Click here to load reader

Risk Management vs. Cybercrime - - jak planować bezpieczeństwo przy wdrożeniu systemów IT w internecie, aby nie stać się ofiarą

  • View
    66

  • Download
    0

Embed Size (px)

DESCRIPTION

Risk Management vs. Cybercrime - jak planować bezpieczeństwo przy wdrożeniu systemów IT w internecie, aby nie stać się ofiarą

Text of Risk Management vs. Cybercrime - - jak planować bezpieczeństwo przy wdrożeniu systemów IT w...

  • 1. Risk Management vs. Cybercrime - jak planowa bezpieczestwo przy wdroeniu systemw IT w internecie, aby nie sta si ofiar - BIN GIGACON Bezpieczestwo i Niezawodno Systemw IT Grzegorz Dugajczyk ING Bank lski Warszawa, 24-25 wrzenia 2013r.
  • 2. RRISISKK M MAANNAAGGEEMMEENNTT ( (zzaarrzzddzzaannieie r ryyzzyykkieiemm)) 2 TTrroocchh t teeoorriii in naa p poocczztteekk.. PROCES identyfikacji, analizy oraz dziaa ograniczajcych i monitorujcych potencjalne ryzyko, ktry powinien by rozpoczty w trakcie planowania i realizacji zamierzonego przedsiwzicia biznesowego CCYYBBEERRCCRRIMIMEE ( (ccyybbeerrpprrzzeessttppssttwwoo)) CZYN PRZESTPCZY- dokonany przy uyciu sieci cznoci elektronicznej i systemw informatycznych lub skierowane przeciwko takim sieciom i systemom Komunikat Komisji do Parlamentu Europejskiego, Rady oraz Komitetu Regionw KOM(2007)nr 267 z dnia 22 maja 2007r. PRZESTPSTWO - przeciwko poufnoci, integralnoci i dostpnoci danych i systemw informatycznych Konwencja Rady Europy (ETS/STE No. 185) z dnia 23 listopada 2001r. NNAASSTTPPSSTTWWOO b brraakkuu n naaleleyytteeggoo p prroocceessuu z zaarrzzddzzaanniaia r ryyzzyykkieiemm
  • 3. JJaakkieie z znnaammyy z zaaggrrooeenniaia z zwwiizzaannee z z C Cyybbeerrccrrimimee 3 ZEWNTRZNE WEWNTRZNE SYSTEM INFORMATYCZNY
  • 4. Jak planowa BEZPIECZESTWO przy wdroeniu systemw IT w internecie, aby nie sta si ofiar 4 CCeel ld dzzisisieiejsjszzeeggoo w wyykkaadduu?? Jak planowa BEZPIECZESTWO przy wdroeniu systemw IT w internecie, aby nie sta si ofiar
  • 5. FUNKCJONALNO BUDET CZAS Wykonywanie Definiow anie Definiowanie 5 CCzzyy t taakk z zaazzwwyycczzaaj jz zaacczzyynnaammyy?? BEZPIECZESTWO
  • 6. JJaakkieie z zaaddaanniaia z z z zaakkrreessuu b beezzppieiecczzeessttwwaa I TIT?? Agenda Wymagania zalene od rodzaju i specyfiki danej organizacji oraz Wymagania zalene od rodzaju i specyfiki danej organizacji oraz wwiaiaddcczzoonnyycchh u ussuugg 6 Uzgodnienie architektury IT Wykonanie analizy ryzyka ITRA Wykonanie klasyfikacji BIA (umowa wsparcia ,SLA) Uzgodnienie klauzul do umowy Wykonanie klasyfikacji BIA - Ustalenie wacicielstwa - Przygotowanie wymaga - bezpieczestwa (RFP/SIWZ) . Opracowanie procedur - Opracowanie matryc rl - Opracowanie planw BCP/DR - Przygotowanie SIEMa - Wykonanie testw - bezpieczestwa - Weryfikacja klasyfikacji BIA Przegld bezpieczestwa ITRA Testy odbiorcze zgodnoci OSG Szkolenia (uwiadamiajce) Monitorowanie niezgodnoci, plan naprawczy (rekomendacje)
  • 7. Wycena i okrelenie odpowiednich poziomw Wycena i okrelenie odpowiednich poziomw ochrony Zasobw Informacji (danych) ochrony Zasobw Informacji (danych) w odniesieniu do zwizanych z nim ryzyk!!!! w odniesieniu do zwizanych z nim ryzyk!!!! 7 CCoo t too j ejesstt k klalassyyffikikaaccjaja B BIAIA?? Definiowanie Definiowanie
  • 8. NIE WSZYSTKIE ZASOBY INFORMACJI (DANE) MAJ TAK SAM WARTO I KRYTYCZNO DLA ORGANIZACJI W zalenoci od przyjtej klasyfikacji (BIA), inne bd koszty zabezpieczenia zasobw informacji (danych)!!!!! W zalenoci od przyjtej klasyfikacji (BIA), inne bd koszty zabezpieczenia zasobw informacji (danych)!!!!! 8 CCoo t too s s Z Zaassoobbyy I nInffoorrmmaaccjij i( (ddaannee))?? NIE WSZYSTKIE ZASOBY INFORMACJI (DANE) MAJ TAK SAM WARTO I KRYTYCZNO DLA ORGANIZACJI Definiowanie Definiowanie
  • 9. JJaakk w wyycceenniaiammyy p poozzioiomm o occhhrroonnyy Z Zaassoobbww I nInffoorrmmaaccjij i( (ddaannyycchh))?? Wycena i mierzalno Zasobu Informacji (danych) okrelana jest Wycena i mierzalno Zasobu Informacji (danych) okrelana jest ww t rtrzzeecchh o obbsszzaarraacchh:: Integralno CIA POUFNO sskkuutetekk n nieieaauutotoryryzzoowwaanneeggoo u ujajawwnnieienniaia Z Zaassoobbww I nInfoformrmaaccjij i/ d/daannyycchh/ / INTEGRALNO sskkuutetekk n nieieaauutotoryryzzoowwaanneej jz zmmiaiannyy Z Zaassoobbww I nInfoformrmaaccjij i/ d/daannyycchh/ / DOSTPNO sskkuutetekk b brarakkuu d doossttppnnoocci iZ Zaassoobbww I nInfoformrmaaccjij i/ d/daannyycchh/ / 9 Definiowanie Definiowanie Dostpno Poufno
  • 10. Wybrane przykady informacji koniecznej do wyceny potencjalnych strat: gdzie bd znajdowa si Zasoby Informacyjne (dane) kto bdzie Wacicielem danych (jaka jednostka wewntrzna firmy/przedsibiorstwa) jakie dokadnie bd przetwarzane i przechowywane dane jak istot dziaania przetwarzane dane peni bd dla organizacji oraz klientw jak du strat moe spowodowa ryzyko ich ujawnienia jakie duy wpyw na dziaalno operacyjn moe mie potencjalna modyfikacja danych jak utrata bd niedostpno danych zaburzy kluczowe procesy firmy/przedsibiorstwa kto bdzie mia dostp do danych i w jaki sposb jaki powinien by maksymalny czas odtworzenia danych po awarii z jakiego okresu czasu dopuszczalna jest trwaa utrata danych itd.. gdzie bd znajdowa si Zasoby Informacyjne (dane) kto bdzie Wacicielem danych (jaka jednostka wewntrzna firmy/przedsibiorstwa) jakie dokadnie bd przetwarzane i przechowywane dane jak istot dziaania przetwarzane dane peni bd dla organizacji oraz klientw jak du strat moe spowodowa ryzyko ich ujawnienia jakie duy wpyw na dziaalno operacyjn moe mie potencjalna modyfikacja danych jak utrata bd niedostpno danych zaburzy kluczowe procesy firmy/przedsibiorstwa kto bdzie mia dostp do danych i w jaki sposb jaki powinien by maksymalny czas odtworzenia danych po awarii z jakiego okresu czasu dopuszczalna jest trwaa utrata danych itd.. WARTO Zasobw Informacji (danych), ktre naley chroni oraz wymagania bezpieczestwa, konieczne do zapewnienia ich ochrony 10 CCoo z zoossttaannieie u ussttaalolonnee w w t trraakkccieie B BIAIA?? Definiowanie Definiowanie WARTO Zasobw Informacji (danych), ktre naley chroni oraz wymagania bezpieczestwa, konieczne do zapewnienia ich ochrony
  • 11. Kto Kto j ejesstt z zaaaannggaaoowwaannyy w w k klalassyyffikikaaccjj B BIAIA?? Waciciel Biznesowy przekazuje informacje zwizane z aspektami biznesowymi systemu/aplikacji, istotne dla oceny dostpnoci i krytyczno danych oraz wanoci zasobw informacji (danych) i wycenia potencjalne straty Waciciel Biznesowy przekazuje informacje zwizane z aspektami biznesowymi systemu/aplikacji, istotne dla oceny dostpnoci i krytyczno danych oraz wanoci zasobw informacji (danych) i wycenia potencjalne straty Waciciel Zasobw przekazuje informacje istotne z obszaru przyszego zarzdzania systemem/aplikacj oraz wspiera Waciciela Biznesowego Waciciel Zasobw przekazuje informacje istotne z obszaru przyszego zarzdzania systemem/aplikacj oraz wspiera Waciciela Biznesowego Ekspert IT przekazuje informacje zwizane z technologi, konfiguracj, administracj, architektur IT oraz wspiera Waciciela Biznesowego Ekspert IT przekazuje informacje zwizane z technologi, konfiguracj, administracj, architektur IT oraz wspiera Waciciela Biznesowego Oficer Bezpieczestwa przekazuje informacje zwizane z obszaru bezpieczestwa systemu / danych i koordynuje ocen ryzyka zaproponowan przez zaangaowanych Uczestnikw klasyfikacji BIA Oficer Bezpieczestwa przekazuje informacje zwizane z obszaru bezpieczestwa systemu / danych i koordynuje ocen ryzyka zaproponowan przez zaangaowanych Uczestnikw klasyfikacji BIA 11 Definiowanie Definiowanie
  • 12. Jakie w Jakie wyymmaaggaanniaia b beezzppieiecczzeessttwwaa d doo R RFFPP/S/SIWIWZZ?? 12 Definiowanie Definiowanie
  • 13. CCzzyy a arrcchhititeekkttuurraa, ,s sieie i ii nintteeggrraaccjaja z z s syysstteemmaammi ij ejesstt w waannaa?? WebServices (SOA) LoadBalancer DDOS Protector/IPS 13 Firewalls Firewalls WebServers Pracownicy Administratorzy Wsparcie POUFNO INTEGRALNO DOSTPNO Projektowanie Projektowanie
  • 14. Okrelone dziaanie skierowane do obnienia wpywu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich Okrelone dziaanie skierowane do obnienia wpywu ryzyka na Zasoby Informacji (dane) i podejmowanie odpowiednich rodkw przeciwdziaania i minimalizacji ryzyka rodkw przeciwdziaania i minimalizacji ryzyka 14 CCoo t too j ejesstt a annaalilzizaa r ryyzzyykkaa?? Projektowanie Projektowanie
