Bezpecnost v organizacii Flashcards
(115 cards)
1
Q
Keby máme výrobnu organizaciu, cim sa musime zaoberat?
A
bezpečnosťou systémov, ktoré riadia výrobné procesy (napr. SCADA), čo si vyžiada špecifické znalosti a možno aj oprávnenia
2
Q
Preco org doteraz mozno neriesila KIB?
A
vedenie KIB nerozumie, KIB je technická záležitosť, nech to riešia informatici, je to drahe, nebol bezpecnostny incident
3
Q
ake su najcastejsie dovody preco sa org zacne zaujimat o KIB?
A
závažný bezpečnostný incident, ktorý organizáciu (alebo podobnú organizáciu) postihol, prijatie zakona ktory hrozi sankciami
4
Q
Co je to Lisabonska strategia?
A
Cca 2000, rozvojovy plan pre EU
5
Q
Okrem pravneho ramca co je dolezite?
A
Dovera ludi, napr digitalny podpis, nech tomu veria
6
Q
Ake projekty napriklad pozname?
A
FIDIS, stork, epsos…
7
Q
Co je to ENISA?
A
European Union Agency for Cybersecurity
8
Q
Co su nariadenia EÚ?
A
priame zákony EÚ a platia aj na Slovensku a majú prednosť pred národnými zákonmi
9
Q
Daj priklad nariadeni EU
A
GDPR - ochrana osobných údajov, ochrana kritickej infraštruktúry, e-Government (eIDAS)
10
Q
Co su smernice?
A
členské krajiny prijímajú zákony, prostredníctvom ktorých ich implementujú do národnej legislatívy
11
Q
Daj priklad smernice
A
Smernica NIS (dopĺňajúca prvky kritickej informačnej infraštruktúry, ktoré dostatočne nepokrývalo nariadenie o ochrane kritickej infraštruktúry)
12
Q
Ako sa zrevidovala smernica NIS?
A
na NIS II
13
Q
Daj priklad zakonov a vyhlasok SR o KIB
A
slide 7
14
Q
Koho vacsinou poveri vedenie riesenim KIB?
A
Informatikov, lebo specialistov je malo a informatik to “urcite ovlada”
15
Q
Ake su 2 moznosti riesenia KIB?
A
bud si niekoho najdeme aspon na zaciatok, alebo do toho pojdeme sami
16
Q
Co si treba pozriet pre KIB?
A
zakony a vyhlasky nic moc, ale napriklad ISO normy
17
Q
Ake 3 zakony/vyhlasky/standardy su podobne?
A
Zakon o kybernetickej bezpecnosti, vyhlaska 179 a ISO/EIC 27002
18
Q
Ktore z toho je najobsiahlejsie? A co obsahuje co ostatne nie?
A
ISO 27002, napr. Compliance, alebo v zakone o KIB nie je ochrana proti skodlivemu kodu, ale vo vyhlaske je
19
Q
Ako treba riesit KIB?
A
Komplexne a systematicky
20
Q
Od koho zavisi KIB? Preco?
A
od všetkých ľudí, ktorí majú prístup k IKT organizácie, lebo staci jeden clovek co to nesplni a ide to dorici
21
Q
kto vsetko sa musi zapojit do KIB?
A
kazdy, ale v miere primeranej jeho úlohe vo vzťahu k IKT a KIB organizacie
22
Q
Aku ma podobu systematicke riesenie?
A
ISMS (Information Security Management System), ktorý v nejakej podobe organizácia potrebuje zaviest
23
Q
Co je to ISMS?
A
virtuálny systém, ktorý pozostáva zo štyroch podstatných zložiek:
* princípov riadenia KIB
* zdrojov, ktoré sú na zaistenie a udržiavanie KIB potrebné,
* ľudí, ktorí pracujú s informáciami, systémami a sieťami a plnia buď špeciálne úlohy v KIB, alebo zohľadňujú KIB pri práci
* bezpečnostného procesu = aktivity zamerané na dosiahnutie a udržanie potrebnej úrovne KIB v organizácii
24
Q
Kde je popisany ISMS?
