1 / 33

Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m?

Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m?. Petar Perković, Combis d.o.o. 16.09.2010. Sadržaj. O sigurnosti IT sustava Standardi IT sigurnosti PCI-DSS ISO 27001 Kritične točke i vendori Pitanja na koja treba imati odgovor.

lilika
Download Presentation

Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Naslov predavanja

  2. Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m? Petar Perković, Combis d.o.o. 16.09.2010.

  3. Sadržaj • O sigurnosti IT sustava • Standardi IT sigurnosti • PCI-DSS • ISO 27001 • Kritične točke i vendori • Pitanja na koja treba imati odgovor Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  4. O čemu je ovdje riječ? • Zašto standardi? • Kakva korist od implementacije? • Kako Combis može pomoći? Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  5. Combis iskustva? • Softverska / hardverska rješenja • Usluge (npr. vulnerability scanning) • Iskustvo Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  6. Sigurnost • Zaštita informacija i/ili IT sustava od: • neovlaštenog pristupa, • neovlaštenog korištenja, • nedopuštene objave, • prekida u radu, • nedopuštenih promjena, • uništenja • Cilj - osigurati povjerljivost, integritet i dostupnost podataka (CIA) Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  7. Što štitimo? • Zaštita • podataka • hardvera (klijenata/poslužitelja/mrežne opreme) • korisnika • usluge, poslovnog procesa… Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  8. Kako štitimo? • softverska rješenja • hardverska rješenja • politike, procesi, procedure • organizacijska struktura Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  9. Klasičan pristup • Antivirusna zaštita • Antispam zaštita • Firewall • Primjena zakrpa Microsoft produkata • Backup • Sigurnosna politika (jednom napisana) • Ostalo će se pribaviti kada bude potrebno (ili još kasnije) Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  10. Standardi • Skupina sistemskih ili proceduralnih zahtjeva • Moraju biti ispunjeni kako bi se osiguralo poštivanje standarda • Međunarodno prihvaćeni • Definirani od strane neprofitnih organizacija • ISO, SoX, PCI, HIPAA • “Zadovoljavajuća” razina sigurnosti IT sustava Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  11. PCI - DSS • Payment Card Industry Data Security Standard • Standard koji definira “best practice” metode za zaštitu podataka klijenata • Namijenjen svim sudionicima u procesu prijenosa ili obrade podataka vezanih uz kreditne kartice • 12 zahtjeva koje je potrebno ispuniti za usvajanje standarda Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  12. Svrha? • Osigurati prihvatljivu razinu sigurnosti za povjerljive korisničke podatke (cardholder data) • Svaka organizacija na koju se standard odnosi mora primijeniti sve kontrole i vršiti njihovu provjeru u pravilnim vremenskim razmacima • Posljednja revizija – v 1.2. (2008) Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  13. Tko se mora certificirati? • Svatko tko vrši prihvat kreditnih ili debitnih kartica putem Interneta, telefona ili PoS terminala • Pohranjuje podatke vezane za kreditne kartice • Obrađuje kartične transakcije • Usklađivanje s PCI-DSS standardom – trajan proces • Dva preduvjeta za zadržavanje usklađenosti: • interni godišnji audit PCI sustava (vanjski auditor ili self-assessment) • kvartalni pregled PCI sustava izvana (ASV) Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  14. PCI – DSS i preduvjeti Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  15. 6 smjernica za 12 preduvjeta • Definira prioritete i sistematizira preduvjete. a) ukoliko nije potrebno, nije potrebno pohranjivati - definirati podatke koje je potrebno čuvati b) zaštita perimetra, interne mreže i bežičnog pristupa - definira načine na koje je moguće pristupiti različitim segmentima mreže i kontrole koje se koriste za nadgledanje i onemogućavanje neovlaštenog pristupa Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  16. 6 smjernica za 12 preduvjeta (2) c) osiguranje aplikacija za procesiranje transakcija - definiranje kontrola za aplikacije i aplikacijske servere kako bi se na vrijeme pronašle i uklonile ranjivosti i onemogućio pristup kartičnim podacima d) nadgledanje i kontrola pristupa sustavu - utvrđivanje načina na koje je moguće pristupiti podacima i procedure zaštite (tko, kada, kako i što) Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  17. 6 smjernica za 12 preduvjeta (3) e) zaštita pohranjenih podataka - ukoliko se pohranjuju brojevi računa (primary account numbers) - definiranje mehanizama za zaštitu pohranjenih podataka) f) konsolidacija politike, procedura i procesa potrebnih za zaštitu podataka i sustava u kojemu se nalaze - definiranje procesa koji se moraju izvršavati ciklički Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  18. Zahtjevi Naslov predavanja

