seminář cybersecurity ii - cisco.com · •segmentace pomocí dmz => dojde ke zvýšení...
TRANSCRIPT
Seminář CyberSecurity II
AGENDA
2
1. Implementace ZKB
2. Organizační opatření
3. Technická opatření
Implementace ZKB
Michal Zedníček
Security Consultant
ALEF NULA
1. Formální cíl: soulad se ZKB
2. Věcný cíl: Systematické Plánování/Dosažení/Controlování/A zlepšování bezpečnosti ICT
CÍLE ZKB
4
Postup implementace ZKB - 1.poločasGAP Analýza
• Cíl: hodnocení stávajícího prostředí
• Časový milník: hned
• Výsledek: Zpráva o stavu prostředí k ZKB
IMPLEMENTACE ZKB
5
Postup implementace ZKB - 2.poločasRealizace organizačních a technických opatření, dokumentace
• Cíl: Plný soulad se ZKB
• Časový milník: konec překlenovací lhůty
• Výsledek Etapa 1: Plán zvládání rizik
• Výsledek Etapa 2: soulad se ZKB a zabezpečené ICT
IMPLEMENTACE ZKB
6
Realizace organizačních a technických opatření, dokumentace, certifikaceOrganizační opatření• Stanovení cílů, naplánování a popsání cesty, nastavení procesů
Technická opatření• Implementace technických nástrojů s ohledem na Plán zvládání rizik
Dokumentace• Definice procesů a jejich zaznamenání písemnou formou
Certifikace• Zjednodušení kontroly státem
IMPLEMENTACE ZKB
7
Organizační opatřeníPlánování
• Povzbuzují k plánování činností
Plán zvládání rizik
• Klíčový dokument popisující postup implementace ZKB
Procesy
• Vedou k zavedení chování podle ZKB – „procesů“
ORGANIZAČNÍ OPATŘENÍ
8
Technická opatřeníImplementace technických opatření
• Zvolení priority implementačních projektů podle Plánu zvládání rizik
• Integrita s Organizačními opatřeními
TECHNICKÁ OPATŘENÍ
9
DokumentaceObsah a rozsah
• Vzor i povinnosti v ZKB
Cíle dokumentace
• Doklad naplnění ZKB
• Nástroj k efektivnímu rozvoji
• Nástroj pro efektivní řešení problémů
DOKUMENTACE
10
CertifikaceSystém řízení informační bezpečnosti je možné ověřit
• Implementace ZKB je přípravou na certifikační audit ISO/IEC 27001
Výhody certifikace
• Usnadnění auditu státní správou
• Nezávislý pohled na řízení informační bezpečnosti
CERTIFIKACE
11
SHRNUTÍ
12
1. GAP analýza
2. Organizační opatření k Plánu zvládání rizik
3. Organizační opatření dle Plánu zvládání rizik
4. Implementace technických opatření
+ průběžné vytváření/doplňování dokumentace
+ certifikace (volitelně)
Pohled na Organizační opatření
Michal Zedníček
Security Consultant
ALEF NULA
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
14
Organizační opatření§ 3 Systém řízení bezpečnosti informací§ 4 Řízení rizik§ 5 Bezpečnostní politika§ 6 Organizační bezpečnost§ 7 Stanovení bezpečnostních požadavků pro dodavatele§ 8 Řízení aktiv§ 9 Bezpečnost lidských zdrojů§ 10 Řízení provozu a komunikací§ 11 Řízení přístupu a bezpečné chování uživatelů§ 12 Akvizice, vývoj a údržba§ 13 Zvládání kybernetických bezpečnostních událostí a incidentů§ 14 Řízení kontinuity činností§ 15 Kontrola a audit
ORGANIZAČNÍ OPATŘENÍ
15
§3 Systém řízení bezpečnosti informacíStanovení hranic systému
• Kde systém začíná a končí
Stanovení etalonu
• Vzorem je ZKB
Zavedení PDCA
• Rozdíly KII a VIS ve zpětné vazbě
ORGANIZAČNÍ OPATŘENÍ
16
§4 Řízení rizikMetodika identifikace a hodnocení aktiv a rizik
• Přílohy 1 a 2 VKB
Scénáře hrozeb a zranitelností
• Předepsané oblasti k řešení
Významný milník
• Dokument Plán zvládání rizik
ORGANIZAČNÍ OPATŘENÍ
17
§5 Bezpečnostní politikaPovinné oblasti pro bezpečnostní politiku