A
v normach ISO/IEC, z coho vychadzali zakony a vyhlasky
25
Co uvadza ISO v zavislosti k ISMS?
Poziadavky na vysledok, ale nie postup ako tento ISMS vytvorit
26
Kde je podrobny navod na vytvorenie ISMS v plnom rozsahu?
v nemeckom štandarde [8] a IT kompendiu Grundschutz [11], z ktorých budeme vychádzať.
Kukni co to je
27
Co spravit ako prve ked mame poverenie vedenia?
vypracujeme case study navrh postupu riesenia KIB, zavedenia ISMS a predlozime vedeniu (co je KIB, preco je to dolezite, ake zdroje potrebujeme, postupnost krokov, prinos...)
28
Da sa ISMS robit sam?
Nie, idealne treba mat tim
29
Co je to bezpecnostny proces?
aktivity zamerané na
dosiahnutie a udržanie potrebnej úrovne KIB v organizácii
30
Kto musi iniciovat a riadit bezp. proces v organizacii?
vedenie
31
ake veci musime detailnejsie opisat?
vypracovanie Politiky KIB, Stratégia KIB, špeciálne bezpečnostné politiky, vysokoúrovňová a podrobná analýza rizík
32
Kto musi prijat zodpovednost za KIB v org?
vedenie, nie my
33
co este musi vedenie?
byt manazer tohoto projektu, teda davat zdroje, dostavat a vyhodnocovat aktualny stav a pod
34
Co musi vedenie spravit aby spustilo bezpecnostny proces v organizacii?
špecifikovať a dokumentovať bezpečnostné ciele (security objectives) a stanoviť stratégiu KIB.
35
Ake podmienky musia byt spravene na realizaciu cielov v Strategii KIB?
primerané právne (interné predpisy) organizačné (kompetencie, organizačná štruktúra a roly) a materiálno-technické
36
Co spravime z cielov Strategie KIB?
Konkretne ulohy
37
Co je to Politika KIB?
základný dokument ISMS, ktorý
* opíše význam KIB pre organizáciu,
* definuje hlavné bezpečnostné ciele,
* uvedie najdôležitejšie aspekty Stratégie KIB,
* špecifikuje organizačnú štruktúru KIB.
38
Opis viac Politiku KIB, co musi splnat
vytvára rámec pre ďalšie dokumenty, MUSÍ byť jasne definovaný rozsah jej pôsobnosti, vysvetlené bezpečnostné ciele a ako súvisia s poslaním, úlohami a cieľmi organizácie, dostupná všetkým zamestnancom organizácie, externým spolupracovníkom a iným ľuďom, ktorí sa podľa nej majú riadiť, aktualizovaná
39
Kto je manazer KIB?
presadzuje KIB v organizácii, riadi a koordinuje bezpečnostný proces, zabezpečuje podklady pre rozhodovanie vedenia, musi mat potrebne znalosti schopnosti a kompetencie
40
Co okrem manazera potrebujeme?
organizacnu strukturu pre KIB
41
ako nazyvame urceneho clena vedenia ktory zodpoveda za KIB?
garant KIB
42
co v organizacnej strukture nesmie chybat?
výbor pre KIB, útvar manažéra KIB, bezpečnostné roly, do ktorých budú zaradení všetci zamestnanci a externí spolupracovníci, komunikacne efektivne kanaly na riesenie incidentov a pod
43
opis bezpecnostne opatrenia
Pre všetky aspekty spracovania informácie MUSIA byť definované primerané bezpečnostné opatrenia, dokumentovane a revidovane, vychadzaju z ISMS
44
Co potrebujeme na napisanie politiky KIB?
vysokoúrovňovú analýzu rizík, navrhnúť a implementovať opatrenia (zväčša organizačného alebo právneho charakteru)
45
Co robime pri vysokourovnovej analyze rizik?
identifikujeme klucove aktiva organizacie a hrozby voci nim
46
Co treba spravit pre klucove aktiva?
analyzu rizik
47
Aky je cyklus spravy rizik po zavedeni ISMS?
monitoring -> vyhodnocovanie opatreni -> cielene analyzy rizik -> navrh a zavedenie opatreni -> audit (zo zakona)
48
aki zamestnanci maju byt zapojeny do bezpecnostneho procesu?
VSETCI, musia mat zakladne info, vediet o hrozbach. a ako pouzivat bezpecnostne opatrenia
49
mame baseline, najnutnejsie minimum. Co dalej?
chceme sa dostať zo základnej úrovne aspoň na štandardnú (zákony a vyhlášky sú optimistické)
50
Podla akych noriem postupujeme?
BSI (pozri co to je)
51
preco musime stale revidovat KIB?
lebo digitalny ekosystem je dynamicky, su nove hrozba a podobne.
52
Ako reagujeme na zmeny a nove hrozby?
revidujeme dokumentaciu, monitorujeme opatrenia, vykonavame audity, sledujeme vyskyt hrozieb a pod
53
co je to ISVS?
Neviem, TODO
54
Mame ISMS, co teraz?
ukotvit bezpecnostny proces v strukture planovani a procecoch organizacie
55
Co by sme potrebovali pre ukotvenie v organizacii?
slide 32
56
Co musime dodrzat aby KIB fungovala?
jasne stanovené pravidlá, zodpovednosti, dokumentované procesy, udalosti, povinná rozsiahla dokumentácia aj podľa zákonov a vyhlášok, ako politika, strategia, spravy auditov a pod
57
Ako vieme zvysovat bezpecnostne povedomie?
školenia (jednorazové, účelové) a vzdelávanie (systematické, na rozličnej odbornej úrovni)
informácie o bezpečnostne relevantných udalostiach (adresné)
vzdelávanie špecialistov na KIB (manažér KIB) informatikov, právnikov
vstupne skolenia
58
Ako vieme realizovat zvysenie bezpecnostneho povedomia?
doma v organizácii, kombinácia externých špecialistov a vlastných zamestnancov (poznajú pomery v organizácii), externé vzdelávanie (školenia, kurzy, konferencie, pravidelné semináre na vš a pod.)
59
Ake zdroje potrebujeme na dosiahnutie nejakej urovne KIB?
Ludi a peniaze
60
V prípade keď úlohy prevyšujú kapacity, tak ...
je potrebné do ich riešenia zapojiť ďalších zamestnancov, alebo externých odborníkov
61
Opis co sa deje na slide 38
slide 38
62
podstatou bezpečnostného procesu je X a kľúčovým prvkom X je Y
X - sprava rizik
Y - analyza rizik
63
co sa zaobera analyzou a spravou rizik?
normy ISO/IEC 27005 a BSI-Standard 200-3
64
co si musime povedat pred zaciatkom analyzy rizik?
vysokoúrovňová , alebo podrobná analýza rizík, stanovenie rozsahu, dovod analyzy a pod.
65
Co je cielom identifikacie rizik?
určiť, čo nežiadúce by pri spracovávaní informácie mohlo nastať a spôsobiť organizácii stratu, kde by k tomu mohlo dôjsť a prečo.
66
Co treba urcit pri identifikacii rizik?
* aktíva
* zraniteľnosti týchto aktív
* relevantné hrozby voči aktívam
* existujúce bezpečnostné opatrenia chrániace aktíva
67
Co s aktivami?
teoreticky by mala organizácia mať a udržiavať zoznam aktív, to ale nie je realne
68
Ako identifikujeme zranitelnosti a hrozby?
prejsť si cez zoznam aktív a zoznam zraniteľností a určiť, ktoré aktíva majú jednotlivé zraniteľnosti pre posudenie relevantnosti hrozieb, potom prejdeme cez zoznam hrozieb a aktiv a urcime ktore hrozby sa voci danemu aktivu mozu naplnit, lebo to aktivum ma tie zranitelnosti ktore hrozba vyuziva
69
Co vlastne spisujeme pri identifikacii zranitelnosti a hrozieb?
scenáre naplnenia hrozieb (bezpečnostných incidentov)
70
Opakovanie, co je to CIA?
dopady sa posudzujú z hľadiska narušenia dôvernosti (C), integrity (I) a dostupnosti (A)
71
Napriklad aky ma dopad ohen?
