seminář cybersecurity ii - cisco.com · •segmentace pomocí dmz => dojde ke zvýšení...

Seminář CyberSecurity II

AGENDA

2

1. Implementace ZKB

2. Organizační opatření

3. Technická opatření

Implementace ZKB

Michal Zedníček

Security Consultant

ALEF NULA

1. Formální cíl: soulad se ZKB

2. Věcný cíl: Systematické Plánování/Dosažení/Controlování/A zlepšování bezpečnosti ICT

CÍLE ZKB

4

Postup implementace ZKB - 1.poločasGAP Analýza

• Cíl: hodnocení stávajícího prostředí

• Časový milník: hned

• Výsledek: Zpráva o stavu prostředí k ZKB

IMPLEMENTACE ZKB

5

Postup implementace ZKB - 2.poločasRealizace organizačních a technických opatření, dokumentace

• Cíl: Plný soulad se ZKB

• Časový milník: konec překlenovací lhůty

• Výsledek Etapa 1: Plán zvládání rizik

• Výsledek Etapa 2: soulad se ZKB a zabezpečené ICT

IMPLEMENTACE ZKB

6

Realizace organizačních a technických opatření, dokumentace, certifikaceOrganizační opatření• Stanovení cílů, naplánování a popsání cesty, nastavení procesů

Technická opatření• Implementace technických nástrojů s ohledem na Plán zvládání rizik

Dokumentace• Definice procesů a jejich zaznamenání písemnou formou

Certifikace• Zjednodušení kontroly státem

IMPLEMENTACE ZKB

7

Organizační opatřeníPlánování

• Povzbuzují k plánování činností

Plán zvládání rizik

• Klíčový dokument popisující postup implementace ZKB

Procesy

• Vedou k zavedení chování podle ZKB – „procesů“

ORGANIZAČNÍ OPATŘENÍ

8

Technická opatřeníImplementace technických opatření

• Zvolení priority implementačních projektů podle Plánu zvládání rizik

• Integrita s Organizačními opatřeními

TECHNICKÁ OPATŘENÍ

9

DokumentaceObsah a rozsah

• Vzor i povinnosti v ZKB

Cíle dokumentace

• Doklad naplnění ZKB

• Nástroj k efektivnímu rozvoji

• Nástroj pro efektivní řešení problémů

DOKUMENTACE

10

CertifikaceSystém řízení informační bezpečnosti je možné ověřit

• Implementace ZKB je přípravou na certifikační audit ISO/IEC 27001

Výhody certifikace

• Usnadnění auditu státní správou

• Nezávislý pohled na řízení informační bezpečnosti

CERTIFIKACE

11

SHRNUTÍ

12

1. GAP analýza

2. Organizační opatření k Plánu zvládání rizik

3. Organizační opatření dle Plánu zvládání rizik

4. Implementace technických opatření

+ průběžné vytváření/doplňování dokumentace

+ certifikace (volitelně)

Pohled na Organizační opatření

Michal Zedníček

Security Consultant

ALEF NULA

VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI

14

Organizační opatření§ 3 Systém řízení bezpečnosti informací§ 4 Řízení rizik§ 5 Bezpečnostní politika§ 6 Organizační bezpečnost§ 7 Stanovení bezpečnostních požadavků pro dodavatele§ 8 Řízení aktiv§ 9 Bezpečnost lidských zdrojů§ 10 Řízení provozu a komunikací§ 11 Řízení přístupu a bezpečné chování uživatelů§ 12 Akvizice, vývoj a údržba§ 13 Zvládání kybernetických bezpečnostních událostí a incidentů§ 14 Řízení kontinuity činností§ 15 Kontrola a audit


15

§3 Systém řízení bezpečnosti informacíStanovení hranic systému

• Kde systém začíná a končí

Stanovení etalonu

• Vzorem je ZKB

Zavedení PDCA

• Rozdíly KII a VIS ve zpětné vazbě


16

§4 Řízení rizikMetodika identifikace a hodnocení aktiv a rizik

• Přílohy 1 a 2 VKB

Scénáře hrozeb a zranitelností

• Předepsané oblasti k řešení

Významný milník

• Dokument Plán zvládání rizik


17

§5 Bezpečnostní politikaPovinné oblasti pro bezpečnostní politiku

• 14 pro VIS, 21 pro KII

Souvislost

• Povinnost znalosti pro všechny role, zahrnutí do Plánu rozvoje bezpečnostního povědomí


