Professional Documents
Culture Documents
Bezpieczenstwo teleinformatyczne
WAT
Plan prezentacji
Wymagania ISO/IEC 27001 i zalecenia ISO/IEC 27002 Budowa normy ISO/IEC TR 18044
struktura definicje
dr in. Bolesaw Szomaski Zakad Systemw Zapewniania Jakoci Instytut Organizacji Systemw Produkcyjnych Wydzia Inynierii Produkcji b.szomanski@wip.pw.edu.pl Oraz Jarosaw Majczyk
Podstawy i korzyci z ISO 18044 Przykadowe incydenty Przykad raportu dotyczcego incydentu Bibliografia
22/04/2007
(c) B.Sz
Strona 1 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
A.13.1
Zalecenia :
opracowanie formalnej procedury zgaszania
wraz z
A.13.1
Uwiadomienie
o okrelajcych dziaania podejmowane o po otrzymaniu zgoszenia o naruszeniu; Wyznaczenie punktu kontaktowego znanego i powszechnie dostpnego
o pracownikw o Wykonawcw o uytkownikw trzeciej strony o Zapoznanie z procedur i lokalizacj punktu; Procedury zgaszania powinny obejmowa: o odpowiedni proces zwrotnego informowania zgaszajcych zdarzenia
tak, e po zamkniciu problemu przekazywane s im wyniki jego obsugi; o formularze zgaszania zdarze zwizanych z bezpieczestwem informacji wspomagajce proces zgaszania i pomagajce zgaszajcym zapamita wszystkie niezbdne dziaania na wypadek takiego zdarzenia;
A.13.1
poprawne zachowanie na wypadek zdarze zwizanych z bezpieczestwem informacji, tzn.:
A.13.1
A.13.1.2 Zgaszanie saboci systemu bezpieczestwa
Wszystkich pracownikw, wykonawcw i uytkownikw reprezentujcych stron trzeci, korzystajcych z systemw informacyjnych i usug, naley zobowiza do zgaszania zaobserwowanych lub podejrzewanych saboci bezpieczestwa w systemach lub usugach.
odwoania do ustanowionego formalnego procesu dyscyplinarnego, ktry okrela sposb postpowania z pracownikami, wykonawcami i uytkownikami reprezentujcymi stron trzeci, ktrzy naruszaj bezpieczestwo.
W rodowiskach o wysokim ryzyku, mona wprowadzi alarm dziaania pod przymusem Szczegowo take ISO TR 18044
22/04/2007
(c) B.Sz
Strona 2 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
A.13.1.2
Zaleca si, o aby wszyscy pracownicy, o wykonawcy i o uytkownicy reprezentujcy stron trzeci o zgaszali takie sytuacje albo do kierownictwa,
albo bezporednio do swojego dostawcy usug
o tak szybko,
jak to moliwe, aby unikn
Zaleca si, aby mechanizm zgaszania by o prosty, o dostpny i o osigalny. Zaleca si te, aby byli oni informowani, e nie naley, pod adnym pozorem, prbowa dowodzi podejrzewanej saboci na wasn rk..
Takie zalecenie suy ich bezpieczestwu,
o bowiem testowanie sabych punktw o moe by interpretowane w systemie o jako potencjalne naduycie
A.13.2
A.13.2 Zarzdzanie incydentami zwizanymi z bezpieczestwem informacji oraz udoskonaleniami
Cel: Zapewnienie, e stosowane jest spjne i skuteczne podejcie do zarzdzania incydentami zwizanymi z bezpieczestwem informacji.
A.13.2.1
Oprcz zgaszania zdarze zwizanych z bezpieczestwem informacji oraz saboci (patrz take 13.1), zaleca si wykorzystywanie monitorowania systemw, alarmowania i podatnoci (10.10.2) do wykrycia incydentw naruszenia bezpieczestwa informacji.
22/04/2007
(c) B.Sz
Strona 3 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
A.13.2.1
Zaleca si eby procedury zawieray
naruszenia bezpieczestwa informacji. o gdzie jest to wymagane, take gromadzenie dowodw w celu
zapewnienia zgodnoci z wymaganiami prawnymi.
