5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 1/14
Zarządzanie incydentami z
bezpieczeństwa informacji
zgodnie z ISO /IEC TR 18044:2004
dr inż. Bolesław Szomański
Zak ład Systemów Zapewniania Jakości
Instytut Organizacji Systemów Produkcyjnych
Wydział Inżynierii Produkcji
Oraz Jarosł aw Majczyk
Plan prezentacji
Wymagania ISO/IEC 27001 i zalecenia ISO/IEC
27002Budowa normy ISO/IEC TR 18044
struktura
definicje
Podstawy i korzyści z ISO 18044
Przyk ładowe incydenty
Przyk ład raportu dotyczącego incydentuBibliografia
Wymagania ISO/IEC 27001
o 4.2.2. Wdrożyć procedury i inne zabezpieczenia zdolne
• do natychmiastowego
• Wykrycia zdarzeń i reakcji na incydenty zwią zane z naruszeniem
bezpieczeń stwa (patrz 4.2.3a)
o 4.2.3. Wykonywać procedury monitorowania i przegl ądu i inne
zabezpieczenia
• . .. .. ...
• 2) natychmiastowego identyfikowania naruszeń bezpieczeństwa i
incydentów, zakończonych niepowodzeniem lub sukcesem;
A.13 Zarzą dzanie incydentami zwią zanymi z
bezpieczeństwem informacji
A.13.1 Zgłaszanie zdarzeń związanych z bezpieczeństwem
informacji i słabości
Cel: Zapewnienie, ż e zdarzenia zwią zane z bezpieczeń stwem informacjioraz sł abo ści systemów informacyjnych, są zg ł aszane w sposób
umo ż liwiający szybkie podjęcie dział ań korygujących.
A.13.1.1 Zgłaszanie zdarzeń zwią zanych z bezpieczeństwem
informacji
Zdarzenia zwią zane z bezpieczeństwem informacji powinny być
zgłaszane poprzez odpowiednie kanały organizacyjne
tak szybko, jak to możliwe.
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
22/04/2007
(c) B.Sz Strona 1 z 14
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 2/14
A.13.1
Zalecenia :
opracowanie formalnej procedury zgłaszania• wraz z
o procedurą reagowania na wystąpienie danego naruszenia i
eskalacji
o określających działania podejmowane
o po otrzymaniu zgłoszenia o naruszeniu;
Wyznaczenie punktu kontaktowego znanego i
powszechnie dostępnego
A.13.1
Uświadomienie
o pracownikówo Wykonawców
o użytkowników trzeciej strony
o Zapoznanie z procedurą i lokalizacją punktu;
Procedury zgłaszania powinny obejmować:
o odpowiedni proces zwrotnego informowania zgłaszających zdarzeniatak, że po zamknięciu problemu przekazywane są im wyniki jegoobsługi;
o formularze zgłaszania zdarzeń związanych z bezpieczeństweminformacji wspomagające proces zgłaszania i pomagające zgłaszającym
zapamiętać wszystkie niezbędne działania na wypadek takiegozdarzenia;
A.13.1
poprawne zachowanie na wypadek zdarzeń związanych zbezpieczeństwem informacji, tzn.:
o natychmiastowe zanotowanie wszystkich ważnych szczegółów (np. typu
niezgodności lub naruszenia, błędu działania, wiadomości z ekranu,dziwnego zachowania);
o zakaz podejmowania jakichkolwiek własnych działań, lecznatychmiastowe zgłoszenie do punktu kontaktowego;
odwołania do ustanowionego formalnego procesu dyscyplinarnego,który określa sposób postępowania z pracownikami, wykonawcami iużytkownikami reprezentującymi stronę trzecią, którzy naruszająbezpieczeństwo.
W środowiskach o wysokim ryzyku, można wprowadzić
alarm działania pod przymusemSzczegółowo tak że ISO TR 18044
A.13.1
A.13.1.2 Zgłaszanie słabości systemu bezpieczeństwa
Wszystkich pracowników, wykonawców i użytkowników
reprezentują cych stronę trzecią ,
korzystają cych z systemów informacyjnych i usług,
należy zobowią zać do zgłaszania zaobserwowanych lub
podejrzewanych
słabości bezpieczeństwa w systemach lub usługach.
