Krajowy System yberbezpieczeństwa Krajowy System yberbezpieczeństwa #2 aspekty praktyczne i...
Transcript of Krajowy System yberbezpieczeństwa Krajowy System yberbezpieczeństwa #2 aspekty praktyczne i...
www.prs.pl
Krajowy System Cyberbezpieczeństwa#2 aspekty praktyczne i rozwiązania IT
21 stycznia 2020, Gdańsk
Lider Zespołu Projektów ITSNP Poland sp. z o.o.
Rafał Grześkowiak
www.prs.pl | www.snp-poland.com
Normy ISO 27001 i 22301 jako fundament KSC – ISO 27001
• Kryteria i zakres normy• 4. Kontekst - zobowiązania korporacyjne, prawne, umowne.
• 5. Przywództwo - polityka, role, zakresy.
• 6. Planowanie - ryzyko, postępowanie, cele.
• 7. Wsparcie - zasoby, kompetencje, uświadamianie, komunikowanie, dokumentacja.
• 8. Eksploatacja.
• 9. Ocena, audyt, przegląd systemu zarządzania.
• 10. Samodoskonalenie.
• Ograniczenia zakresu wynikające z KSC
3
www.prs.pl | www.snp-poland.com
Normy ISO 27001 i 22301 jako fundament KSC – ISO 27001
• Obszary kontroli wg ISO 27001 (załącznik A):
• Polityka bezpieczeństwa.
• Organizacja bezpieczeństwa informacji.
• Bezpieczeństwo zasobów ludzkich.
• Zarządzanie aktywami.
• Kontrola dostępu.
• Kryptografia.
• Bezpieczeństwo fizyczne i środowiskowe.
• Bezpieczna eksploatacja.
• Bezpieczeństwo komunikacji.
• Pozyskiwanie, rozwój i utrzymanie systemów.
• Relacje z dostawcami.
• Zarządzanie incydentami związanymi z bezpieczeństwem informacji.
• Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania.
• Zgodność.
4
www.prs.pl | www.snp-poland.com
Normy ISO 27001 i 22301 jako fundament KSC – ISO 22301
• Kryteria i zakres normy• 4. Kontekst - zobowiązania korporacyjne, prawne, umowne.
• 5. Przywództwo - polityka, role, zakresy.
• 6. Planowanie - ryzyko, postępowanie, cele.
• 7. Wsparcie - zasoby, kompetencje, uświadamianie, komunikowanie, dokumentacja.
• 8. Eksploatacja.
• 9. Ocena, audyt, przegląd systemu zarządzania.
• 10. Samodoskonalenie.
• Ograniczenia zakresu wynikające z KSC
5
www.prs.pl | www.snp-poland.com
Normy ISO 27001 i 22301 jako fundament KSC – polityki
• Polityka bezpieczeństwa informacji
• Polityka bezpieczeństwa danych osobowych
• Polityka bezpieczeństwa IT
• Polityka klasyfikacji informacji i akceptowalnego użycia aktywów
• Polityka czystego biurka i ekranu
• Polityka urządzeń przenośnych i dostępu zdalnego
• Zasady kontroli dostępu do pomieszczeń
• Procedury operacyjne i plany BCM/PCD
• Polityka haseł i inne…
6
www.prs.pl | www.snp-poland.com
Przebieg dostosowania
• Etap I – realny obraz sytuacji
• Etap II – zadania do 3 miesięcy
• Etap III – zadania do 6 miesięcy
• Etap IV – zadania do 12 miesięcy
7
www.prs.pl | www.snp-poland.com
Przebieg wdrożenia – diagram
8
Decyzja w sprawie uznania za
Operatora Usługi Kluczowej (OUK)
(1) wdrożenie Zarządzania Ryzykiem w odniesieniu do systemów informacyjnych
(2) Wyznaczenie osoby odpowiedzialnej za
utrzymywanie kontaktów w ramach KSC
Powierzenie odpowiedzialności za cyberbezpieczeństwo
Powołanie wewnętrznej komórki organizacyjnej
Zawarcie umowy outsourcingowej z
zewnętrznym podmiotem
świadczącym usługi z zakresu
cyberbezpieczeństwa
Wdrożenie rozwiązań do monitoringu cyberzagrożeń
Wdrożenie Systemu Zarządzania
Bezpieczeństwem Informacji (ISO/IEC
27001) oraz Zarządzania Ciągłością Działania (ISO 22301)
oraz środków łączności z CERT
Audyt bezpieczeństwa systemu informacyjnego(zgodnie z Ustawą KSC)
Okresowy Audyt bezpieczeństwa
systemu informacyjnego
3 miesiące od doręczenia decyzji OUK
6 miesięcy od decyzji OUK12 miesięcy od decyzji OUKCo 24 miesiące
Dostosowanie techniczne
www.prs.pl | www.snp-poland.com
Przebieg wdrożenia – Etap I
• Wskazanie osób odpowiedzialnych za projekt po stronie OUK
• Analiza stanu faktycznego w odniesieniu do KSC
• Określenie obszarów wymagających doskonalenia względem wymagań KSC
9
www.prs.pl | www.snp-poland.com
Przebieg wdrożenia – Etap II (3 mies.)
