Nástroje centralizovanej antivírusovej správy ako …...Nástroje centralizovanej antivírusovej správy ako súččččas ťťťť nástrojov metrík bezpe ččččnosti (niektoré

Nástroje centralizovanej antivírusovej správy ako súččččasťťťť nástrojov metrík bezpeččččnosti

(niektoré navrhované a realizované definície metrík v podmienkach PRIVATBANKY a.s.)

Sme prvá privátna banka na Slovensku● Sme prvá banka na slovenskom bankovom trhu, ktorá sa orientuje na

privátne bankovníctvo. (www.privatbanka.sk) ● Svojim klientom poskytujeme špecializované finančné a investičné

služby šité na mieru ich individuálnym potrebám. Princíp vysoko individuálneho prístupu je jedným zo základných hodnôt našej práce a komunikácie s klientom

● Vysokokvalitné služby zabezpečujú skúsení portfólio manažéri a ďalšípracovníci s dlhoročnou praxou v bankovníctve a pri riadení finančných investícií

Hlavné oblasti našej činnosti:● Privátne bankovníctvo ● Korporátne bankovníctvo

Heslom:● výnimočnosť – individuálny prístup – inovatívnosť – diskrétnosť

III. Konference ČČČČIMIB - Pragua Gate, Praha 4

Metriky ako podporný nástroj v oblasti bezpečnosti banky

1. Argumenty v podmienkach banky

2. Základné pojmy

3. Atribúty metrík4. Niektoré navrhované definície metrík v podmienkach banky5. Právomoci a zodpovednosti v procese životného cyklu metrík

6. Záverom


1. Argumenty v podmienkach banky

● Metriky slúžia ako podporný nástroj pre audit bezpečnosti banky. Pre kontrolné autority, riadenie operačných rizík, interný, externý a certifikačný audit slúžia metriky ako nástroje merania bezpečnosti.

● Systémová formulácia a realizácia týchto procesov umožní novú, veľmi účinnú spätnú väzbu, ktorá pomôže optimalizovať efektívne presadzovanie bezpečnosti v banke na všetkých riadiacich úrovniach. Význam majú aj pre pracovníkov, ktorí sa podieľajú na zbere údajov, spracúvaní a publikovaní výsledkov metrík.

● Metriky sú plne v súlade s normou ISO 9001. Nutnosť aplikácie metrík vychádza najmä z požiadaviek noriem rady ISO/IEC 27000. Konkrétne ISO/IEC 27004. Meranie má veľký význam pre dosiahnutie zhody s regulačnými pravidlami (napr. SOX, BASEL II, apod.)

● Máme definované, navrhované a možné metriky v podmienkach banky. Interne podrobne stanovujeme definície metrík, ktoré konkretizujújednotlivé atribúty.

● Racionalizácia (šrotovanie) náročnosti procesov ma núti hľadaťmožnosti implementovaných riešení.


2. Základné pojmyBezpečnostný manažér v oblasti metrík zodpovedá najmä:● hodnotí adekvátnosť a koordinuje implementáciu opatrení z oblasti IB,● navrhuje špecifické metodológie, procedúry, procesy, implementáciou

noriem, predpisov a najlepších praktík do interných noriem,● úzko spolupracuje s odborom IT, s odborom riadenia rizík, s odborom

vnútorného auditu, ● Eskaluje a publikuje neštandardné situácie generované technológiami

kompetentným pracovníkom - pomocou rokovaní na Výbore IT Commitee, vyšetrovaním, reportom o operačnom riziku, v rámci metrík predkladá predstavenstvu správu o činnosti, (2x ročne)

● navrhuje, reviduje politiky, smernice politiky IB, zrejme a spravidla pri významných legislatívnych rámcov a zmenách IS,

● Metrika – je presne vymedzený finančný, nefinančný ukazovateľ alebo hodnotiace kritérium, ktoré je používané k hodnoteniu úrovne efektívnosti účinnosti bezpečnostných opatrení v jednotlivých oblastiach bezpečnosti klasifikovaných v internom predpise banky.

