Sigurnosni standardi

1
(No Transcript)
2

• Sigurnosni standardi kako proces uskladivanja
  uciniti jednostavni(ji)m i bezbolni(ji)m?

• Petar Perkovic, Combis d.o.o.

• 16.09.2010.

3

• Sadržaj

• O sigurnosti IT sustava
• Standardi IT sigurnosti
• PCI-DSS
• ISO 27001
• Kriticne tocke i vendori
• Pitanja na koja treba imati odgovor

4

• O cemu je ovdje rijec?

• Zašto standardi?
• Kakva korist od implementacije?
• Kako Combis može pomoci?

5

• Combis iskustva?

• Softverska / hardverska rješenja
• Usluge (npr. vulnerability scanning)
• Iskustvo

6

• Sigurnost

• Zaštita informacija i/ili IT sustava od
• neovlaštenog pristupa,
• neovlaštenog korištenja,
• nedopuštene objave,
• prekida u radu,
• nedopuštenih promjena,
• uništenja
• Cilj - osigurati povjerljivost, integritet i
  dostupnost podataka (CIA)

7

• Što štitimo?

• Zaštita
• podataka
• hardvera
• (klijenata/poslužitelja/mrežne opreme)
• korisnika
• usluge, poslovnog procesa

8

• Kako štitimo?

• softverska rješenja
• hardverska rješenja
• politike, procesi, procedure
• organizacijska struktura

9

• Klasican pristup

• Antivirusna zaštita
• Antispam zaštita
• Firewall
• Primjena zakrpa Microsoft produkata
• Backup
• Sigurnosna politika (jednom napisana)
• Ostalo ce se pribaviti kada bude potrebno (ili
  još kasnije)

10

• Standardi

• Skupina sistemskih ili proceduralnih zahtjeva
• Moraju biti ispunjeni kako bi se osiguralo
  poštivanje standarda
• Medunarodno prihvaceni
• Definirani od strane neprofitnih organizacija
• ISO, SoX, PCI, HIPAA
• Zadovoljavajuca razina sigurnosti IT sustava

11

• PCI - DSS

• Payment Card Industry Data Security Standard
• Standard koji definira best practice metode za
  zaštitu podataka klijenata
• Namijenjen svim sudionicima u procesu prijenosa
  ili obrade podataka vezanih uz kreditne kartice
• 12 zahtjeva koje je potrebno ispuniti za
  usvajanje standarda

12

• Svrha?

• Osigurati prihvatljivu razinu sigurnosti za
  povjerljive korisnicke podatke (cardholder data)
• Svaka organizacija na koju se standard odnosi
  mora primijeniti sve kontrole i vršiti njihovu
  provjeru u pravilnim vremenskim razmacima
• Posljednja revizija v 1.2. (2008)

13

• Tko se mora certificirati?

• Svatko tko vrši prihvat kreditnih ili debitnih
  kartica putem Interneta, telefona ili PoS
  terminala
• Pohranjuje podatke vezane za kreditne kartice
• Obraduje karticne transakcije
• Uskladivanje s PCI-DSS standardom trajan
  proces
• Dva preduvjeta za zadržavanje uskladenosti
• interni godišnji audit PCI sustava (vanjski
  auditor ili self-assessment)
• kvartalni pregled PCI sustava izvana (ASV)

14

• PCI DSS i preduvjeti

15

• 6 smjernica za 12 preduvjeta

• Definira prioritete i sistematizira preduvjete.
• a) ukoliko nije potrebno, nije potrebno
  pohranjivati - definirati podatke koje je
  potrebno cuvati
• b) zaštita perimetra, interne mreže i bežicnog
  pristupa - definira nacine na koje je moguce
  pristupiti razlicitim segmentima mreže i kontrole
  koje se koriste za nadgledanje i onemogucavanje
  neovlaštenog pristupa

16

• 6 smjernica za 12 preduvjeta (2)

• c) osiguranje aplikacija za procesiranje
  transakcija - definiranje kontrola za aplikacije
  i aplikacijske servere kako bi se na vrijeme
  pronašle i uklonile ranjivosti i onemogucio
  pristup karticnim podacima
• d) nadgledanje i kontrola pristupa sustavu -
  utvrdivanje nacina na koje je moguce pristupiti
  podacima i procedure zaštite (tko, kada, kako i
  što)

17

• 6 smjernica za 12 preduvjeta (3)

• e) zaštita pohranjenih podataka - ukoliko se
  pohranjuju brojevi racuna (primary account
  numbers) - definiranje mehanizama za zaštitu
  pohranjenih podataka)
• f) konsolidacija politike, procedura i procesa
  potrebnih za zaštitu podataka i sustava u kojemu
  se nalaze - definiranje procesa koji se moraju
  izvršavati ciklicki

