BIN GIGACON – Bezpieczeństwo i Niezawodność Systemów IT

Grzegorz DługajczykING Bank Śląski

Warszawa, 24-25 września 2013r.

Risk Management vs. Cybercrime- jak planować bezpieczeństwo przy wdrożeniu systemów IT w internecie, aby nie

stać się ofiarą -

2

Trochę teorii na początek….Trochę teorii na początek….

PROCES – identyfikacji, analizy oraz działań ograniczających i monitorujących potencjalne ryzyko, który powinien być rozpoczęty w trakcie planowania i realizacji zamierzonego przedsięwzięcia biznesowego

RISK MANAGEMENT (zarządzanie ryzykiem) RISK MANAGEMENT (zarządzanie ryzykiem)

CYBERCRIME (cyberprzestępstwo)CYBERCRIME (cyberprzestępstwo)

CZYN PRZESTĘPCZY- dokonany przy użyciu sieci łączności elektronicznej i systemów informatycznych lub skierowane przeciwko takim sieciom i systemom

„Komunikat Komisji do Parlamentu Europejskiego, Rady oraz Komitetu Regionów KOM(2007)nr 267 z dnia 22 maja 2007r.”

PRZESTĘPSTWO - przeciwko poufności, integralności i dostępności danych i systemów informatycznych

„Konwencja Rady Europy (ETS/STE No. 185) z dnia 23 listopada 2001r.” NASTĘPSTWO braku należytego procesu zarządzania ryzykiem NASTĘPSTWO braku należytego procesu zarządzania ryzykiem

3

Jakie znamy zagrożenia związane z CybercrimeJakie znamy zagrożenia związane z Cybercrime

ZEWNĘT

RZNE

WEWNĘTRZNE

SYSTEM INFORMATYCZNY

4

Cel dzisiejszego wykładu?Cel dzisiejszego wykładu?

Jak planować BEZPIECZEŃSTWOprzy wdrożeniu systemów IT w internecie, aby nie stać się ofiarą

Jak planować BEZPIECZEŃSTWOprzy wdrożeniu systemów IT w internecie, aby nie stać się ofiarą

5

Czy tak zazwyczaj zaczynamy?Czy tak zazwyczaj zaczynamy?

BEZPIECZEŃSTWO

WykonywanieWykonywanie Definiowanie Definiowanie

FUNKCJONALNOŚĆ BUDŻET CZAS

6

Wymagania zależne od rodzaju i specyfiki danej organizacji oraz świadczonych usługWymagania zależne od rodzaju i specyfiki danej organizacji oraz świadczonych usług

Agenda

Jakie zadania z zakresu bezpieczeństwa IT?Jakie zadania z zakresu bezpieczeństwa IT?

–Uzgodnienie architektury IT

–Wykonanie analizy ryzyka ITRA

–Wykonanie klasyfikacji BIA

(umowa wsparcia ,SLA)

–Uzgodnienie klauzul do umowy

Wykonanie klasyfikacji BIA

-

Ustalenie właścicielstwa -

Przygotowanie wymagań - bezpieczeństwa (RFP/SIWZ)

.

Opracowanie procedur -

Opracowanie matryc ról -

Opracowanie planów

BCP/DR -

Przygotowanie SIEMa -Wykonanie testów -

bezpieczeństwa -

–Weryfikacja klasyfikacji BIA

–Przegląd bezpieczeństwa ITRA

–Testy odbiorcze zgodności OSG

–Szkolenia (uświadamiające)–Monitorowanie niezgodności, plan naprawczy (rekomendacje)

7

Wycena i określenie odpowiednich poziomów ochrony Zasobów Informacji (danych)

w odniesieniu do związanych z nim ryzyk!!!!

Wycena i określenie odpowiednich poziomów ochrony Zasobów Informacji (danych)

w odniesieniu do związanych z nim ryzyk!!!!

Co to jest klasyfikacja BIA?Co to jest klasyfikacja BIA? DefiniowanieDefiniowanie

8

W zależności od przyjętej klasyfikacji (BIA), inne będą koszty zabezpieczenia zasobów

informacji (danych)!!!!!

W zależności od przyjętej klasyfikacji (BIA), inne będą koszty zabezpieczenia zasobów

informacji (danych)!!!!!

Co to są Zasoby Informacji (dane)?Co to są Zasoby Informacji (dane)?