● Workflow publikovania metrík je proces eskalácie elektronického dokumentu vedúcim pracovníkom.


2. Základné pojmy

● koordinátor metrík – bezpečnostný manažér,● vlastník metriky – organizačný útvar banky, ● SW aktíva pre programové zabezpečenie metrík využíva

implementované aplikácie a IS. Pre zber údajov je možnéalokovať tieto nástroje v rámci IIS banky: IS EventLog Analyzer- IS ESET Remote Administrator - IS ePolice OrchestratorMcAfee – (ďalej „ePO“) - IS MS Exchange 2007 - MS EXCEL -GFiMailEssentials for Exchange/SMTP/Lotus - IS PermRights –a iné. (integrácia požiadaviek metrík do aplikácie nad MS SQL)

● OW aktíva – bezpečnostný manažér, vlastníci a administrátori aktív

● HW aktíva – nie sú požiadavky na HW,


2. Základné pojmy


● PDCA cyklus – Demingovcyklus

● ACDP reverzný cyklus● A – identifikácia HW a SW

aktív schopných automatických meraní,

● C - identifikácia použiteľných metrík, (28 metrík)

● D – konkretizácia definíciía rozpracovanie workflowmetrík

● P – sedem schválených metrík v prvom roku implementácie

3. Atribúty metrík – identifikácia definície

Identifikácia metrík rozpracováva najmä tieto atribúty:● definícia metriky, atribút charakterizuje základné ukazovatele

metriky,● cieľový stav metriky, atribút charakterizuje akým spôsobom

výsledky metriky preukážu účinnosť opatrení,● značka metriky, atribút charakterizuje príslušnosť metriky k

oblasti bezpečnosti banky v zmysle interného predpisu,● vlastník metriky, atribút charakterizuje zodpovednosť

organizačnej zložky banky za stanovenie atribútov jej identifikácie,

● váha metriky, atribút charakterizuje závažnosť metriky voči čiastkovému bezpečnostnému cieľu v bezpečnostnej politike.


3. Atribúty metrík – čiastkové politiky1. fyzická, objektová bezpe ččččnos ťťťť a bezpeččččnos ťťťť prostredia2. organiza ččččná bezpe ččččnos ťťťť,3. technická a technologická bezpe ččččnos ťťťť4. informa ččččná bezpe ččččnos ťťťť5. bezpeččččnos ťťťť ľľľľudských zdrojov6. bezpeččččnos ťťťť a ochrana osobných údajov7. bezpeččččnos ťťťť a ochrana zdravia pri práci8. požžžžiarna bezpe ččččnos ťťťť9. ochrana bankového a obchodného tajomstva10. ochrana dobrého mena spolo ččččnosti11. plánovanie kontinuity a havarijné plánovanie BCP/DRP

Ale aj: environmentálna bezpe ččččnos ťťťť, bezpeččččnos ťťťť privátnych bankárov a vrcholových manažžžžérov, kryptografická bezpe ččččnos ťťťť, dopravná bezpe ččččnos ťťťť, prevádzkovábezpeččččnos ťťťť (záložžžžné centrum, recepcia, pobo ččččka)


3. Atribúty metrík – využitie výsledkov metriky

Využitie výsledkov metriky rozpracováva najmä tieto atribúty:● účel, atribút charakterizuje oblasť použitia čiastkovej

bezpečnosti v zmysle interného predpisu,● využitie, atribút charakterizuje detailné výsledky metriky a

preukáže účinnosť opatrení,

● získavanie informácií, atribút charakterizuje nástroj zberu v zmysle interného predpisu,

● spôsob publikovania a distribúcia, atribút charakterizuje workflow publikovania metrík, atribút kopíruje líniu zodpovedností v zmysle organizačnej schémy banky,


3. Atribúty metrík – vecná a obsahová charakteristika definície

Vecná a obsahová charakteristika a postupy realizácie metriky rozpracováva najmä tieto atribúty:

● použitá metóda, atribút charakterizuje metódu, analytický spôsob vyťažovania rozhodných informácií pre spracovanie zdrojových informácií,

● vzorec, atribút charakterizuje spôsob výpočtu metriky zo zdrojových údajov,

● vypovedateľnosť, atribút charakterizuje cieľový stav a interpretuje výsledky metriky a rešpektuje cieľovú skupinu zodpovedných a riadiacich zamestnancov resp. tých ktorým súmetriky určené.