18

• Zahtjevi

1. Install and maintain a firewall configuration to protect cardholder data 2. Do not use vendor-supplied defaults for system passwords and other security parameters 3. Protect stored cardholder data
4. Encrypt transmission of cardholder data across open, public networks 5. Use and regularly update anti-virus software 6. Develop and maintain secure systems and applications
7. Restrict access to cardholder data by business need-to-know 8. Assign a unique ID to each person with computer access 9. Restrict physical access to cardholder data
10. Track and monitor all access to network resources and cardholder data 11. Regularly test security systems and processes 12. Maintain a policy that addresses information security
19

• Zahtjevi i vendori

• Dedicirani vatrozid/aplikativni vatrozid
• Antivirusna zaštita
• Pohrana, nadgledanje i analiza logova
• Nadgledanje integriteta datoteka
• Višestruka autentifikacija
• Testiranje na ranjivosti i penetracijsko
  testiranje
• IPS/IDS sustav
• Enkripcija podataka u mirovanju i prijenosu

20

• Vendori i zahtjevi

• BlueCoat
• Cisco/Ironport
• Citrix
• Diebold
• Imprivata
• Microsoft
• Outpost24
• Trend Micro

21

• PCI DSS i ISO (27001)

• ISO sveukupno mjerilo za tvrtke koje se može
  koristiti u svrhu utvrdivanja razine uskladenosti
  ISM-a
• PCI standardizirani podskup ISM-a koji se
  odnosi na zaštitu podataka karticnih transakcija
• Zajednicka svrha zaštita osjetljivih podataka
  tvrtke i onih koji koriste njezine resurse
• Potreban stalan rad na održavanju razine

22

• ISO 27001

• Standard za definiranje modela ISMS-a
• Uspostavljanje
• Implementacija
• Rad
• Nadzor
• Provjera
• Održavanje
• Unapredivanje

23

• Plan - Do - Check - Act

• Plan (uspostaviti ISMS)
• Uspostaviti ISMS politiku, ciljeve, procese i
  procedure važne za upravljanje rizikom i
  poboljšanje informacijske sigurnosti kako bi dali
  rezultate u skladu s ukupnom politikom i
  ciljevima organizacije.
• Do (implementirati i izvršavati ISMS)
• Implementirati i izvršavati ISMS politiku,
  kontrole, procese i procedure.

24

• Plan - Do - Check - Act (2)

• Check (nadgledati i provjeravati ISMS)
• Procijeniti i gdje je primjenjivo, mjeriti
  izvršavanje procesa u odnosu na ISMS politiku,
  ciljeve i prakticno iskustvo te izvještavati
  upravu o rezultatima radi provjere.
• Act (održavati i poboljšavati ISMS)
• Poduzeti korektivne i preventivne akcije
  zasnivane na rezultatima interne ISMS prosudbe
  (audita) i provjere uprave ili ostalim bitnim
  informacijama, kako bi se postiglo stalno
  poboljšanje ISMS-a.

25

• Vendori i kontrole

• Upravljanje komunikacijama i operacijama (10)
• Kontrola pristupa (11)
• Ispravna obrada u aplikacijama (12)
• Upravljanje sigurnosnim incidentom (13)
• Upravljanje kontinuitetom poslovanja (14)

26

• Vendori i zahtjevi

• BlueCoat
• Cisco/Ironport
• Citrix
• Diebold
• Imprivata
• Microsoft
• Outpost24
• Trend Micro

27

• Kriticne tocke

• Statement of Aplicability
• Popis imovine
• Procjena rizika
• Uspostava ISMS-a
• Program podizanja svijesti
• Interni audit
• Audit od strane certifikacijske kuce

28

• Za uspješnost projekta važno je

• Dobiti nedvojbenu podršku uprave
• Tocno definirati scope ISMS-a
• Tocno utvrditi i popisati imovinu koja je
  ukljucena
• Pravilno definirati rizike
• Podici razinu svijesti zaposlenih

29

• Pitanja na koja treba imati odgovor

• Tko pristupa vašem sustavu?
• Na koji nacin?
• Kako što brže otkriti neovlašteni pristup?
• Ukoliko se otkrije naknadno, kako utvrditi što se
  dogodilo?
• Ukoliko dode do havarije što je sve potrebno
  uciniti da se uspostavi funkcionalnost?

30

• Vaša pitanja?

31

• Ispunjavanjem e-upitnika u petak, 17.09. za
  vrijeme Fight Cluba, sudjelujte u nagradnoj igri
  i osvojite

1. HT nagrada LCD televizor LG 37 LH 3000 i
MAXtv usluga za razdoblje od godinu dana
2. nagrada LENOVO ThinkPad Edge
3. nagrada LENOVO ThinkPad SL510
4. nagrada LENOVO ThinkPad X100e
32

• Informacije na dohvat ruke
• Info kiosk Combis konferencije

• Sve informacije o dogadanjima na Combis
  konferenciji možete provjeriti i na info kiosku
  Combis konferencije, smještenom u predvorju
  hotela, pored registracijskog stola.

33
(No Transcript)
34
Hvala na pažnji!