Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP. 2011 IMMUSEC Sp. z o.o.



Podobne dokumenty
Zarządzanie relacjami z dostawcami

CSA STAR czy można ufać dostawcy

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Promotor: dr inż. Krzysztof Różanowski

Audyt środowiska sieciowego na przykładzie procedur ISACA

Zarządzanie bezpieczeństwem informacji w urzędach pracy

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Kompleksowe Przygotowanie do Egzaminu CISMP

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

SZCZEGÓŁOWY HARMONOGRAM KURSU

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Bezpieczeństwo dziś i jutro Security InsideOut

Zarządzanie ryzykiem IT

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

Marcin Soczko. Agenda

Hosting a dane osobowe

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Zarządzanie cyklem życia bezpieczeństwa danych

Ochrona biznesu w cyfrowej transformacji

Zarządzanie ryzykiem w chmurze

Monitorowanie systemów IT

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Szkolenie otwarte 2016 r.

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Załącznik 1 - Deklaracja stosowania w Urzędzie Gminy i Miasta w Dobczycach

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Maciej Byczkowski ENSI 2017 ENSI 2017

Bezpieczeństwo danych w sieciach elektroenergetycznych

POLITYKA E-BEZPIECZEŃSTWA

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Centrum Unijnych Projektów Transportowych zaprasza Państwa do złożenia oferty cenowej na wykonanie ekspertyzy w zakresie bezpieczeństwa informacji.

Chmura z perspektywy bezpieczeństwa

Szczegółowy opis przedmiotu zamówienia:

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

PARTNER.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Ale ile to kosztuje?

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

DOKUMENTACJA BEZPIECZEŃSTWA <NAZWA SYSTEMU/USŁUGI>

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

ISACA Katowice Kraków 2013 Zarządzanie bezpieczeństwem w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska

Zdrowe podejście do informacji

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

ISO/IEC 27001:2014 w Urzędzie Miasta Płocka Kategoria informacji: informacja jawna. Bezpieczeństwo informacji w Urzędzie Miasta Płocka

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

BCC ECM Autorskie rozwiązanie BCC wspomagające zarządzanie dokumentami oraz procesami biznesowymi

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

1. Zakres modernizacji Active Directory

Kurs Inspektora Ochrony Danych z warsztatem wdrożenia Polityki Ochrony Danych Osobowych zgodnej z przepisami RODO

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

Reforma ochrony danych osobowych RODO/GDPR

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Wprowadzenie do RODO. Dr Jarosław Greser

SPECYFIKACJA ISTOTNYCH WARUNKÓW ZAMÓWIENIA

Audyt systemów informatycznych w świetle standardów ISACA

Symantec Enterprise Security. Andrzej Kontkiewicz

OCHRONA SIECI DLA KAŻDEJ CHMURY

Dwuwymiarowy sposób na podróbki > 34

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

Krzysztof Świtała WPiA UKSW

Program szkolenia. Jak zorganizować szkolna infrastrukturę informatyczną (sieć informatyczną)

Ochrona danych osobowych w biurach rachunkowych

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Symantec Cloud. Wsparcie w Twoim biznesie

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Deklaracja stosowania

Zarządzanie ryzykiem w bezpieczeostwie IT

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

Transkrypt:

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora Jakub Syta, CISA, CISSP Warszawa 28 luty 2011 1 Oberwanie chmury Jak wynika z badania Mimecast Cloud Adoption Survey, 74 proc. firm uważa, że korzystanie z cloud computing pozwoliło im na bardziej wydajne wykorzystanie zasobów, 73 proc. udało się obniżyć koszty użytkowania infrastruktury, a 72 proc. zauważyło wzrost satysfakcji użytkowników. Równocześnie aż 62 proc. firm wskazywało, że wciąż obawiają o bezpieczeństwo danych, a 54 proc. ma wątpliwości odnośnie faktycznych zysków z wdrożenia rozwiązań bazujących na cloud computing. Do najpopularniejszych usług cloud computing stosowanych w firmach należy poczta elektroniczna oraz przechowywanie danych. 2

Gartner Top 10 3 Czarne chmury 1. Nadużycia oraz nikczemne wykorzystywanie przetwarzania w chmurze 2. Niebezpieczne interfejsy i API 3. Nieuczciwi pracownicy 4. Problemy dotyczące współdzielonych technologii 5. Utrata lub wyciek danych 6. Przechwycenia konta lub usługi 7. Nieznany profil ryzyka Źródło: CSA, Top Threats to Cloud Computing V1.0, Marzec 2010 4