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
22/04/2007
(c) B.Sz Strona 2 z 14
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 3/14
Zaleca się,
o aby wszyscy pracownicy,o wykonawcy i
o użytkownicy reprezentujący stronę trzecią
o zgłaszali takie sytuacje albo do kierownictwa,
• albo bezpośrednio do swojego dostawcy usług
o tak szybko,
• jak to możliwe, aby
• uniknąć
o incydentów naruszenia bezpieczeństwa informacji.
A.13.1.2
Zaleca się, aby mechanizm zgłaszania był
o prosty,
o dostępny i
o osiągalny.
Zaleca się też, aby byli oni informowani, że nie należy,
pod żadnym pozorem, próbować dowodzić
podejrzewanej słabości na własną ręk ę..
Takie zalecenie służy ich bezpieczeństwu,
o bowiem testowanie słabych punktówo może być interpretowane w systemie
o jako potencjalne nadużycie
A.13.2
A.13.2 Zarz ądzanie incydentami zwi ą zanymi z bezpieczeństwem informacji oraz udoskonaleniami
Cel: Zapewnienie, ż e stosowane jest spójne i skuteczne podej ście do zarządzania incydentami zwią zanymi zbezpieczeń stwem informacji.
A.13.2.1 Odpowiedzialność i procedury
Należy wprowadzić odpowiedzialność kierownictwa oraz
procedury zapewniają ce szybk ą , skuteczną i uporzą dkowaną reakcję
na incydenty zwią zane z bezpieczeństwem informacji.
A.13.2.1
Oprócz zgłaszania zdarzeń związanych z
bezpieczeństwem informacji oraz słabości (patrz tak że
13.1), zaleca się wykorzystywanie monitorowania systemów,
alarmowania i podatności (10.10.2) do
wykrycia incydentów naruszenia bezpieczeństwa
informacji.
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
22/04/2007 (c) B.Sz Strona 3 z 14
Z d i i d t i B i t t l i f t WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 4/14
A.13.2.1
Zaleca się żeby procedury zawierały
naruszenia bezpieczeństwa informacji.o gdzie jest to wymagane, tak że gromadzenie dowodów w celu
zapewnienia zgodności z wymaganiami prawnymi.
o awarie systemów informacyjnych i utratę usługi;
o szkodliwe oprogramowanie (10.4.1);
o odmowę usługi;
o błędy wynikające z niekompletnych lub niewłaściwych danychbiznesowych;
o naruszenia poufności i integralności;o niewłaściwe użycie systemów informacyjnych;
A.13.2.1
dodatkowo, w odniesieniu do zwyk łych planów ciągłości
działania (patrz 14.1.3), zaleca się, aby proceduryobejmowały (patrz tak że 13.2.2):
analizę i identyfikację przyczyny incydentu;
ograniczanie zasięgu naruszenia;
jeśli to potrzebne, planowanie i wdrażanie działań naprawczych w
celu uniknięcia ponownego wystąpienia incydentu;
komunikację z podmiotami dotkniętymi incydentem i tymi, które są
zaangażowane w jego usunięcie;
raportowanie działań do odpowiednich osób
A.13.2.1
jeśli zachodzi taka potrzeba, to zaleca się
gromadzenie i zabezpieczanie dzienników audytu
lub podobnych dowodów (patrz 13.2.3) w celu:
wewnętrznej analizy problemu;
wykorzystania w postępowaniu dowodowym;
negocjacji rekompensat ze strony dostawców
oprogramowania lub usług
ponadto zaleca się, aby procedury zapewniały, że:
o tylko jednoznacznie zidentyfikowany i uprawniony personel ma
dostęp do działających systemów i rzeczywistych danych (patrztak że 6.2 – dostęp zewnętrzny);
o wszystkie podejmowane działania awaryjne są szczegółowo
dokumentowane;
o działania awaryjne są zgłaszane kierownictwu i sprawnie
przeglądane;
o integralność systemów biznesowych i zabezpieczeń jest
potwierdzana z minimalnym opóźnieniem.
