VDAI konferencijoje DUOMENŲ APSAUGA 2014 M.: NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA - skaitytos paskaitos "Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams" medžiaga
[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams
1. DUOMENŲ APSAUGA 2014 M.:
NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA
Kibernetinis saugumas: ką būtina žinoti IT
paslaugų pirkėjams
Dr. Vilius Benetis, vb@nrd.no
Direktorius, UAB NRD CS
Pirmininkas, ISACA Lietuva
2014 01 30
2014-01-30
1
2. Kas yra kibernetinė sauga?
Tinklo perimetras
Vidiniai tinklai
Alexander Klimburg (Ed.), National Cyber Security Framework Manual, NATO CCD COE Publication,Tallinn 2012
Analogiškai – ISO 27032
2
3. Pirmiausia:
Kibernetinė sauga – ne IT, o veiklos klausimas
T.y. ar už veiklą atsakingi asmenys
suvokia ir prisiima riziką
dėl kibernetinės saugos grėsmių?
3
Konfidencialu
4. Kibernetinė sauga
• Tai kibernetinės erdvės grėsmių sumažinimas
iki priimtino lygio, kad nenutiktų pvz.:
– Web svetainės užvaldymas (pvz. Sirijos e-armija)
– vidinių, išorinių naudotojų darbo vietų ar paskyrų
užvaldymas (botnet‘ai)
– Informacijos pagrobimas (asmens duomenų,
verslo informacijos užkodavimas - Ransomware)
– Pinigų pagrobimas (bankiniai trojanai, Zeus)
– Komunikavimo perėmimas
2014-01-30
4
5. 20 kritinės kibernetinės saugos
priemonės (CSC20)
• Atvira metodika kaip užtikrinti kibernetinę saugą
organizacijoje
• paruošta pagal NSA, DOD, SANS, australų, anglų
specialistų praktines patirtis, ginantis nuo
užpuolimų
• http://www.counciloncybersecurity.org/practiceareas/technology
• UAB NRD CS yra kompetencijos partneris,
dalyvauja metodikos kūrime ir jos platinime
Europoje, Afrikoje.
2014-01-30
5
6. Kibernetinės grėsmės
• Kiekvienai organizacijai:
– Žala reputacijai, dėl paviešinto saugos incidento
– Žala veiklai, dėl tiesioginių (prekybos) ir netiesioginių
(pavogtos informacijos, bylinėjimosi) nuostolių
• Perkant IT paslaugas iš išorės, papildomai:
– teisinių priemonių trūkumas valdyti incidento apimtį
– kontrolės priemonių nebuvimas užtikrinant saugos
organizavimą ir stebėjimą
– silpnai apibrėžtas atsakomybės pasiskirstymas
2014-01-30
6
7. Dažniausiai perkamos IT paslaugos
• IT sistemų kūrimas, diegimas
• IT priegloba
• IT sistemų priežiūra
• T.y. teikėjas saugo, organizuoja, ir prižiūri jūsų
duomenis
2014-01-30
7
8. ..kai paslaugas teikia teikėjas:
• Sutartis nusako:
– Paslaugų apimtį
– Paslaugų kokybės lygį ir kontrolės priemones
– Sutarties nevykdymo finansinę atsakomybę
• Galioja taip pat ir kiti Lietuvos įstatymai:
– Teisėsauga
2014-01-30
8
9. Pirkimų sutartyse apibrėžkite:
• Profilaktika:
– Teikėjų auditavimas (fizinės saugos patikra, saugos kontrolės
priemonių vertinimas) tiek užsakovo, tiek ir užsakovo atstovų –
pvz. Valstybės kontrolės, VDAI, ar kito išorinio auditoriaus
– Reikalavimai teikėjų IT saugos organizavimui (savo
operacijoms, ir teikiant paslaugas)
• Saugos incidentų valdymo procesai:
– Kaip pasiskirsto atsakomybė organizuojant kiber-saugą
– Komunikavimo sekos
• Standartinės, ar koreguotinos (kilus saugos incidento įtarimui, iškart
eskaluoti)?
– Kas ir kaip turi vykdyti stebėjimą bei teikti reguliarias technines
saugos ataskaitas
– Saugos incidentų tipai, jų sprendimų sekos
– Tvarkų testavimas
2014-01-30
9
10. Jūsų klausimai IT paslaugų teikėjams
• IT sistemų kūrimas, diegimas
– Kaip teikėjas organizuoja saugų/atsparų produkto kūrimą,
saugos patikrą prieš paleidimą į gamybą?
– Jei bus rastas pažeidžiamumas, koks SLA taisymui?
• IT priegloba
– Kokia metodika naudojama apsaugoti IT? (CSC20)
– kaip atskiriami duomenys ir prieiga nuo kitų užsakovų ir
darbuotojų?
• IT sistemų priežiūra
– Kokios yra kontrolės, kad užvaldžius Teikėją, būtų minimalus
poveikis jums (CSC20, iso27k)?
– Kokie pakeitimų ir konfigūracijų procesai naudojami? (iso20k)
2014-01-30
10
11. Patarimai:
• Jūsų projektų vadovai – kertiniai asmenys:
– Todėl juos mokykite kaip ruošti sutartis, valdyti
santykius su Teikėjais
– ISACA narystė
• Bendraminčiai, sertifikacijos, metodinė medžiaga
• Ruoškitės incidentams:
– Apsibrėžkite scenarijus
– įsivertinkite atsakomybes (kur perduodama
atsakomybė, o kur – pasilieka jums)
– Įsivertinkite, kas padės spręsti itin sunkius incidentus
2014-01-30
11
12. IT iškėlimo klausimais metodinė medžiaga:
http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pa
ges/Security-Considerations-for-CloudComputing.aspx
2014-01-30
12