• Powołanie Pełnomocnika ds. KSC/Oficera Bezpieczeństwa
• Powołanie Forum Bezpieczeństwa Informacji
• Wykonanie inwentaryzacji, identyfikacja procesów i aktywów
• Przeprowadzenie kompleksowej analizy ryzyka
• Stworzenie planu postępowania z ryzykiem
• Zbudowanie polityki reagowania na incydenty
• Powołanie Zespołu Reagowania na Incydenty
• Przeprowadzenie szkoleń dla pracowników
• Wykonanie zgłoszeń i zadań wymaganych przez KSC
10
www.prs.pl | www.snp-poland.com
Przebieg wdrożenia – Etap III (6 mies.)
• Budowa dokumentacji systemowej wymaganej przez KSC oraz wynikającej z planu postępowania z ryzykiem (lub deklaracji stosowania) w celu zapewnienia adekwatnych organizacyjnych środków ochrony
• Przeprowadzenie BIA oraz budowa PCD dla wybranych elementów działania
• Sformalizowanie zagadnień monitoringu usługi kluczowej
• Zapewnienie adekwatnych technicznych środków ochrony i monitoringu
• Wprowadzenie procesu monitoringu zagrożeń i podatności
• Wprowadzenie środków łączności w ramach KSC
• Wprowadzenie nadzoru i ustalenie zakresu dokumentacji związanej z realizacją usługi kluczowej
11
www.prs.pl | www.snp-poland.com
Przebieg wdrożenia – Etap IV
• Wykonanie audytu zgodności z UoKSC – do 12 miesięcy od doręczenia decyzji o uznaniu za operatora usługi kluczowej
12
www.prs.pl | www.snp-poland.com
Przebieg wdrożenia – kamienie milowe
• Analiza luki• Raport
• Zarządzanie ryzykiem• Spis aktywów, proces analizy ryzyka, macierz ryzyka, plan postępowania z ryzykiem
• Budowa systemu• Powołanie ról, osób i struktur odpowiedzialnych za cyberbezpieczeństwo
• Wytworzenie dokumentacji systemu (polityki, procedury, instrukcje)
• Wdrożenie
• Uruchomienie SZBI zgodnego z KSC w zakresie realizacji usługi kluczowej
• Wykonanie szkoleń
• Audyt roczny• Raport z audytu
13
www.prs.pl | www.snp-poland.com
Utrzymanie i ciągłe doskonalenie
• Cykliczne szkolenia pracowników
• Pentesty środowiska IT
• Cykliczny przegląd dokumentacji
• Audyty wewnętrzne i przeglądy systemu zarządzania
• Opcjonalne dążenie do uzyskania certyfikatu ISO/IEC 27001 przez organizację
14
www.prs.pl | www.snp-poland.com
Sama dokumentacja nas nie obroni…
15
www.prs.pl | www.snp-poland.com
Usługi cyberbezpieczeństwa dla OUK
16
www.prs.pl | www.snp-poland.com
Zakres obowiązków OUK (Rozdz. 3)
• Zarządzanie bezpieczeństwem w systemie informacyjnym (Art.8)• Szacowanie ryzyka
• Utrzymanie odpowiednich środków technicznych w zakresie ochrony IT
• Zbieranie informacji o zagrożeniach
• Zarządzanie incydentami
• Ograniczenie wpływu incydentów
• Środki łączności w ramach KSC
• Kontakty i raportowanie w ramach KSC (Art.9)
• Dokumentacja cyberbezpieczeństwa systemu (Art.10)• Utrzymanie dokumentacji
• Nadzór
• Archiwizacja
• Zarządzanie incydentami (Art. 11)
• Współpraca z CSIRT (Art. 12 i 13)
17
www.prs.pl | www.snp-poland.com
Monitoring systemu informacyjnego
18
SOC
Raportowanie
Analiza podatności
Inwentaryzacja zasobów
Wykrywanie naruszeń
bezpieczeństwa
Korelacja i agregacja logów
Analiza behawioralna
www.prs.pl | www.snp-poland.com
Monitorowane obszary
19
SOCSieć
Aplikacje
Bazy danychStacje
robocze
Infrastruktura
Serwery
www.prs.pl | www.snp-poland.com
Monitoring (1): infrastruktura IT
• Serwery fizyczne
• Klimatyzacja
• UPS
• System kontroli dostępu
• Systemy alarmowe
• Cloud (Azure, AWS itp.)
