieczeństwa informacji i wsparciekierownictwa

Opracowanie dokumentów dla wsparcia polityki, formularzy procedur inarzę dzi

Uaktualnienie polityki bezpieczeństwa informacji i polityki zarzą dzaniaryzykiem na wszystkich poziomach organizacji

Ustanowienie odpowiedniej struktury organizacyjnej tzn. Zespołureagowania na incydenty bezpieczeństwa informacji (ZRIBI)

Uświadamianie pracowników i odpowiednie szkolenia

Testowanie schematów postę powania

Szerzej w punkcie7 raportu

Tło (4)

Wykonywanie

Wykrywanie i raportowanie o zdarzeniach

Zbieranie informacji o zdarzeniach i ocena kiedy określa się je incydentami

Odpowiedź na incydenty

o Natychmiast

o Jeżeli sytuacja jest pod kontrolą kierowanie działaniami które mają być wykonane w

swobodniejszym czasie

o Jeżeli sytuacja wyszła spod kontroli podejmowanie działań kryzysowych

o Komunikowanie o incydentach osobom wewną trz i zewną trz oraz organizacjom

o Przeprowadzenie analiz (prawnych)

o Właściwe zapisywanie działań dla przyszłych analiz

o Zamykanie incydentów (decyzja)

Szerzej w punkcie 8 raportu

Tło (5)

Przegląd Przeprowadzanie szczegółowej analizy

o jeżeli potrzebna

Określenie nauki nabytej z incydentu

Określenie usprawnień do zabezpieczeń

Określenie usprawnień schematu postępowania przy zarządzaniuincydentami bezpieczeństwa informacji w tym

o Procesów

o Procedur

o Formularzy

o Organizacji


22/04/2007 (c) B.Sz Strona 9 z 14




Tło (5)

Doskonalenie

Działania w zakresie zarzą dzania incydentami zwią zanymi z

bezpieczeństwem informacji są iteracyjne z regularnym

doskonaleniem elementów bezpieczeństwa informacji i

zawierają :

o Korygowanie istnieją cych analiz ryzyka i wyników przeglą du

kierownictwa

o Wdrożenie usprawnień do schematu zarzą dzania incydentami z

bezpieczeństwa informacji i dokumentacji

o Inicjowanie usprawnień bezpieczeństwa które obejmują nowe lubulepszone zabezpieczenia



5.1. Korzyści

Doskonalenie bezpieczeństwa informacji Zmniejszenie związanych skutków dla biznesu

Wzmocnienie koncentracji na incydenty

Wzmocnienie priorytyzacji i ewidencji

Zmniejszenie wpływu na budżet i zasoby

Poprawa zmian w analizie ryzyka i zarządzaniu

Ustalanie dodatkowych materiałów dla programów

uświadamiania i szkolenia Wprowadzenie informacji do polityki bezpieczeństwa

informacji i przeglądów dokumentacji


5.2. Podstawowe sprawy

Zaangażowanie kierownictwa

Uświadamianie

Aspekty prawne i regulacyjne Skuteczność operacyjna i jakość

Anonimowość

Poufność

Pewność operacji

Typologia

5.2. Korzyści i podstawowe sprawy

Aspekty prawne i regulacyjne Prowadzenie odpowiedniej ochrony danych i ochrony

prywatnościo Osoby mające dostęp do danych personalnych nie powinny (jeśli

to możliwe) znać osób których sprawy badają

o Powinny być podpisane umowy o poufności

o Informacje powinny być używane tylko w sprawie w której są zbierane (tzn. IBI)

Zapewnianie odpowiedniego przechowywania zapisówo Np. W celu zachowania dla audytu

o W organizacjach państwowych

22/04/2007 (c) B.Sz Strona 10 z 14





Wprowadzenie zabezpieczeń w celu zapewnienia realizacji wymagań

kontraktowych

Wymagania prawne związane z procesami i procedurami

o Np. Problemy ze zwolnieniem pracowników

Sprawdzanie ważności z prawem zrzeczenia się

o Np. odpowiedzialności

Uwzględnianie wszystkich wymaganych aspektów w umowach z

zewnętrznym personelem wsparcia

Obowiązywanie umów o zachowaniu poufności zgodnie z prawem

Określenie prawnych wymagań

o Np. czas przechowywania zapisów


Jasny aspekt odpowiedzialności

o Wpływ na związaną organizacjęo Wykrycie słabości w produkcie

o Przekazywanie informacji o odpowiednich agencji państwowych

o Ujawnianie informacji o wewnętrznych pracownikach zaangażowanych

w atak

o Ujawnianie nieprawdziwych informacji o produkcie

Szczególne wymagania prawne muszą być określone

Oskarżenie lub akcja dyscyplinarna powinna być skuteczna

o Zapisy są kompletne

o Kopie są identyczne

o IT System działał poprawnie w chwili incydentu


Aspekty prawne związane z polityk ą monitoringu są

określone

o

ISO 18043 Polityka poprawnego korzystania z urządzeń jest

określona

6. Przykłady incydentów

bezpieczeństwa informacji i ich

przyczyny

Odmowa obsługi (Denial of Serwis)