Drapacze chmur Cloud Security Alliance Certyficate of Cloud Security Knowledge Trusted Cloud Initiative ISACA Audit programs: Cloud Computing Management Audit/Assurance Program 5 Rozganianie czarnych chmur Security Guidance for Critical Areas of Focus in Cloud Computing V2.1 http://www.cloudsecurityalliance.org/csaguide.pdf Sekcja I: Architektura chmur Domena 1: Ramy dla architektury cloud computing Sekcja II: Nadzór nad chmurami Domena 2: Nadzór oraz zarządzanie ryzykiem przedsiębiorstwa Domena 3: Zagadnienia prawne(legal and Electronic Discovery) Domena 4: Zgodność i audyt Domena 5: Zarządzanie cyklem życia informacji Domena 6: Interoperacyjność i możliwość przenoszenia Sekcja III Operacje w chmurach Domena 7: Tradycyjne bezpieczeństwo, Ciągłość funkcjonowania oraz odtwarzanie po katastrofie Domena 8: Operacje w centrach danych Domena 9: Reagowanie na incydenty, powiadamianie i naprawianie Domena 10: Bezpieczeństwo aplikacji Domena 11: Szyfrowania i zarządzanie kluczami Domena 12: Zarządzanie tożsamością i dostępem Domena 13: Wirtualizacja 6

Czekam na wiatr, co rozgoni czarne skłębione zasłony CSA Cloud Control Matrix 1.1 http://www.cloudsecurityalliance.org/ Blisko 100 punktów kontrolnych podzielonych na 11 kategorii: 1. Zgodność 2. Nadzór nad danymi 3. Bezpieczeństwo pomieszczeń 4. Bezpieczeństwo personelu 5. Bezpieczeństwo informacji 6. Kwestie prawne 7. Zarządzanie operacjami 8. Zarządzanie ryzykiem 9. Zarządzanie wydaniami 10. Odporność 11. Architektura bezpieczeństwa 7 1.Zgodność W jaki sposób możemy audytować usługi? Jakie wymagania regulacyjne oraz biznesowe zostały zdefiniowane? Jak jest zapewniane ich przestrzeganie? Jak zapewniana jest zgodność z licencjami oprogramowania? 8

2.Nadzór nad danymi Kto jest właścicielem przetwarzanych danych? Jak są sklasyfikowane i oznaczone? Jak długo należy je przechowywać? Jak będą niszczone? Czy dane produkcyjne są wykorzystywane w innych środowiskach? Jakie mechanizmy zapewniają by nie było wycieku danych? 9 3.Bezpieczeństwo pomieszczeń Jak wyglądają procedury dostępu do pomieszczeń w których przetwarzane są dane? Jak przebiega proces autoryzacji dostępu? Jakie zabezpieczenia fizyczne chronią dostęp do pomieszczeń? Jakie są procedury wynoszenia sprzętu poza podstawową lokalizację? 10

4.Bezpieczeństwo personelu Jak prześwietla się przyszłych i obecnych pracowników? Jakie klauzule bezpieczeństwa zawiera umowa? Jak rozwiązuje się umowy? 11 5.Bezpieczeństwo informacji Czy jest wdrożony program ISMS? Jak wygląda zaangażowanie kierownictwa w aspekty bezpieczeństwa? Czy istnieje (i jest zakomunikowana) polityka bezpieczeństwa? Jak wygląda procedura zarządzania dostępami? Czy są prowadzone szkolenia z zakresu bezpieczeństwa? Czy wdrożono segregację obowiązków? Jak wygląda bezpieczeństwo materiału kryptograficznego? Jak zarządza się aktualizacjami i podatnościami? Jak wyglądają procesy zarządzania incydentami, zasobami, nośnikami danych, Jakie zabezpiecza się stacje robocze oraz serwery? Jak zabezpieczona jest sieć? 12

6.Kwestie prawne Jakie zapisy dotyczące bezpieczeństwa są obecne w umowach? Jak wyglądają klauzule dotyczące poufności oraz odpowiedzialności pomiędzy stronami? 13 7.Zarządzanie operacjami Czy są opracowane procedury operacyjne dotyczące zarządzania zwirtualizowanymi maszynami oraz ich hostami? Jak wygląda dostęp do tych informacji? Jak zarządza się pojemnością? 14