A.13.2.1
dodatkowo, w odniesieniu do zwykych planw cigoci dziaania (patrz 14.1.3), zaleca si, aby procedury obejmoway (patrz take 13.2.2):
analiz i identyfikacj przyczyny incydentu; ograniczanie zasigu naruszenia; jeli to potrzebne, planowanie i wdraanie dziaa naprawczych w celu uniknicia ponownego wystpienia incydentu; komunikacj z podmiotami dotknitymi incydentem i tymi, ktre s zaangaowane w jego usunicie; raportowanie dziaa do odpowiednich osb
o awarie systemw informacyjnych i utrat usugi; o szkodliwe oprogramowanie (10.4.1); o odmow usugi; o bdy wynikajce z niekompletnych lub niewaciwych danych
biznesowych;
A.13.2.1
jeli zachodzi taka potrzeba, to zaleca si gromadzenie i zabezpieczanie dziennikw audytu lub podobnych dowodw (patrz 13.2.3) w celu:
wewntrznej analizy problemu; wykorzystania w postpowaniu dowodowym; negocjacji rekompensat ze strony dostawcw oprogramowania lub usug ponadto zaleca si, aby procedury zapewniay, e: o tylko jednoznacznie zidentyfikowany i uprawniony personel ma
dostp do dziaajcych systemw i rzeczywistych danych (patrz take 6.2 dostp zewntrzny); o wszystkie podejmowane dziaania awaryjne s szczegowo dokumentowane; o dziaania awaryjne s zgaszane kierownictwu i sprawnie przegldane; o integralno systemw biznesowych i zabezpiecze jest potwierdzana z minimalnym opnieniem.
22/04/2007
(c) B.Sz
Strona 4 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
A.13.2
Naley zapewni, e cele
Zarzdzania incydentami naruszenia bezpieczestwa informacji
A.13.2
Zaleca si wykorzystywanie informacji zebranych w trakcie oceny incydentw naruszenia bezpieczestwa informacji do
identyfikowania incydentw powtarzajcych si lub o znacznych konsekwencjach.
22/04/2007
(c) B.Sz
Strona 5 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
Zaleca si opracowanie i stosowanie procedur wewntrznych przy zbieraniu i przedstawianiu materiau dowodowego na potrzeby postpowania dyscyplinarnego prowadzonego w organizacji. W oglnym przypadku zasady zwizane z materiaem dowodowym odnosz si do:
dopuszczalnoci materiau dowodowego: czy materia dowodowy moe by wykorzystany w sdzie, czy nie; wagi materiau dowodowego: jakoci i kompletnoci materiau dowodowego.
zaleca si, aby organizacja zapewnia, e jej systemy informacyjne s zgodne z opublikowanymi normami lub praktycznymi zasadami tworzenia takiego materiau dowodowego. Zaleca si, aby waga dostarczonego materiau dowodowego bya zgodna z odnonymi wymaganiami. Zaleca si utrzymanie jakoci i kompletnoci zabezpiecze poprawnie i w sposb cigy uywanych do ochrony materiau dowodowego (tzn. proces zabezpieczania materiau dowodowego); Zaleca si, aby przez okres, w ktrym materia dowodowy przeznaczony do odtworzenia ma by przechowywany i przetwarzany,
zaleca si zapisanie informacji znajdujcych si na dyskach twardych lub w pamici komputera, aby zapewni ich dostpno;
zaleca si zachowanie zapisw wszelkich dziaa podczas procesu kopiowania oraz aby
proces ten odbywa si w obecnoci wiadkw
Wstp 1. Zakres normy 2. Odwoania normatywne 3. Terminy i definicje 4. To 5. Korzyci i podstawowe sprawy 6. Przykady incydentw bezpieczestwa informacji i ich przyczyny
22/04/2007
(c) B.Sz
Strona 6 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
ISO/IEC TR 18044:2004 Information technology Security techniques Information security incident management
Typ 1 nie udao si opracowa normy mimo prb Typ 2 prace s prowadzone ale nie jest moliwe uzgodnienie normy Typ 3 zbierane s materiay do publikacji normy
Wprowadzenie
Mimo zastosowania polityki bezpieczestwa i zabezpiecze
Nie da si unikn saboci bezpieczestwa
Definicje:
Planowanie cigoci dziaania
Proces zapewnienia zagwarantowania odtworzenia operacji biznesowych organizacji
Ze przygotowanie
obnia efektywno podejmowanych dziaa
22/04/2007
(c) B.Sz
Strona 7 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
przeamanie polityki bezpieczestwa informacji, bd zabezpieczenia lub nieznan dotychczas sytuacj, ktra o moe by zwizana z bezpieczestwem.
Definicje
Zesp reagowania na incydent bezpieczestwa informacji (ZRIBI)
cyklu ycia.
