JAK UGRYŹĆ AUDYT Z ZAKRESU CYBERBEZPIECZEŃSTWA?

Transkrypt

1 JAK UGRYŹĆ AUDYT Z ZAKRESU CYBERBEZPIECZEŃSTWA? adam.mizerski@isaca.katowice.pl

2 Adam Mizerski ksiądz -architekt IT Audyt Manager w sektorze finansowym, v-ce Prezes ISACA Katowice Chapter, spełniony karbowy XXI wieku zarządzający przez wiele lat działem IT zgodnie z filozofią ITIL. LA 27001, LA & ITIL & Prince & Pasjonat bezpieczeństwa (co współpracownicy nazywają obsesją) oraz metod oceny zintegrowanej analizy ryzyka czego efektem ubocznym są prowadzone na własnej osobie badania terenowe z analizy ryzyka podczas skoków spadochronowych i nurkowania. <disclaimer> Wszystkie tezy wygłoszone podczas niniejszej prezentacji są opiniami prywatnymi </disclaimer>

3 ISACA Katowice Stowarzyszenie audytu, kontroli i bezpieczeństwa systemów informacyjnych powstało w 2011 roku, z inicjatywy członków ISACA z Małopolski i Śląska. W lutym 2012 r., jako ISACA Katowice Chapter uzyskało afiliację od ISACA International

4 Celami Statutowymi Stowarzyszenia ISACA Katowice Chapter są: promowanie wiedzy dotyczącej norm, standardów i dobrych praktyk zarządzania systemami informacyjnymi, działalność edukacyjna i naukowa służąca podnoszeniu oraz rozwijaniu wiedzy i umiejętności w zakresie zarządzania, audytu i zapewnienia bezpieczeństwa systemów informacyjnych w tym organizacja szkoleń przygotowujących na egzaminy umożliwiające uzyskanie prestiżowych certyfikatów CISA, CISM, CRISC, CGEIT, CSX, świadczenie usług opiniodawczych i doradczych w dziedzinie zarządzania, audytu i kontroli systemów informacyjnych oraz bezpieczeństwa informacji.

5 CZY NASZA ORGANIZACJA JEST GOTOWA NA ATAKI Z ZAKRESU CYBERBEZPIECZEŃSTWA?

6 JAKIEGO ATAKU NAJBARDZIEJ SIĘ OBAWIAMY Z ZAKRESU CYBERBEZPIECZEŃSTWA?

7

8

9

10 Tyle straciła jedna firma po ataku NotPetya. Potężne pieniądze Największa na świecie firma transportowa, A.P. Møller-Maersk oznajmiła, że udało jej się przywrócić swoją infrastrukturę IT do życia po ataku NonPetya. Wymagało to przeinstalowania zawrotnej ilości urządzeń: ponad 4000 serwerów, pecetów i doprowadzenia do stanu używalności ponad 2500 aplikacji po incydencie z przełomu czerwca i lipca 2017 roku.

11 Tyle straciła jedna firma po ataku NotPetya. Potężne pieniądze Największa na świecie firma transportowa, A.P. Møller-Maersk oznajmiła, że udało jej się przywrócić swoją infrastrukturę IT do życia po ataku NonPetya. Wymagało to przeinstalowania zawrotnej ilości urządzeń: ponad 4000 serwerów, pecetów i doprowadzenia do stanu używalności ponad 2500 aplikacji po incydencie z przełomu czerwca i lipca 2017 roku. ( ) udało się to zrobić w niespełna 10 dni.

12 Tyle straciła jedna firma po ataku NotPetya. Potężne pieniądze Członek rady nadzorczej firmy podzielił się także informacjami na temat tego, ile kosztowało przywrócenie infrastruktury do stanu pełnej używalności. Okazuje się, że cała operacja kosztowała Maersk od 250 do 300 milionów dolarów. Podobne straty zgłaszały firmy Merck oraz FedEx, które również zostały dotknięte tym cyberzagrożeniem. W szczególnie złej sytuacji znalazła się pierwsza wymieniona firma gigant w branży farmaceutycznej jeszcze przez długi czas od infekcji nie produkował swoich kluczowych produktów, co naraziło go na przeogromne straty.

13 CYBERBEZPIECZNY PARADYGMAT BEZNADZIEJI CI ŹLI ZAWSZE BĘDĄ O PÓŁ KROKU DO PRZODU.

14 0day "In the Wild" Last updated: This spreadsheet is used to track cases of zero-day exploits that were detected "in the wild". This means the vulnerability was detected in real attacks against users as a zero-day vulnerability (i.e. not known to the public or the vendor at the time of detection). This data is collected from a range of public sources. We include relevant links to third-party analysis and attribution, but we do this only for your information; their inclusion does not mean we endorse or validate the content there.

15 CZY JEST COŚ CO POMOŻE PRZEŁAMAĆ CYBERBEZPIECZNY PARADYGMAT BEZNADZIEJI Bez 300 milionów dolarów

16 Spis treści Wstęp: Wszystko staje się komputerem 9 CZĘŚĆ I: TRENDY Nadal trudno zabezpieczyć komputery Poprawki zawodzą jako paradygmat zabezpieczeń Coraz trudniej się zorientować, kto jest kim w Internecie Wszyscy faworyzują brak bezpieczeństwa Ryzyka mają katastrofalne skutki 87