8.Zarządzanie ryzykiem Jak szacuje się ryzyko? Jak identyfikuje się luki w mechanizmach kontrolnych? Jak wygląda procedura akceptacji ryzyka? Jak badany jest wpływ ryzyk związanych z zewnętrznymi dostawcami? 15 9.Zarządzanie wydaniami Jak wprowadza się zmiany do istniejących systemów? Jak wygląda proces wdrażania nowego oprogramowania? Jak wprowadza się zmiany na środowisko produkcyjne? Jak testuje się jakość i bezpieczeństwo wprowadzanych rozwiązań? Jak zapewnia się bezpieczeństwo rozwiązań dostarczanych przez zewnętrzne firmy? 16

10.Odporność Jak zarządza się odpornością systemów na zakłócenia funkcjonowania? Jak wygląda analiza wpływu na biznes stosowanych rozwiązań? Jak planuje się ciągłość funkcjonowania? Jak testuje się ciągłość funkcjonowania? Jak wyglądają zabezpieczenia przed ryzykami związanymi z przypadkowymi i celowymi zagrożeniami związanymi z siłami natury? Jak przygotowane są centra awaryjne? Jak zabezpieczone są tam media? 17 11.Architektura bezpieczeństwa Jak wyglądają zabezpieczenia dostępu do danych? Jak zapewniona jest integralność danych? Jakie mechanizmy kontrolne zapewniają bezpieczeństwo aplikacji? Czy poszczególne środowiska są odseparowane? Czy najważniejsze z systemów znajdują się na tym samym hoście? Jak zabezpieczony jest dostęp do danych z hosta na wirtualną maszynę? Jak wygląda topologia sieci, w tym połączenia z poszczególnymi VM? Jak rozwiązana jest kwestia synchronizacji czasu? 18

Przykładowe listy pytań kontrolnych 1. Przyczyna przeniesienia systemów z fizycznych na wirtualne 2. Szacowanie ryzyka 3. Zrozumienie infrastruktury i zabezpieczeń 4. Mapa sieci dla środowisk VM 5. Ocena polityk, procedur i dokumentacji 6. Ocena zabezpieczeń 7. Bezpieczeństwo sieci 8. Szyfrowanie transmisji 9. Logiczna kontrola dostępu 10. Usługi oraz konfiguracja 11. Współdzielenie plików pomiędzy hostem a gościem 12. Synchronizacja czasu 13. Wyłączanie nieużywanych urządzeń 14. Podejście do zdalnego zarządzania 15. Łatanie oprogramowania oraz podatności 16. Logi 17. Kopie zapasowe 18. Zabezpieczenie przed zewnętrznymi modyfikacjami 19. Denial of Service (DoS) 20. Różne Na podstawie: Chaudhuri A., Solms SH, Chaudhuri D., Auditing Security Risks in Virtual IT Systems, Journal 1/2011, ISACA 2011 19 Uważaj to nie chmury Od zawsze problemami było zabezpieczenie integralności, dostępności i integralności. Cloud computing nie niesie za sobą nic tak nadzwyczajnego z punktu widzenia bezpieczeństwa by z tego powodu odrzucać rozwiązanie Zapewnienie bezpieczeństwa systemów wykorzystujących cloud computing jest trudniejsze lecz nie jest INNE To wciąż nie rozwiązania cloud computing stanowią wyzwanie lecz skuteczność stosowanego nadzoru 20

Z dużej chmury Czy naprawdę nowe są kwestie: zaufania do pracowników zewnętrznej firmy mających dostęp do danych? współdziałanie systemów/aplikacji? oprogramowania pośredniczącego? zaufania dla poszczególnych elementów w środowisku? kwestii prawnych (typu powierzenie danych osobowych)? zgłaszania zapotrzebowania i rezygnowania usług? dostępu fizycznego do danych? 21 Bujanie w chmurach 22

Leżeć w trawie, liczyć chmury Kluczowe czynniki sukcesu: zaufanie do dostawcy dobra umowa wdrożenie dobrych praktyk zarządzania i nadzoru nad IT wdrożenie podstawowych zasad bezpieczeństwa informacji efektywny i skuteczny nadzór nad powyższymi punktami rzeczywista potrzeba biznesowa 23 IMMUSEC Sp. z o.o. Knowledge Village ul. Wiertnicza 141 02-952 Warszawa-Wilanów Tel. +48 22 3797470 Fax. +48 22 3797479 email: biuro@immusec.com 24

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres