1 / 20

Mýty a skutečnosti o ochraně informací

Aby bezpečnost byla komplexní. Mýty a skutečnosti o ochraně informací. Marek Solařík CISA , Senior Security Consultant TNS Kernun Security Notes 2012. www.kernun.cz. Tak tady to máte šéfe…. www.kernun.cz. Základní otázky. Jaké zákony musím splnit? Jaké normy a metodiky použít?

jake
Download Presentation

Mýty a skutečnosti o ochraně informací

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Aby bezpečnost byla komplexní Mýty a skutečnosti o ochraně informací Marek SolaříkCISA, Senior SecurityConsultant TNSKernunSecurity Notes 2012 www.kernun.cz

  2. Tak tady to máte šéfe… www.kernun.cz

  3. Základní otázky • Jaké zákony musím splnit? • Jaké normy a metodiky použít? • Co mě reálně hrozí? • Na co se primárně zaměřit? • Kolik do bezpečnosti investovat? • Investuji efektivně? • Jsou moje systémy dostatečně odolné? • Jak měřit výkonnost bezpečnosti? • Spravuji a řídím své IT dobře? • Co můžu dělat lépe? www.kernun.cz

  4. Jaké zákony? • Zákon č. 101/2000 Sb.,o ochraně osobních údajů a o změněněkterých zákonů • Zákon č. 227/2000 Sb.,o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb.,zákon o některých službách informační společnosti • zákon č. 499/2004 Sb., o archivnictví a spisové službě • … www.kernun.cz

  5. Veřejná správa • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů • Zákon č. 227/2000 Sb., o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti • Zákon č. 499/2004 Sb., o archivnictví a spisové službě • Zákon č. 365/2000 Sb., o informačníchsystémechveřejnésprávy • Zákonč. 111/2009 Sb., o základních registrech • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím www.kernun.cz

  6. Utajované informace • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů • Zákon č. 227/2000 Sb., o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti • Zákon č. 499/2004 Sb., o archivnictví a spisové službě • Zákon č. 412/2005 Sb., o ochraně utajovaných informacía o bezpečnostní způsobilosti www.kernun.cz

  7. Zdravotnictví • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů • Zákon č. 227/2000 Sb., o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti • zákon č. 499/2004 Sb., o archivnictví a spisové službě • zákon č. 372/2011 Sb., zákon o zdravotních službách • zákon č. 123/2000 Sb., o zdravotnických prostředcích • Health Insurance Portability and Accountability Act of 1996 (HIPAA) www.kernun.cz

  8. Finanční sektor • Zákon č. 21/1992 Sb., o bankách • Zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech • Zákon č. 96/1993 Sb., o stavebním spoření • BASEL III: International framework for liquidity risk measurement, standards and monitoring • Federal Information Security Management Act of 2002 (FISMA) www.kernun.cz

  9. Mýty a skutečnosti o ochraně informací, aneb na co soudruzi z NDR zapomněli. www.kernun.cz

  10. Mýtus 1 Mámantivirovýsoftware,pravidelně aktualizuji, mě nemůže žádný nežádoucí kód ohrozit. • Skutečnost: • Žádný antivirový program nemá úspěšnost 100 %. • Samotný antivirus nestačí. • Antivirvásneochránípředzneužitímvašehopočítačečipředinternetovýmipodvody(např. phishing). • Bezpečnostneohrožujípouzeviry, i kdyžv poslední době opět roste jejich „obliba“(USB, mp3, …) • Audit • Trojský kůň v rezervačním systému • jména, příjmení, domácí adresy, telefonní čísla, zaměstnavatela všechny podstatné detailyo kreditní kartě • Přístup prodán ruské mafii … • Až 8.000 záznamů, hotel přiznal 13, později 115 www.kernun.cz

  11. Mýtus 2 Mám Firewall za x- stovektisíc,jsemv bezpečí • Průnik do zóny Public a DMZ • Neoprávněný přístup k neveřejným informacím • Ovládnutí šifrované linky mezi NBÚ a Ministerstvem vnitra SR • Následně uvolněno 1,3 mil EUR,- na zlepšení zabezpečení • Heslo nbusr123 • Skutečnost: • Jaký firewall? Kdo ho spravuje? Jak? • Sebedražší (i sebelepší) „krabice“ problém nevyřeší. • Nutný systematický přístup. • Bezpečnostní politika www.kernun.cz

  12. Mýtus 3 Upgradauji, patchuji, jsem v bezpečí. • Skutečnost: • Zpoždění záplat • Zero-dayattacks • Komplexní ochrana www.kernun.cz

  13. Mýtus 4 Jsmemaláspolečnost, nemámežádnácenná data, „hackeři“ násvynechají. Skutečnost: • Změna chování útočníků • Sociální inženýrství • Stále dostupnější a účinnější nástroje útočníků • roboty Školení • Phising • E-mail jakoby od banky • Odkaz na kopii přihlašovací stránky banky • Ukradení přihlašovacích údajů • Zneužití přihlašovacích údajů – ukradení peněz www.kernun.cz

  14. Mýtus 5 Hacking – to je hranísištudáků, kteřísijenchtějívyzkoušet, jakjsoušikovní. • Skutečnost: • Cyber crime • Cyber terorismus • Cyber war • Průmyslové odvětví (od poloviny 90-tých let) • Dobře organizované skupiny s hierarchickým uspořádáním • Organizovaný zločin • Terorismus • Mezinárodní spolupráce, CERT Stuxnet DuQu Flame Mahdi www.kernun.cz

  15. Souvislost virtuální a fyzické války ve světě Increased number of bomb attack in Israel SharmelSheikh summit (17/10/2000) Part of Israel land hand over to Palestine (21/03/2000) Barak/Arafat summit interrupted (03/02/2000) www.kernun.cz

  16. Mýtus 6 V uplynulýchletechjsme se nabezpečnost IT zaměřili, do IT jsmeinvestovalivelképrostředky, jsmenadlouhoudobuzajištěni. • Skutečnost: • Stále přetrvává: • Nevhodný návrh (TCP/IP, …) • Implementace v reálném prostředí (MD5, …) • Chyby (v kódu, konfiguraci, správě) (…) • Vzrůstající výkon (DES, 3DES, WEP, …) • Uživatel • Nekončící proces • PDCA cyklus • Bezpečnost informací jako integrální součást všech procesů www.kernun.cz

  17. Mýtus 7 Bezpečnost je drahá a složitávěc, nemůžuplatitodborníkanaplnýúvazek, který by se staraljen o bezpečnost IT. Skutečnost: • Nerozhodnost investovat do vlastní bezpečnosti • Technická opatření • Organizační opatření • Školení • Outsourcing www.kernun.cz

  18. Přístup Trusted Network Solutions Analýza a návrh – Analýza rizik – BIA – Bezpečnostní politika – Bezpečnostní dokumentace – DRP, BCP, … • Plan Návrh protiopatření Zavedení do praxe • Do • Act Implementační studie Implementace Odborná konzultace Školení Certifikace 27001 Atestace 365/2000 NBÚ 412/2005 • Check Audit bezpečnosti Penetrační testy Monitoring www.kernun.cz

  19. Přístup Trusted Network Solutions • Řešení požadavků a problémů zákazníka • Hledání optimálních řešení • Snaha pomoci • Otevřený partnerský přístup • Využívání jen reálných a ověřených zkušeností www.kernun.cz

  20. Vykročte bezpečně Děkuji za pozornost Marek Solařík www.kernun.cz

More Related