NIE WSZYSTKIE ZASOBY INFORMACJI (DANE)

MAJĄ TAKĄ SAMĄ WARTOŚĆ I KRYTYCZNOŚĆ DLA ORGANIZACJI

NIE WSZYSTKIE ZASOBY INFORMACJI (DANE)

MAJĄ TAKĄ SAMĄ WARTOŚĆ I KRYTYCZNOŚĆ DLA ORGANIZACJI

Definiowani

eDefiniowani

e

9

Wycena i mierzalność Zasobu Informacji (danych) określana jest w trzech obszarach:Wycena i mierzalność Zasobu Informacji (danych) określana jest w trzech obszarach:

Dostę

pn

ość

Dostę

pn

ość Poufność

Poufność

Integralność

IntegralnośćCIA

Jak wyceniamy poziom ochrony Zasobów Informacji (danych)?Jak wyceniamy poziom ochrony Zasobów Informacji (danych)?

skutek nieautoryzowanego ujawnienia Zasobów Informacji /danych/

skutek nieautoryzowanego ujawnienia Zasobów Informacji /danych/POUFNOŚĆ

skutek nieautoryzowanej zmiany Zasobów Informacji /danych/ skutek nieautoryzowanej zmiany Zasobów Informacji /danych/INTEGRALNOŚĆ

skutek braku dostępności Zasobów Informacji /danych/ skutek braku dostępności Zasobów Informacji /danych/DOSTĘPNOŚĆ

Definiowani

eDefiniowani

e

Dostę

pn

ość

Dostę

pn

ość Poufność

Poufność

Integralność

Integralność

10

gdzie będą znajdować się Zasoby Informacyjne (dane)

kto będzie Właścicielem danych (jaka jednostka wewnętrzna firmy/przedsiębiorstwa)

jakie dokładnie będą przetwarzane i przechowywane dane

jaką istotę działania przetwarzane dane pełnić będą dla organizacji oraz

klientów

jak dużą stratę może spowodować ryzyko ich ujawnienia

jakie duży wpływ na działalność operacyjną może mieć potencjalna modyfikacja

danych

jak utrata bądź niedostępność danych zaburzy kluczowe procesy

firmy/przedsiębiorstwa

kto będzie miał dostęp do danych i w jaki sposób

jaki powinien być maksymalny czas odtworzenia danych po awarii

z jakiego okresu czasu dopuszczalna jest trwała utrata danych ………itd..

gdzie będą znajdować się Zasoby Informacyjne (dane)

kto będzie Właścicielem danych (jaka jednostka wewnętrzna firmy/przedsiębiorstwa)

jakie dokładnie będą przetwarzane i przechowywane dane

jaką istotę działania przetwarzane dane pełnić będą dla organizacji oraz

klientów

jak dużą stratę może spowodować ryzyko ich ujawnienia

jakie duży wpływ na działalność operacyjną może mieć potencjalna modyfikacja

danych

jak utrata bądź niedostępność danych zaburzy kluczowe procesy

firmy/przedsiębiorstwa

kto będzie miał dostęp do danych i w jaki sposób

jaki powinien być maksymalny czas odtworzenia danych po awarii

z jakiego okresu czasu dopuszczalna jest trwała utrata danych ………itd..

Wybrane przykłady informacji koniecznej do wyceny potencjalnych strat:

Co zostanie ustalone w trakcie BIA?Co zostanie ustalone w trakcie BIA? Definiowani

eDefiniowani

e

WARTOŚĆ Zasobów Informacji (danych), które należy chronić oraz

wymagania bezpieczeństwa, konieczne do zapewnienia ich ochrony

WARTOŚĆ Zasobów Informacji (danych), które należy chronić oraz

wymagania bezpieczeństwa, konieczne do zapewnienia ich ochrony

11

Właściciel Biznesowy – przekazuje informacje związane z aspektami biznesowymi systemu/aplikacji, istotne dla oceny dostępności i krytyczność danych oraz ważności zasobów informacji (danych) i wycenia potencjalne straty

Właściciel Zasobów – przekazuje informacje istotne z obszaru przyszłego zarządzania systemem/aplikacją oraz wspiera Właściciela Biznesowego

Ekspert IT – przekazuje informacje związane z technologią, konfiguracją, administracją, architekturą IT oraz wspiera Właściciela Biznesowego

Oficer Bezpieczeństwa – przekazuje informacje związane z obszaru bezpieczeństwa systemu / danych i koordynuje ocenę ryzyka zaproponowaną przez zaangażowanych Uczestników klasyfikacji BIA

Właściciel Biznesowy – przekazuje informacje związane z aspektami biznesowymi systemu/aplikacji, istotne dla oceny dostępności i krytyczność danych oraz ważności zasobów informacji (danych) i wycenia potencjalne straty

Właściciel Zasobów – przekazuje informacje istotne z obszaru przyszłego zarządzania systemem/aplikacją oraz wspiera Właściciela Biznesowego

Ekspert IT – przekazuje informacje związane z technologią, konfiguracją, administracją, architekturą IT oraz wspiera Właściciela Biznesowego

Oficer Bezpieczeństwa – przekazuje informacje związane z obszaru bezpieczeństwa systemu / danych i koordynuje ocenę ryzyka zaproponowaną przez zaangażowanych Uczestników klasyfikacji BIA

Kto jest zaangażowany w klasyfikację BIA?Kto jest zaangażowany w klasyfikację BIA? Definiowani

eDefiniowani

e

12

Jakie wymagania bezpieczeństwa do RFP/SIWZ?Jakie wymagania bezpieczeństwa do RFP/SIWZ? Definiowani

eDefiniowani

e

13Fire

walls

Fire

walls

WebServers

DDOS Protector/IPS

Czy architektura, sieć i integracja z systemami jest ważna?Czy architektura, sieć i integracja z systemami jest ważna?