18

§6 Organizační bezpečnostKompetence řízení informační bezpečnosti v rukách Výboru pro řízení kybernetické bezpečnosti

• Stanovení rolí a jejich kompetencí

Přepsané role pro KII

• Manažer, Architekt, Auditor Kybernetické bezpečnosti

• Garanti aktiv


19

§7 Stanovení bezpečnostních požadavků pro dodavateleDohoda o pravidlech

• Forma ustanovení ve smlouvě, smlouva o úrovni služeb

Analýza rizik

• KII řídí rizika spojená s dodavateli


20

§8 Řízení aktivPráce s aktivy

• Identifikace, hodnocení, klasifikace aktiv

Metodika

• Příloha č. 1 VKB

Kompetence za aktiva

• Garanti aktiv


21

§9 Bezpečnost lidských zdrojůŠkolení osob

• Vstupní a pravidelná školení všech osob, včetně evidence

• Dokument Plán rozvoje bezpečnostního povědomí

Další povinnosti

• Vedení přístupových oprávnění

• Kontrola dodržování bezpečnostní politiky

• Zajištění vrácení svěřených aktiv a odebrání přístupových práv při ukončení smluvního vztahu


22

§10 Řízení provozu a komunikacíDetekce KBU

• Za pomoci §21 a §23

Bezpečný provoz

• Zajištění bezpečného provozu, stanovení provozních pravidel a postupů


23

§11 Řízení přístupu a bezpečné chování uživatelůPovinnost řízení přístupu

• Včetně ochrany autorizačních údajů


24

§12 Akvizice, vývoj, údržbaŘešení změn IS nebo KS

• Bezpečnostní požadavky zahrnuty do projektu akvizice, vývoje a údržby


25

§13 Zvládání KBU a KBIKBU

• Detekce včetně vyhodnocení

KBI

• Klasifikace a hlášení

• Hodnocení příčiny, účinnost řešení a nastavení opatření


26

§14 Řízení kontinuity činnostíStanovuje cíle řízení kontinuity formou

• Minimální přijatelná úroveň poskytovaných služeb

• Doba obnovení chodu na minimální přijatelnou úroveň

• Doba obnovení dat

Stanovuje strategii řízení kontinuity činností

• Musí obsahovat naplnění cílů řízení kontinuity


27

§15 Kontrola a audit kybernetické bezpečnostiIntegrace s dalšími zákony

• Posuzuje se soulad s jinými právními a regulatorními předpisy

Kontrola systému řízení informační bezpečnosti

• Plán, postup a evidence pravidelných kontrol

Thank you!

Pohled na technická opatření

Petr Vácha

Security Manager

ALEF NULA

• § 16 Fyzická bezpečnost

• § 17 Nástroj pro ochranu integrity komunikačních sítí

• § 18 Nástroj pro ověřování identity uživatelů

• § 19 Nástroj pro řízení přístupových oprávnění

• § 20 Nástroj pro ochranu před škodlivým kódem

• § 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a správců

• § 22 Nástroj pro detekci kybernetických bezpečnostních událostí

• § 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí

• § 24 Aplikační bezpečnost

• § 25 Kryptografické prostředky

• § 26 Nástroje pro zajištění vysoké úrovně dostupnosti

• § 27 Bezpečnost průmyslových a řídicích systémů

PŘEHLED TECHNICKÝCH OPATŘENÍ (VYHLÁŠKA)

• Pochopení PODSTATY činnosti organizace => vyspecifikovánídůležitých částí v rámci ICT, lidských zdrojů, …

• Smysluplné aplikování požadavků ZKB => aplikuje se dle plánu na zvládání rizik

• Nedělejme si to složitější než je to nutné

• Zákon vychází z „best practice“ pro dané oblasti

• Nutnost prozkoumat všechny paragrafy

KDE, JAK A PROČ APLIKOVAT ?

