Česká Telekomunikační Infrastruktura a.s
Incident management,
Radek Živný
5.10.2016
Presentation title Author's name 10 October, 2016
Co je Cetin?
Proč vznikl?
CETIN je Česká telekomunikační infrastruktura, a.s. která vznikla
oddělením ze společnosti O2 Czech Republic, a.s. 1. června 2015.
Společnost otevřená všem operátorům s transparentní
komunikací nabídek.
S vysokou spolehlivostí, bezpečností sítě, a s širokým
pokrytím.
S cílem vytvořit dvě zcela nezávislé společnosti poskytující
velkoobchodní , resp. maloobchodní telekomunikační služby.
Historicky první dobrovolná funkční separace telekomunikačního
operátora.
Historicky nejkratší doba procesu oddělení
Odstranění vertikální regulace
Zjednodušení regulace
Nový business model
Motto”vysoké investice do modernizace a dostupnosti sítě”
Presentation title Author's name 10 October, 2016
Co Cetin prodáva a komu?
Produkty CETIN Operátoři Koncoví zákazníci
Mobilní data
Fixní hlas
Data
Internet
Kapacita
Broadband
IP TV
Mobilní sítě
Fixní sítě
Mezinárodní
služby
Presentation title Author's name 10 October, 2016
Certifikace dle IMS následně po vzniku Cetinu
Presentation title Author's name 10 October, 2016
Certifikace dle IMS následně po vzniku Cetinu
Presentation title Author's name 10 October, 2016
Základní pilíře Bezpečnosti CETIN
Kvalitní tým odborníků pro oblasti:
Informační bezpečnosti
Fyzické Bezpečnosti
BOZP
Požární Ochrany
Kvalitní a jednoduchá předpisová základna.
Dostatek nástrojů pro samotný výkon, realizace bezpečnostních
opatření
Presentation title Author's name 10 October, 2016
Řízení
Management Rizik
Analýzy rizik
Audity
Předpisová základna
Proškolování zaměstnanců
Optimalizace
Incident management
Presentation title Author's name 10 October, 2016
Fyzické nástroje
Decentralizované řešení.
Log-managemnt
IDS,
FW
Aplikační FW
Antivir
DLP
IDM
RIAN
CETIN
Security
Framework
CMDB
IDM
ERP
Network Registr
Budovy
Fyzická bezpečnost
Datové Zdroje
Ticketing
modul Budovy
modul Lidé
modul Ostatní technika
modul IT Systémy
modul Network systémy
modul Telco systémy
Evidence
modul Nápravná opatření
modul Řídící dokumentace
modul Rizika a AR
modul Incidenty
modul Datové toky
modul Auditoři IMS
modul Vyjímky
modul Procesy modul Typy prostorů
modul Projekty
modul Smlouvy modul Externisté
Nástroje
modul Management Console
modul Operátorská Console
modul Incident Management
modul Reporting
modul Dashboard
modul Uživatelský portál
modul Management Rizik
modul Analýza rizik (RAM)
modul IMS management
modul E-Learning
modul ŘD Workflow
modul Modelování procesů
modul Building modul BOZP evidence
modul Datové toky modul Krizový management
modul DRP modul Řízení projektů
Logy (Zdroje)
Syslog servery IT
CA
Syslog servery Network
F5 ASM
Syslog servery Telco
Network IDS
Altex
Presentation title Author's name 10 October, 2016
Incident Management na zelené louce
Nezbytná podpora managementu
Znalost prostředí
Kategorizace Informací
Kategorizace IS
Strategie obchodu
Strategie IT
Ostatní potřeby
Podpůrný tým napříč společností
Presentation title Author's name 10 October, 2016
Základní pravidlo
Při reakci na incident je na prvním místě:
• Ochrana lidského života.
• A na druhém místě obnovení zpracování informací služby, které byly ztracené nebo poškozené.
• Posledním aspektem je zmírnění nedostatků, které jsme detekovaly během incidentu.
Incident Management, produkuje následující výhohody:
• Obchodní dopad každého incidentu je minimalizováno
• Bezpečnost zaměstnanců a dat se zvyšuje
• Odpovědnosti právnických osob vzhledem k nedostatku náležité péče je zmírněno
• Regulační požadavky jsou splněny
• Veřejný obraz organizace je chráněn rychlou a profesionální odpovědí
Správa incidentů se skládá ze sady institucionalizovaných politik a procesů!
Presentation title Author's name 10 October, 2016
Kroky procesu řízení bezpečnosti dat
Dříve, než dojde k nehodě, je důležité udělat vše, co rozumně, abychom se připravit pro rychlou a
účinnou reakci. Kroky vedoucí k řádnou přípravu vaší organizace patří:
• Rozvoj politiky řízení incidentů a ztráty dat
• Utváření a výcvik týmů Incident Response (ISIRT)
• Rozvoj komunikačních plán
Presentation title Author's name 10 October, 2016
Vypracovat politiku
Prvním krokem v každém zabezpečení dat činnosti je tvorba politiky, která jasně stanoví své cíle. Vy
by měly zahrnovat:
• Prohlášení o závazku řízení s účinnou možností správy incidentů
• Účel
• Cíle, které mají být splněny
• Prohlášení, které stanoví, jak vaše organizace definuje ztrátu dat způsobené incidentem
• Systém pro správu incidentů, organizační struktura, a odezva.