3. Atribúty metrík – technologickéaspekty definície

Technologické aspekty metriky rozpracovávajú najmä tieto atribúty:● zdroje údajov k meraniu, atribút charakterizuje a špecifikuje

použiteľné zdroje údajov: databázy, ľudia, reporty, log, hodnotenie, súbory, aplikácie,

● periodicita zberu, atribút charakterizuje a upresňuje ako často budú údaje zbierané v rámci klasifikovaného zberu,

● dimenzia metriky, atribút charakterizuje merná jednotka, organizačná jednotka, časové obdobie,

● proces zberu údajov, atribút charakterizuje proces zberu, napr. manuálny a automatizovaný zber, kombinácia procesov zberu,

● dôkaz implementácie, atribút charakterizuje fyzická alebo diaľková inštalácia IS, software klasifikovaná v rámci IIS,

● ekonomická návratnosť, atribút charakterizuje nároky na finančné a personálne zdroje.


3. Atribúty metrík – model štruktúry niektorých aktív

AktAktííva va úústrediastredia

skupina serverov•Lotus, •Novell,•Windows, •Linux skupiny

pracovných staníc

skupina mobilných staníc, notebookov,

PDA

skupina konzol•ePO•RA NOD•EventLog•GFI

skupinanezapojených PC,servis, údržba,

skupina serverov infraštruktúry•RA server NOD32•mirror server•server ePO•mirror server ePO•server SysLog•server EventLog•server GFI AktAktííva mimo va mimo úústrediestredie

•• ZZááloložžžžžžžžnnéé CentrumCentrum1.1. PPobooboččččččččka Aka A2.2. PoboPoboččččččččka Bka B3.3. PoboPoboččččččččka ka xxxxxx

skupinaaktualizačných serverov na internete

internet

prepojenie DSL, GPRS, EDGE, 3G


4. Niektoré navrhované definície metrík v podmienkach banky

● Definícia metriky: Miera kvality hesiel používateľov a administrátorov.a) Cieľový stav: výsledky metriky preukážu účinnosť bezpečnostného povedomia, bezpečnostnej

úrovne a akceptácie interných noriem používateľov a administrátorov.b) Vlastník metriky: BEZPEČNOSTNÝ MANAŽÉR.● Definícia metriky: Počet kritických IS banky, ktoré majú realizovanú revíziu, teoretické a funkčné

testy plánov BC/DR v stanovených termínoch.a) Cieľový stav: výsledky metriky preukážu stav revízií, testovania a účinnosti plánov BC/DR.b) Vlastník metriky: ODBOR RIADENIA RIZÍK● Definícia metriky: Podiel IS so záznamom a vyhodnocovaním prevádzkových logov a systémových

logov.a) Cieľový stav: výsledky preukážu účinnosť vyhodnocovania prevádzkových údajov IS.b) Vlastník metriky: ODBOR RIADENIA RIZÍK.● Definícia metriky: Miera používateľov IT, ktorí formálne akceptovali bezpečnostné politiky.a) Cieľový stav: podiel/počet používateľov, ktorí podpísali prehlásenie o mlčanlivosti, poučenie BOZP,

poučenie oprávnených osôb pre spracúvanie osobných údajov, poučenie AML.b) Vlastník metriky: PERSONÁLNY ODBOR.● Definícia metriky: Miera používateľov IT, ktorí absolvovali úvodné/priebežné/špeciálne

bezpečnostné školenie.a) Cieľový stav: výsledky metriky preukážu účinnosť opatrení personálneho odboru.b) Vlastník metriky: PERSONÁLNY ODBOR.