• § 16 Fyzická bezpečnost

–VIS i KII – zamezení neoprávněnému vstupu, zamezení poškození a zásahům, kompromitace aktiv

–KII – ochrana objektů, ochrana vymezených prostor s technickými aktivy, ochrana jednotlivých technických aktiv

–Prostředky fyzické bezpečnosti – mechanické zábranné, EZS, systémy pro kontrolu vstupu, kamerové systémy, ochrana před výpadkem el. en., systémy pro zajištění optimálních provoz. podmínek


• Řešení fyzické bezpečnosti

- kamerové systémy

- EZS

- čipové ověřování

- biometrické ověřování

- klimatizace

- UPS

- Diesel agregáty pro napájení

- …

§ 16 - FYZICKÁ BEZPEČNOST

• § 17 Nástroj pro ochranu integrity komunikačních sítí

– VIS i KII – ochrana integrity rozhraní vnější a vnitřní sítě

• řízení bezpečného přístupu mezi vnější a vnitřní sítí

• segmentace pomocí DMZ => dojde ke zvýšení bezpenosti aplikací v DMZ a k zamezení přímé komunikace mezi vnější a vnitřní sítí

• šifrování vzdáleného přístupu a u přístupu pomocí bezdrátových technologií

• odstranění nebo blokování informací, které neodpovídají požadavkům na ochranu integrity KS

– KII - ochrana integrity vnitřní sítě její segmentací (DMZ ...)


• Řešení ochrany integrity komunikačních sítí - Firewally, Next Generation Firewally,- 802.1x- Intrusion Prevention System- LAN přepínače- Směrovače- Segmentace sítě- VPN brány- WiFi prvky- Vhodně aplikovaný design sítě dle „best practice“- …

§ 17 - NÁSTROJ PRO OCHRANU INTEGRITY


–VIS+KII – nástroje pro ověření identity musí zajistit

• Ověření identity všech uživatelů a administrátorů

• Minimální délka hesla je 8 znaků

• Minimální složitost hesla vyžaduje alespoň 3 ze 4 parametrů: jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak

• Maximální doba platnosti hesla je 100 dní



–KII – zvýšené nároky na politiku hesel

• Zajištění kontroly dříve použitých hesel

• Zamezení více násobné změn hesla jednoho uživatele během definovaného období (nejméně 24 hodin)

• Vynucení minimální délky hesla u administrátorských účtů 15 znaků


• Řešení nástrojů pro ověřování identity uživatelů- Požadavky na komplexitu hesel a pravidelnou obměnu, …

- Obvykle nastaveno v nějaké adresářové službe ActiveDirectory, LDAP

- Nezapomínat na aplikační služby vytvořené na zakázku

- Ověrovat lze na různých místech sítě. Obecně platí, čím dříve, tím lépe

- BYOD, 802.1x

- …

§ 18 - NÁSTROJ PRO OVĚŘOVÁNÍ IDENTITY

• § 19 Nástroj pro řízení přístupových oprávnění

–VIS i KII – musí se použít nástroje pro řízení přístupových oprávnění, které musí zajistit

• Řízení oprávnění uživatelů pro přístup k aplikacím a datovým souborům

• Řízení oprávnění pro čtení, zápis dat a pro změna oprávnění

–KII – povinnost zaznamenávat použití přístupových oprávnění


• Řešení nástrojů pro řízení přístupových oprávnění

- Definice práv na úrovni aplikací a operačních systémů

- Nezapomínat na klíčové aplikace tvořené na zakázku

- I firewall řídí přístupová oprávnění (minimálně na základě IP adres)

- 802.1x a BYOD je skvělý způsob řízení přístupu

- …

§ 19 - NÁSTROJ PRO ŘÍZENÍ PŘÍSTUPOVÝCH OPRÁVNĚNÍ

• § 20 Nástroj pro ochranu před škodlivým kódem

–VIS i KII – povinnost použití nástrojů pro antivirovou ochranu

• Ověření a kontrola komunikace mezi vnější a vnitřní sítí

• Ověření a kontrola serverů a sdílených datových uložišť

• Ověření a kontrola pracovních stanic

• Požadavek na pravidelnou aktualizaci definic a signatur


• Řešení ochrany před škodlivým kódem

- Anvirus a antimalware řešení pro koncové stanice, servery, datová uložiště

- Ideální je řešit tyto hrozby u vstupu do sítě (Web, Email, FTP brány, NGFW …)