4. To (1)
4. 1. Przedmiot
Zdarzenia z bezpieczestwa informacji mog by wykryte i kategoryzowane Incydenty z bezpieczestwa informacji mog by oceniane i odpowiednie dziaania prowadzone skutecznie i efektywnie Skutki mog by minimalizowane poprzez odpowiednie zabezpieczenia i powizanie z planami cigoci dziaania Powinna by wycigana odpowiednia nauka z incydentw
o Grupa kompetentnych i zaufanych osb w organizacji, ktre o potrafi zarzdza (handle) incydentami w trakcie caego ich o Czasami mog korzysta ze wsparcia zewntrznych ekspertw
takich jak znanych zespow reagowania na incydenty lub zesp reagujcy na naruszenia bezpieczestwa w sieci Internet (CERT)
22/04/2007
(c) B.Sz
Strona 8 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
To (2)
To (3)
Planowanie i przygotowanie
Polityka zarzdzania incydentami bezpieczestwa informacji i wsparcie kierownictwa Opracowanie dokumentw dla wsparcia polityki, formularzy procedur i narzdzi Uaktualnienie polityki bezpieczestwa informacji i polityki zarzdzania ryzykiem na wszystkich poziomach organizacji Ustanowienie odpowiedniej struktury organizacyjnej tzn. Zespou reagowania na incydenty bezpieczestwa informacji (ZRIBI) Uwiadamianie pracownikw i odpowiednie szkolenia Testowanie schematw postpowania
4.2. Procesy
Planowanie i przygotowanie Wykonywanie Przegld Doskonalenie Czyli cykl PDCA (Deminga) jak w ISO 9000 i ISO 14000
To (4)
Wykonywanie
Wykrywanie i raportowanie o zdarzeniach Zbieranie informacji o zdarzeniach i ocena kiedy okrela si je incydentami Odpowied na incydenty o Natychmiast o Jeeli sytuacja jest pod kontrol kierowanie dziaaniami ktre maj by wykonane w o o o o o
swobodniejszym czasie Jeeli sytuacja wysza spod kontroli podejmowanie dziaa kryzysowych Komunikowanie o incydentach osobom wewntrz i zewntrz oraz organizacjom Przeprowadzenie analiz (prawnych) Waciwe zapisywanie dziaa dla przyszych analiz Zamykanie incydentw (decyzja)
To (5)
Przegld
Przeprowadzanie szczegowej analizy
o jeeli potrzebna Okrelenie nauki nabytej z incydentu Okrelenie usprawnie do zabezpiecze Okrelenie usprawnie schematu postpowania przy zarzdzaniu incydentami bezpieczestwa informacji w tym o Procesw o Procedur o Formularzy o Organizacji
22/04/2007
(c) B.Sz
Strona 9 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
To (5)
Doskonalenie
Dziaania w zakresie zarzdzania incydentami zwizanymi z bezpieczestwem informacji s iteracyjne z regularnym doskonaleniem elementw bezpieczestwa informacji i zawieraj: o Korygowanie istniejcych analiz ryzyka i wynikw przegldu
kierownictwa o Wdroenie usprawnie do schematu zarzdzania incydentami z bezpieczestwa informacji i dokumentacji o Inicjowanie usprawnie bezpieczestwa ktre obejmuj nowe lub ulepszone zabezpieczenia
o Powinny by podpisane umowy o poufnoci o Informacje powinny by uywane tylko w sprawie w ktrej s
zbierane (tzn. IBI)
Zapewnianie odpowiedniego przechowywania zapisw o Np. W celu zachowania dla audytu o W organizacjach pastwowych
22/04/2007
(c) B.Sz
Strona 10 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
o Np. Problemy ze zwolnieniem pracownikw Sprawdzanie wanoci z prawem zrzeczenia si o Np. odpowiedzialnoci Uwzgldnianie wszystkich wymaganych aspektw w umowach z zewntrznym personelem wsparcia Obowizywanie umw o zachowaniu poufnoci zgodnie z prawem Okrelenie prawnych wymaga o Np. czas przechowywania zapisw
o o o o
Wpyw na zwizan organizacj Wykrycie saboci w produkcie Przekazywanie informacji o odpowiednich agencji pastwowych Ujawnianie informacji o wewntrznych pracownikach zaangaowanych w atak o Ujawnianie nieprawdziwych informacji o produkcie
Szczeglne wymagania prawne musz by okrelone Oskarenie lub akcja dyscyplinarna powinna by skuteczna
22/04/2007
(c) B.Sz
Strona 11 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