WebServices (SOA)

LoadBalancer

Pra

cow

nic

yA

dm

inis

trato

rzy

Wsp

arc

ie

PO

UFN

OŚ

Ć

INTEG

RA

LN

OŚ

Ć

DO

STĘP

NO

ŚĆ

Projektowan

ieProjektowan

ie

14

Określone działanie skierowane do obniżenia wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich

środków przeciwdziałania i minimalizacji ryzyka

Określone działanie skierowane do obniżenia wpływu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich

środków przeciwdziałania i minimalizacji ryzyka

Co to jest analiza ryzyka?Co to jest analiza ryzyka? Projektowan

ieProjektowan

ie

Obszar techniczny:• Kontrola dostępu

(autentykacja/autoryzacja)• Ochrona danych

(przesyłanie/przechowywanie)• Konfiguracja infrastruktury/systemów/DB• Monitoring i logowanie zdarzeń• Role systemowe/stanowiskowe• Technologia/architektura• Hosting/Cloud Computing• Zdalne wsparcie

Obszar techniczny:• Kontrola dostępu

(autentykacja/autoryzacja)• Ochrona danych

(przesyłanie/przechowywanie)• Konfiguracja infrastruktury/systemów/DB• Monitoring i logowanie zdarzeń• Role systemowe/stanowiskowe• Technologia/architektura• Hosting/Cloud Computing• Zdalne wsparcie

15

Co powinna obejmować analiza ryzyka - obszar kontroli?Co powinna obejmować analiza ryzyka - obszar kontroli?

Obszar organizacyjny:• Polityki bezpieczeństwa• Standardy/Dobre praktyki• Ustawy/Rozporządzenia/Regulacje• Procedury• Normy• Instrukcje/Wytyczne organizacji• Umowy/porozumienia

Obszar organizacyjny:• Polityki bezpieczeństwa• Standardy/Dobre praktyki• Ustawy/Rozporządzenia/Regulacje• Procedury• Normy• Instrukcje/Wytyczne organizacji• Umowy/porozumienia

„Ocena” zagrożeń, podatności, wycena ryzyk i zdefiniowanie działań naprawczych

„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)

ProjektowanieProjektowanie

16

Działania mitygujące powinny zostać określone w trakcie analizy ryzyka i najlepiej wykonane przed uruchomieniem produkcyjnym systemu IT, usługi

Wielkość ryzyka - określa kombinacją podatności i prawdopodobieństwa, które może wynikać z zagrożenia i spowodować straty, określone w klasyfikacji BIA (np. wysokie, średnie, niskie)

Prawdopodobieństwo zdarzenie – szacowane następstwo, które może wystąpić w określonym czasie (np. możliwe, prawdopodobne, itd.)

Określenie zagrożeń i potencjalnych podatnościOkreślenie zagrożeń i potencjalnych podatności

Zagrożenie – zjawisko wywołane wskutek istnienia podatnościPodatność - luka, błąd która może zostać wykorzystana przez dane zagrożenie

Określenie prawdopodobieństwa wystąpienia zdarzeniaOkreślenie prawdopodobieństwa wystąpienia zdarzenia

Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny

Określenie wielkości ryzyka, wpływu na organizację i jego szczegółowej wyceny

Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub ich akceptację

Zdefiniowanie planu naprawczego (działań mitygujących ryzyko) lub ich akceptację

„Ocena” zagrożeń, podatności, wycena ryzyk i zdefiniowanie działań naprawczych

Co powinna obejmować analiza ryzyka – obszar oceny?Co powinna obejmować analiza ryzyka – obszar oceny?