A
72
Aky ma dopad voda?
I,A
73
Aky ma dopad spionaz?
C
74
Aky ma dopad kradez identity?
C,I,A
75
Okrem tabulky hrozieb, ake vieme este spravit?
tabulku zranitelnosti
76
Aka je napriklad zranitelnost z orgnizacie KIB?
Chýbajúce pravidlá upravujúce prácu na diaľku a používanie mobilných zariadení a/alebo ich nedosta- točné uplatňovanie
77
Aka je napriklad zranitelnost z bezpecnosti ludskych zdrojov?
Nedostatočná úroveň bezpečnostného povedomia zamestnancov a neplnenie povinností v KIB zamest- nancami a tretími stranami kvôli neporozumeniu povinností a nedostatočnej kontrole
78
Co ak organizacia uz ma existujuce opatrenia?
Musime o nich vediet a prehodnotit ich, aby sme nemali nieco duplicitne, a pod.
79
Mame parametre pre hodnotu rizika. Aky je dopad?
nizky - financne straty zanedbatelne, ziadne ohrozenie zivota alebo zdraivia a pod
vysoky - financne straty v dosledku naplnenia hrozby nevie organizacia vykryt, doslo k smrti ludi a pod
alebo stredny
79
Mame hodnotu rizika. Aky je dopad?
nizky - financne straty zanedbatelne, ziadne ohrozenie zivota alebo zdraivia a pod
vysoky - financne straty v dosledku naplnenia hrozby nevie organizacia vykryt, doslo k smrti ludi a pod
alebo stredny
80
Aka je pravdepodobnost naplnenia hrozby?
* nízka, ak k naplneniu hrozby ešte nedošlo, alebo došlo raz za niekoľko rokov,
* stredná, ak k naplneniu hrozby dochádza raz za niekoľko mesiacov,
* vysoká, ak naplneniu hrozby dochádza každý týždeň.
* K týmto trom hodnotám pridáme ešte nulovú, aby sme ošetrili
prípady, keď sa hrozba na niektoré z aktív nevzťahuje (a teda sa nemôže naplniť).
81
Ako vieme vypocitat hodnotu rizika?
pravdepodobnosť a dopad hrozby skombinujeme do hodnoty rizika napríklad takto (tab na slide 54)
82
Mame teda hodnoty rizika. Co teraz?
Spravime nejak zoznam pre aktiva hrozieb a zranitelnosti, rizika, scenare opatrenia, napriklad 2D tabulku hrozby x aktiva, polozky = hodnoty rizika, alebo usporiadame zoznam rizik podla hodnoty a spravime ciaru comu sa budeme venovat
83
Ked niekde spravime ciaru, co je pod ciarou?
Akceptovatelne riziko
84
Ako vieme osetrit riziko?
* akceptovať riziko
* prijať opatrenie na elimináciu, alebo zníženie rizika na akceptovateľnú úroveň,
* vyhnúť sa riziku (nahradiť rizikové riešenie iným) alebo
* preniesť riziko (poistenie).
85
Co po analyze rizik?
návrh a implementácia opatrení, monitoring systemu, ci nejaka hodnota akceptovatlneho rizika nevzrastla, alebo sa neobjavilo nove riziko
86
Ako nazyvame cely proces (analýza rizík, prijatie opatrení, monitoring systému, revízia opatrení)?
správa rizík (risk management)
87
Ake su napriklad bezpecnostne politiky 2. urovne?
Riadenie prístupu, Ochrana pred škodlivým kódom, Kryptografické opatrenia a pod
88
Co je to riadenie pristupu?
ciel - k informačným aktívam organizácie mali prístup (a mohli s nimi pracovať) len oprávnené osoby, zabraneniu pristupu neopravnenych osob
89
Co okrem ineho Politika riadenia prístupu upravuje?
manažment prístupových práv a prípadne aj spôsob ich uplatňovania, teda kto ich urcuje, ako sa identifikuju a autenfikuju ludia...
90
Co je to Klasifikácia informácie a narábanie s informáciou?
