SlideShare a Scribd company logo

[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams

Vilius Benetis
Vilius Benetis

VDAI konferencijoje DUOMENŲ APSAUGA 2014 M.: NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA - skaitytos paskaitos "Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams" medžiaga

Technology
1 of 16
DUOMENŲ APSAUGA 2014 M.: NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams Dr. Vilius Benetis, vb@nrd.no Direktorius, UAB NRD CS Pirmininkas, ISACA Lietuva 2014 01 30 2014-01-30 1
Kas yra kibernetinė sauga? Tinklo perimetras Vidiniai tinklai Alexander Klimburg (Ed.), National Cyber Security Framework Manual, NATO CCD COE Publication,Tallinn 2012 Analogiškai – ISO 27032 2
Pirmiausia: Kibernetinė sauga – ne IT, o veiklos klausimas T.y. ar už veiklą atsakingi asmenys suvokia ir prisiima riziką dėl kibernetinės saugos grėsmių? 3 Konfidencialu
Kibernetinė sauga • Tai kibernetinės erdvės grėsmių sumažinimas iki priimtino lygio, kad nenutiktų pvz.: – Web svetainės užvaldymas (pvz. Sirijos e-armija) – vidinių, išorinių naudotojų darbo vietų ar paskyrų užvaldymas (botnet‘ai) – Informacijos pagrobimas (asmens duomenų, verslo informacijos užkodavimas - Ransomware) – Pinigų pagrobimas (bankiniai trojanai, Zeus) – Komunikavimo perėmimas 2014-01-30 4
20 kritinės kibernetinės saugos priemonės (CSC20) • Atvira metodika kaip užtikrinti kibernetinę saugą organizacijoje • paruošta pagal NSA, DOD, SANS, australų, anglų specialistų praktines patirtis, ginantis nuo užpuolimų • http://www.counciloncybersecurity.org/practiceareas/technology • UAB NRD CS yra kompetencijos partneris, dalyvauja metodikos kūrime ir jos platinime Europoje, Afrikoje. 2014-01-30 5
Kibernetinės grėsmės • Kiekvienai organizacijai: – Žala reputacijai, dėl paviešinto saugos incidento – Žala veiklai, dėl tiesioginių (prekybos) ir netiesioginių (pavogtos informacijos, bylinėjimosi) nuostolių • Perkant IT paslaugas iš išorės, papildomai: – teisinių priemonių trūkumas valdyti incidento apimtį – kontrolės priemonių nebuvimas užtikrinant saugos organizavimą ir stebėjimą – silpnai apibrėžtas atsakomybės pasiskirstymas 2014-01-30 6
Dažniausiai perkamos IT paslaugos • IT sistemų kūrimas, diegimas • IT priegloba • IT sistemų priežiūra • T.y. teikėjas saugo, organizuoja, ir prižiūri jūsų duomenis 2014-01-30 7
..kai paslaugas teikia teikėjas: • Sutartis nusako: – Paslaugų apimtį – Paslaugų kokybės lygį ir kontrolės priemones – Sutarties nevykdymo finansinę atsakomybę • Galioja taip pat ir kiti Lietuvos įstatymai: – Teisėsauga 2014-01-30 8
Pirkimų sutartyse apibrėžkite: • Profilaktika: – Teikėjų auditavimas (fizinės saugos patikra, saugos kontrolės priemonių vertinimas) tiek užsakovo, tiek ir užsakovo atstovų – pvz. Valstybės kontrolės, VDAI, ar kito išorinio auditoriaus – Reikalavimai teikėjų IT saugos organizavimui (savo operacijoms, ir teikiant paslaugas) • Saugos incidentų valdymo procesai: – Kaip pasiskirsto atsakomybė organizuojant kiber-saugą – Komunikavimo sekos • Standartinės, ar koreguotinos (kilus saugos incidento įtarimui, iškart eskaluoti)? – Kas ir kaip turi vykdyti stebėjimą bei teikti reguliarias technines saugos ataskaitas – Saugos incidentų tipai, jų sprendimų sekos – Tvarkų testavimas 2014-01-30 9
Jūsų klausimai IT paslaugų teikėjams • IT sistemų kūrimas, diegimas – Kaip teikėjas organizuoja saugų/atsparų produkto kūrimą, saugos patikrą prieš paleidimą į gamybą? – Jei bus rastas pažeidžiamumas, koks SLA taisymui? • IT priegloba – Kokia metodika naudojama apsaugoti IT? (CSC20) – kaip atskiriami duomenys ir prieiga nuo kitų užsakovų ir darbuotojų? • IT sistemų priežiūra – Kokios yra kontrolės, kad užvaldžius Teikėją, būtų minimalus poveikis jums (CSC20, iso27k)? – Kokie pakeitimų ir konfigūracijų procesai naudojami? (iso20k) 2014-01-30 10
Patarimai: • Jūsų projektų vadovai – kertiniai asmenys: – Todėl juos mokykite kaip ruošti sutartis, valdyti santykius su Teikėjais – ISACA narystė • Bendraminčiai, sertifikacijos, metodinė medžiaga • Ruoškitės incidentams: – Apsibrėžkite scenarijus – įsivertinkite atsakomybes (kur perduodama atsakomybė, o kur – pasilieka jums) – Įsivertinkite, kas padės spręsti itin sunkius incidentus 2014-01-30 11
IT iškėlimo klausimais metodinė medžiaga: http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pa ges/Security-Considerations-for-CloudComputing.aspx 2014-01-30 12
ISACA metodiniai patarimai, pvz. 2014-01-30 13
ISACA metodiniai patarimai, pvz. 2014-01-30 14
ISACA metodiniai patarimai, pvz. 2014-01-30 15
Klausimai? Vilius Benetis vb@nrd.no 2014-01-30 16