● Definícia metriky: Podiel/miera/počet neoprávnene (v rozpore s BP) nastavených vyšších/nižších prístupových práv v IS.

a) Cieľový stav: výsledky metriky preukážu účinnosť opatrení v oblasti aplikácie interného predpisu.

b) Vlastník metriky: ODBOR INFORMAČNÝCH TECHNOLÓGIÍ● Definícia metriky: Podiel/po ččččet infiltrácií vo čččči celkom kontrolovaným súborom na WS,

štatistika po ččččítaččččových infiltrácií – po ččččet pou žžžžívate ľľľľov bez ochrany, po ččččet infiltrácií, stav aktualizácie, diferencovane na mobilných prost riedkoch.

a) Cieľľľľový stav: výsledky metriky preuká žžžžu úččččinnos ťťťť opatrení v oblasti infiltrácií, bezpeččččnostné povedomie pou žžžžívate ľľľľov a aplikácie interných predpisov.

b) Vlastník metriky: ODBOR INFORMA ČČČČNÝCH TECHNOLÓGIÍ.● Definícia metriky: Podiel/po ččččet kategórií infiltrácií vo čččči celkom kontrolovaným

súborom na serveroch.a) Cieľľľľový stav: výsledky metriky preuká žžžžu úččččinnos ťťťť opatrení v oblasti aplikácie

interných predpisov.b) Vlastník metriky: ODBOR INFORMA ČČČČNÝCH TECHNOLÓGIÍ.● Definícia metriky: Podiel finančných prostriedkov preferovaných/plánovaných/vynaložených

na realizáciu opatrení na IT/IT security.a) Cieľový stav: výsledky metriky preukážu účinnosť opatrení v oblasti dodržiavania zásad

plánovania, financovania a realizácie bezpečnostných opatrení.b) Vlastník metriky: ODBOR ÚČTOVNÍCTVA.



● Definícia metriky: Miera kryptograficky chránených mobilných a externých pamäťových záznamových zariadení.

a) Cieľový stav: výsledky metriky preukážu účinnosť opatrení v oblasti ochrany informácií, bezpečnostné povedomie používateľov a aplikácie interných predpisov.

b) Vlastník metriky: ODBOR INFORMAČNÝCH TECHNOLÓGIÍ.● Definícia metriky: Štatistika WWW servera banky.a) Cieľový stav: výsledky metriky preukážu charakteristiku prístupov na www a poznatky získané z

metrík umožnia najmä – zlepšiť perfektnú dostupnosť pre www predovšetkým používateľov v sektore bankovníctva a poisťovníctva, smerovanie marketingu, internetovej reklamy. Podrobnácharakteristika www servera banky preukáže opodstatnenie opatrení v dostupnosti a tieto štatistické ukazovatele: počet návštevníkov www, denná štatistika, týždenná štatistika, mesačnáštatistika, ročná štatistika, počet aktívnych návštevníkov, počet návštev, počet zobrazených stránok, počet IP adries, počet unikátnych IP, počet konkrétnych IP, odkazujúce servery, odkazujúce domény, odkazujúce vyhľadávače, hľadané spojenia vo vyhľadávačoch, operačnésystémy, podľa verzií, podľa skupín, podľa rodín, prehliadače, podľa verzií, podľa skupín, podľa rodín, technické vybavenie návštevníkov, rozlíšenie obrazovky, farebná hĺbka monitoru, veľkosťokna prehliadača, verzie flash modulu, podpora Javy, podpora JavaScriptu, podpora cookies, jazyky, informácie o návštevníkoch, (počítač, doména, región, spôsob pripojenia, najžiadanejšie stránky.

b) Vlastník metriky: ODBOR MARKETINGU.