Zablokowanie zasobów

o Przeciążenie sieci (np.. Ping of death)

o Wysyłanie wiadomości w błę dnych formatach

o Wymuszanie otwierania nadmiarowych sesji

o Błę dna konfiguracja

o Niekompatybilność oprogramowania

22/04/2007 (c) B.Sz Strona 11 z 14






przyczyny Zniszczenie zasobów

o Kradzież sprzę tu lub jego celowe zniszczenieo Zniszczenie sprzę tu przez wodę lub pożar

o Ekstremalne warunki otoczenia np. temperatura

o Awaria systemu lub jego przeciążenie

o Niekontrolowana zmiana systemu

o Awaria oprogramowania lub sprzę tu



przyczyny Pobieranie informacji

Zwykle obejmują rozpoznanie w tymo Określenie celu rozpoznanie topologii sieci i wewnętrznej

komunikacji

o Określenie słabości celu

Typowe przyk łady zagożeń techniczycho Pobranie adresów DNS (domain name systems)

o Sprawdzenie adresów sieciowych

o Sprawdzenie identyfikacji hostów

o Skanowanie portówo Sprawdzanie znanych słabości



przyczyny Aspekty nie techniczne

o Skutki

• Bezpośrednie lub niebezpośrednie ujawnienie lub modyfikacja

informacji• Kradzież własności intelektualnej

• Naruszenie rozliczalności

• Nadużycie systemu

o Przyczyny

• Naruszenie ochrony fizycznej i przez to nieautoryzowany dostę p doinformacji lub kradzież urzą dzeń zawierają cych ważne dane

• Słaby lub źle skonfigurowany system operacyjny poprzezniekontrolowane zmiany awarie sprzę tu i oprogramowania

umożliwiaj

ą cy osobom dost

ę p do informacji do których nie maj

ą praw



przyczyny 6.3. Nieautoryzowany dostęp

• Pozostałe przypadki

o Próba pozyskania plików haseł

o Przepełnienie bufora w celu spowodowania uzyskania dodatkowych

przywilejów

o Wykorzystanie słabości protokołów w celu przejęcia lub oszukania

połączeń sieciowych

o Powiększenie przywilejów ponad udzielone przez administratora

o Przełamanie ochrony fizycznej w celu nieuprawnionego dostępu do

informacji

o Słaby lub źle skonfigurowany system operacyjny poprzez

niekontrolowane zmiany awarie sprzętu i oprogramowania

umożliwiający osobom dostęp do informacji do których nie mają praw

22/04/2007 (c) B.Sz Strona 12 z 14




7. Planowanie i przygotowanie

7.1. Przegląd

7.2. Polityka zarządzania incydentami bezpieczeństwainformacji

7.3 Schemat zarządzania incydentami bezpieczeństwainformacji

7.4. Polityki bezpieczeństwa informacji i analizy ryzyka

7.5 Tworzenie ZRIBI

7.6. Powiązanie z innymi częściami organizacji

7.7. Powiązanie z zewnętrznymi organizacjami

7.8. Wsparcie techniczne i inne

7.9. Uświadamianie i szkolenie

8. Wdrożenie

8.1 Wprowadzenie

8.2. Przegląd kluczowych procesów

8.3. Wykrycie i raportowanie

8.4. Ocena zdarzenia/incydentu i podejmowanie

decyzji

8.5. Reakcja

9. Przegląd

9.1 Wprowadzenie

9.2 Kolejna analiza prawna

9.3. Nauka płynąca z incydentu

9.4. Określenie doskonalenia zabezpieczeń

9.5. Określenie doskonalenia schematu

postępowania

10. Doskonalenie

10.1 Wprowadzenie

10.2. Doskonalenie analizy ryzyka bezpieczeństwa i

zarządzania

10.3. Wdrożenie usprawnień zabezpieczeń

10.4. Wdrożenie usprawnień schematu

postępowania

10.5. Inne usprawnienia

22/04/2007 (c) B.Sz Strona 13 z 14




11. Podsumowanie

Raport techniczny ma na celu przedstawienie przeglądu

zagadnień związanych z zarządzaniem incydentamibezpieczeństwa informacji

Oraz

Przedstawienie schematu postępowania w zarządzaniu

incydentami bezpieczeństwa informacji

Określa szczegółowe działania związane z planowaniem i

dokumentowaniem polityki zarządzania incydentami

bezpieczeństwa informacji oraz procesami i proceduramidla ZIBI oraz działaniami po incydencie

Przykład raportu dotyczącego

zdarzeń i incydentów z

bezpieczeństwa informacji

plik acrobata

BibliografiaNormy:

ISO/IEC TR 13335-3:1998, Information technology - Guidelines forthe Management of IT Security - Part 3: Techniques for themanagement of IT Security

ISO/IEC TR 15947:2002 Information technology - Securitytechniques – IT intrusion detection framework

ISO/IEC 18028-1:2006 Information technology -- Security techniques-- IT network security -- Part 1: Network security management

ISO/IEC 18028-2:2006 Information technology -- Securitytechniques -- IT network security -- Part 2: Network securityarchitecture

ISO/IEC 18028-3:2005 Information technology -- Securitytechniques -- IT network security -- Part 3: Securing communicationsbetween networks using security gateways

ISO/IEC 18028-4:2005 Information technology - Security techniques – IT network security Part 4: Securing remote access

Bibliografia 2

ISO/IEC 18043:2006 Information technology -- Securitytechniques -- Selection, deployment and operations of intrusion detection systems

lSO/lEC Guide 732002, Risk management -Vocabulary-Guidelines for use in standards

Internet Engineering Task Force (IETF) Site SecurityHandbook, http//:www.ietf.org/rtc2196txt?number=2196

Expectations Computer Security Incident Response -BestPractice, June 98, ftp://ftp.isi.edu/in-notes/rfc235O.txt

NIST Special publication 800-3 Nov 01, Establishing a

Computer lncident Response Capability (CSIRC),http://csrc.nist.gov/pubIications/nistpubs/800-3/800-3.pdf

22/04/2007 (c) B.Sz Strona 14 z 14

18044 prezentacja

Documents

Transcript of 18044 prezentacja