Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

Zarzdzanie incydentami z bezpieczestwa informacji zgodnie z ISO /IEC TR 18044:2004

Plan prezentacji
Wymagania ISO/IEC 27001 i zalecenia ISO/IEC 27002 Budowa normy ISO/IEC TR 18044
struktura definicje

dr in. Bolesaw Szomaski Zakad Systemw Zapewniania Jakoci Instytut Organizacji Systemw Produkcyjnych Wydzia Inynierii Produkcji b.szomanski@wip.pw.edu.pl Oraz Jarosaw Majczyk

Podstawy i korzyci z ISO 18044 Przykadowe incydenty Przykad raportu dotyczcego incydentu Bibliografia

Wymagania ISO/IEC 27001

o 4.2.2. Wdroy procedury i inne zabezpieczenia zdolne
do natychmiastowego Wykrycia zdarze i reakcji na incydenty zwizane z naruszeniem bezpieczestwa (patrz 4.2.3a)

A.13 Zarzdzanie incydentami zwizanymi z bezpieczestwem informacji

A.13.1 Zgaszanie zdarze zwizanych z bezpieczestwem informacji i saboci
Cel: Zapewnienie, e zdarzenia zwizane z bezpieczestwem informacji oraz saboci systemw informacyjnych, s zgaszane w sposb umoliwiajcy szybkie podjcie dziaa korygujcych.

o 4.2.3. Wykonywa procedury monitorowania i przegldu i inne

zabezpieczenia
........ 2) natychmiastowego identyfikowania narusze bezpieczestwa i incydentw, zakoczonych niepowodzeniem lub sukcesem;

A.13.1.1 Zgaszanie zdarze zwizanych z bezpieczestwem informacji

Zdarzenia zwizane z bezpieczestwem informacji powinny by zgaszane poprzez odpowiednie kanay organizacyjne tak szybko, jak to moliwe.

22/04/2007

(c) B.Sz

Strona 1 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

A.13.1
Zalecenia :
opracowanie formalnej procedury zgaszania
wraz z

A.13.1
Uwiadomienie

o procedur reagowania na wystpienie danego naruszenia i

eskalacji

o okrelajcych dziaania podejmowane o po otrzymaniu zgoszenia o naruszeniu; Wyznaczenie punktu kontaktowego znanego i powszechnie dostpnego

o pracownikw o Wykonawcw o uytkownikw trzeciej strony o Zapoznanie z procedur i lokalizacj punktu; Procedury zgaszania powinny obejmowa: o odpowiedni proces zwrotnego informowania zgaszajcych zdarzenia

tak, e po zamkniciu problemu przekazywane s im wyniki jego obsugi; o formularze zgaszania zdarze zwizanych z bezpieczestwem informacji wspomagajce proces zgaszania i pomagajce zgaszajcym zapamita wszystkie niezbdne dziaania na wypadek takiego zdarzenia;

A.13.1
poprawne zachowanie na wypadek zdarze zwizanych z bezpieczestwem informacji, tzn.:

A.13.1
A.13.1.2 Zgaszanie saboci systemu bezpieczestwa
Wszystkich pracownikw, wykonawcw i uytkownikw reprezentujcych stron trzeci, korzystajcych z systemw informacyjnych i usug, naley zobowiza do zgaszania zaobserwowanych lub podejrzewanych saboci bezpieczestwa w systemach lub usugach.

o natychmiastowe zanotowanie wszystkich wanych szczegw (np. typu

niezgodnoci lub naruszenia, bdu dziaania, wiadomoci z ekranu, dziwnego zachowania); o zakaz podejmowania jakichkolwiek wasnych dziaa, lecz natychmiastowe zgoszenie do punktu kontaktowego;

odwoania do ustanowionego formalnego procesu dyscyplinarnego, ktry okrela sposb postpowania z pracownikami, wykonawcami i uytkownikami reprezentujcymi stron trzeci, ktrzy naruszaj bezpieczestwo.

W rodowiskach o wysokim ryzyku, mona wprowadzi alarm dziaania pod przymusem Szczegowo take ISO TR 18044

22/04/2007

(c) B.Sz

Strona 2 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

A.13.1.2
Zaleca si, o aby wszyscy pracownicy, o wykonawcy i o uytkownicy reprezentujcy stron trzeci o zgaszali takie sytuacje albo do kierownictwa,
albo bezporednio do swojego dostawcy usug

o tak szybko,
jak to moliwe, aby unikn

Zaleca si, aby mechanizm zgaszania by o prosty, o dostpny i o osigalny. Zaleca si te, aby byli oni informowani, e nie naley, pod adnym pozorem, prbowa dowodzi podejrzewanej saboci na wasn rk..
Takie zalecenie suy ich bezpieczestwu,

o incydentw naruszenia bezpieczestwa informacji.

o bowiem testowanie sabych punktw o moe by interpretowane w systemie o jako potencjalne naduycie

A.13.2
A.13.2 Zarzdzanie incydentami zwizanymi z bezpieczestwem informacji oraz udoskonaleniami
Cel: Zapewnienie, e stosowane jest spjne i skuteczne podejcie do zarzdzania incydentami zwizanymi z bezpieczestwem informacji.

A.13.2.1
Oprcz zgaszania zdarze zwizanych z bezpieczestwem informacji oraz saboci (patrz take 13.1), zaleca si wykorzystywanie monitorowania systemw, alarmowania i podatnoci (10.10.2) do wykrycia incydentw naruszenia bezpieczestwa informacji.

A.13.2.1 Odpowiedzialno i procedury

Naley wprowadzi odpowiedzialno kierownictwa oraz procedury zapewniajce szybk, skuteczn i uporzdkowan reakcj na incydenty zwizane z bezpieczestwem informacji.

22/04/2007

(c) B.Sz

Strona 3 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

A.13.2.1
Zaleca si eby procedury zawieray
naruszenia bezpieczestwa informacji. o gdzie jest to wymagane, take gromadzenie dowodw w celu
zapewnienia zgodnoci z wymaganiami prawnymi.

A.13.2.1
dodatkowo, w odniesieniu do zwykych planw cigoci dziaania (patrz 14.1.3), zaleca si, aby procedury obejmoway (patrz take 13.2.2):
analiz i identyfikacj przyczyny incydentu; ograniczanie zasigu naruszenia; jeli to potrzebne, planowanie i wdraanie dziaa naprawczych w celu uniknicia ponownego wystpienia incydentu; komunikacj z podmiotami dotknitymi incydentem i tymi, ktre s zaangaowane w jego usunicie; raportowanie dziaa do odpowiednich osb

o awarie systemw informacyjnych i utrat usugi; o szkodliwe oprogramowanie (10.4.1); o odmow usugi; o bdy wynikajce z niekompletnych lub niewaciwych danych
biznesowych;

o naruszenia poufnoci i integralnoci; o niewaciwe uycie systemw informacyjnych;

A.13.2.1
jeli zachodzi taka potrzeba, to zaleca si gromadzenie i zabezpieczanie dziennikw audytu lub podobnych dowodw (patrz 13.2.3) w celu:
wewntrznej analizy problemu; wykorzystania w postpowaniu dowodowym; negocjacji rekompensat ze strony dostawcw oprogramowania lub usug ponadto zaleca si, aby procedury zapewniay, e: o tylko jednoznacznie zidentyfikowany i uprawniony personel ma
dostp do dziaajcych systemw i rzeczywistych danych (patrz take 6.2 dostp zewntrzny); o wszystkie podejmowane dziaania awaryjne s szczegowo dokumentowane; o dziaania awaryjne s zgaszane kierownictwu i sprawnie przegldane; o integralno systemw biznesowych i zabezpiecze jest potwierdzana z minimalnym opnieniem.

22/04/2007

(c) B.Sz

Strona 4 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

A.13.2
Naley zapewni, e cele
Zarzdzania incydentami naruszenia bezpieczestwa informacji

o s uzgodnione z kierownictwem oraz o osoby odpowiedzialne

A.13.2.2 Wyciganie wnioskw z incydentw zwizanych z bezpieczestwem informacji

W organizacji powinny istnie o mechanizmy umoliwiajce liczenie i monitorowanie o rodzajw, o rozmiarw i o kosztw incydentw zwizanych z bezpieczestwem informacji.

za zarzdzanie incydentami naruszenia bezpieczestwa informacji

o rozumiej priorytety organizacji

zwizane z obsug takich incydentw.

A.13.2
Zaleca si wykorzystywanie informacji zebranych w trakcie oceny incydentw naruszenia bezpieczestwa informacji do
identyfikowania incydentw powtarzajcych si lub o znacznych konsekwencjach.