● Definícia metriky: Štatistika energetickej náročnosti hardwarea) Cieľový stav: výsledky metriky preukážu účinnosť opatrení optimalizácie energetickej

náročnosti vybraných pracovných staníc, serverov, tlačiarní, klimatizácie - štatistika súboru informácií definovanej/reálnej energetickej náročnosti.

b) Vlastník metriky: ODBOR INFORMAČNÝCH TECHNOLÓGIÍ.● Definícia metriky: Štatistika bezpe ččččnostných procesov – politiky WXPa) Cieľľľľový stav: výsledky metriky preuká žžžžu úččččinnos ťťťť opatrení bezpe ččččnostných procesov

na pracovných staniciach pou žžžžívate ľľľľov. Štatistika súboru informácií špecifikuje najmä: % systémov s obmedzenými administrátorskými právami, % systémov WIN/LINUX/s inštalovanými update, % systémov s aktí vnym personálnym firewallomXP, % systémov s aktívnym externým firewallom, % sy stémov so zapnutými auditnými funkciami, % systémov so zdie ľľľľanými systémovými zdrojmi, % systémov so stanovenou bezpe ččččnostnou politikou, % systémov s nasadenými nadštand ardnými prostriedkami autentifikácie a šifrovania.

b) Vlastník metriky: ODBOR INFORMA ČČČČNÝCH TECHNOLÓGIÍ.● Definícia metriky: Diaľkový audit dostupnosti a stability rozvodnej siete 220V.a) Cieľový stav: výsledky metriky preukážu účinnosť opatrení o dostupnosti/nedostupnosti,

stabilite rozvodnej siete 220V, činnosť UPS, činnosť motorgenerátora.b) Vlastník metriky: ODBOR EKONOMIKY.



.● Definícia metriky: Falšovanie bankoviek.a) Cieľový stav: výsledky metriky preukážu účinnosť opatrení procesoch činnosti pobočiek

banky a štatistiku zachytených/identifikovaných/neoprávnene identifikovaných bankoviek.b) Vlastník metriky: ODBOR PLATOBNÉHO STYKU.● Definícia metriky: Efektívnosť interne identifikovaných chýb software získaného vlastným

vývojom.a) Cieľový stav: výsledky metriky preukážu účinnosť opatrení opodstatnenie IS, podrobnú

štatistika podnetov, podiel riešených a neriešených zásahov v IS BugNet.b) Vlastník metriky: ODBOR INFORMAČNÝCH TECHNOLÓGIÍ.● Definícia metriky: Efektívnosť infraštruktúry a dostupnosť vybraných WS/FS/IS v rámci IIS

banky. Štatistika IP/MAC/platformy 32/64 bit, a) Cieľový stav: výsledky metriky preukážu štatistika dostupnosti IS a preukáže účinnosť

opatrení v oblasti technologickej bezpečnosti.b) Vlastník metriky: ODBOR INFORMAČNÝCH TECHNOLÓGIÍ.● Definícia metriky: Efektívnosť finančných prostriedkov

plánovaných/použitých/škoda/náhrada škody v niektorých oblastiach fyzickej bezpečnosti.a) Cieľový stav: výsledky metriky preukážu štatistiku použitia čerpania rozpočtových položiek.b) Vlastník metriky: ODBOR INFORMAČNÝCH TECHNOLÓGIÍ.



.

Na inšpiráciu je nutné hľadať predovšetkým možnosti exportu a reportov jednotlivých systémov infraštruktúry.

● dĺžky plánovaných výpadkov IS

● dĺžky neplánovaných výpadkov (spôsobených chybou HW/SW/siete/externého subjektu/atď.)

● počet ne/zachytených infiltrácií cudzieho kódu na úrovniach proxy/email/notebook/PC pre jednotlivé používané antivír/antispywareSW

● počet zaznamenaných útokov na IT infraštruktúru banky,

● škody spôsobené bezp. incidentmi (finančné, nefinančné, objem použitých interných kapacít)

● t.j. metriky v oblasti dostupnosti a konkrétnych dopadov.



.

Na inšpiráciu je nutné hľadať predovšetkým možnosti exportu a reportov jednotlivých systémov infraštruktúry.