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
22/04/2007 (c) B.Sz Strona 4 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 5/14
Należy zapewnić, że cele• Zarzą dzania incydentami naruszenia bezpieczeństwa informacji
o są uzgodnione z kierownictwem oraz
o osoby odpowiedzialne
• za zarządzanie incydentami naruszenia bezpieczeń stwa informacji
o rozumieją priorytety organizacji
• zwią zane z obsługą takich incydentów.
A.13.2
A.13.2.2 Wycią ganie wniosków z incydentów
zwią zanych z bezpieczeństwem informacji W organizacji powinny istnieć
o mechanizmy umożliwiają ce
liczenie i monitorowanie
o rodzajów,
o rozmiarów i
o kosztów incydentów
zwią zanych z bezpieczeństwem informacji.
Zaleca się wykorzystywanie informacji zebranych
w trakcie oceny incydentów naruszenia
bezpieczeństwa informacji do identyfikowania incydentów powtarzających się lub
o znacznych konsekwencjach.
A.13.2
A.13.2.3 Gromadzenie materiału dowodowego
Jeśli działania podejmowane po wystą pieniu incydentu
zwią zanego z bezpieczeństwem informacji
obejmują kroki prawne (natury cywilnoprawnej lub karnej),
powinno się gromadzić, zachować i przedstawić materiał
dowodowy
zgodnie z zasadami materiału dowodowego obowią zują cymi
w odpowiednim prawodawstwie (prawodawstwach).
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
22/04/2007 (c) B.Sz Strona 5 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 6/14
Zaleca się opracowanie i stosowanie procedur wewnętrznych
przy zbieraniu i przedstawianiu materiału dowodowego napotrzeby postępowania dyscyplinarnego prowadzonego w
organizacji.
W ogólnym przypadku zasady związane z materiałem
dowodowym odnoszą się do:
dopuszczalności materiału dowodowego: czy materiał dowodowy
może być wykorzystany w sądzie, czy nie;
wagi materiału dowodowego: jakości i kompletności materiału
dowodowego.
zaleca się, aby organizacja zapewniła, że jej systemy informacyjne są
zgodne z opublikowanymi normami lub praktycznymi zasadamitworzenia takiego materiału dowodowego.
Zaleca się, aby waga dostarczonego materiału dowodowego była
zgodna z odnośnymi wymaganiami.
Zaleca się utrzymanie jakości i kompletności zabezpieczeń
poprawnie i w sposób ciągły używanych do ochrony materiału
dowodowego (tzn. proces zabezpieczania materiału dowodowego);
Zaleca się, aby przez okres, w którym materiał dowodowy
przeznaczony do odtworzenia ma być przechowywany i
przetwarzany,
o utrzymać mocny ślad dowodowy
Warunki uzyskania śladu dowodowego: dla dokumentów papierowych: oryginał jest bezpiecznie
przechowywany
o wraz z informacją kto go znalazł, gdzie, kiedy i kto był świadkiem tegozdarzenia;;
dla dokumentów na nośnikach komputerowych:
o zaleca się utworzenie obrazu lub kopii (zależnie od stosownychwymagań) wszelkich nośników wymiennych;
zaleca się zapisanie informacji znajdujących się na dyskachtwardych lub w pamięci komputera, aby zapewnić ich dostępność;
zaleca się zachowanie zapisów wszelkich działań podczasprocesu kopiowania oraz aby proces ten odbywał się w obecności świadków