Recommended

Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir Realybe
Miroslav Lučinskij
 
Tarptautiniai santykiai1
Tarptautiniai santykiai1Tarptautiniai santykiai1
Tarptautiniai santykiai1
111 001
 
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentasKibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Baltimax
 
Kompiuteriniai Virusai
Kompiuteriniai VirusaiKompiuteriniai Virusai
Kompiuteriniai Virusai
toxint6
 
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
TEO LT, AB
 
flyer_recto
flyer_rectoflyer_recto
flyer_recto
Richard Hubbard
 
Réussir son projet ecommerce
Réussir son projet ecommerceRéussir son projet ecommerce
Réussir son projet ecommerce
OLIVIER ALOCCIO
 
M20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida proteinM20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida protein
Feisal Rachman Soedibja
 

Recommended

Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir Realybe
Miroslav Lučinskij
 
Tarptautiniai santykiai1
Tarptautiniai santykiai1Tarptautiniai santykiai1
Tarptautiniai santykiai1
111 001
 
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentasKibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Baltimax
 
Kompiuteriniai Virusai
Kompiuteriniai VirusaiKompiuteriniai Virusai
Kompiuteriniai Virusai
toxint6
 
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
TEO LT, AB
 
flyer_recto
flyer_rectoflyer_recto
flyer_recto
Richard Hubbard
 
Réussir son projet ecommerce
Réussir son projet ecommerceRéussir son projet ecommerce
Réussir son projet ecommerce
OLIVIER ALOCCIO
 
M20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida proteinM20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida protein
Feisal Rachman Soedibja
 
Ind eng-706-doc
Ind eng-706-docInd eng-706-doc
Ind eng-706-doc
Riverside School
 
Electricidad 1
Electricidad 1Electricidad 1
Electricidad 1
javieritha12
 
The Creation Issue - Fossil Record
The Creation Issue - Fossil RecordThe Creation Issue - Fossil Record
The Creation Issue - Fossil Record
Dr. Ryan Jouett
 
Curriculum vitae Werner Potgieter
Curriculum vitae Werner PotgieterCurriculum vitae Werner Potgieter
Curriculum vitae Werner Potgieter
Werner Potgieter
 
Unidad 8. Arte del barroco
Unidad 8. Arte del barrocoUnidad 8. Arte del barroco
Unidad 8. Arte del barroco
mercheguillen
 
Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)
kunstpedia
 
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de ConservatorioExamen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Elisa Victoria Iruzubieta Pickman
 
Dhcp win server 2008
Dhcp win server 2008Dhcp win server 2008
Dhcp win server 2008
Bayu Dhani
 
Borang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekunBorang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekun
Zamzuri Amat Zaid Zam
 
Hama pada tanaman tembakau
Hama pada tanaman tembakauHama pada tanaman tembakau
Hama pada tanaman tembakau
Feisal Rachman Soedibja
 
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose NegreteSISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
gabytavanessa
 
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
FrenchWeb.fr
 
Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013
Siti Norijah Muda
 
Eptv var universidade ar
Eptv var universidade arEptv var universidade ar
Eptv var universidade ar
Meio & Mensagem
 
Minit curai pendidikan islam
Minit curai pendidikan islamMinit curai pendidikan islam
Minit curai pendidikan islam
Kamarudin Jaafar
 
Minit mesyuarat denggi 2015
Minit mesyuarat denggi 2015Minit mesyuarat denggi 2015
Minit mesyuarat denggi 2015
zmj5682
 
Kompiuteriu Virusai Ir Antivirusines Programos
Kompiuteriu Virusai Ir Antivirusines ProgramosKompiuteriu Virusai Ir Antivirusines Programos
Kompiuteriu Virusai Ir Antivirusines Programos
mante
 
Cybersecurity Skills Audit
Cybersecurity Skills AuditCybersecurity Skills Audit
Cybersecurity Skills Audit
Vilius Benetis
 
Watikah pengawas
Watikah pengawas Watikah pengawas
Watikah pengawas
Sofea Hanie Sibau Abdullah
 
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
BKA (Baltijos kompiuteriu akademija)
 
„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas
Baltimax
 
Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT Saugumas
Miroslav Lučinskij
 

More Related Content

Viewers also liked

Curriculum vitae Werner Potgieter
Curriculum vitae Werner PotgieterCurriculum vitae Werner Potgieter
Curriculum vitae Werner Potgieter
Werner Potgieter
 
Unidad 8. Arte del barroco
Unidad 8. Arte del barrocoUnidad 8. Arte del barroco
Unidad 8. Arte del barroco
mercheguillen
 
Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)
kunstpedia
 
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose NegreteSISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
gabytavanessa
 
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
FrenchWeb.fr
 
Minit curai pendidikan islam
Minit curai pendidikan islamMinit curai pendidikan islam
Minit curai pendidikan islam
Kamarudin Jaafar
 

Viewers also liked (19)

Ind eng-706-doc
Ind eng-706-docInd eng-706-doc
Ind eng-706-doc
 
Electricidad 1
Electricidad 1Electricidad 1
Electricidad 1
 
The Creation Issue - Fossil Record
The Creation Issue - Fossil RecordThe Creation Issue - Fossil Record
The Creation Issue - Fossil Record
 
Curriculum vitae Werner Potgieter
Curriculum vitae Werner PotgieterCurriculum vitae Werner Potgieter
Curriculum vitae Werner Potgieter
 
Unidad 8. Arte del barroco
Unidad 8. Arte del barrocoUnidad 8. Arte del barroco
Unidad 8. Arte del barroco
 
Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)
 
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de ConservatorioExamen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
 
Dhcp win server 2008
Dhcp win server 2008Dhcp win server 2008
Dhcp win server 2008
 
Borang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekunBorang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekun
 
Hama pada tanaman tembakau
Hama pada tanaman tembakauHama pada tanaman tembakau
Hama pada tanaman tembakau
 
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose NegreteSISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
 
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
 
Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013
 
Eptv var universidade ar
Eptv var universidade arEptv var universidade ar
Eptv var universidade ar
 
Minit curai pendidikan islam
Minit curai pendidikan islamMinit curai pendidikan islam
Minit curai pendidikan islam
 
Minit mesyuarat denggi 2015
Minit mesyuarat denggi 2015Minit mesyuarat denggi 2015
Minit mesyuarat denggi 2015
 