  • 15. Co Co p poowwininnnaa o obbeejmjmoowwaa a annaalilzizaa r ryyzzyykkaa - - o obbsszzaarr k koonnttrroolil?i? Projektowanie Projektowanie Kontrola spenienia wymaga bezpieczestwa (techniczna i organizacyjna) Obszar techniczny: Kontrola dostpu (autentykacja/autoryzacja) Ochrona danych (przesyanie/przechowywanie) Konfiguracja infrastruktury/systemw/DB Monitoring i logowanie zdarze Role systemowe/stanowiskowe Technologia/architektura Hosting/Cloud Computing Zdalne wsparcie Obszar techniczny: Kontrola dostpu (autentykacja/autoryzacja) Ochrona danych (przesyanie/przechowywanie) Konfiguracja infrastruktury/systemw/DB Monitoring i logowanie zdarze Role systemowe/stanowiskowe Technologia/architektura Hosting/Cloud Computing Zdalne wsparcie 15 Obszar organizacyjny: Polityki bezpieczestwa Standardy/Dobre praktyki Ustawy/Rozporzdzenia/Regulacje Procedury Normy Instrukcje/Wytyczne organizacji Umowy/porozumienia Obszar organizacyjny: Polityki bezpieczestwa Standardy/Dobre praktyki Ustawy/Rozporzdzenia/Regulacje Procedury Normy Instrukcje/Wytyczne organizacji Umowy/porozumienia Ocena zagroe, podatnoci, wycena ryzyk i zdefiniowanie dziaa naprawczych
  • 16. CCoo p poowwininnnaa o obbeejmjmoowwaa a annaalilzizaa r ryyzzyykkaa o obbsszzaarr o occeennyy?? Projektowanie Projektowanie Kontrola spenienia wymaga bezpieczestwa (techniczna i organizacyjna) Ocena zagroe, podatnoci, wycena ryzyk i zdefiniowanie dziaa naprawczych 16 Prawdopodobiestwo zdarzenie szacowane nastpstwo, ktre moe wystpi w okrelonym czasie (np. moliwe, prawdopodobne, itd.) Wielko ryzyka - okrela kombinacj podatnoci i prawdopodobiestwa, ktre moe wynika z zagroenia i spowodowa straty, okrelone w klasyfikacji BIA (np. wysokie, rednie, niskie) Dziaania mitygujce powinny zosta okrelone w trakcie analizy ryzyka i najlepiej wykonane przed uruchomieniem produkcyjnym systemu IT, usugi Okrelenie zagroe i potencjalnych podatnoci Okrelenie zagroe i potencjalnych podatnoci Zagroenie zjawisko wywoane wskutek istnienia podatnoci Podatno - luka, bd ktra moe zosta wykorzystana przez dane zagroenie Okrelenie prawdopodobiestwa wystpienia zdarzenia Okrelenie prawdopodobiestwa wystpienia zdarzenia Okrelenie wielkoci ryzyka, wpywu na organizacj i jego szczegowej wyceny Okrelenie wielkoci ryzyka, wpywu na organizacj i jego szczegowej wyceny Zdefiniowanie planu naprawczego (dziaa mitygujcych ryzyko) lub ich akceptacj Zdefiniowanie planu naprawczego (dziaa mitygujcych ryzyko) lub ich akceptacj
  • 17. Klauzule do umowy Klauzule do umowy d dlala D Doossttaawwccww - - j ajakkieie i ik kieieddyy?? 1. Umowa poufnoci (NDA) 2. Fizyczny dostp do zasobw Zleceniodawcy (serwerownie, poruszanie si po budynku) 3. Logiczny dostp do zasobw Zleceniodawcy (dostp do infrastruktury LAN) 4. Zdalny dostp do zasobw Zleceniodawcy ( w jaki sposb, kiedy i jak) 5. Prawo do akceptacji Podwykonawcw (kto, jaki zakres usug, itd.) 6. PES (kwalifikacje, tosamo, kompetencje, referencje) Zleceniobiorcy/Podwykonawcy 7. Sposb i zakres przekazywania danych do Zleceniobiorcy 8. Sposb ochrony danych, wymagany i uzgodniony przez strony 9. Szczeglne zapisy dot. przetwarzania w chmurze (Cloud Computing) 10. Okrelone procedury reagowania na incydenty/zdarzenia przez Zleceniobiorc 11. Zasady zwrotu przekazanych danych / know-how w