Budowa ISO 18044:2004
Wstęp
1. Zakres normy
2. Odwołania normatywne
3. Terminy i definicje
4. Tło
5. Korzyści i podstawowe sprawy
6. Przyk łady incydentów bezpieczeństwa informacji i ich
przyczyny
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
22/04/2007 (c) B.Sz Strona 6 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 7/14
Budowa ISO 18044:2004
7. Planowanie i przygotowanie
8. Stosowanie
9. Przeglą d
10. Doskonalenie
11. Podsumowanie
Załą cznik A Przykład raportu dotyczą cego zdarzeń i
incydentów z bezpieczeństwa informacji
Załą cznik B Szkic przykładowych zaleceń oszacowania incydentów z bezpieczeństwa informacji
ISO/IEC TR 18044:2004
Information technology
Security techniques
Information security incident
management Zatwierdzona w 2004
Raport typu 3 nie norma Typ 1 nie udało się opracować normy mimo prób
Typ 2 prace są prowadzone ale nie jest możliwe uzgodnienie normy
Typ 3 zbierane są materiały do publikacji normy
Obecnie w fazie przeglądu Możliwe że będzie polskie tłumaczenia
Wprowadzenie
Mimo zastosowania polityki bezpieczeństwa i zabezpieczeń Nie da się uniknąć słabości bezpieczeństwa
o Co powoduje możliwość
Wystąpienia incydentu bezpieczeństwa informacji
Złe przygotowanie obniża efektywność podejmowanych działań
Konieczne jest strukturalne podejście obejmujące: Wykrycie, raportowanie i ocenę incydentu bezpieczeństwa
informacji
Reakcję na incydent bezpieczeństwa informacji (IBI)
Wyciągnięcie wniosków z IBI, zastosowanie zabezpieczeń prewencyjnych i doskonalenie podejścia do zarządzania incydentamibezpieczeństwa informacji (ZIBI)
Definicje:
Planowanie ciągłości działania Proces zapewnienia zagwarantowania
odtworzenia operacji biznesowych organizacji
o w przypadku wystąpienia jakiegokolwiek
• nieoczekiwanego lub
• niechcianego incydentu, który
o mógłby negatywnie wpłynąć
• na cią głość istotnych funkcji biznesowych organizacji.
o Odtworzenie operacji biznesowych powinno być osiągalne
• w zdefiniowanych czasie i
• z określonym priorytetem
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
22/04/2007 (c) B.Sz Strona 7 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 8/14
zdarzenie związane z bezpieczeństwem informacji
Jest określonym wystąpieniem stanu
o systemu,
o usługi lub
o sieci, który
• wskazuje na możliwe
przełamanie polityki bezpieczeństwa informacji,
błąd zabezpieczenia lub
nieznaną dotychczas sytuację, która
o może być związana z bezpieczeństwem.
incydent związany z bezpieczeństwem informacji
jest to
o pojedyncze zdarzenie lub
o seria
niepożądanych lub niespodziewanych zdarzeń
o związanych z bezpieczeństwem informacji,
o które stwarzają
znaczne prawdopodobieństwo zak łócenia
o działań biznesowych i
o zagrażają bezpieczeństwu informacji.
Definicje
Zespół reagowania na incydent bezpieczeństwa
informacji (ZRIBI)
o Grupa kompetentnych i zaufanych osób w organizacji, które
o potrafią zarządzać (handle) incydentami w trakcie całego ich
cyklu życia.