Kompiuteriu Virusai Ir Antivirusines Programos
Kompiuteriu Virusai Ir Antivirusines ProgramosKompiuteriu Virusai Ir Antivirusines Programos
Kompiuteriu Virusai Ir Antivirusines Programos
 
Cybersecurity Skills Audit
Cybersecurity Skills AuditCybersecurity Skills Audit
Cybersecurity Skills Audit
 
Watikah pengawas
Watikah pengawas Watikah pengawas
Watikah pengawas
 

Similar to [LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams

Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT Saugumas
Miroslav Lučinskij
 
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. RekomendacijosA. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
Agile Lietuva
 

Similar to [LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams (20)

Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
 
„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas
 
Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT Saugumas
 
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasAudrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
 
Draugyste demo
Draugyste demoDraugyste demo
Draugyste demo
 
Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Integruotas IT valdymas ir apsauga su „Axence nVision 9“Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Integruotas IT valdymas ir apsauga su „Axence nVision 9“
 
Penetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasPenetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovas
 
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)
 
Ką apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasKą apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovas
 
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
 
Pažangios debesų kompiuterijos infrastruktūros ir paslaugos
Pažangios debesų kompiuterijos infrastruktūros ir paslaugosPažangios debesų kompiuterijos infrastruktūros ir paslaugos
Pažangios debesų kompiuterijos infrastruktūros ir paslaugos
 
Agile pirkimai. Aleksej Kovaliov
Agile pirkimai. Aleksej KovaliovAgile pirkimai. Aleksej Kovaliov
Agile pirkimai. Aleksej Kovaliov
 
Galima daryti kitaip
Galima daryti kitaipGalima daryti kitaip
Galima daryti kitaip
 
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
 
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. RekomendacijosA. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
 
COBIT sertifikacija
COBIT sertifikacijaCOBIT sertifikacija
COBIT sertifikacija
 
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
 
Kibernetinio saugumo savonoriai
Kibernetinio saugumo savonoriaiKibernetinio saugumo savonoriai
Kibernetinio saugumo savonoriai
 
MSP cloud renginys 2011 02 02
MSP cloud renginys 2011 02 02MSP cloud renginys 2011 02 02
MSP cloud renginys 2011 02 02
 
Gamybos srauto analitika
Gamybos srauto analitikaGamybos srauto analitika
Gamybos srauto analitika
 