17 DLACZEGO SEKTOR FINANSOWY JEST CHWALONY JAKO TEN DOJRZAŁY Bez 300 milionów dolarów

18 DLACZEGO SEKTOR FINANSOWY JEST CHWALONY JAKO TEN DOJRZAŁY Analiza ryzyk

19 DLACZEGO SEKTOR FINANSOWY JEST CHWALONY JAKO TEN DOJRZAŁY Analiza ryzyk Treningi

20 DLACZEGO SEKTOR FINANSOWY JEST CHWALONY JAKO TEN DOJRZAŁY Analiza ryzyk Treningi Rekomendacja D

21 DLACZEGO SEKTOR FINANSOWY JEST CHWALONY JAKO TEN DOJRZAŁY Analiza ryzyk Treningi Rekomendacja D Audyty / Inspekcje

22 AUDYT CYBERBEZPIECZEŃSTWA (NIE) ZGODNY Z KSC

23 AUDYT CYBERBEZPIECZEŃSTWA JAKI MA BYĆ CEL I ZAKRES AUDYTÓW KSC???

24 USTAWA z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa Art Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej audytem. 2. Audyt może być przeprowadzony przez: 1) jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz oraz z 2018 r. poz. 650 i 1338), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych; ( ) 3) sektorowy zespół cyberbezpieczeństwa, ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt 2.

25 USTAWA z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa 2. Audyt może być przeprowadzony przez: Certyfikaty - Załącznik do rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. (poz. 1999) 2) co najmniej dwóch audytorów posiadających: a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub 1. Certified Internal Auditor (CIA); 2. Certified Information System Auditor (CISA); 3. Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;

26 USTAWA z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa 2. Audyt może być przeprowadzony przez: Certyfikaty - Załącznik do rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. (poz. 1999) 2) co najmniej dwóch audytorów posiadających: a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub 4. Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób; 5. Certified Information Security Manager (CISM); 6. Certified in Risk and Information Systems Control (CRISC); 7. Certified in the Governance of Enterprise IT (CGEIT);

27 USTAWA z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa 2. Audyt może być przeprowadzony przez: Certyfikaty - Załącznik do rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. (poz. 1999) 2) co najmniej dwóch audytorów posiadających: a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub 8. Certified Information Systems Security Professional (CISSP); 9. Systems Security Certified Practitioner (SSCP); 10. Certified Reliability Professional; 11. Certyfikaty uprawniające do posiadania tytułu ISA/IEC Cybersecurity Expert.

28 USTAWA z dnia 5 lipca 2018 r. o Krajowym Systemie Cyberbezpieczeństwa 2. Audyt może być przeprowadzony przez: Certyfikaty - Załącznik do rozporządzenia Ministra Cyfryzacji z dnia 12 października 2018 r. (poz. 1999) 2) co najmniej dwóch audytorów posiadających: a) certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub b) co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub c) co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych;

29 Submit an Application for CISA Certification Once a CISA candidate has passed the CISA certification exam and has met the work experience requirements, the final step is to complete and submit a CISA Application for Certification. A minimum of 5 years of professional information systems auditing, control or security work experience (as described in the CISA job practice areas) is required for certification.

30 Za praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, o której mowa w ust. 2 pkt 2 lit. b i c, uważa się udokumentowane wykonanie w ciągu ostatnich 3 lat przed dniem rozpoczęcia audytu 3 audytów w zakresie bezpieczeństwa systemów informacyjnych lub ciągłości działania albo wykonywanie audytów bezpieczeństwa systemów informacyjnych lub ciągłości działania w wymiarze czasu pracy nie mniejszym niż 1/2 etatu, związanych z: 1) przeprowadzaniem audytu wewnętrznego pod nadzorem audytora wewnętrznego; 2) przeprowadzaniem audytu zewnętrznego pod nadzorem audytora wiodącego;

31 ROZPORZĄDZENIE MINISTRA CYFRYZACJI z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo Podmiot świadczący usługi z zakresu cyberbezpieczeństwa w zakresie warunków organizacyjnych jest obowiązany: 1) posiadać i utrzymywać w aktualności system zarządzania bezpieczeństwem informacji spełniający wymagania Polskiej Normy PN-EN ISO/IEC 27001; 2) zapewnić ciągłość działania usłudze reagowania na incydenty, polegającej na podejmowaniu działań w zakresie rejestrowania i obsługi zdarzeń naruszających bezpieczeństwo systemów informacyjnych zgodnie z wymaganiami Polskiej Normy PN-EN ISO 22301; ściany zewnętrzne o odporności na włamanie równoważnej odporności muru o grubości 25 cm wykonanego z pełnej cegły;

32 Ilu audytorów ISO przeprowadzi skuteczny audyt cyberbezpieczeństwa?

33 Ilu audytorów ISO przeprowadzi skuteczny audyt cyberbezpieczeństwa? Ile powinien trwać skuteczny audyt cyberbezpieczeństwa?

34 JAK UGRYŹĆ AUDYT Z ZAKRESU CYBERBEZPIECZEŃSTWA?

35

36

37

38

39 CIS April 1, 2019

40

41

42

43

44

45

46

47

48

49 (ciekawa domena - Whois Registrar:Center of Ukrainian Internet Names UKRNAMES) d5bab29af9b/detection

50

51

52

53

54

55

56

57 National Institute of Standards and Technology Framework for Improving Critical Infrastructure Cybersecurity Version 1.1 April 16, 2018

58

59 Control Objectives for Information and Related Technology (COBIT):

60 Bezpieczeństwo IT Bezpieczeństwo OT Security Safety

61 ???

62 Zapraszamy do kontaktu: LinkedIN: LinkedIN - grupa dyskusyjna: ISACA Katowice Forum - Facebook: 616/?ref=bookmarks

63 Dziękuje za uwagę isaca.katowice.pl