A.13.2.3 Gromadzenie materiau dowodowego

Jeli dziaania podejmowane po wystpieniu incydentu zwizanego z bezpieczestwem informacji obejmuj kroki prawne (natury cywilnoprawnej lub karnej), powinno si gromadzi, zachowa i przedstawi materia dowodowy zgodnie z zasadami materiau dowodowego obowizujcymi w odpowiednim prawodawstwie (prawodawstwach).

22/04/2007

(c) B.Sz

Strona 5 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

Zaleca si opracowanie i stosowanie procedur wewntrznych przy zbieraniu i przedstawianiu materiau dowodowego na potrzeby postpowania dyscyplinarnego prowadzonego w organizacji. W oglnym przypadku zasady zwizane z materiaem dowodowym odnosz si do:
dopuszczalnoci materiau dowodowego: czy materia dowodowy moe by wykorzystany w sdzie, czy nie; wagi materiau dowodowego: jakoci i kompletnoci materiau dowodowego.

zaleca si, aby organizacja zapewnia, e jej systemy informacyjne s zgodne z opublikowanymi normami lub praktycznymi zasadami tworzenia takiego materiau dowodowego. Zaleca si, aby waga dostarczonego materiau dowodowego bya zgodna z odnonymi wymaganiami. Zaleca si utrzymanie jakoci i kompletnoci zabezpiecze poprawnie i w sposb cigy uywanych do ochrony materiau dowodowego (tzn. proces zabezpieczania materiau dowodowego); Zaleca si, aby przez okres, w ktrym materia dowodowy przeznaczony do odtworzenia ma by przechowywany i przetwarzany,

o utrzyma mocny lad dowodowy

Budowa ISO 18044:2004

Warunki uzyskania ladu dowodowego:
dla dokumentw papierowych: orygina jest bezpiecznie przechowywany

o wraz z informacj kto go znalaz, gdzie, kiedy i kto by wiadkiem tego

zdarzenia;;

dla dokumentw na nonikach komputerowych:

o zaleca si utworzenie obrazu lub kopii (zalenie od stosownych

wymaga) wszelkich nonikw wymiennych;

zaleca si zapisanie informacji znajdujcych si na dyskach twardych lub w pamici komputera, aby zapewni ich dostpno;

zaleca si zachowanie zapisw wszelkich dziaa podczas procesu kopiowania oraz aby
proces ten odbywa si w obecnoci wiadkw

Wstp 1. Zakres normy 2. Odwoania normatywne 3. Terminy i definicje 4. To 5. Korzyci i podstawowe sprawy 6. Przykady incydentw bezpieczestwa informacji i ich przyczyny

22/04/2007

(c) B.Sz

Strona 6 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

Budowa ISO 18044:2004

7. Planowanie i przygotowanie 8. Stosowanie 9. Przegld 10. Doskonalenie 11. Podsumowanie Zacznik A Przykad raportu dotyczcego zdarze i incydentw z bezpieczestwa informacji Zacznik B Szkic przykadowych zalece oszacowania incydentw z bezpieczestwa informacji

Zatwierdzona w 2004 Raport typu 3 nie norma

ISO/IEC TR 18044:2004 Information technology Security techniques Information security incident management

Typ 1 nie udao si opracowa normy mimo prb Typ 2 prace s prowadzone ale nie jest moliwe uzgodnienie normy Typ 3 zbierane s materiay do publikacji normy

Obecnie w fazie przegldu

Moliwe e bdzie polskie tumaczenia

Wprowadzenie
Mimo zastosowania polityki bezpieczestwa i zabezpiecze
Nie da si unikn saboci bezpieczestwa

Definicje:
Planowanie cigoci dziaania
Proces zapewnienia zagwarantowania odtworzenia operacji biznesowych organizacji

o Co powoduje moliwo Wystpienia incydentu bezpieczestwa informacji

Ze przygotowanie
obnia efektywno podejmowanych dziaa

o w przypadku wystpienia jakiegokolwiek

nieoczekiwanego lub niechcianego incydentu, ktry

Konieczne jest strukturalne podejcie obejmujce:

Wykrycie, raportowanie i ocen incydentu bezpieczestwa informacji Reakcj na incydent bezpieczestwa informacji (IBI) Wycignicie wnioskw z IBI, zastosowanie zabezpiecze prewencyjnych i doskonalenie podejcia do zarzdzania incydentami bezpieczestwa informacji (ZIBI)

o mgby negatywnie wpyn

na cigo istotnych funkcji biznesowych organizacji.

o Odtworzenie operacji biznesowych powinno by osigalne

w zdefiniowanych czasie i z okrelonym priorytetem

22/04/2007

(c) B.Sz

Strona 7 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

zdarzenie zwizane z bezpieczestwem informacji

Jest okrelonym wystpieniem stanu o systemu, o usugi lub o sieci, ktry
wskazuje na moliwe

incydent zwizany z bezpieczestwem informacji

jest to o pojedyncze zdarzenie lub o seria niepodanych lub niespodziewanych zdarze o zwizanych z bezpieczestwem informacji, o ktre stwarzaj znaczne prawdopodobiestwo zakcenia o dziaa biznesowych i o zagraaj bezpieczestwu informacji.

przeamanie polityki bezpieczestwa informacji, bd zabezpieczenia lub nieznan dotychczas sytuacj, ktra o moe by zwizana z bezpieczestwem.

Definicje
Zesp reagowania na incydent bezpieczestwa informacji (ZRIBI)
cyklu ycia.

4. To (1)
4. 1. Przedmiot
Zdarzenia z bezpieczestwa informacji mog by wykryte i kategoryzowane Incydenty z bezpieczestwa informacji mog by oceniane i odpowiednie dziaania prowadzone skutecznie i efektywnie Skutki mog by minimalizowane poprzez odpowiednie zabezpieczenia i powizanie z planami cigoci dziaania Powinna by wycigana odpowiednia nauka z incydentw

o Grupa kompetentnych i zaufanych osb w organizacji, ktre o potrafi zarzdza (handle) incydentami w trakcie caego ich o Czasami mog korzysta ze wsparcia zewntrznych ekspertw
takich jak znanych zespow reagowania na incydenty lub zesp reagujcy na naruszenia bezpieczestwa w sieci Internet (CERT)

22/04/2007

(c) B.Sz

Strona 8 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

To (2)

To (3)
Planowanie i przygotowanie
Polityka zarzdzania incydentami bezpieczestwa informacji i wsparcie kierownictwa Opracowanie dokumentw dla wsparcia polityki, formularzy procedur i narzdzi Uaktualnienie polityki bezpieczestwa informacji i polityki zarzdzania ryzykiem na wszystkich poziomach organizacji Ustanowienie odpowiedniej struktury organizacyjnej tzn. Zespou reagowania na incydenty bezpieczestwa informacji (ZRIBI) Uwiadamianie pracownikw i odpowiednie szkolenia Testowanie schematw postpowania

4.2. Procesy
Planowanie i przygotowanie Wykonywanie Przegld Doskonalenie Czyli cykl PDCA (Deminga) jak w ISO 9000 i ISO 14000

Szerzej w punkcie7 raportu

To (4)
Wykonywanie
Wykrywanie i raportowanie o zdarzeniach Zbieranie informacji o zdarzeniach i ocena kiedy okrela si je incydentami Odpowied na incydenty o Natychmiast o Jeeli sytuacja jest pod kontrol kierowanie dziaaniami ktre maj by wykonane w o o o o o
swobodniejszym czasie Jeeli sytuacja wysza spod kontroli podejmowanie dziaa kryzysowych Komunikowanie o incydentach osobom wewntrz i zewntrz oraz organizacjom Przeprowadzenie analiz (prawnych) Waciwe zapisywanie dziaa dla przyszych analiz Zamykanie incydentw (decyzja)

To (5)
Przegld
Przeprowadzanie szczegowej analizy

o jeeli potrzebna Okrelenie nauki nabytej z incydentu Okrelenie usprawnie do zabezpiecze Okrelenie usprawnie schematu postpowania przy zarzdzaniu incydentami bezpieczestwa informacji w tym o Procesw o Procedur o Formularzy o Organizacji

Szerzej w punkcie 8 raportu

Szerzej w punkcie 9 raportu

22/04/2007

(c) B.Sz

Strona 9 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

To (5)
Doskonalenie
Dziaania w zakresie zarzdzania incydentami zwizanymi z bezpieczestwem informacji s iteracyjne z regularnym doskonaleniem elementw bezpieczestwa informacji i zawieraj: o Korygowanie istniejcych analiz ryzyka i wynikw przegldu
kierownictwa o Wdroenie usprawnie do schematu zarzdzania incydentami z bezpieczestwa informacji i dokumentacji o Inicjowanie usprawnie bezpieczestwa ktre obejmuj nowe lub ulepszone zabezpieczenia