[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams

  • 1. DUOMENŲ APSAUGA 2014 M.: NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams Dr. Vilius Benetis, vb@nrd.no Direktorius, UAB NRD CS Pirmininkas, ISACA Lietuva 2014 01 30 2014-01-30 1
  • 2. Kas yra kibernetinė sauga? Tinklo perimetras Vidiniai tinklai Alexander Klimburg (Ed.), National Cyber Security Framework Manual, NATO CCD COE Publication,Tallinn 2012 Analogiškai – ISO 27032 2
  • 3. Pirmiausia: Kibernetinė sauga – ne IT, o veiklos klausimas T.y. ar už veiklą atsakingi asmenys suvokia ir prisiima riziką dėl kibernetinės saugos grėsmių? 3 Konfidencialu
  • 4. Kibernetinė sauga • Tai kibernetinės erdvės grėsmių sumažinimas iki priimtino lygio, kad nenutiktų pvz.: – Web svetainės užvaldymas (pvz. Sirijos e-armija) – vidinių, išorinių naudotojų darbo vietų ar paskyrų užvaldymas (botnet‘ai) – Informacijos pagrobimas (asmens duomenų, verslo informacijos užkodavimas - Ransomware) – Pinigų pagrobimas (bankiniai trojanai, Zeus) – Komunikavimo perėmimas 2014-01-30 4
  • 5. 20 kritinės kibernetinės saugos priemonės (CSC20) • Atvira metodika kaip užtikrinti kibernetinę saugą organizacijoje • paruošta pagal NSA, DOD, SANS, australų, anglų specialistų praktines patirtis, ginantis nuo užpuolimų • http://www.counciloncybersecurity.org/practiceareas/technology • UAB NRD CS yra kompetencijos partneris, dalyvauja metodikos kūrime ir jos platinime Europoje, Afrikoje. 2014-01-30 5
  • 6. Kibernetinės grėsmės • Kiekvienai organizacijai: – Žala reputacijai, dėl paviešinto saugos incidento – Žala veiklai, dėl tiesioginių (prekybos) ir netiesioginių (pavogtos informacijos, bylinėjimosi) nuostolių • Perkant IT paslaugas iš išorės, papildomai: – teisinių priemonių trūkumas valdyti incidento apimtį – kontrolės priemonių nebuvimas užtikrinant saugos organizavimą ir stebėjimą – silpnai apibrėžtas atsakomybės pasiskirstymas 2014-01-30 6
  • 7. Dažniausiai perkamos IT paslaugos • IT sistemų kūrimas, diegimas • IT priegloba • IT sistemų priežiūra • T.y. teikėjas saugo, organizuoja, ir prižiūri jūsų duomenis 2014-01-30 7
  • 8. ..kai paslaugas teikia teikėjas: • Sutartis nusako: – Paslaugų apimtį – Paslaugų kokybės lygį ir kontrolės priemones – Sutarties nevykdymo finansinę atsakomybę • Galioja taip pat ir kiti Lietuvos įstatymai: – Teisėsauga 2014-01-30 8
  • 9. Pirkimų sutartyse apibrėžkite: • Profilaktika: – Teikėjų auditavimas (fizinės saugos patikra, saugos kontrolės priemonių vertinimas) tiek užsakovo, tiek ir užsakovo atstovų – pvz. Valstybės kontrolės, VDAI, ar kito išorinio auditoriaus – Reikalavimai teikėjų IT saugos organizavimui (savo operacijoms, ir teikiant paslaugas) • Saugos incidentų valdymo procesai: – Kaip pasiskirsto atsakomybė organizuojant kiber-saugą – Komunikavimo sekos • Standartinės, ar koreguotinos (kilus saugos incidento įtarimui, iškart eskaluoti)? – Kas ir kaip turi vykdyti stebėjimą bei teikti reguliarias technines saugos ataskaitas – Saugos incidentų tipai, jų sprendimų sekos – Tvarkų testavimas 2014-01-30 9
  • 10. Jūsų klausimai IT paslaugų teikėjams • IT sistemų kūrimas, diegimas – Kaip teikėjas organizuoja saugų/atsparų produkto kūrimą, saugos patikrą prieš paleidimą į gamybą? – Jei bus rastas pažeidžiamumas, koks SLA taisymui? • IT priegloba – Kokia metodika naudojama apsaugoti IT? (CSC20) – kaip atskiriami duomenys ir prieiga nuo kitų užsakovų ir darbuotojų? • IT sistemų priežiūra – Kokios yra kontrolės, kad užvaldžius Teikėją, būtų minimalus poveikis jums (CSC20, iso27k)? – Kokie pakeitimų ir konfigūracijų procesai naudojami? (iso20k) 2014-01-30 10
  • 11. Patarimai: • Jūsų projektų vadovai – kertiniai asmenys: – Todėl juos mokykite kaip ruošti sutartis, valdyti santykius su Teikėjais – ISACA narystė • Bendraminčiai, sertifikacijos, metodinė medžiaga • Ruoškitės incidentams: – Apsibrėžkite scenarijus – įsivertinkite atsakomybes (kur perduodama atsakomybė, o kur – pasilieka jums) – Įsivertinkite, kas padės spręsti itin sunkius incidentus 2014-01-30 11
  • 12. IT iškėlimo klausimais metodinė medžiaga: http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pa ges/Security-Considerations-for-CloudComputing.aspx 2014-01-30 12
  • 13. ISACA metodiniai patarimai, pvz. 2014-01-30 13
  • 14. ISACA metodiniai patarimai, pvz. 2014-01-30 14
  • 15. ISACA metodiniai patarimai, pvz. 2014-01-30 15