- Klasické antivirové kontroly již nedostačují a je nutné používat pokročilejší techniky na odhalování malwaru

- …

§ 20 - NÁSTROJ PRO OCHRANU PŘED ŠKODLIVÝM KÓDEM

• § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů

– VIS i KII – má povinnost použít nástroje pro zaznamenávání činností, které zajistí

• Sběr informací o provozních a bezpečnostních událostech

• Zaznamenání zejména událostí

– typ činnosti

– přesný čas události (synchronizace času min. každých 24 hodin)

– identifikace technického aktiva, který činnost zaznamenal

– identifikace původce a místa činnosti

– úspěšnost či neúspěšnost činnosti

• Ochranu informací před neoprávněným čtením a změnou


• § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů

– VIS i KII zaznamenává

- přihlášení a odhlášení uživatelů a administrátorů

- činnosti provedené administrátory

- činnosti vedoucí ke změně oprávnění

- neúspěšné činnosti

- spuštění a ukončení práce systému

- varovná nebo chybová hlášení

- přístupy logům, pokus o manipulaci

- použití mechanismů identifikace a autentizace, včetně změn údajů k přihlášení


• § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů pro KII

–Povinnost uchovávat logy min. 3 měsíce


• Řešení pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů

- Logování z klíčových aplikací

- Aplikace na míru mají často nedostatky vůči požadavkům na logování

- Logování na úrovni OS (auditování)

- Logování přístupu a práce se síťovými prvky (TACACS, radius, syslog …)

- Nejlépe zvolit aplikaci „sběrač logů“ pro centrální sběr událostí

- …

§ 21 - NÁSTROJ PRO ZAZNAMENÁVÁNÍ ČINNOSTÍ KII A VIS

• § 22 Nástroj pro detekci kybernetických bezpečnostních událostí (KBU)

–VIS i KII

• povinnost použití nástroje pro detekci KBU

• zajištění ověření, kontroly a případné blokování komunikace mezi vnitřní a vnější sítí

–KII

• ověření, kontrola a případné blokování komunikace v rámci vnitřní komunikační sítě

• ověření, kontrola a případné blokování komunikace v rámci určených serverů


• Řešení pro detekci kybernetických bezpečnostních událostí (KBU)

- Vyhodnocování útoků pomocí Intrusion PreventionSystemů

- Řešení problematiky DoS a DDoS (Pozor! IPS, firewally nejsou nástroje pro efektivní řešení těchto hrozeb)

- Next Generation Firewally mají rozšířenou aplikační kontrolu

- Nástroje pro behaviorální analýzu provozu

§ 22 - NÁSTROJ PRO DETEKCI KBU

• § 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII

–povinné použití nástroje pro sběr a vyhodnocení KBU

–poskytnutí informací o KBU bezpečnostním rolím

–nepřetržité vyhodnocování KBU

– stanovení bezpečnostní politiky pro použití a údržbu nástroje

–pravidelná aktualizace nastavených pravidel pro zpřesnění chodu nástroje pro vyhodnocování KBU

– zajištění využívání získaných informací o KBU k optimalizaci bezpečnostních vlastností ICT


• Řešení pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII

- Sběr a vyhodnocení událostí z pohledu bezpečnosti

- Řeší se nasazením SIEMu

- Co sledovat ? Správná analýza rizik a bezpečnostní politika vyznamně napoví.

§ 23 - NÁSTROJ PRO SBĚR A VYHODNOCENÍ KBU UDÁLOSTÍ

• § 24 Aplikační bezpečnost

– VIS i KII – provádí se bezpečnostní testy aplikací, které jsou přístupné z vnější sítě před uvedením do provozu a po každé zásadní změně bezpečnostních mechanizmů

– KII – zajišťuje ochranu aplikací a informací dostupných z vnějších sítí

• neoprávněnou činností

• popřením provedených činností

• kompromitací nebo neautorizovanou změnou

• transakcí před nedokončením, nesprávným směrováním, neautorizovanou změnou, kompromitací, neautorizovaným duplikováním, opakováním


• Řešení nástrojů pro aplikační bezpečnost

- U kritických aplikací je pro KII nutný specializovaný aplikační firewall

- Je nutné aplikace pravidelně prověřovat pomocí auditovacích a penetračních nástrojů