o Czasami mogą korzystać ze wsparcia zewnętrznych ekspertów
takich jak znanych zespołów reagowania na incydenty lub zespół
reagujący na naruszenia bezpieczeństwa w sieci Internet (CERT)
4. Tło (1)
4. 1. Przedmiot
Zdarzenia z bezpieczeństwa informacji mogą być wykryte i
kategoryzowane
Incydenty z bezpieczeństwa informacji mogą być oceniane i
odpowiednie działania prowadzone skutecznie i efektywnie
Skutki mogą być minimalizowane poprzez odpowiednie
zabezpieczenia i powiązanie z planami ciągłości działania
Powinna być wyciągana odpowiednia nauka z incydentów
y p y
22/04/2007 (c) B.Sz Strona 8 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 9/14
Tło (2)
4.2. ProcesyPlanowanie i przygotowanie
Wykonywanie
Przeglą d
Doskonalenie
Czyli cykl PDCA (Deminga) jak w ISO 9000 i ISO 14000
Tło (3)
Planowanie i przygotowanie
Polityka zarzą dzania incydentami bezpieczeństwa informacji i wsparciekierownictwa
Opracowanie dokumentów dla wsparcia polityki, formularzy procedur inarzę dzi
Uaktualnienie polityki bezpieczeństwa informacji i polityki zarzą dzaniaryzykiem na wszystkich poziomach organizacji
Ustanowienie odpowiedniej struktury organizacyjnej tzn. Zespołureagowania na incydenty bezpieczeństwa informacji (ZRIBI)
Uświadamianie pracowników i odpowiednie szkolenia
Testowanie schematów postę powania
Szerzej w punkcie7 raportu
Tło (4)
Wykonywanie
Wykrywanie i raportowanie o zdarzeniach
Zbieranie informacji o zdarzeniach i ocena kiedy określa się je incydentami
Odpowiedź na incydenty
o Natychmiast
o Jeżeli sytuacja jest pod kontrolą kierowanie działaniami które mają być wykonane w
swobodniejszym czasie
o Jeżeli sytuacja wyszła spod kontroli podejmowanie działań kryzysowych
o Komunikowanie o incydentach osobom wewną trz i zewną trz oraz organizacjom
o Przeprowadzenie analiz (prawnych)
o Właściwe zapisywanie działań dla przyszłych analiz
o Zamykanie incydentów (decyzja)
Szerzej w punkcie 8 raportu
Tło (5)
Przegląd Przeprowadzanie szczegółowej analizy
o jeżeli potrzebna
Określenie nauki nabytej z incydentu
Określenie usprawnień do zabezpieczeń
Określenie usprawnień schematu postępowania przy zarządzaniuincydentami bezpieczeństwa informacji w tym
o Procesów
o Procedur
o Formularzy
o Organizacji
Szerzej w punkcie 9 raportu
22/04/2007 (c) B.Sz Strona 9 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 10/14
Tło (5)
Doskonalenie
Działania w zakresie zarzą dzania incydentami zwią zanymi z
bezpieczeństwem informacji są iteracyjne z regularnym
doskonaleniem elementów bezpieczeństwa informacji i
zawierają :
o Korygowanie istnieją cych analiz ryzyka i wyników przeglą du
kierownictwa
o Wdrożenie usprawnień do schematu zarzą dzania incydentami z
bezpieczeństwa informacji i dokumentacji
o Inicjowanie usprawnień bezpieczeństwa które obejmują nowe lubulepszone zabezpieczenia
Szerzej w punkcie 10 raportu
5. Korzyści i podstawowe sprawy
5.1. Korzyści
Doskonalenie bezpieczeństwa informacji Zmniejszenie związanych skutków dla biznesu
Wzmocnienie koncentracji na incydenty
Wzmocnienie priorytyzacji i ewidencji
Zmniejszenie wpływu na budżet i zasoby
Poprawa zmian w analizie ryzyka i zarządzaniu
Ustalanie dodatkowych materiałów dla programów
uświadamiania i szkolenia Wprowadzenie informacji do polityki bezpieczeństwa
informacji i przeglądów dokumentacji
5. Korzyści i podstawowe sprawy
5.2. Podstawowe sprawy
Zaangażowanie kierownictwa
Uświadamianie
Aspekty prawne i regulacyjne Skuteczność operacyjna i jakość
Anonimowość
Poufność
Pewność operacji
Typologia
5.2. Korzyści i podstawowe sprawy
Aspekty prawne i regulacyjne Prowadzenie odpowiedniej ochrony danych i ochrony
