informacijos saugumas: rizikos. strategija. geroji praktika€¦ · rizikų valdymas •nustatyti...
TRANSCRIPT
Informacijos saugumas: Rizikos. Strategija. Geroji praktika
Tomas Stamulis
2020-03-04
Įžanga (I)
Informacijos saugumą skirtingos
asmenų grupės suvokia skirtingai
Informacijos saugumo lygis priklauso
nuo kiekvieno asmens supratimo, kas
vieniems minimali riba, kitiems jau
„griežto rėžimo kalėjimas“.
Dažniausiai kylantis klausimas - kokias
saugumo priemones parinkti, kad jos
būtų pakankamos, ne per didelės ir ne
per brangios
Įžanga (II)
3
Konfidencialumas
Vientisumas
Pasiekiamumas
Informacijossaugumas
Kibernetinis
saugumas Asmens
duomenų
apsauga
Informacijos / duomenų tipai
Valdymo signalai
Vidinė komunikacija
Gamybinė informacija
Vieša informacija
Technologinė informacija
Darbuotojų duomenys
Klientų duomenys
Partnerių duomenys
Kopijos
Finansiniai duomenys
Istoriniai duomenys
Mokėjimų informacija
4
Grėsmės (I)
2018 m. kibernetinio saugumo grėsmės ir tendencijos, palyginti su 2017 m.
Užregistruota 25% daugiau atvejų nei 2017 metais. Apgavysčių
metodai tampa sudėtingesni ir dažniau taikomasi į organizacijas.
Kenkėjiško kodo rizika išliko didelė. Prognozuojama, kad nedidės dėl
skiriamo dėmesio kibernetinei saugai.
Didelė dalis svetainių išlieka pažeidžiamos. Savininkai neskiria
dėmesio svetainių saugumui. Viešajame sektoriuje nesaugių svetainių
sumažėjo 1%.
Susirūpinimą kelia technologinių tinklų žvalgyba (pramoninių procesų
valdymas, pvz. elektros tinklo valdymas)
Uždrausta naudoti Kasperski LAB, atliktas Yandex Taxi, Faceapp
programėlių vertinimas.
DDoS atakų skaičius mažėjo. Įtaką darė anti-DDoS apsaugos
priemonių naudojimas Lietuvos interneto infrastruktūroje.
Įrenginių saugumo spragų aptikta 21% daugiau nei 2017 metais.
Augimas susijęs su daiktų interneto augimu.
Šaltinis: Nacionalinio kibernetinio saugumo būklės ataskaita už 2018 metus
Grėsmės (II)
Numatomos didžiausios grėsmės 2020 metais
►Per lėtai keičiantis požiūris į investavimą į kibernetinį saugumą
►Kibernetinio saugumo specialistų trūkumas
►Sudėtingesnės sukčiavimo (phishing) atakos
►Specializuotos išpirkos virusų (ransomware) atakos
►Kriptovaliutų „kasimas“ panaudojant „aukų“ IT įrangą
►Hibridinių (fizinių ir kibernetinių) atakų vykdymas
►Priešiškų valstybių ar jų remiamų organizuotų grupių vykdomos kibernetinės
atakos
►Kibernetinės atakos prieš „daiktų interneto“ įrenginius
►Kibernetinės atakos prieš išmaniuosius medicinos prietaisus ir elektroninių
medicinos įrašų naudojimas nusikalstamoje veikoje
►Kibernetinės atakos prieš „prijungtus“ automobilius ar pusiau autonominius
automobilius
►Socialinė inžinerija
►Trečių šalių (partneriai, rangovai, klientai) (ne)patikimumas ar netinkami veiksmai
►Kibernetinės atakos prieš debesų kompiuteriją
6
Prarastų duomenų kiekiai „DARKNET“
• 2019 m. liepa mėn.
• 2019 m. lapkričio mėn.
• 2020 m. kovo mėn.
Šaltinis
Kibernetiniai kenkėjai
VidiniaiNekompetentingi darbuotojai
Netyčiniai darbuotojų veiksmai
Nepatenkinti darbuotojai
Apsimetėliai darbuotojai (vagys)
Išoriniai
Organizuoti užpuolikai
Teroristai
Kibernetinių nusikaltėlių grupuotės
Valstybės
Kriminaliniai nusikaltėliai
Kibernetiniai nusikaltėliai
Kibernetiniai įsilaužėliai
„Baltieji“ kibernetiniai įsilaužėliai
Atsitiktiniai
Rangovai
Pradedantys įsilaužėliai
Paslaugų naudotojai
8
Rizikų valdymas
• Nustatyti galimus pavojus (grėsmes,
grėsmių šaltinius, būdus) informacijai,
veiklos procesams, darbuotojams,
infrastruktūrai
• Nustatyti kam kyla pavojus
• Išanalizuoti koks galimas poveikis žala
įmonei ir jos turtui, koks rizikos lygis
• Įvertinti ir nustatyti prioritetus rizikų lygio ir
poveikio mažinimui
• Parinkti priemones, kurių reikia imtis
siekiant sumažinti riziką ir poveikį
• Įgyvendinti priemones, kad sumažėtų
galimas poveikis
• Stebėti ir atnaujinti rizikos vertinimą
Nustatyti
Analizuoti
Įvertinti
Parinkti
Įgyvendinti
Stebėti
9
Komunikuoti
Informacijos saugumo priemonės
• Teisinės
– Teisės aktai
– Procedūros
– Sutartys
• Organizacinės
– Mokymai
– Darbuotojų funkcijos
– Darbuotojų pareigos ir atsakomybės
– Procesai
• Techninės
– Prieigos kontrolė
– Serverių, kompiuterių, mobilių įrenginių
sauga
– Perimetro apsauga
– Kt.
Teisinės
Organizacinės
Techninės
10
???
• Kiek ir kokių priemonių, įrankių reikia?
• Kokios saugumo priemonės veikia įmonėje? Ar jos veikia efektyviai?
• Kuo pasitikėti?
• Ar naudojamos priemonės yra pakankamos?
• Geriau diegtis sprendimus pas save ar pasitelkti trečiąsias šalis?
• Kiek viskas kainuoja?
11
Informacijos saugumo strategija
Saugumo poreikių
vertinimas
Trūkumų analizė
Trūkumų šalinimo
planavimas
Saugumo strategijos
įgyvendinimo plano
parengimas
Komunikacija ir
įgyvendinimas
12
Saugumo poreikių vertinimas
Pristatyti informacijos saugumo valdymo
Suprasti veiklos (verslo) ir IT poreikius
Apibrėžti saugumo įsipareigojimus, taikymo sritį ir ribas
Įvertinti įmonei taikomus saugumo reikalavimus
Nustatyti toleruojamą rizikos lygį
Įvertinti saugumo lygio laikymąsi
• Nustatytas informacijos saugumo
pareiškimas
• Nustatytos informacijos saugumo
apimtys ir ribos
• Nustatytas toleruojamos rizikos
lygis
• Nustatytas informacijos saugumo
lygis
13
Saugumo trūkumų analizė
Įvertinti esamą saugumo būklę, galimybės ir efektyvumą
Atlikti įsilaužimų testavimą ir įvertinti rezultatus
Nustatyti siekiamo saugumo tikslo būsenos lygį
• Nustatytos informacijos saugumo
veiklos ir galimybės
• Nustatyta siekiama saugumo
būsena
14
Saugumo trūkumų šalinimo planavimas
Nustatyti informacijos saugumo trūkumus
Nustatyti reikalingas informacijos saugumo priemones
Įvertinti reikalingus resursus
Prioretizuoti priemones
Nustatyti įgyvendinimo pradžios ir pabaigos terminus ir atsakomybes
• Nustatyta esama situacija ir
reikalingos priemonės siekiamam
saugumo lygiui pasiekti
• Nustatomi reikalingi finansiniai,
žmogiškieji ir kiti ištekliai
15
Saugumo strategijos įgyvendinimo plano parengimas
Parengti saugumo įgyvendinimo gaires ir veiksmų planą
Sukurti pokyčių ir veikslų planą
Nustatyti saugumo įgyvendinimo principus
Sukurti saugumo įgyvendinimo programos organizacinę struktūrą
Sukurti saugumo programos įgyvendinimo metrikas
Sukurti saugumo veiklų sąrašą
• Patvirtintos saugumo įgyvendinimo
planas
• Nustatyti saugumo įgyvendinimo
principai
• Patvirtintas pokyčių ir
komunikacijos planas
• Nustatyti KPI
• Sudarytas saugumo veiklų sąrašas
16
Komunikacija ir įgyvendinimas
Galutinai nustatyti saugumo pokyčio siekius
Plačiai komunikuoti
Nustatyti papildomus išteklius prioritetinėms iniciatyvoms pasiekti
• Apibrėžti saugumo pokyčių siekiai
• Parengta saugumo strategija ir
įgyvendinimo planas
• Nustatytos atsakomybės
17
Gerosios praktikos
18
Šaltinis. Nacionalinis kibernetinio saugumo centras prie KAM
Šaltinis. Center for Internet Security, CIS
Kaip nuolatos reikėtų elgtis?
• Aprašyti ir stebėti informacijos saugumą,
procesus, prireikus atnaujinti;
• Rengti dokumentus ne tik pagal
reikalavimus, bet ir pasinaudoti geraja
praktika, informacijos saugumo standartais;
• Į informacijos saugumą žiūrėti ne kaip į
atskirą objektą, o integruoti į įmonės
procesų visumą;
• Pakeisti tiek savo, tiek kitų darbuotojų
požiūrį į informacijos saugumą, t.y. suprasti,
kad saugumas reikalingas visiems.
Apsaugoti
Stebėti
Audituoti / išbandyti
Valdyti / gerinti
19
Informacijos saugumo paslaugos
Informacijos saugos,
kibernetinio saugumo
auditas
Informacijos saugumo
rizikų vertinimas
Duomenų apsaugos
pareigūno (DAP),
Informacijos saugumo
vadovo (CISO) nuoma
Kibernetinio saugumo,
informacijos saugos,
duomenų apsaugos
mokymai
Asmens duomenų
apsaugos vertinimas
Informacijos saugos,
kibernetinio saugumo,
įslaptintos informacijos
dokumentacijos
rengimas
Pažeidžiamumų
vertinimas, įsilaužimų
testavimas (pentest)
Darbuotojų
kompetencijos
vertinimas socialinės
inžinerijos metodais
Auksinis (medinis) patarimas
• Nesidalinti su niekuo
• Reguliariai keistis
• Nelaikyti jų ant stalo
21
AČIŪ UŽ DĖMESĮ
Tomas Stamulis
UAB „Atea“ Informacijos saugos valdymo
grupės vadovas
Mob. Tel.: +370 652 73676
EL. p.: [email protected]