• 14 pro VIS, 21 pro KII
Souvislost
• Povinnost znalosti pro všechny role, zahrnutí do Plánu rozvoje bezpečnostního povědomí
ORGANIZAČNÍ OPATŘENÍ
18
§6 Organizační bezpečnostKompetence řízení informační bezpečnosti v rukách Výboru pro řízení kybernetické bezpečnosti
• Stanovení rolí a jejich kompetencí
Přepsané role pro KII
• Manažer, Architekt, Auditor Kybernetické bezpečnosti
• Garanti aktiv
ORGANIZAČNÍ OPATŘENÍ
19
§7 Stanovení bezpečnostních požadavků pro dodavateleDohoda o pravidlech
• Forma ustanovení ve smlouvě, smlouva o úrovni služeb
Analýza rizik
• KII řídí rizika spojená s dodavateli
ORGANIZAČNÍ OPATŘENÍ
20
§8 Řízení aktivPráce s aktivy
• Identifikace, hodnocení, klasifikace aktiv
Metodika
• Příloha č. 1 VKB
Kompetence za aktiva
• Garanti aktiv
ORGANIZAČNÍ OPATŘENÍ
21
§9 Bezpečnost lidských zdrojůŠkolení osob
• Vstupní a pravidelná školení všech osob, včetně evidence
• Dokument Plán rozvoje bezpečnostního povědomí
Další povinnosti
• Vedení přístupových oprávnění
• Kontrola dodržování bezpečnostní politiky
• Zajištění vrácení svěřených aktiv a odebrání přístupových práv při ukončení smluvního vztahu
ORGANIZAČNÍ OPATŘENÍ
22
§10 Řízení provozu a komunikacíDetekce KBU
• Za pomoci §21 a §23
Bezpečný provoz
• Zajištění bezpečného provozu, stanovení provozních pravidel a postupů
ORGANIZAČNÍ OPATŘENÍ
23
§11 Řízení přístupu a bezpečné chování uživatelůPovinnost řízení přístupu
• Včetně ochrany autorizačních údajů
ORGANIZAČNÍ OPATŘENÍ
24
§12 Akvizice, vývoj, údržbaŘešení změn IS nebo KS
• Bezpečnostní požadavky zahrnuty do projektu akvizice, vývoje a údržby
ORGANIZAČNÍ OPATŘENÍ
25
§13 Zvládání KBU a KBIKBU
• Detekce včetně vyhodnocení
KBI
• Klasifikace a hlášení
• Hodnocení příčiny, účinnost řešení a nastavení opatření
ORGANIZAČNÍ OPATŘENÍ
26
§14 Řízení kontinuity činnostíStanovuje cíle řízení kontinuity formou
• Minimální přijatelná úroveň poskytovaných služeb
• Doba obnovení chodu na minimální přijatelnou úroveň
• Doba obnovení dat
Stanovuje strategii řízení kontinuity činností
• Musí obsahovat naplnění cílů řízení kontinuity
ORGANIZAČNÍ OPATŘENÍ
27
§15 Kontrola a audit kybernetické bezpečnostiIntegrace s dalšími zákony
• Posuzuje se soulad s jinými právními a regulatorními předpisy
Kontrola systému řízení informační bezpečnosti
• Plán, postup a evidence pravidelných kontrol
Thank you!
Pohled na technická opatření
Petr Vácha
Security Manager
ALEF NULA
• § 16 Fyzická bezpečnost
• § 17 Nástroj pro ochranu integrity komunikačních sítí
• § 18 Nástroj pro ověřování identity uživatelů
• § 19 Nástroj pro řízení přístupových oprávnění
• § 20 Nástroj pro ochranu před škodlivým kódem
• § 21 Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a správců
• § 22 Nástroj pro detekci kybernetických bezpečnostních událostí
• § 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí
• § 24 Aplikační bezpečnost
• § 25 Kryptografické prostředky
• § 26 Nástroje pro zajištění vysoké úrovně dostupnosti
• § 27 Bezpečnost průmyslových a řídicích systémů
PŘEHLED TECHNICKÝCH OPATŘENÍ (VYHLÁŠKA)
• Pochopení PODSTATY činnosti organizace => vyspecifikovánídůležitých částí v rámci ICT, lidských zdrojů, …
• Smysluplné aplikování požadavků ZKB => aplikuje se dle plánu na zvládání rizik
• Nedělejme si to složitější než je to nutné
• Zákon vychází z „best practice“ pro dané oblasti
• Nutnost prozkoumat všechny paragrafy
KDE, JAK A PROČ APLIKOVAT ?
• § 16 Fyzická bezpečnost
–VIS i KII – zamezení neoprávněnému vstupu, zamezení poškození a zásahům, kompromitace aktiv
–KII – ochrana objektů, ochrana vymezených prostor s technickými aktivy, ochrana jednotlivých technických aktiv
–Prostředky fyzické bezpečnosti – mechanické zábranné, EZS, systémy pro kontrolu vstupu, kamerové systémy, ochrana před výpadkem el. en., systémy pro zajištění optimálních provoz. podmínek
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení fyzické bezpečnosti
- kamerové systémy
- EZS
- čipové ověřování
- biometrické ověřování
- klimatizace
- UPS
- Diesel agregáty pro napájení
- …
§ 16 - FYZICKÁ BEZPEČNOST
• § 17 Nástroj pro ochranu integrity komunikačních sítí
– VIS i KII – ochrana integrity rozhraní vnější a vnitřní sítě
• řízení bezpečného přístupu mezi vnější a vnitřní sítí
• segmentace pomocí DMZ => dojde ke zvýšení bezpenosti aplikací v DMZ a k zamezení přímé komunikace mezi vnější a vnitřní sítí
• šifrování vzdáleného přístupu a u přístupu pomocí bezdrátových technologií
• odstranění nebo blokování informací, které neodpovídají požadavkům na ochranu integrity KS
– KII - ochrana integrity vnitřní sítě její segmentací (DMZ ...)
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení ochrany integrity komunikačních sítí - Firewally, Next Generation Firewally,- 802.1x- Intrusion Prevention System- LAN přepínače- Směrovače- Segmentace sítě- VPN brány- WiFi prvky- Vhodně aplikovaný design sítě dle „best practice“- …
§ 17 - NÁSTROJ PRO OCHRANU INTEGRITY
• § 18 Nástroj pro ověřování identity uživatelů
–VIS+KII – nástroje pro ověření identity musí zajistit
• Ověření identity všech uživatelů a administrátorů
• Minimální délka hesla je 8 znaků
• Minimální složitost hesla vyžaduje alespoň 3 ze 4 parametrů: jedno velké písmeno, jedno malé písmeno, jednu číslici a jeden speciální znak
• Maximální doba platnosti hesla je 100 dní
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• § 18 Nástroj pro ověřování identity uživatelů
–KII – zvýšené nároky na politiku hesel
• Zajištění kontroly dříve použitých hesel
• Zamezení více násobné změn hesla jednoho uživatele během definovaného období (nejméně 24 hodin)
• Vynucení minimální délky hesla u administrátorských účtů 15 znaků
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení nástrojů pro ověřování identity uživatelů- Požadavky na komplexitu hesel a pravidelnou obměnu, …
- Obvykle nastaveno v nějaké adresářové službe ActiveDirectory, LDAP
- Nezapomínat na aplikační služby vytvořené na zakázku
- Ověrovat lze na různých místech sítě. Obecně platí, čím dříve, tím lépe
- BYOD, 802.1x
- …
§ 18 - NÁSTROJ PRO OVĚŘOVÁNÍ IDENTITY
• § 19 Nástroj pro řízení přístupových oprávnění
–VIS i KII – musí se použít nástroje pro řízení přístupových oprávnění, které musí zajistit
• Řízení oprávnění uživatelů pro přístup k aplikacím a datovým souborům
• Řízení oprávnění pro čtení, zápis dat a pro změna oprávnění
–KII – povinnost zaznamenávat použití přístupových oprávnění
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení nástrojů pro řízení přístupových oprávnění
- Definice práv na úrovni aplikací a operačních systémů
- Nezapomínat na klíčové aplikace tvořené na zakázku
- I firewall řídí přístupová oprávnění (minimálně na základě IP adres)
- 802.1x a BYOD je skvělý způsob řízení přístupu
- …
§ 19 - NÁSTROJ PRO ŘÍZENÍ PŘÍSTUPOVÝCH OPRÁVNĚNÍ
• § 20 Nástroj pro ochranu před škodlivým kódem
–VIS i KII – povinnost použití nástrojů pro antivirovou ochranu
• Ověření a kontrola komunikace mezi vnější a vnitřní sítí
• Ověření a kontrola serverů a sdílených datových uložišť
• Ověření a kontrola pracovních stanic
• Požadavek na pravidelnou aktualizaci definic a signatur
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení ochrany před škodlivým kódem
- Anvirus a antimalware řešení pro koncové stanice, servery, datová uložiště
- Ideální je řešit tyto hrozby u vstupu do sítě (Web, Email, FTP brány, NGFW …)
- Klasické antivirové kontroly již nedostačují a je nutné používat pokročilejší techniky na odhalování malwaru
- …
§ 20 - NÁSTROJ PRO OCHRANU PŘED ŠKODLIVÝM KÓDEM
• § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů
– VIS i KII – má povinnost použít nástroje pro zaznamenávání činností, které zajistí
• Sběr informací o provozních a bezpečnostních událostech
• Zaznamenání zejména událostí
– typ činnosti
– přesný čas události (synchronizace času min. každých 24 hodin)
– identifikace technického aktiva, který činnost zaznamenal
– identifikace původce a místa činnosti
– úspěšnost či neúspěšnost činnosti
• Ochranu informací před neoprávněným čtením a změnou
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů
– VIS i KII zaznamenává
- přihlášení a odhlášení uživatelů a administrátorů
- činnosti provedené administrátory
- činnosti vedoucí ke změně oprávnění
- neúspěšné činnosti
- spuštění a ukončení práce systému
- varovná nebo chybová hlášení
- přístupy logům, pokus o manipulaci
- použití mechanismů identifikace a autentizace, včetně změn údajů k přihlášení
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• § 21 Nástroj pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů pro KII
–Povinnost uchovávat logy min. 3 měsíce
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení pro zaznamenávání činností KII a VIS, jejich uživatelů a administrátorů
- Logování z klíčových aplikací
- Aplikace na míru mají často nedostatky vůči požadavkům na logování
- Logování na úrovni OS (auditování)
- Logování přístupu a práce se síťovými prvky (TACACS, radius, syslog …)
- Nejlépe zvolit aplikaci „sběrač logů“ pro centrální sběr událostí
- …
§ 21 - NÁSTROJ PRO ZAZNAMENÁVÁNÍ ČINNOSTÍ KII A VIS
• § 22 Nástroj pro detekci kybernetických bezpečnostních událostí (KBU)
–VIS i KII
• povinnost použití nástroje pro detekci KBU
• zajištění ověření, kontroly a případné blokování komunikace mezi vnitřní a vnější sítí
–KII
• ověření, kontrola a případné blokování komunikace v rámci vnitřní komunikační sítě
• ověření, kontrola a případné blokování komunikace v rámci určených serverů
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení pro detekci kybernetických bezpečnostních událostí (KBU)
- Vyhodnocování útoků pomocí Intrusion PreventionSystemů
- Řešení problematiky DoS a DDoS (Pozor! IPS, firewally nejsou nástroje pro efektivní řešení těchto hrozeb)
- Next Generation Firewally mají rozšířenou aplikační kontrolu
- Nástroje pro behaviorální analýzu provozu
§ 22 - NÁSTROJ PRO DETEKCI KBU
• § 23 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII
–povinné použití nástroje pro sběr a vyhodnocení KBU
–poskytnutí informací o KBU bezpečnostním rolím
–nepřetržité vyhodnocování KBU
– stanovení bezpečnostní politiky pro použití a údržbu nástroje
–pravidelná aktualizace nastavených pravidel pro zpřesnění chodu nástroje pro vyhodnocování KBU
– zajištění využívání získaných informací o KBU k optimalizaci bezpečnostních vlastností ICT
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení pro sběr a vyhodnocení kybernetických bezpečnostních událostí (KBU) pro KII
- Sběr a vyhodnocení událostí z pohledu bezpečnosti
- Řeší se nasazením SIEMu
- Co sledovat ? Správná analýza rizik a bezpečnostní politika vyznamně napoví.
§ 23 - NÁSTROJ PRO SBĚR A VYHODNOCENÍ KBU UDÁLOSTÍ
• § 24 Aplikační bezpečnost
– VIS i KII – provádí se bezpečnostní testy aplikací, které jsou přístupné z vnější sítě před uvedením do provozu a po každé zásadní změně bezpečnostních mechanizmů
– KII – zajišťuje ochranu aplikací a informací dostupných z vnějších sítí
• neoprávněnou činností
• popřením provedených činností
• kompromitací nebo neautorizovanou změnou
• transakcí před nedokončením, nesprávným směrováním, neautorizovanou změnou, kompromitací, neautorizovaným duplikováním, opakováním
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení nástrojů pro aplikační bezpečnost
- U kritických aplikací je pro KII nutný specializovaný aplikační firewall
- Je nutné aplikace pravidelně prověřovat pomocí auditovacích a penetračních nástrojů
- …
§ 24 - APLIKAČNÍ BEZPEČNOST
• § 25 Kryptografické prostředky
–VIS i KII – stanovuje bezpečnostní politiku pro používání kryptografické ochrany
• Typ a síla kryptografického algoritmu
• Ochrana citlivých dat při přenosu po KS, při uložení na mobilní zařízení nebo na vyměnitelná média
–Povinnost kryptografickými prostředky zajistit
• Ochranu důvěryhodnosti a integrity předávaných nebo ukládaných dat
• Prokázání odpovědnosti za provedené činnosti
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• § 25 Kryptografické prostředky dle přílohy č. 3– KII – stanovení požadavků na správu a minimálních požadavků na sílu šifrovacích klíčů
• Symetrické algoritmy – blokové a proudové šifry
– AES (128,192,256), RC4 (min. 128), SNOW 2.0 (128,256) …
– Omezené použití pro 3DES (168) ... => migrace na AES
• Symetrické algoritmy – šifrovací módy pro integritu dat
– HMAC, CBC-MAC-EMAC,CMAC
– Omezené použití pro CBC-MAC-X9.19
• Asymetrické algoritmy – pro technologii digitálního podpisu
– DSA (min. 2048,224), EC-DSA (min. 224), EC-DSA (min. 224), RSA PSS (min. 2048)
• Asymetrické algoritmy – pro procesy dohod na klíči a šifrování klíčů
– Diffie-Hellman (min.2048,224), ECDH (min.224), ECIES-KEM (min.256), PSEC-KEM (min.256), (ACE-KEM (min.256), RSA-OAEP (min.2048), RSA-KEM (min.2048)
• Algoritmy hash funkcí
– SHA2 (SHA-224, SHA-256, SHA-384, SHA-512/224, SHA-512/256)
– RIPEMD-160
– Whirpool
– SHA1 nepoužívat v podepisovaných algoritmech
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Řešení nástrojů pro kryptografickou bezpečnost
- Nutné prověřit aktivní prvky, aplikace i operační systémy z hlediska podporovaných šifrovacích standardů
- Je nutné řešit i mobilní zařízení a přenosná datové uložiště
- …
§ 25 - KRYPTOGRAFICKÉ PROSTŘEDKY
• § 26 Nástroje pro zajištění vysoké úrovně dostupnosti pro KII
–použití nástrojů pro vysokou úroveň dostupnosti a odolnosti, které zajistí
• Potřebnou úroveň kontinuity činností
• Odolnost vůči útokům (KBU) na snížení dostupnosti
• Zálohováním důležitých technických aktiv
–Využitím redundance v návrhu
–Zajištěním výměny vadných technických aktiv v definovaném čase
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Zajištění vysoké úrovně dostupnosti pro KII- Použitém redudantního designu pokud to je nutné a finančně opodstatněné
- Je možné si nasmlouvat službu na výměnu pod SLA
- Je nutné pravidelně prověřovat dodavatele
§ 26 - ZAJIŠTĚNÍ VYSOKÉ ÚROVNĚ DOSTUPNOSTI
• § 27 Bezpečnost průmyslových a řídicích systémů pro KII
–Omezení fyzického přístupu k průmyslovým a řídícím systémům
–Omezení propojení a vzdáleného přístupu k průmyslovým a řídícím systémům
–Ochrana jednotlivých technických aktiv před známými zranitelnostmi
–Obnovení chodu po kybernetickém bezpečnostním incidentu
VYHLÁŠKA O KYBERNETICKÉ BEZPEČNOSTI
• Zajištění bezpečnost průmyslových a řídicích systémů pro KII
- Obvykle se jedná o sítě typu SCADA
- Sítě typu SCADA = nízké riziko, ale hrozba vysoká
- SCADA má velmi nízkou úroveň zabezpečení
- Rizika jsou hodně spjaty i s fyzickou bezpečností
- Obvykle komplikované řízení přístupu pro externí dodavatele
- Nutnost oddělení od běžného uživatelského provozu
- Je vhodný spíše konzervativní „neinvazivní“ model zabezpečení
§ 27 - BEZPEČNOST PRŮMYSLOVÝCH A ŘÍDICÍCH SYSTÉMŮ
Thank you!