prywatnościo Osoby mające dostęp do danych personalnych nie powinny (jeśli
to możliwe) znać osób których sprawy badają
o Powinny być podpisane umowy o poufności
o Informacje powinny być używane tylko w sprawie w której są zbierane (tzn. IBI)
Zapewnianie odpowiedniego przechowywania zapisówo Np. W celu zachowania dla audytu
o W organizacjach państwowych
22/04/2007 (c) B.Sz Strona 10 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 11/14
5.2. Korzyści i podstawowe sprawy
Wprowadzenie zabezpieczeń w celu zapewnienia realizacji wymagań
kontraktowych
Wymagania prawne związane z procesami i procedurami
o Np. Problemy ze zwolnieniem pracowników
Sprawdzanie ważności z prawem zrzeczenia się
o Np. odpowiedzialności
Uwzględnianie wszystkich wymaganych aspektów w umowach z
zewnętrznym personelem wsparcia
Obowiązywanie umów o zachowaniu poufności zgodnie z prawem
Określenie prawnych wymagań
o Np. czas przechowywania zapisów
5.2. Korzyści i podstawowe sprawy
Jasny aspekt odpowiedzialności
o Wpływ na związaną organizacjęo Wykrycie słabości w produkcie
o Przekazywanie informacji o odpowiednich agencji państwowych
o Ujawnianie informacji o wewnętrznych pracownikach zaangażowanych
w atak
o Ujawnianie nieprawdziwych informacji o produkcie
Szczególne wymagania prawne muszą być określone
Oskarżenie lub akcja dyscyplinarna powinna być skuteczna
o Zapisy są kompletne
o Kopie są identyczne
o IT System działał poprawnie w chwili incydentu
5.2. Korzyści i podstawowe sprawy
Aspekty prawne związane z polityk ą monitoringu są
określone
o
ISO 18043 Polityka poprawnego korzystania z urządzeń jest
określona
6. Przykłady incydentów
bezpieczeństwa informacji i ich
przyczyny
Odmowa obsługi (Denial of Serwis)
Zablokowanie zasobów
o Przeciążenie sieci (np.. Ping of death)
o Wysyłanie wiadomości w błę dnych formatach
o Wymuszanie otwierania nadmiarowych sesji
o Błę dna konfiguracja
o Niekompatybilność oprogramowania
22/04/2007 (c) B.Sz Strona 11 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 12/14
6. Przykłady incydentów
bezpieczeństwa informacji i ich
przyczyny Zniszczenie zasobów
o Kradzież sprzę tu lub jego celowe zniszczenieo Zniszczenie sprzę tu przez wodę lub pożar
o Ekstremalne warunki otoczenia np. temperatura
o Awaria systemu lub jego przeciążenie
o Niekontrolowana zmiana systemu
o Awaria oprogramowania lub sprzę tu
6. Przykłady incydentów
bezpieczeństwa informacji i ich
przyczyny Pobieranie informacji
Zwykle obejmują rozpoznanie w tymo Określenie celu rozpoznanie topologii sieci i wewnętrznej
komunikacji
o Określenie słabości celu
Typowe przyk łady zagożeń techniczycho Pobranie adresów DNS (domain name systems)
o Sprawdzenie adresów sieciowych
o Sprawdzenie identyfikacji hostów
o Skanowanie portówo Sprawdzanie znanych słabości
6. Przykłady incydentów
bezpieczeństwa informacji i ich
przyczyny Aspekty nie techniczne
o Skutki
• Bezpośrednie lub niebezpośrednie ujawnienie lub modyfikacja
informacji• Kradzież własności intelektualnej
• Naruszenie rozliczalności
• Nadużycie systemu
o Przyczyny
• Naruszenie ochrony fizycznej i przez to nieautoryzowany dostę p doinformacji lub kradzież urzą dzeń zawierają cych ważne dane
• Słaby lub źle skonfigurowany system operacyjny poprzezniekontrolowane zmiany awarie sprzę tu i oprogramowania
umożliwiaj
ą cy osobom dost
ę p do informacji do których nie maj
ą praw
6. Przykłady incydentów
bezpieczeństwa informacji i ich
przyczyny 6.3. Nieautoryzowany dostęp
• Pozostałe przypadki
o Próba pozyskania plików haseł
o Przepełnienie bufora w celu spowodowania uzyskania dodatkowych
przywilejów
o Wykorzystanie słabości protokołów w celu przejęcia lub oszukania
