informačníbezpečnost dana pochmanová, boris Šimák 10.5. 2017 · pwc bezpečnost informací 1...
TRANSCRIPT
![Page 1: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/1.jpg)
Informační bezpečnost
Dana Pochmanová, Boris Šimák10.5. 2017
![Page 2: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/2.jpg)
PwC
Agenda
• Bezpečnost informací
• IT rizika
• Klíčové role IT bezpečnosti v organizaci
• Bezpečný vývoj IS
• Normy a standardy v oblasti IT bezpečnosti
• Právo a IT
• Bezpečnostní trendy
• IT audit
![Page 3: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/3.jpg)
PwC
Bezpečnost informací 1
• Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu, použití, odhalení, narušení, úpravě, kontrole, záznamu nebo zničení dat a informací.
• Hlavní cíle informační bezpečnosti jsou udržování důvěrnosti, celistvosti a dostupnosti IT systémů a obchodních dat.
• Základní pojmy:
• Aktivum – veškerý hmotný i nehmotný majetek (vše, co má hodnotu pro majitele)
• Hrozba – událost ohrožující bezpečnost/zneužívající zranitelnost aktiv
• Riziko – výslednice působení hrozby a zranitelnosti na aktivum
• Zranitelnost – slabé místo aktiva
• Dopad – výsledek nežádoucího incidentu
![Page 4: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/4.jpg)
PwC
Bezpečnost informací 2
Ochrana informací na základě zajištění základních atributů:
• Důvěrnost (Confidentiality)
• Ochrana informací před neoprávněnými uživateli
• Celistvost (Integrity)
• Ochrana informací před neoprávněnými zásahy/změnami
• Dostupnost (Availability)
• Zajištění dostupnosti informací oprávněným uživatelůmv době potřeby
Data
![Page 5: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/5.jpg)
PwC
IT rizika
• IT riziko je jakákoliv hrozba, která souvisí s informačními technologiemi
Dle ISO 27005:2008
• „Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.“
![Page 6: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/6.jpg)
PwC
IT rizika - kategorizace
Podle úmyslu:
• náhodné x úmyslné hrozby
Podle zdroje:
• vnitřní x vnější hrozby
Podle dopadu na systém:
• aktivní hrozby (změna stavu systému v důsledku narušení) x pasivní hrozby (únik informací – emaily, sociální sítě, veřejná úložiště)
Podle dotčeného aktiva:
• prostory, lidé, hw, sw, síť, média, data
![Page 7: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/7.jpg)
PwC
Dopad na business
• Ztráta výnosů
• Snížení efektivity (produkce)
• Poškození reputace
• Zvýšení nákladů
• Právní spory
• Ohrožení cash-flow
![Page 8: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/8.jpg)
PwC
Klíčové role IT bezpečnosti v organizaci
CIO – Chief information officer
• Ředitel IT oddělení
CDO – Chief data officer
• Ředitel pro správu dat (nově s GDPR)
CRO – Chief risk officer
• Ředitel řízení rizik
CISO – Chief information security officer
• Ředitel bezpečnosti – nezávislý na IT oddělení
![Page 9: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/9.jpg)
PwC
Bezpečný vývoj IS (SDLC)
Požadavky na IS
Návrh architektury
Vývoj
Testování
Nasazení do produkčního
prostředí
Incident management
• Požadavky na IS – jasné definování nového IS/funkcionalit
• Návrh architektury IS včetně operačního systému, databáze a napojení na další IS
• Vývoj systému (ve vývojovém nebo testovacím prostředí)
• Testování – Unit testy a UAT (zkušební běh v testovacím prostředí)
• Součástí je schválení nasazení odpovědnou osobou
• Nasazení do produkčního prostředí –Babysitting
• Incident management – řešení případně vzniklých incidentů a jejich oprava
![Page 10: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/10.jpg)
PwC
Bezpečný vývoj IS
• Veškeré kroky musí být detailně dokumentovány
• Ve smlouvě s dodavatelem musí být jasně definováno, co je součástí dodávky a kdo je vlastníkem kódu
• Oddělení jednotlivých rolí – vývoj, testování, nasazení do produkčního prostředí
• První nastavení by mělo být v souladu s firemními předpisy
![Page 11: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/11.jpg)
PwC
Normy a standardy
ITIL
• Information Technology Infrastructure Library
• Praktické postupy jak provozovat IT, sepsáno lidmi z praxe
COBIT
• Control Objectives for Information and related Technology
• Soubor praktik pro dosažení strategických cílů
ISO 2700x
• ISO/IEC 27002 – ISMS
• ISO/IEC 27005 – Information security risk management
• ISO/IEC 27014 – Information security governance
![Page 12: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/12.jpg)
PwC
Právo a IT
• Zákon č. 101/2000 Sb., o ochraně osobních údajů
• V květnu 2018 bude nahrazen nařízením EU GDPR - General Data Protection Regulation
• Zákon 181/2014 Sb., o kybernetické bezpečnosti
• Vyhláška ČNB č. 163/2014 Sb. o pravidlech obezřetného podnikání bank, spořitelních a úvěrních družstev a obchodníků s cennými papíry – upravuje používání Cloudu v bankovním sektoru
• Zákon č. 563/1991 Sb., o účetnictví.