o Okrelenie saboci celu Typowe przykady zagoe techniczych o Pobranie adresw DNS (domain name systems) o Sprawdzenie adresw sieciowych o Sprawdzenie identyfikacji hostw o Skanowanie portw o Sprawdzanie znanych saboci
o Prba pozyskania plikw hase o Przepenienie bufora w celu spowodowania uzyskania dodatkowych
przywilejw
o Przyczyny
Naruszenie ochrony fizycznej i przez to nieautoryzowany dostp do informacji lub kradzie urzdze zawierajcych wane dane Saby lub le skonfigurowany system operacyjny poprzez niekontrolowane zmiany awarie sprztu i oprogramowania umoliwiajcy osobom dostp do informacji do ktrych nie maj praw
o Powikszenie przywilejw ponad udzielone przez administratora o Przeamanie ochrony fizycznej w celu nieuprawnionego dostpu do
informacji o Saby lub le skonfigurowany system operacyjny poprzez niekontrolowane zmiany awarie sprztu i oprogramowania umoliwiajcy osobom dostp do informacji do ktrych nie maj praw
22/04/2007
(c) B.Sz
Strona 12 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
7. Planowanie i przygotowanie
7.1. Przegld 7.2. Polityka zarzdzania incydentami bezpieczestwa informacji 7.3 Schemat zarzdzania incydentami bezpieczestwa informacji 7.4. Polityki bezpieczestwa informacji i analizy ryzyka 7.5 Tworzenie ZRIBI 7.6. Powizanie z innymi czciami organizacji 7.7. Powizanie z zewntrznymi organizacjami 7.8. Wsparcie techniczne i inne 7.9. Uwiadamianie i szkolenie
8. Wdroenie
8.1 Wprowadzenie 8.2. Przegld kluczowych procesw 8.3. Wykrycie i raportowanie 8.4. Ocena zdarzenia/incydentu i podejmowanie decyzji 8.5. Reakcja
9. Przegld
9.1 Wprowadzenie 9.2 Kolejna analiza prawna 9.3. Nauka pynca z incydentu 9.4. Okrelenie doskonalenia zabezpiecze 9.5. Okrelenie doskonalenia schematu postpowania
10. Doskonalenie
10.1 Wprowadzenie 10.2. Doskonalenie analizy ryzyka bezpieczestwa i zarzdzania 10.3. Wdroenie usprawnie zabezpiecze 10.4. Wdroenie usprawnie schematu postpowania 10.5. Inne usprawnienia
22/04/2007
(c) B.Sz
Strona 13 z 14
Zarzadzanie incydentami
Bezpieczenstwo teleinformatyczne
WAT
11. Podsumowanie
Raport techniczny ma na celu przedstawienie przegldu zagadnie zwizanych z zarzdzaniem incydentami bezpieczestwa informacji
Oraz
Przedstawienie schematu postpowania w zarzdzaniu incydentami bezpieczestwa informacji Okrela szczegowe dziaania zwizane z planowaniem i dokumentowaniem polityki zarzdzania incydentami bezpieczestwa informacji oraz procesami i procedurami dla ZIBI oraz dziaaniami po incydencie
Bibliografia
Normy:
ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the Management of IT Security - Part 3: Techniques for the management of IT Security ISO/IEC TR 15947:2002 Information technology - Security techniques IT intrusion detection framework ISO/IEC 18028-1:2006 Information technology -- Security techniques -- IT network security -- Part 1: Network security management ISO/IEC 18028-2:2006 Information technology -- Security techniques -- IT network security -- Part 2: Network security architecture ISO/IEC 18028-3:2005 Information technology -- Security techniques -- IT network security -- Part 3: Securing communications between networks using security gateways ISO/IEC 18028-4:2005 Information technology - Security techniques IT network security Part 4: Securing remote access
Bibliografia 2
ISO/IEC 18043:2006 Information technology -- Security techniques -- Selection, deployment and operations of intrusion detection systems lSO/lEC Guide 732002, Risk management -VocabularyGuidelines for use in standards Internet Engineering Task Force (IETF) Site Security Handbook, http//:www.ietf.org/rtc2196txt?number=2196 Expectations Computer Security Incident Response -Best Practice, June 98, ftp://ftp.isi.edu/in-notes/rfc235O.txt NIST Special publication 800-3 Nov 01, Establishing a Computer lncident Response Capability (CSIRC), http://csrc.nist.gov/pubIications/nistpubs/800-3/800-3.pdf
22/04/2007
(c) B.Sz
Strona 14 z 14