połączeń sieciowych
o Powiększenie przywilejów ponad udzielone przez administratora
o Przełamanie ochrony fizycznej w celu nieuprawnionego dostępu do
informacji
o Słaby lub źle skonfigurowany system operacyjny poprzez
niekontrolowane zmiany awarie sprzętu i oprogramowania
umożliwiający osobom dostęp do informacji do których nie mają praw
22/04/2007 (c) B.Sz Strona 12 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 13/14
7. Planowanie i przygotowanie
7.1. Przegląd
7.2. Polityka zarządzania incydentami bezpieczeństwainformacji
7.3 Schemat zarządzania incydentami bezpieczeństwainformacji
7.4. Polityki bezpieczeństwa informacji i analizy ryzyka
7.5 Tworzenie ZRIBI
7.6. Powiązanie z innymi częściami organizacji
7.7. Powiązanie z zewnętrznymi organizacjami
7.8. Wsparcie techniczne i inne
7.9. Uświadamianie i szkolenie
8. Wdrożenie
8.1 Wprowadzenie
8.2. Przegląd kluczowych procesów
8.3. Wykrycie i raportowanie
8.4. Ocena zdarzenia/incydentu i podejmowanie
decyzji
8.5. Reakcja
9. Przegląd
9.1 Wprowadzenie
9.2 Kolejna analiza prawna
9.3. Nauka płynąca z incydentu
9.4. Określenie doskonalenia zabezpieczeń
9.5. Określenie doskonalenia schematu
postępowania
10. Doskonalenie
10.1 Wprowadzenie
10.2. Doskonalenie analizy ryzyka bezpieczeństwa i
zarządzania
10.3. Wdrożenie usprawnień zabezpieczeń
10.4. Wdrożenie usprawnień schematu
postępowania
10.5. Inne usprawnienia
22/04/2007 (c) B.Sz Strona 13 z 14
Zarzadzanie incydentami Bezpieczenstwo teleinformatyczne WAT
5/16/2018 18044 prezentacja - slidepdf.com
http://slidepdf.com/reader/full/18044-prezentacja 14/14
11. Podsumowanie
Raport techniczny ma na celu przedstawienie przeglądu
zagadnień związanych z zarządzaniem incydentamibezpieczeństwa informacji
Oraz
Przedstawienie schematu postępowania w zarządzaniu
incydentami bezpieczeństwa informacji
Określa szczegółowe działania związane z planowaniem i
dokumentowaniem polityki zarządzania incydentami
bezpieczeństwa informacji oraz procesami i proceduramidla ZIBI oraz działaniami po incydencie
Przykład raportu dotyczącego
zdarzeń i incydentów z
bezpieczeństwa informacji
plik acrobata
BibliografiaNormy:
ISO/IEC TR 13335-3:1998, Information technology - Guidelines forthe Management of IT Security - Part 3: Techniques for themanagement of IT Security
ISO/IEC TR 15947:2002 Information technology - Securitytechniques – IT intrusion detection framework
ISO/IEC 18028-1:2006 Information technology -- Security techniques-- IT network security -- Part 1: Network security management
ISO/IEC 18028-2:2006 Information technology -- Securitytechniques -- IT network security -- Part 2: Network securityarchitecture
ISO/IEC 18028-3:2005 Information technology -- Securitytechniques -- IT network security -- Part 3: Securing communicationsbetween networks using security gateways
ISO/IEC 18028-4:2005 Information technology - Security techniques – IT network security Part 4: Securing remote access
Bibliografia 2
ISO/IEC 18043:2006 Information technology -- Securitytechniques -- Selection, deployment and operations of intrusion detection systems
lSO/lEC Guide 732002, Risk management -Vocabulary-Guidelines for use in standards
Internet Engineering Task Force (IETF) Site SecurityHandbook, http//:www.ietf.org/rtc2196txt?number=2196
Expectations Computer Security Incident Response -BestPractice, June 98, ftp://ftp.isi.edu/in-notes/rfc235O.txt
NIST Special publication 800-3 Nov 01, Establishing a
Computer lncident Response Capability (CSIRC),http://csrc.nist.gov/pubIications/nistpubs/800-3/800-3.pdf
22/04/2007 (c) B.Sz Strona 14 z 14
Top Related