Zaměstnanci odpovědní za reakce na incidenty musí jasně pochopit své role a role ostatních týmů, s
nimiž budou muset spolupracovat v rámci řešení, vnímat rozhraní.
Nejasná definice organizační struktury ISIRT může způsobit zmatek, což má za následek zpoždění
a tím i zpomalení celého procesu šetření.
Presentation title Author's name 10 October, 2016
Budování týmu – je nezbytné zvážit
• Jasně definovat úlohy každého řešitelského týmu.
• Jasně definované odpovědnosti přidělené každému řešitelskému týmu.
• Hladiny ISIRTU - vedení, vedoucí týmů až k nejnižší úrovni (Recovery Manager), by mělo být
snadno sledovatelné.
• Dostatečné pravomoce – ISIRT by měl mít dostatečnou pravomoc rozhodovat v případě
nutnosti vypnout nebo zabavit systémy na ochranu informačních aktiv.
• Prioritizace incidentů - různé druhy incidentů, každý typ může vyžadovat jedinečnou reakci se
specifickými požadavky na podávání zpráv.
• Vysvětlení požadavků na podávání zpráv. Což je odpovědností každého týmu pro reporting, tzn.
jaké by měly být zahrnuty informace ve zprávách, a komu jsou zprávy předloženy
Příklad scénáře
Struktura ISIRT týmu
Presentation title Author's name 10 October, 2016
Struktura ISIRT týmu – technické obsazení
Správná personální a odborná příprava těchto týmů je rozhodující pro úspěch při řešení
bezpečnostních incidentů.
• Manažer týmu. Tato osoba má celkovou odpovědnost za zajištění splnění obchodních cílů v
průběhu činnosti, odezvy dat incidentu. Navíc, ona je zodpovědná za stav komunikaci s
vrcholovým vedením.
• Technické vedení. Samotná realizace nápravných opatření, skládá se z :
• Jednoho nebo více síťových specialistů
• Jednoho nebo více programátorů
• Jednoho nebo více zástupců provozu
• Vztahy s veřejností. Tato osoba je zodpovědná za komunikaci s akcionáři, tisku a jiných
externích subjektů.
• Bezpečnost. Tým bezpečnost je obvykle první pomoci jakéhokoli incidentu. Členové tohoto týmu
jsou také zodpovědné za poskytnutí dohledu během jednotlivých úseků řešení.
• Obchod – Dopad na zákazníky
• Finance – Okamžité schválení a uvolnění finančních prostředků na eliminace,
Podpůrný tým může:
• Zřídit alternativní metody zpracování informací, v případě, že jsou narušeny základní systémy
nebo síťové cesty, příprava podkladů pro PČR, nebo žaloby, apod.
• Pomáhat s úkoly při obnovení systému
• Fyzická bezpečnost a vyšetřování - Zajištění zařízení, reakce na lidské zásahy a výstrahy,atd.
• Správa zařízení - odpovědnost za řešení problémů napájení, lokalizaci a koordinaci přechodu na
alternativní zařízení a strukturální posouzení.
Příklad notifikačního schématu
Presentation title Author's name 10 October, 2016
Tři hlavní odpovědnosti ISIRT
Prevence bezpečnostních incidentů je v podstatě cvičení v řízení rizik přiměřeným a
vhodným způsobem, včetně:
Identifikace hrozby / zranitelnosti prostředí prostřednictvím:
posouzení zranitelnosti
penetrační testování
Zprávy zranitelnosti od prodejců, stejně jako soukromé a vládní zdroje
•Vyhodnocení pravděpodobnosti, že hrozba využije jednu nebo více zranitelností
•Posouzení potenciálních obchodních dopadů, vyskytnou-li se konkrétní události
•Rozvoj akčních plánů na základě zdravých zásad řízení rizik, tzn. aktivně snížovat rizika
•Analyzovat data incidentů
•Určit rozsah a povahu incidentu
•Komunikovat s ostatními týmy pro obnovu dat, včetně informací, které mají být sdělovány
•Vydávat doporučení, jak vhodně skládat jednotlivé činností a jejich výskyt
Presentation title Author's name 10 October, 2016
Hlavní odpovědnosti ISIRT
Rozvíjet komunikační plán
• Jedním z nejdůležitějších aspektů ztráty dat incident management a reakce je komunikace.
• Přiměřená komunikace za účelem obnovy dat, řízení dopadů, obchodní rizika a úvah pro styk s
veřejností vyžaduje oslovení různých interních a externích subjektů.
• Media
• Legal - právní podpora a vymáhání
• CERT, CSIRT
• ISP
• Majitelé IP, ze kterých byl útok realizován
• Poškození ………..
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Struktura formuláře
Presentation title Author's name 10 October, 2016
To je naše cesta!
Méně agentů a více logiky z pohledu co a jak monitorovat,
Více pochopení pro prostředí (není to o složitých analýzách)
Integrace stávajících zdrojů
Informační bezpečnost
Fyzická bezpečnost
Personální bezpečnost
Musí být skutečně vše separátně odděleno?
Bezpečnost a reálné prostředí
Divider Page
Presentation title Author's name 10 October, 2016 Confidential
Děkuji za pozornost