• Sieć przemysłowa
20
www.prs.pl | www.snp-poland.com
Monitoring (2): aplikacje i serwery
• Monitoring serwerów Linux Windows
• Monitoring aplikacji krytycznych
• Systemy telemetryczne
• Systemy ERP
• Serwery Linux
• Serwery Windows
• Active Directory
21
www.prs.pl | www.snp-poland.com
Monitoring (3): sieć
• Monitorowanie urządzeń sieciowych
• Monitorowanie aktywności VPN
• Aktywne / pasywne skanowanie
• Informacje z systemów IDS / IPS
22
www.prs.pl | www.snp-poland.com
Monitoring (4): stacje robocze
• Logi systemowe
• Logi systemu antywirusowego
• Monitorowanie poprawek systemowych
23
www.prs.pl | www.snp-poland.com
Wykrywanie podatności
• Proaktywne skanowanie zasobów
• Ustalony harmonogram skanowania
• Reagowanie na wykryte luki
24
www.prs.pl | www.snp-poland.com
Narzędzia Security Operations Center
• Zarządzanie zasobami
• Aktywne / pasywne skanowanie sieci – ( nmap / zenmap / p0f )
• Inwentaryzacja zasobów ( SNMP / Domena )
• Inwentaryzacja oprogramowania na hostach ( Open-AudIT )
• Analiza podatności
• Skanowanie – ( openvas / Nessus / nikto )
• Monitorowanie podatności – ( WSUS / lynis / MBSA )
• Wykrywanie naruszeń bezpieczeństwa
• Host, network and wireless IDS ( McAffe / ClamAV / Snort / Suricata / Kismet / AirDefense )
• File integrity monitoring ( AIDE / bit9* / carbon black )
• Analiza behawioralna
• Centralny system logowania ( rsyslog / logalyze / graylog / logstash )
• Analiza netflow (nfsen / ntop)
• Monitoring dostępności usług ( nagios / zabbix )
• Security Intelligence
• Korelacja zdarzeń - system SIEM (Splunk / Graylog / AlienVault OSSIM / Logalyze )
• Obsługa incydentów ( NIST SP 800-61r2 / RTIR )
27
www.prs.pl | www.snp-poland.com
Reagowanie
• Wykrycie i analiza• Analiza czy incydent rzeczywiście wystąpił
• Nadanie odpowiedniego priorytetu incydentowi
• Powiadomienie OUK (oraz CSIRT)
• Izolacja, usunięcie i przywrócenie• Zebranie i zabezpieczenie dowodów
• Izolacja incydentu
• Wykrycie i wyeliminowanie podatności lub zainstalowanego malware
• Przywrócenie systemów do działania, w razie konieczności, dodatkowy monitoring systemów
• Zadania po incydencie• Follow-up report
• Lessons learned
28
www.prs.pl | www.snp-poland.com
Outsourcing cyberbezpieczeństwa
29
SNP SOC
Osoby kontaktowe
CSIRT(Computer Security Incident
Response Team)
OUK
www.prs.pl | www.snp-poland.com
Granica formalnych wymagań KSC
SZBI (ISO 27001) + SZCD (ISO 22301)
Ochrona infrastrukturyDokumentacja systemu
informacyjnegoDokumentacja
sektorowaMonitoring
cyberbezpieczeństwa
31
Architektura i ochrona systemu informacyjnego (IT/OT)
www.prs.pl | www.snp-poland.com
Ścieżka decyzyjna w doborze rozwiązań
Biznes Budżet IT Dział IT Wdrożenie
32
BiznesPotrzeby
biznesoweAnaliza ryzyka
Dział ITRozpoznanie
rozwiązań (IT)
Określenie wymaganego budżetu (IT)
Akceptacja budżetu (biznes)
Wdrożenie
www.prs.pl | www.snp-poland.com
Perspektywa minimalizacji ryzyka
• Identyfikacja krytycznych systemów
• Aktywny udział biznesu (właścicieli procesów/ryzyk) w cyklu życia rozwiązań IT/OT
• Świadomość biznesowych kosztów ewentualnych incydentów cyberbezpieczeństwa
• Dział IT jako usługodawca biznesu
• Szerokie kompetencje ITSec/InfoSec
• Cykliczne testy/audyty
33
www.prs.pl | www.snp-poland.com
Perspektywa minimalizacji ryzyka
• Właściwa architektura IT
• Bezpieczeństwo sieci
• Monitoring ilościowy i jakościowy środowiska
• Szyfrowanie
• Dwuskładnikowe uwierzytelnienie
• IPS / UTM
• Aktualizacje systemów i hardening konfiguracji
• Zabezpieczenia fizyczne
• Redundancja, backup
• Szkolenia użytkowników
• Dobre praktyki IT
34