Kibernetinė sauga. Vadovo požiūris. R.Lečickis

Kibernetinė sauga. Vadovo požiūris
Romualdas Lečickis
CISA, CISM, CGEIT, CRISC
rl@nrdcs.lt, +370 612 73994
UAB NRD CS

Išplėstas kibernetinės saugos supratimas
https://ccis.no/cyber-security-versus-information-security/

Ar kibernetinė sauga jau svarbi?
There are two kinds of companies.
Those that have been hacked, and
those that have been hacked but
don’t know it yet.
*House Intelligence Committee Chairman Mike Rogers.
http://intelligence.house.gov/sites/intelligence.house.gov/files/documents/1130
11CyberSecurityLegislation.pdf. 2011.

82% mano, kad kibernetinės saugos užtikrinimas yra
svarbiausias prioritetas
http://www.csc.com/cio_survey_2014_2015

91% finansinių organizacijų įvardijo kibernetinę saugą
svarbiausiu prioritetu

Kibernetinei saugai skiriamas didžiausias dėmesys

Vadovams dažnai trūksta informacijos
apie kibernetinę saugą
Tipinė nepakankamai informuoto vadovo
savijauta:
• Aš turiu žmones, kurie rūpinasi kibernetine
sauga, tačiau mes kalbame skirtingomis
kalbomis.
• Aš nelabai suprantu apie ką jie kalba ir nesu
tikras ar jie mane supranta. Manau, mes
turime tiesiog pasitikėti vienas kitu.
• Aš suprantu, kad kibernetinė sauga svarbu,
tačiau nežinau ar mes tikrai tai užtikriname.
Kaip tai išmatuoti?
• Aš susirūpinęs dėl išlaidų kibernetinei
saugai, nes nežinau, ar išleidžiame daug, ar
mažai, ar visgi tiek, kiek reikia.
• ...

Kibernetinės saugos klausimai, į kuriuos vadovas galėtų
ieškoti atsakymų
1. Kokios kibernetinės grėsmės mums aktualios ir
kokia galima šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo kibernetinių
grėsmių?
3. Kaip mes sužinosime, kad prieš mus buvo
įvykdyta kibernetinė ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi kompetentingi
darbuotojai?
5. Ar mūsų išlaidos kibernetinei saugai adekvačios?

NIST ir ENISA patarimai. Nauda vindikacijos tarnybai
Framework for Improving Critical Infrastructure Cybersecurity, NIST February 12, 2014. http://www.nist.gov/cyberframework/

Kaip ISACA padeda suprasti ir užtikrinti kibernetinę saugą?
• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
COBIT 5 Enabling Processes
COBIT 5 for Information Security
COBIT 5 for Risk
Risk Scenarios Using COBIT 5 for Risk
…

• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Pages/default.aspx

• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/CERTIFICATION/Pages/default.aspx

• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/Education/Conferences/Pages/default.aspx

• Leidiniai
• Mokymai
• Sertifikavimas
• Konferencijos
• CSX
http://www.isaca.org/cyber/Pages/default.aspx

Pradžia - Cybersecurity Fundamantals Course
Temos:
1. Cybersecurity Concepts
2. Security Architecture Principles
3. Security of Networks, Systems,
Applications and Data
4. Incident Response
5. Security Implications and Adoption of
Evolving Technology
Galimybė laikyti egzaminą ir gauti sertifikatą.

Kokį standartą/metodiką naudoti?
Kaip matuoti efektyvumą?
ISO/IEC 27001:2005,
ISO/IEC 27002:2005
ISO/IEC 27004:2009
NIST SP 800-53, NIST SP
800-53A, NIST SP 800-30
NIST SP 800-55
Critical Security Controls
Critical Security
Controls
COBIT 5, CSX
COBIT 5 for Information
Security, CSX
18

Sutarkime, ką matavimo rezultatai reiškia
http://hermentorcenter.com/2013/05/14/can-workplace-stress-ever-be-good/pouring-water-in-a-glass-collection-isolated/
19

ISO/IEC 27004:2009
• Pataria kaip matuoti
ISVS pagal ISO/IEC
27001:2005
• Pataria kaip matuoti
kontrolės priemones
pagal ISO/IEC
27002:2005
• Matavimų šablonas
• Pateikiama 14 pvz.
20

NIST SP 800-55
• Pataria, kaip įdiegti
informacijos saugos
matavimą organizacijoje
• Pateikiama 19 pvz.
• 3 tipų matavimai:
o Įgyvendinimo matavimas
o Efektyvumo matavimas
o Įtakos matavimas
21

Critical Security Controls
Konkreti informacija:
• Efektyvumo
metrikos
• Automatizavimo
metrikos
22

COBIT 5 for Information Security
• 37 IT valdymo ir
vadovavimo procesai
• Informacijos saugos tikslai
ir metrikos
23

COBIT 5 – procesų matavimo pvz.
• ~ 100 su IT sauga
susijusių procesų
tikslų pvz.
• ~ 100 su IT sauga
susijusių procesų
matavimų pvz.
24

Kokia patirtimi pasinaudoti?
COBIT 5 for Information
Security, CSX
jei info/kiber sauga yra įmonės/IT
valdymo integrali dalis
ISO/IEC 27004:2009 jei turime ISVS ir naudojame
ISO/IEC 27001
NIST SP 800-55 jei įdomi draugiškos šalies patirtis
Critical Security
Controls
jei svarbi tik kibernetinė sauga
Lietuvos teisinė bazė jei aktualu atitikti teisės aktų
reikalavimams
25

Matuokime tik tai, kas yra svarbiausia

KPI Quick Wins Pvz.
𝑎 =
stebimų svarbių išteklių kiekis
bendras svarbių išteklių kiekis
=> 1
𝑏 =
išspręstų incidentų kiekis
identifikuotų incidentų kiekis
=> 1
27

Atsakymai į kibernetinės saugos klausimus,
kurių vadovas galėtų ieškoti
1. Kokios kibernetinės grėsmės
mums aktualios ir kokia galima
šių grėsmių įtaka veiklai?
2. Ar mes tinkamai saugomės nuo
kibernetinių grėsmių?
3. Kaip mes sužinosime, kad prieš
mus buvo įvykdyta kibernetinė
ataka? Kaip žinome, kad
nebuvo?
4. Ar kibernetine sauga rūpinasi
kompetentingi darbuotojai?
5. Ar mūsų išlaidos kibernetinei
saugai adekvačios?
1. Atliktas rizikos vertinimas (COBIT
5 for Risk, ISO27005, ...)
2. Įdiegtos techninės ir organizacinės
priemonės, vykdomas matavimas
(COBIT 5 for Security, ISACA
CSX, CSC20, ISO27002...)
3. Įdiegtas stebėjimas (COBIT 5 for
Security, ISACA CSX, CSC20...)
4. Sertifikuoti specialistai,
naudojantys pasaulines metodikas
(CISM, CISA, CRISC, CGEIT,
CSX, COBIT 5 for Security,
CSC20, ...)
5. Atsako rizikos vertinimas (1
punktas)

Dėkoju už dėmesį
Romualdas Lečickis
CISA, CISM, CGEIT, CRISC
rl@nrdcs.lt, +370 612 73994, UAB NRD CS

Kibernetinė sauga. Vadovo požiūris. R.Lečickis

More Related Content

Similar to Kibernetinė sauga. Vadovo požiūris. R.Lečickis

More from BKA (Baltijos kompiuteriu akademija)

Kibernetinė sauga. Vadovo požiūris. R.Lečickis