„Kontrola” spełnienia wymagań bezpieczeństwa (techniczna i organizacyjna)

Projektowan

ieProjektowan

ie

17

1. Umowa poufności (NDA)

2. Fizyczny dostęp do zasobów Zleceniodawcy (serwerownie, poruszanie się po budynku)

3. Logiczny dostęp do zasobów Zleceniodawcy (dostęp do infrastruktury LAN)

4. Zdalny dostęp do zasobów Zleceniodawcy ( w jaki sposób, kiedy i jak)

5. Prawo do akceptacji Podwykonawców – (kto, jaki zakres usług, itd.)

6. PES (kwalifikacje, tożsamość, kompetencje, referencje) Zleceniobiorcy/Podwykonawcy

7. Sposób i zakres przekazywania danych do Zleceniobiorcy

8. Sposób ochrony danych, wymagany i uzgodniony przez strony

9. Szczególne zapisy dot. przetwarzania w chmurze (Cloud Computing)

10. Określone procedury reagowania na incydenty/zdarzenia przez Zleceniobiorcę

11. Zasady zwrotu przekazanych danych / ‘know-how’ w przypadku zakończenia współpracy

12. Prawo Zleceniodawcy (lub wyznaczonej przez niego firmy audytorskiej) do audytu Zleceniobiorcy

w zakresie świadczenia usługi i powierzonych danych

1. Umowa poufności (NDA)

2. Fizyczny dostęp do zasobów Zleceniodawcy (serwerownie, poruszanie się po budynku)

3. Logiczny dostęp do zasobów Zleceniodawcy (dostęp do infrastruktury LAN)

4. Zdalny dostęp do zasobów Zleceniodawcy ( w jaki sposób, kiedy i jak)

5. Prawo do akceptacji Podwykonawców – (kto, jaki zakres usług, itd.)

6. PES (kwalifikacje, tożsamość, kompetencje, referencje) Zleceniobiorcy/Podwykonawcy

7. Sposób i zakres przekazywania danych do Zleceniobiorcy

8. Sposób ochrony danych, wymagany i uzgodniony przez strony

9. Szczególne zapisy dot. przetwarzania w chmurze (Cloud Computing)

10. Określone procedury reagowania na incydenty/zdarzenia przez Zleceniobiorcę

11. Zasady zwrotu przekazanych danych / ‘know-how’ w przypadku zakończenia współpracy

12. Prawo Zleceniodawcy (lub wyznaczonej przez niego firmy audytorskiej) do audytu Zleceniobiorcy

w zakresie świadczenia usługi i powierzonych danych

‘Klauzule do umowy’ dla Dostawców - jakie i kiedy?‘Klauzule do umowy’ dla Dostawców - jakie i kiedy? Projektowan

ieProjektowan

ie

UMOWY – wsparcia, hostingu, consultingu, wdrożenia, itd.. UMOWY – wsparcia, hostingu, consultingu, wdrożenia, itd..

18

Opracowanie procedur

Opracowanie matryc ról

Przygotowanie SIEMa

Opracowanie BCP/DR

Wykonanie testów bezpieczeństwa

Działania realizowane w trakcie fazy wykonywania?Działania realizowane w trakcie fazy wykonywania? WykonywanieWykonywanie

19

Działania realizowane w trakcie fazy wdrożenia?Działania realizowane w trakcie fazy wdrożenia? WdrożenieWdrożenie

20

Podsumowanie – Risk Management – jak to zrozumieć?Podsumowanie – Risk Management – jak to zrozumieć?

Uproszczony model zarządzania ryzykiem IT

Klasyfikacja zasobów informacji (danych)

Klasyfikacja zasobów informacji (danych)

Ocena zagrożeń

Ocena podatności

Ocena prawdopodobieństwa

Określenie/wycena ryzyka i zaleceń naprawczych

Ocena zagrożeń

Ocena podatności

Ocena prawdopodobieństwa

Określenie/wycena ryzyka i zaleceń naprawczych

Cykliczna kontrola zaleceń naprawczych

Weryfikacja zmitygowanego ryzyka (planu naprawczego i ryzyk pozostałych)

Cykliczna kontrola zaleceń naprawczych

Weryfikacja zmitygowanego ryzyka (planu naprawczego i ryzyk pozostałych)

22 33 4411

High

Medium

Low

Przegląd zaleceń naprawczych

Ponowna wycena ryzyk

Plan naprawczy (zalecenia lub akceptacja ryzyka)

Przegląd zaleceń naprawczych

Ponowna wycena ryzyk

Plan naprawczy (zalecenia lub akceptacja ryzyka)

21

Jak ING planuje bezpieczeństwa dla systemów IT w internecie?Jak ING planuje bezpieczeństwa dla systemów IT w internecie?

Foundation

User Access

Change Manageme

nt

Platform Security

Security Monitorin

g

IT Resiliance

IT Sourcing

22

Dziękuję za uwagę.Dziękuję za uwagę.

Grzegorz Długajczyk

ING Bank Śląski S.A.ul. Sokolska 34, 40-090 Katowicegrzegorz.dlugajczyk@ingbank.pl

Grzegorz Długajczyk

ING Bank Śląski S.A.ul. Sokolska 34, 40-090 Katowicegrzegorz.dlugajczyk@ingbank.pl

PYTANIA?PYTANIA?