information security - csirt presentation
TRANSCRIPT
1
Боян ЯнчевРъководител направление
Реализация на бизнес решения и проектиEmail:[email protected]
Информационна Сигурност
2Информационна сигурност
Защитата на информационните системи:– срещу неоторизиран достъп или модифициране на информацията, – срещу DoS срещу оторизирани потребители, – срещу осигуряването на услуги на неоторизирани потребители
Не е технология !!!
Отнася се за информацията, съдържанието и данните!
Отнася се за хората!
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
3ISO27001 – 11 главни области
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
4
Системен &МрежовМониторинг
Обучение & Осведоменост
Политики &Процедури
Сигурни хостове
Реагиране наИнциденти
Ключов елемент от Информационната Сигурност
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
5Реагиране при инциденти
CERT or CERT/CC
CSIRT
IRT
CIRT
SERT
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
CERT or CERT/CC (Computer Emergency Response Team / Coordination Center)
CSIRT (Computer Security Incident Response Team)
IRT (Incident Response Team)
CIRT (Computer Incident Response Team)
SERT (Security Emergency Response Team)
6Какво представлява CSIRT
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
Организация или звено, което предоставя на определени ползватели услуги по защита и предпазване от
инциденти в компютърната сигурност
7Какво прави CSIRTПринципно един CSIRT– Осигурява единична точка за контакт за рапортуване на локални
проблеми– Идентифицира и анализира какво се е случило включително оценка на
въздействието, щетите и заплахите– Проучва решения и стратегии за отстраняване на проблемите– Споделя информация и научени уроци
Целта на CSIRT е да– Минимизира и контролира щетите– Осигурява(или асистира за осигуряването) ефективен отговор и
възстановяване след инцидента– Помага за предприемането на превантивни мерки за ограничаване на
бъдещи събития
Няма такъв екип който да прави всичко за всички!
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
8CSIRT Услуги
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
Реактивни услуги Проактивни УслугиУслуги по Сигурност и
КачествоAlerts and Warnings Incident Handling Incident analysis Incident response on site Incident response support Incident response coordination Vulnerability Handling Vulnerability analysis Vulnerability response Vulnerability response coordination Artifact Handling Artifact analysis Artifact response Artifact response coordination
Announcements
Technology Watch
Security Audits or Assessments Configuration and Maintenance of Security Tools, Applications, and Infrastructures
Development of Security Tools Intrusion Detection Services
Security-Related Information Dissemination
Risk Analysis Business Continuity and Disaster Recovery Planning Security Consulting Awareness Building Education/Training Product Evaluation or Certification
9Нуждата от CSIRT
Увеличаващата се нужда и наличие на глобални ИТ Инфраструктури – вируси (Morris)
Нужда от кооперация и координация – организиран и структуриран подход - CSIRT
Централизирано и специализирано управление и реагиране при инциденти
Налична експертиза за реагиране и асистиране на ИТ персонала за възстановяване след инциденти в сигурността
Асистиране в случай на юридически спорове и събиране и обработка на доказателства.
Следене на развитието в областта на информационната сигурност.
Коопериране с други организации в случай на кризи
Изготвяне на материали и обучение на персонала за повишаване на осведомеността му.
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
10Защо CSIRT ?
Предпазването е по-добра алтернатива от лечението
Малки неща обикновено предпазват от големи аварии
Кооперирането на усилия винаги се отплаща
Осведомеността на крайните потребители води до по-малко главоболия
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
11Текущо състояние и заинтересовани лица
GovCERT.bg (внедрен 2008 от Лирекс БГ)
МТИТС
КРС
ГДБОП
ДКСИ
ДАНС
CSIRT.CZ
GOVCERT.NL
GovCertUK
NCIRC CC (NATO)
ISIRT (Interpol)
HP SSRT
Cisco PSIRT
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
12Необходими ресурси
Проучване на необходимостта
Външни консултанти
Система за регистриране, проследяване и обработка на инциденти
Комуникация
– Hotline и/или Helpdesk
– Web и/или ftp сайт
– Мейл листи
– Мобилни телефони
IDS / IPS
Проби в мрежата
Firewall наблюдение
Механизми за защитена комуникация
– PGP ключове или цифрови сертификати за подписване на мейл комуникацията и документите
– Защитени телефони
– Интранет и интернет
Защитен достъп до CSIRT помещенията
Обучение на екипа
Тренировки и участие в съвместни обучения със сродни организации
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
13Опита на Унгария и България
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
CERT-Hungary– 2004-2006– Начална инвестиция: 300 M
HUF (~1.2 М EUR); – Нов офис, внедрена
инфраструктура и технически средства за мониторинг
Базови + разширени услуги
24/7
Персонал - 7 + 3 + 5
GovCERT.bg– 2008-2011– Начална инвестиция 320 К– Липса на проби и мрежов
мониторинг– няма отделена
инфраструктура
Само базови услуги,
8 / 5
Персонал - 3 + 3
Сравнението е за първите 2 години само
14Базови стъпки за внедряване
Събиране на информация.
Идентифициране на правилата и регулациите за изграждане на CSIRT.
Определяне на мисия.
Осигуряване на бюджет.
Определяне на обхват.
Определяне на правомощия, роля и място в организацията
Дефиниране на роли и отговорности
Създаване на план за внедряване
Идентифициране на необходимите ресурси – персонал, оборудване и инфраструктура.
Разработване на политики и процедури.
Обучение на екипа
Анонсиране на CSIRT.
Комуникиране на мисията и услугите.
Преглед и подобрение.
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
15Какво следва
Комуникация с други екипи
Регулярна проверка за уязвимости
Следене на техническите средства
Докладване на ръководството
Изготвяне на материали за обучение на крайните потребители
Очакване на инциденти
Тренировки и обучения
Обмяна на опит и съвместни учения
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
16Информационна Сигурност и опита на Лирекс.ком
Единствения CSIRT в България – изграждане и поддръжка
Penetration Testing
Консултиране за Информационна Сигурност
Подготовка за внедряване на: – ISO 27001– ITIL / ISO 20000– CobiT
Одит на Информационни Системи
Техническа помощ
Outsourcing
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
17Полезна информация
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
CSIRT информация– CSIRT FAQ - http://www.cert.org/csirts/csirt_faq.html– Handbook for CSIRTs – http://www.cert.org/archive/pdf/csirt-
handbook.pdf
Германски стандарти и методики– http://www.bsi.bund.de/english/index.htm– http://www.bsi.de/english/gshb/manual/index.htm - IT Grundschutz
ManualФренски стандарти и методики - Central Information Systems Security Division
– Information Technology Security Evaluation Criteria (ITSEC)– Information Technology Security Evaluation Manual (ITSEM)– ITSEC Joint Interpretation Library (ITSEC JIL)
18Късмет и Информационна Сигурност
Лирекс.ком ООД, тел: 02 9691 691, факс: 02 9743 095, www.lirex.com
19
Лирекс.ком ООД, тел: 02 9 691 691, факс: 02 9743 095, www.lirex.com
Благодаря за вниманието!
Боян ЯнчевРъководител направление
„Реализация на бизнес решения и проекти”
CISA, MCSE, MCSA, MCP
ITIL Foundation, COBIT Foundation
Mladost 1, bl. 54A, Sofia 1784, Bulgaria
office: +359 2 9 691 691
mobile: +359 887 628 587
mailto:[email protected]