  19. Zahtjevi i vendori • Dedicirani vatrozid/aplikativni vatrozid • Antivirusna zaštita • Pohrana, nadgledanje i analiza logova • Nadgledanje integriteta datoteka • Višestruka autentifikacija • Testiranje na ranjivosti i penetracijsko testiranje • IPS/IDS sustav • Enkripcija podataka u mirovanju i prijenosu Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  20. Vendori i zahtjevi • BlueCoat • Cisco/Ironport • Citrix • Diebold • Imprivata • Microsoft • Outpost24 • Trend Micro Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  21. PCI – DSS i ISO (27001) • ISO – sveukupno mjerilo za tvrtke koje se može koristiti u svrhu utvrđivanja razine usklađenosti ISM-a • PCI – standardizirani podskup ISM-a koji se odnosi na zaštitu podataka kartičnih transakcija • Zajednička svrha – zaštita osjetljivih podataka tvrtke i onih koji koriste njezine resurse • Potreban stalan rad na održavanju razine Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  22. ISO 27001 • Standard za definiranje modela ISMS-a • Uspostavljanje • Implementacija • Rad • Nadzor • Provjera • Održavanje • Unapređivanje Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  23. Plan - Do - Check - Act Plan (uspostaviti ISMS) • Uspostaviti ISMS politiku, ciljeve, procese i procedure važne za upravljanje rizikom i poboljšanje informacijske sigurnosti kako bi dali rezultate u skladu s ukupnom politikom i ciljevima organizacije. Do (implementirati i izvršavati ISMS) • Implementirati i izvršavati ISMS politiku, kontrole, procese i procedure. Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  24. Plan - Do - Check - Act (2) Check (nadgledati i provjeravati ISMS) • Procijeniti i gdje je primjenjivo, mjeriti izvršavanje procesa u odnosu na ISMS politiku, ciljeve i praktično iskustvo te izvještavati upravu o rezultatima radi provjere. Act (održavati i poboljšavati ISMS) • Poduzeti korektivne i preventivne akcije zasnivane na rezultatima interne ISMS prosudbe (audita) i provjere uprave ili ostalim bitnim informacijama, kako bi se postiglo stalno poboljšanje ISMS-a. Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  25. Vendori i zahtjevi • BlueCoat • Cisco/Ironport • Citrix • Diebold • Imprivata • Microsoft • Outpost24 • Trend Micro Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  26. Kritične točke • Statement of Aplicability • Popis imovine • Procjena rizika • Uspostava ISMS-a • Program podizanja svijesti • Interni audit • Audit od strane certifikacijske kuće Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  27. Za uspješnost projekta važno je • Dobiti nedvojbenu podršku uprave • Točno definirati scope ISMS-a • Točno utvrditi i popisati imovinu koja je uključena • Pravilno definirati rizike • Podići razinu svijesti zaposlenih Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  28. Pitanja na koja treba imati odgovor • Tko pristupa vašem sustavu? • Na koji način? • Kako što brže otkriti neovlašteni pristup? • Ukoliko se otkrije naknadno, kako utvrditi što se dogodilo? • Ukoliko dođe do havarije što je sve potrebno učiniti da se uspostavi funkcionalnost? Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  29. Vaša pitanja? Sigurnosni standardi – kako proces usklađivanja učiniti jednostavni(ji)m i bezbolni(ji)m

  30. Ispunjavanjem e-upitnika u petak, 17.09. za vrijeme Fight Cluba, sudjelujte u nagradnoj igri i osvojite… 1. HTnagrada: LCD televizor LG 37 LH 3000 i MAXtv usluga za razdoblje od godinu dana 2. nagrada: LENOVO ThinkPad Edge 3. nagrada: LENOVO ThinkPad SL510 4. nagrada: LENOVO ThinkPad X100e Naslov predavanja

  31. Informacije na dohvat ruke – Info kiosk Combis konferencije Sve informacije o događanjima na Combis konferenciji možete provjeriti i na info kiosku Combis konferencije, smještenom u predvorju hotela, pored registracijskog stola. Naslov predavanja

  32. Naslov predavanja

  33. Hvala na pažnji! Naslov predavanja

More Related