180 likes | 330 Views
Efikasni nadzor sigurnosti i dostupnosti informacijskog sustava. Hrvoje Šegudović, INFIGO IS CGEIT, CISA, CISM, CISSP-ISSAP, ISSMP Robert Ilija š, Vaba d.d. banka Varaždin Direktor sektora informatike. Partneri. Medijski pokrovitelji. Sadržaj predavanja. Regulatorni i poslovni zahtjevi
E N D
Efikasni nadzor sigurnosti i dostupnosti informacijskog sustava Hrvoje Šegudović, INFIGO IS CGEIT, CISA, CISM, CISSP-ISSAP, ISSMP Robert Ilijaš, Vaba d.d. banka Varaždin Direktor sektora informatike
Partneri Medijski pokrovitelji
Sadržaj predavanja • Regulatorni i poslovni zahtjevi • Studija slučaja • ciljevi • odabir rješenja • implementacija • demo • što dalje? • Zaključak
Regulatorni i poslovni zahtjevi • Regulatorni zahtjevi/standardi • nadzor sigurnosti/nadzor rada ICT sustava među temeljnim zahtjevima za uspostavu sigurnog i efikasnog informacijskog sustava • Odluka HNB • Zakon o informacijskoj sigurnosti • PCI DSS • ISO/IEC 27001...
Regulatorni i poslovni zahtjevi • Osigurati kontinuitet poslovnih procesa • postići definirane SLA parametre • minimizirati broj ispada i kvarova • osigurati brzo i efikasno uočavanje i uklanjanje kvarova i pogrešaka u radu • Osigurati adekvatnu razinu sigurnosti • zaštititi i kontrolirati pristup ključnim poslovnim info • minimizirati štete i troškove sigurnosnih incidenata • razumno investirati u sigurnost
Studija slučaja • Implementacija sustava za: • centralizirano prikupljanje i analizu log zapisa • centralizirani nadzor ICT infrastrukture • Korisnik: Vaba d.d. banka Varaždin • regionalna banka, cca. 180 zaposlenih • ICT sektor: cca 20 ljudi • 2 središnje lokacije, 11 udaljenih • ukupno cca. 100 uređanja • od toga 50-ak poslužitelja
Studija slučaja: ciljevi • Uskladiti se sa zahtjevima odluke HNB • Pripremiti se za usklađenje za zahtjevima PCI DSS • Osigurati nadzor rada zaposlenika, administratora, zaposlenika i vanjskih partnera • Poboljšati upravljanje ICT infrastrukturom • brže i efikasnije uočavati i ispravljati probleme • Postići navedeno uz ograničeni budžet
Studija slučaja: odabir rješenja • Evaluirano više opcija • Velika razlika u cijenama (i mogućnostima) • do 10x (ne uključujući najskuplja rješenja) • dodatni “skriveni” troškovi • zahtjevi na HW platformu • licence za baze podataka
Studija slučaja: odabir rješenja • Log management: • razumna cijena • mogućnost prilagodbe poslovnim potrebama (licenca prema količini log zapisa) • out-of-the-box podrška za kompletnu infrastrukturu • svaki čitljivi oblik log zapisa (uključujući in-house razvijene aplikacije)! • po mogućnostima u rangu high-end rješenja • ispunjavanje svih regulatornih zahtjeva • PCI DSS! Be an IT superhero. Go home early.
Studija slučaja: odabir rješenja • Nadzor ICT infrastrukture: • bez troškova licenciranja • out-of-the-box podrška za kompletnu infrastrukturu • mogućnost naprednog nadzora • fleksibilniji u odnosu na mnogo skuplja rješenja • jednostavna integracija sa Finding your faults, just like mom.
Studija slučaja: implementacija • Upravljanje log zapisima • 2. faze, cca. 3 mjeseca • uspostavljen nadzor aktivnosti korisnika, administratora, programera, vanjskih partnera • svi zapisi osigurani (nezavisna platforma, digitalno potpisivanje zapisa) • tijekom implementacije uočene nepravilnosti u konfiguraciji infrastrukturnih elemenata CSI: LogFiles
Studija slučaja: implementacija • Nadzor ICT infrastrukture • projekt u 3 faze • nadzor kompletne infrastrukture • mrežna oprema (ping, fan, CPU, temperatura, portovi) • poslužitelji (fan, temperatura, CPU, diskovi, ServeRAID) • UPS (napon, kapacitet, status...), SAN uređaji • baze (vrijeme uspostave konekcije itd.) • servisi (AD, DHCP, DNS, e-mail, www) • aplikacije (primanje/slanje e-maila, prijava na Internet bankarstvo...) • mjerenje SLA parametera • praćenje kapaciteta (integracija) I see dead servers
Studija slučaja: Demo • Centralizirana kontrola nad kompletnim sustavom
Studija slučaja: što dalje? • Proširenje opsega bilježenja • neke informacije se filtriraju • daljnje proširenje u skladu sa sigurnosnim i poslovnim zahtjevima • Ubrzanje ispravljanja programskih pogrešaka u produkcijskom okruženju • korištenje Splunk pretraživanja i izolacijeinformacija Take the sh out of IT
Studija slučaja: što dalje • Uspostava naprednih funkcija • risk monitoring (Internet bankarstvo) • Integracija s IPS-om • Unapređenje postojećih incident response procedura • SMS uzbunjivanje
Zaključak • sustavima za upravljanje log zapisima i nadzor ICT infrastrukture Banka je: • uspostavila visoku razinu kontrole nad funkcioniranjem ICT sustava • uspostavila nadzor aktivnosti i sigurnosnih događaja • ispunila relevantne zahtjeve Odluke HNB i PCI DSS • značajno smanjila vrijeme reakcije u slučaju problema i skratila vrijeme oporavka • razuman trošak implementacije • 100% u okviru predv. budžeta