5. Korzyci i podstawowe sprawy

5.1. Korzyci
Doskonalenie bezpieczestwa informacji Zmniejszenie zwizanych skutkw dla biznesu Wzmocnienie koncentracji na incydenty Wzmocnienie priorytyzacji i ewidencji Zmniejszenie wpywu na budet i zasoby Poprawa zmian w analizie ryzyka i zarzdzaniu Ustalanie dodatkowych materiaw dla programw uwiadamiania i szkolenia Wprowadzenie informacji do polityki bezpieczestwa informacji i przegldw dokumentacji

Szerzej w punkcie 10 raportu

5. Korzyci i podstawowe sprawy

5.2. Podstawowe sprawy
Zaangaowanie kierownictwa Uwiadamianie Aspekty prawne i regulacyjne Skuteczno operacyjna i jako Anonimowo Poufno Pewno operacji Typologia

5.2. Korzyci i podstawowe sprawy Aspekty prawne i regulacyjne

Prowadzenie odpowiedniej ochrony danych i ochrony prywatnoci o Osoby majce dostp do danych personalnych nie powinny (jeli
to moliwe) zna osb ktrych sprawy badaj

o Powinny by podpisane umowy o poufnoci o Informacje powinny by uywane tylko w sprawie w ktrej s
zbierane (tzn. IBI)

Zapewnianie odpowiedniego przechowywania zapisw o Np. W celu zachowania dla audytu o W organizacjach pastwowych

22/04/2007

(c) B.Sz

Strona 10 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

5.2. Korzyci i podstawowe sprawy

Wprowadzenie zabezpiecze w celu zapewnienia realizacji wymaga kontraktowych Wymagania prawne zwizane z procesami i procedurami

5.2. Korzyci i podstawowe sprawy

Jasny aspekt odpowiedzialnoci

o Np. Problemy ze zwolnieniem pracownikw Sprawdzanie wanoci z prawem zrzeczenia si o Np. odpowiedzialnoci Uwzgldnianie wszystkich wymaganych aspektw w umowach z zewntrznym personelem wsparcia Obowizywanie umw o zachowaniu poufnoci zgodnie z prawem Okrelenie prawnych wymaga o Np. czas przechowywania zapisw

o o o o

Wpyw na zwizan organizacj Wykrycie saboci w produkcie Przekazywanie informacji o odpowiednich agencji pastwowych Ujawnianie informacji o wewntrznych pracownikach zaangaowanych w atak o Ujawnianie nieprawdziwych informacji o produkcie

Szczeglne wymagania prawne musz by okrelone Oskarenie lub akcja dyscyplinarna powinna by skuteczna

o Zapisy s kompletne o Kopie s identyczne o IT System dziaa poprawnie w chwili incydentu

5.2. Korzyci i podstawowe sprawy

Aspekty prawne zwizane z polityk monitoringu s okrelone o ISO 18043 Polityka poprawnego korzystania z urzdze jest okrelona

6. Przykady incydentw bezpieczestwa informacji i ich przyczyny

Odmowa obsugi (Denial of Serwis)
Zablokowanie zasobw o Przecienie sieci (np.. Ping of death) o Wysyanie wiadomoci w bdnych formatach o Wymuszanie otwierania nadmiarowych sesji o Bdna konfiguracja o Niekompatybilno oprogramowania

22/04/2007

(c) B.Sz

Strona 11 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

6. Przykady incydentw bezpieczestwa informacji i ich przyczyny

Zniszczenie zasobw o Kradzie sprztu lub jego celowe zniszczenie o Zniszczenie sprztu przez wod lub poar o Ekstremalne warunki otoczenia np. temperatura o Awaria systemu lub jego przecienie o Niekontrolowana zmiana systemu o Awaria oprogramowania lub sprztu

6. Przykady incydentw bezpieczestwa informacji i ich przyczyny

Pobieranie informacji
Zwykle obejmuj rozpoznanie w tym o Okrelenie celu rozpoznanie topologii sieci i wewntrznej
komunikacji

o Okrelenie saboci celu Typowe przykady zagoe techniczych o Pobranie adresw DNS (domain name systems) o Sprawdzenie adresw sieciowych o Sprawdzenie identyfikacji hostw o Skanowanie portw o Sprawdzanie znanych saboci

6. Przykady incydentw bezpieczestwa informacji i ich przyczyny

Aspekty nie techniczne o Skutki
Bezporednie lub niebezporednie ujawnienie lub modyfikacja informacji Kradzie wasnoci intelektualnej Naruszenie rozliczalnoci Naduycie systemu