● miera plánovaných/neplánovaných časových výpadkov IS

● dĺžky neplánovaných výpadkov (spôsobených chybou HW/SW/siete/externého subjektu/atď.)

● počet ne/zachytených infiltrácií cudzieho kódu na úrovniach proxy/server/email/notebook/PC/pobočky pre jednotlivé používanébezpečnostné aplikácie antivír/antispyware SW,

● počet zaznamenaných útokov na IT infraštruktúru banky,

● počet vyhodnocovanie/prehodnocovanie plnenia SLA a zmlúv,● škody spôsobené bezpečnostnými incidentmi (finančné, nefinančné,

objem použitých interných kapacít, odpísané na účet banky, zosobnenéna pracovníka banky)


5. Právomoci a zodpovednosti v procese životného cyklu metrík

.Životný cyklus metrík je periodický proces, v cykle jedného roka. Procesne sa životný cyklus člení

takto: a) prípravná fáza, b) realizačná fáza, c) záverečná fáza.● Prípravná fáza nasadenia metrík v podmienkach banky sa realizuje najmä:a) spracovanie Metodického pokynu Odboru riadenia ri zík k realizácii metrík, zodpovedný: bezpe ččččnostný

manažžžžér, b) identifikácia metrík, prílohy Metodického pokynu Odboru riadenia rizík k realizácii metrík, zodpoved ný:

bezpeččččnostný mana žžžžér,c) revízia interného predpisu Metodického pokynu Odb oru riadenia rizík k realizácii metrík, zodpovedný:

bezpeččččnostný mana žžžžér, ● Realizaččččná fáza je periodický cyklus s periódou 6 mesiacov. Realizuje sa takto:a) zber a získanie údajov na základe atribútov ident ifikovaných, zodpovedný: vlastník metriky,b) štatistické a analytické práce, zodpovedný: bezpe ččččnostný mana žžžžér,c) publikovanie výsledkov metrík, zodpovedný: bezpe ččččnostný mana žžžžér,● V rámci závere ččččnej fázy sa realizuje najmä:a) spätná väzba od vedúcich pracovníkov a vlastníkov, zodpovedný: vlastník metriky,b) identifikácia nápravných opatrení. zodpovedný: be zpeččččnostný mana žžžžér,c) revízia a modifikácia atribútov metrík a získanie nových zdrojov údajov: zodpovedný: bezpe ččččnostný

manažžžžér,d) aplikácia nápravných organiza ččččných a bezpe ččččnostných opatrení, zodpovedný: vlastník metriky,

bezpeččččnostný mana žžžžér.


Nástroje centralizovanej antivírusovej správy ako súččččasťťťť nástrojov metrík bezpeččččnostiZDROJE:

•Sada noriem ISO/IEC 27000 http://www.iso27001security.com a http://www.iso27001security.com/html/27004.html

•Guide for Developing Performance Metrics for Information Security. NIST 2006

•A Guide to Security Metrics, Shirley C. Payne, SANS Institute 2006,•Měrení účinnosti bezpečnostních opatření, Luděk Novák, DSM 2/2008

•Rad noriem ISO/IEC 27000 – báza pre budovanie firemného ISMS, Miroslav Galbavý, SASIB - Informačná bezpečnosť 2009 Bratislava


Nástroje centralizovanej antivírusovej správy ako súččččasťťťť nástrojov metrík bezpeččččnosti - záverom

•Menej je niekedy viac – z 28 navrhovaných metrík zatiaľ 7 aplikovaných,

•Iterácia odhadu výsledkov, vyhodnotenie, použitý vzorec, váha, •stále novšie možnosti nástrojov centrálnej antivírusovej správy,

Ďakujem za pozornosťPeter Valkovič

[email protected]


Documents

Nástroje centralizovanej antivírusovej správy ako …...Nástroje centralizovanej antivírusovej správy ako súččččas ťťťť nástrojov metrík bezpe ččččnosti (niektoré