Embed Size (px)
Citation preview
Kibernetinė sauga. Vadovo požiūris
Romualdas Lečickis
CISA, CISM, CGEIT, CRISC
[email protected], +370 612 73994
UAB NRD CS
Išplėstas kibernetinės saugos supratimas
https://ccis.no/cyber-security-versus-information-security/
Ar kibernetinė sauga jau svarbi?
There are two kinds of companies.
Those that have been hacked, and
those that have been hacked but
don’t know it yet.
*House Intelligence Committee Chairman Mike Rogers.
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/1130
11CyberSecurityLegislation.pdf. 2011.
82% mano, kad kibernetinės saugos užtikrinimas yra
svarbiausias prioritetas
http://www.csc.com/cio_survey_2014_2015
91% finansinių organizacijų įvardijo kibernetinę saugą
svarbiausiu prioritetu
http://www.csc.com/cio_survey_2014_2015
Kibernetinei saugai skiriamas didžiausias dėmesys
http://www.csc.com/cio_survey_2014_2015
Vadovams dažnai trūksta informacijos
apie kibernetinę saugą
Tipinė nepakankamai informuoto vadovo savijauta:
• Aš turiu žmones, kurie rūpinasi kibernetine sauga, tačiau mes kalbame skirtingomis kalbomis.
• Aš nelabai suprantu apie ką jie kalba ir nesu tikras ar jie mane supranta. Manau, mes turime tiesiog pasitikėti vienas kitu.
• Aš suprantu, kad kibernetinė sauga svarbu, tačiau nežinau ar mes tikrai tai užtikriname. Kaip tai išmatuoti?
• Aš susirūpinęs dėl išlaidų kibernetinei saugai, nes nežinau, ar išleidžiame daug, ar mažai, ar visgi tiek, kiek reikia.
• ...
Kibernetinės saugos klausimai, į kuriuos vadovas galėtų
ieškoti atsakymų
1. Kokios kibernetinės grėsmės mums aktualios ir
kokia galima šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo kibernetinių
grėsmių?
3. Kaip mes sužinosime, kad prieš mus buvo
įvykdyta kibernetinė ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi kompetentingi
darbuotojai?
5. Ar mūsų išlaidos kibernetinei saugai adekvačios?
NIST ir ENISA patarimai. Nauda vindikacijos tarnybai
Framework for Improving Critical Infrastructure Cybersecurity, NIST February 12, 2014. http://www.nist.gov/cyberframework/
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
COBIT 5 Enabling Processes COBIT 5 for Information Security COBIT 5 for Risk Risk Scenarios Using COBIT 5 for Risk …
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Pages/default.aspx
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/CERTIFICATION/Pages/default.aspx
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Conferences/Pages/default.aspx
Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/cyber/Pages/default.aspx
CSX leidiniai
Pradžia - Cybersecurity Fundamantals Course
Temos:
1. Cybersecurity Concepts
2. Security Architecture Principles
3. Security of Networks, Systems,
Applications and Data
4. Incident Response
5. Security Implications and Adoption of
Evolving Technology
Galimybė laikyti egzaminą ir gauti sertifikatą.
Kokį standartą/metodiką naudoti?
Kaip matuoti efektyvumą?
ISO/IEC 27001:2005, ISO/IEC 27002:2005
ISO/IEC 27004:2009
NIST SP 800-53, NIST SP 800-53A, NIST SP 800-30
NIST SP 800-55
Critical Security Controls Critical Security
Controls
COBIT 5, CSX COBIT 5 for Information
Security, CSX
18
Sutarkime, ką matavimo rezultatai reiškia
http://hermentorcenter.com/2013/05/14/can-workplace-stress-ever-be-good/pouring-water-in-a-glass-collection-isolated/
19
ISO/IEC 27004:2009
• Pataria kaip matuoti
ISVS pagal ISO/IEC
27001:2005
• Pataria kaip matuoti
kontrolės priemones
pagal ISO/IEC
27002:2005
• Matavimų šablonas
• Pateikiama 14 pvz.
20
NIST SP 800-55
• Pataria, kaip įdiegti
informacijos saugos
matavimą organizacijoje
• Pateikiama 19 pvz.
• 3 tipų matavimai:
o Įgyvendinimo matavimas
o Efektyvumo matavimas
o Įtakos matavimas
21
Critical Security Controls
Konkreti informacija:
• Efektyvumo
metrikos
• Automatizavimo
metrikos
22
COBIT 5 for Information Security
• 37 IT valdymo ir
vadovavimo procesai
• Informacijos saugos tikslai
ir metrikos
23
COBIT 5 – procesų matavimo pvz.
• ~ 100 su IT sauga susijusių procesų tikslų pvz.
• ~ 100 su IT sauga susijusių procesų matavimų pvz.
24
Kokia patirtimi pasinaudoti?
COBIT 5 for Information Security, CSX
jei info/kiber sauga yra įmonės/IT valdymo integrali dalis
ISO/IEC 27004:2009 jei turime ISVS ir naudojame ISO/IEC 27001
NIST SP 800-55 jei įdomi draugiškos šalies patirtis
Critical Security Controls
jei svarbi tik kibernetinė sauga
Lietuvos teisinė bazė jei aktualu atitikti teisės aktų reikalavimams
25
Matuokime tik tai, kas yra svarbiausia
KPI Quick Wins Pvz.
𝑎 =stebimų svarbių išteklių kiekisbendras svarbių išteklių kiekis
=> 1
𝑏 =išspręstų incidentų kiekis
identifikuotų incidentų kiekis => 1
27
Atsakymai į kibernetinės saugos klausimus,
kurių vadovas galėtų ieškoti
1. Kokios kibernetinės grėsmės
mums aktualios ir kokia galima
šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo
kibernetinių grėsmių?
3. Kaip mes sužinosime, kad prieš
mus buvo įvykdyta kibernetinė
ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi
kompetentingi darbuotojai?
5. Ar mūsų išlaidos kibernetinei
saugai adekvačios?
1. Atliktas rizikos vertinimas (COBIT 5 for Risk, ISO27005, ...)
2. Įdiegtos techninės ir organizacinės priemonės, vykdomas matavimas (COBIT 5 for Security, ISACA CSX, CSC20, ISO27002...)
3. Įdiegtas stebėjimas (COBIT 5 for Security, ISACA CSX, CSC20...)
4. Sertifikuoti specialistai, naudojantys pasaulines metodikas (CISM, CISA, CRISC, CGEIT, CSX, COBIT 5 for Security, CSC20, ...)
5. Atsako rizikos vertinimas (1 punktas)
Dėkoju už dėmesį
Romualdas Lečickis
CISA, CISM, CGEIT, CRISC
[email protected], +370 612 73994, UAB NRD CS