- …

§ 24 - APLIKAČNÍ BEZPEČNOST

• § 25 Kryptografické prostředky

–VIS i KII – stanovuje bezpečnostní politiku pro používání kryptografické ochrany

• Typ a síla kryptografického algoritmu

• Ochrana citlivých dat při přenosu po KS, při uložení na mobilní zařízení nebo na vyměnitelná média

–Povinnost kryptografickými prostředky zajistit

• Ochranu důvěryhodnosti a integrity předávaných nebo ukládaných dat

• Prokázání odpovědnosti za provedené činnosti


• § 25 Kryptografické prostředky dle přílohy č. 3– KII – stanovení požadavků na správu a minimálních požadavků na sílu šifrovacích klíčů

• Symetrické algoritmy – blokové a proudové šifry

– AES (128,192,256), RC4 (min. 128), SNOW 2.0 (128,256) …

– Omezené použití pro 3DES (168) ... => migrace na AES

• Symetrické algoritmy – šifrovací módy pro integritu dat

– HMAC, CBC-MAC-EMAC,CMAC

– Omezené použití pro CBC-MAC-X9.19

• Asymetrické algoritmy – pro technologii digitálního podpisu

– DSA (min. 2048,224), EC-DSA (min. 224), EC-DSA (min. 224), RSA PSS (min. 2048)

• Asymetrické algoritmy – pro procesy dohod na klíči a šifrování klíčů

– Diffie-Hellman (min.2048,224), ECDH (min.224), ECIES-KEM (min.256), PSEC-KEM (min.256), (ACE-KEM (min.256), RSA-OAEP (min.2048), RSA-KEM (min.2048)

• Algoritmy hash funkcí

– SHA2 (SHA-224, SHA-256, SHA-384, SHA-512/224, SHA-512/256)

– RIPEMD-160

– Whirpool

– SHA1 nepoužívat v podepisovaných algoritmech


• Řešení nástrojů pro kryptografickou bezpečnost

- Nutné prověřit aktivní prvky, aplikace i operační systémy z hlediska podporovaných šifrovacích standardů

- Je nutné řešit i mobilní zařízení a přenosná datové uložiště

- …

§ 25 - KRYPTOGRAFICKÉ PROSTŘEDKY

• § 26 Nástroje pro zajištění vysoké úrovně dostupnosti pro KII

–použití nástrojů pro vysokou úroveň dostupnosti a odolnosti, které zajistí

• Potřebnou úroveň kontinuity činností

• Odolnost vůči útokům (KBU) na snížení dostupnosti

• Zálohováním důležitých technických aktiv

–Využitím redundance v návrhu

–Zajištěním výměny vadných technických aktiv v definovaném čase


• Zajištění vysoké úrovně dostupnosti pro KII- Použitém redudantního designu pokud to je nutné a finančně opodstatněné

- Je možné si nasmlouvat službu na výměnu pod SLA

- Je nutné pravidelně prověřovat dodavatele

§ 26 - ZAJIŠTĚNÍ VYSOKÉ ÚROVNĚ DOSTUPNOSTI

• § 27 Bezpečnost průmyslových a řídicích systémů pro KII

–Omezení fyzického přístupu k průmyslovým a řídícím systémům

–Omezení propojení a vzdáleného přístupu k průmyslovým a řídícím systémům

–Ochrana jednotlivých technických aktiv před známými zranitelnostmi

–Obnovení chodu po kybernetickém bezpečnostním incidentu


• Zajištění bezpečnost průmyslových a řídicích systémů pro KII

- Obvykle se jedná o sítě typu SCADA

- Sítě typu SCADA = nízké riziko, ale hrozba vysoká

- SCADA má velmi nízkou úroveň zabezpečení

- Rizika jsou hodně spjaty i s fyzickou bezpečností

- Obvykle komplikované řízení přístupu pro externí dodavatele

- Nutnost oddělení od běžného uživatelského provozu

- Je vhodný spíše konzervativní „neinvazivní“ model zabezpečení

§ 27 - BEZPEČNOST PRŮMYSLOVÝCH A ŘÍDICÍCH SYSTÉMŮ

Thank you!

seminář cybersecurity ii - cisco.com · •segmentace pomocí dmz => dojde ke zvýšení...

Documents