• Zákon č. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti
• Zákon č. 365/2000 Sb., o informačních systémech veřejné správy
• Zákon č. 154/2000 Sb., o šlechtění, plemenitbě a evidenci hospodářských zvířat a o změně některých souvisejících zákonů (plemenářský zákon)
![Page 13: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/13.jpg)
PwC
Bezpečnostní trendy
![Page 14: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/14.jpg)
PwC
Nové způsoby narušení bezpečnosti
Social engineering hacking
• Vishing
• https://www.youtube.com/watch?v=lc7scxvKQOo&t=5s
• Phishing emails
Další způsoby útoků
• Zneužití účtu
• Webové útoky
• Útoky proti klientské straně
![Page 15: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/15.jpg)
PwC
IoT
36%Have asecuritystrategy forthe Internet of Things
![Page 16: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/16.jpg)
PwC
![Page 17: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/17.jpg)
PwC
![Page 18: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/18.jpg)
PwC
![Page 19: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/19.jpg)
PwC
Použité průzkumy
http://www.pwc.com/gsiss
http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/new-safeguards.html
http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey/new-possibilities-threat-management.html
![Page 20: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/20.jpg)
PwC
IT audit
![Page 21: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/21.jpg)
PwC
IT rizika
• Základem každého IT auditu je analýza rizik
• Rizika je nutná zohlednit na základě:
• Velikosti organizace
• Sektoru
• Zpracování dat třetích stran
• Využívání prostředků 3 stran
![Page 22: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/22.jpg)
PwC
Řízení přístupu uživatelůAccess to program and data
• Schválení a přidělení oprávnění v aplikaci/databázi novému zaměstnanci
• Změny oprávnění při změně pracovní pozice
• Odebrání oprávnění odchozímu zaměstnanci
• Periodické kontroly oprávnění testované aplikace/databáze
• Monitoring privilegovaných účtů
• Heslová politika
![Page 23: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/23.jpg)
PwC
Změnové řízení a vývoj systémůProgram changes & program development
• Zadání, vývoje, schválení, testování a implementace změny
• Workflow pro případné hotfixy, či projektové změny, či jakékoli další typy změn
• Monitoring nad změnovým řízením, SOD vývoj vs nasazení/přístup na produkci
• Migrace dat
![Page 24: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/24.jpg)
PwC
Zajištění provozuComputer operations
• Incidenty – jsou indikovány, zaevidovány např. v ticketovacím toolu, řešeny včas (dle SLA, směrnice atp.)
• Backup schedule – zálohování dat, monitorování backupů, vyhodnocení neprovedených backupů
• Recovery testing – formální výstup
• DRP/BCM existuje, je testováno a z testování existuje formální výstup
• Plánované úlohy – monitorování jobů, jak probíhají změny do jobů, vyhodnocení neprovedených jobů
• Fyzická bezpečnost – ochranné prvky – klimatizace, environmentální ochrana, omezení vstupů malému počtu lidí, kamerový systém
![Page 25: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/25.jpg)
PwC
IT bezpečnost vs. IT auditBezpečnost informací
• Důvěrnost -> Řízení přístupu uživatelů (Access to program and data)
• Aplikační/databázová/operační úroveň – nové a ukončené účty, privilegované přístupy, pravidelná kontrola uživatelů, monitorování uživatelských přístupů
• Celistvost -> Změnové řízení (Program changes), Řízení přístupu uživatelů - Heslová politika
• Aplikační úroveň – nové změny (standardní, projektové, konfigurační), oddělení prostředí (Vývoj vs. Produkce), oddělení funkcí (Vývoj vs. Nasazení)
• Databázová a Operační úroveň – podporované verze, patchování
• Dostupnost -> Zajištění provozu (Computer operations)
• Zálohování a obnova ze zálohy, správa incidentů, DRP/BCM, Plánované úlohy, Interfacy
![Page 26: Informačníbezpečnost Dana Pochmanová, Boris Šimák 10.5. 2017 · PwC Bezpečnost informací 1 • Informační bezpečnost jsou postupy zabraňující neoprávněnému přístupu,](https://reader034.vdocuments.site/reader034/viewer/2022042913/5f4c71f6d07bf7628000c9b3/html5/thumbnails/26.jpg)
PwC
Q&A