przypadku zakoczenia wsppracy 12. Prawo Zleceniodawcy (lub wyznaczonej przez niego firmy audytorskiej) do audytu Zleceniobiorcy 1. Umowa poufnoci (NDA) 2. Fizyczny dostp do zasobw Zleceniodawcy (serwerownie, poruszanie si po budynku) 3. Logiczny dostp do zasobw Zleceniodawcy (dostp do infrastruktury LAN) 4. Zdalny dostp do zasobw Zleceniodawcy ( w jaki sposb, kiedy i jak) 5. Prawo do akceptacji Podwykonawcw (kto, jaki zakres usug, itd.) 6. PES (kwalifikacje, tosamo, kompetencje, referencje) Zleceniobiorcy/Podwykonawcy 7. Sposb i zakres przekazywania danych do Zleceniobiorcy 8. Sposb ochrony danych, wymagany i uzgodniony przez strony 9. Szczeglne zapisy dot. przetwarzania w chmurze (Cloud Computing) 10. Okrelone procedury reagowania na incydenty/zdarzenia przez Zleceniobiorc 11. Zasady zwrotu przekazanych danych / know-how w przypadku zakoczenia wsppracy 12. Prawo Zleceniodawcy (lub wyznaczonej przez niego firmy audytorskiej) do audytu Zleceniobiorcy w zakresie wiadczenia usugi i powierzonych danych w zakresie wiadczenia usugi i powierzonych danych 17 Projektowanie Projektowanie U UMMOOWWYY w wssppaarcrciaia, ,h hoosstitningguu, ,c coonnssuultlitningguu, ,w wddroroeenniaia, ,i tidtd....
  • 18. Dziaania realizowane Dziaania realizowane ww t trraakkccieie f faazzyy w wyykkoonnyywwaanniaia?? Opracowanie procedur Opracowanie matryc rl Przygotowanie SIEMa Opracowanie BCP/DR Wykonanie testw bezpieczestwa 18 W ykonywanie Wykonywanie
  • 19. Dziaania re Dziaania reaalilzizoowwaannee w w t trraakkccieie f faazzyy w wddrrooeenniaia?? 19 Wdroenie Wdroenie
  • 20. Podsumowanie Risk Ma Podsumowanie Risk Mannaaggeemmeenntt j ajakk t too z zrroozzuummieie?? Uproszczony model zarzdzania ryzykiem IT Przegld zalece naprawczych Ponowna wycena ryzyk Plan naprawczy (zalecenia lub akceptacja ryzyka) 20 Klasyfikacja zasobw informacji (danych) Klasyfikacja zasobw informacji (danych) Ocena zagroe Ocena zagroe Ocena podatnoci Ocena podatnoci Ocena prawdopodobiestwa Ocena prawdopodobiestwa Okrelenie/wycena ryzyka i zalece naprawczych Okrelenie/wycena ryzyka i zalece naprawczych Cykliczna kontrola zalece naprawczych Cykliczna kontrola zalece naprawczych Weryfikacja zmitygowanego ryzyka (planu naprawczego i ryzyk pozostaych) Weryfikacja zmitygowanego ryzyka (planu naprawczego i ryzyk pozostaych) 11 22 33 44 High Medium Low Przegld zalece naprawczych Ponowna wycena ryzyk Plan naprawczy (zalecenia lub akceptacja ryzyka)
  • 21. Jak ING planuje bezpieczestwa Jak ING planuje bezpieczestwa d dlala s syysstteemmww I TIT w w i nintteerrnneeccieie?? Foundation 21 User Access Change Management Platform Security IT Sourcing Security Monitoring IT Resiliance
  • 22. 22 DDzziikkuujj z zaa u uwwaagg.. Grzegorz Dugajczyk Grzegorz Dugajczyk ING Bank lski S.A. ul. Sokolska 34, 40-090 Katowice [email protected] ING Bank lski S.A. ul. Sokolska 34, 40-090 Katowice [email protected] PYTANIA? PYTANIA?