6. Przykady incydentw bezpieczestwa informacji i ich przyczyny

6.3. Nieautoryzowany dostp
Pozostae przypadki

o Prba pozyskania plikw hase o Przepenienie bufora w celu spowodowania uzyskania dodatkowych
przywilejw

o Wykorzystanie saboci protokow w celu przejcia lub oszukania

pocze sieciowych

o Przyczyny
Naruszenie ochrony fizycznej i przez to nieautoryzowany dostp do informacji lub kradzie urzdze zawierajcych wane dane Saby lub le skonfigurowany system operacyjny poprzez niekontrolowane zmiany awarie sprztu i oprogramowania umoliwiajcy osobom dostp do informacji do ktrych nie maj praw

o Powikszenie przywilejw ponad udzielone przez administratora o Przeamanie ochrony fizycznej w celu nieuprawnionego dostpu do
informacji o Saby lub le skonfigurowany system operacyjny poprzez niekontrolowane zmiany awarie sprztu i oprogramowania umoliwiajcy osobom dostp do informacji do ktrych nie maj praw

22/04/2007

(c) B.Sz

Strona 12 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

7. Planowanie i przygotowanie
7.1. Przegld 7.2. Polityka zarzdzania incydentami bezpieczestwa informacji 7.3 Schemat zarzdzania incydentami bezpieczestwa informacji 7.4. Polityki bezpieczestwa informacji i analizy ryzyka 7.5 Tworzenie ZRIBI 7.6. Powizanie z innymi czciami organizacji 7.7. Powizanie z zewntrznymi organizacjami 7.8. Wsparcie techniczne i inne 7.9. Uwiadamianie i szkolenie

8. Wdroenie
8.1 Wprowadzenie 8.2. Przegld kluczowych procesw 8.3. Wykrycie i raportowanie 8.4. Ocena zdarzenia/incydentu i podejmowanie decyzji 8.5. Reakcja

9. Przegld
9.1 Wprowadzenie 9.2 Kolejna analiza prawna 9.3. Nauka pynca z incydentu 9.4. Okrelenie doskonalenia zabezpiecze 9.5. Okrelenie doskonalenia schematu postpowania

10. Doskonalenie
10.1 Wprowadzenie 10.2. Doskonalenie analizy ryzyka bezpieczestwa i zarzdzania 10.3. Wdroenie usprawnie zabezpiecze 10.4. Wdroenie usprawnie schematu postpowania 10.5. Inne usprawnienia

22/04/2007

(c) B.Sz

Strona 13 z 14

Zarzadzanie incydentami

Bezpieczenstwo teleinformatyczne

WAT

11. Podsumowanie
Raport techniczny ma na celu przedstawienie przegldu zagadnie zwizanych z zarzdzaniem incydentami bezpieczestwa informacji
Oraz

Przykad raportu dotyczcego zdarze i incydentw z bezpieczestwa informacji

plik acrobata

Przedstawienie schematu postpowania w zarzdzaniu incydentami bezpieczestwa informacji Okrela szczegowe dziaania zwizane z planowaniem i dokumentowaniem polityki zarzdzania incydentami bezpieczestwa informacji oraz procesami i procedurami dla ZIBI oraz dziaaniami po incydencie

Bibliografia
Normy:
ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the Management of IT Security - Part 3: Techniques for the management of IT Security ISO/IEC TR 15947:2002 Information technology - Security techniques IT intrusion detection framework ISO/IEC 18028-1:2006 Information technology -- Security techniques -- IT network security -- Part 1: Network security management ISO/IEC 18028-2:2006 Information technology -- Security techniques -- IT network security -- Part 2: Network security architecture ISO/IEC 18028-3:2005 Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways ISO/IEC 18028-4:2005 Information technology - Security techniques IT network security Part 4: Securing remote access

Bibliografia 2
ISO/IEC 18043:2006 Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems lSO/lEC Guide 732002, Risk management -VocabularyGuidelines for use in standards Internet Engineering Task Force (IETF) Site Security Handbook, http//:www.ietf.org/rtc2196txt?number=2196 Expectations Computer Security Incident Response -Best Practice, June 98, ftp://ftp.isi.edu/in-notes/rfc235O.txt NIST Special publication 800-3 Nov 01, Establishing a Computer lncident Response Capability (CSIRC), http://csrc.nist.gov/pubIications/nistpubs/800-3/800-3.pdf

22/04/2007

(c) B.Sz

Strona 14 z 14