Klasifikácia informácie umožňuje štandardizovať úroveň ochrany informačných aktív organizácie, a to tak z hľadiska cieľov ako aj úrovne ochrany.
Chceme zaistit CIA informacnych aktiv, uroven ochrany nizka stredna vysoka, verejne info = nulova
91
V com je Význam klasifikácie informácie a kategorizácie systémov?
že je možné zoskupiť informácie vzhľadom na potreby ich ochrany do tried s rovnakými bezpečnostnými potrebami a navrhovať riešenia pre triedy a nie pre jednotlivé aktíva.
92
Co je Fyzická bezpečnosť a bezpečnosť prostredia?
zaoberá sa ochranou pred hrozbami fyzického charakteru, napr serverov pocitacov a pod. jej cieľom je zabrániť neoprávnenému fyzickému prístupu k informačným aktívam organizácie, ich fyzickému poškodeniu alebo zasahovaniu do nich.
93
co definuje napriklad Fyzická bezpečnosť a bezpečnosť prostredia, pravidla coho?
zabezpečené priestory a pravidlá pre vstup do nich a prácu v nich, narábanie s IKT zariadeniami v organizácii a mimo nej (vynášnie, práca doma, opravy, vyraďovanie a pod. )
94
Co su Bezpečnostné pravidlá pre koncového používateľa?
Koncový používateľ je rola s najväčším počtom členov, ma najmensie privilegia, najmensie vedomosti, moze spravit chybu ktora ohrozi IKT organizacie, ale je to dovod kvoli comu organizacia prevadzkuje IKT. Pouzivatel teda musi vediet, co robit, co nerobit a na koho sa ked tak obratit.
95
Co je to zalohovanie?
prostriedok na zabránenie straty/dostupnosti údajov.
politika zalohovanie upravuje stanovenie potrieb organizacie na vytvaranie zaloh, zaistenie zaloznych kapacit, plan zalohovania, ochrana zaloh, testovanie, procedura obnovy
96
Co je Manažment bezpečnosti sietí?
organizacia na komunikaciu vyuziva komunikacne siete
Cieľom tejto politiky je zaistiť ochranu informácií v sieťach a informačných systémoch, ktoré prepája
97
Co je to Prenos informácie?
Informácia sa málokedy spracováva a využíva na mieste, kde bola zaznamenaná (zdroj informácie), ale prenáša sa tak medzi rôznymi subjektami v rámci organizácie, ako aj medzi organizáciou a inými externými inštitúciami a jedincami, Cieľom tejto špeciálnej politiky je zaistiť bezpečnosť informácie prenášanej v organizácii a medzi organizáciou a externým subjektom.
98
Co je to skodlivy kod?
(malvér, angl. malware) označuje program, ktorý je tajne vložený do iného programu so zámerom zničiť údaje, spustiť deštruktívne, alebo ďalej sa šíriace programy, alebo inak kompromitovať dôvernosť, integritu alebo dostupnosť údajov, aplikácií alebo operačných systémov obete.
99
Co stanovuje politika Ochrany pred škodlivým kódom
zásady znižujúce pravdepodobnosť zanesenia škodlivého kódu do systémov organizácie ako napr.
- pamatove media zvonka sa musia skontrolovat
- prilohy elektronickej posty sa musia skontrolovat
- zakaz posielat mailom exe
100
Ake dalsie opatrenia su pred skodlivym kodom?
zákaz používania pamäťových médií v externom prostredí (USB kľúče v internetovej kaviarni), specifikacia sw nastrojov na ochranu, obmedzenie alebo zakaz vlastnych zariadeni v sieti organizacie
101
Co robime pri ochrane pred skodlivym kodom?
riesime bezpecnostne incidenty, alebo si pripravujeme reakciu na ne. stanovujeme priority pre zasah, analyzujeme skodlivy kod, lokalizujeme skodlivy kod, eradikujeme skodlivy kod a obnovujeme
102
Co nas privadza k Manažmentu technických zraniteľností?
Zraniteľnosti svojich aktív bude organizácia skúmať pri analýze rizík a navrhovať opatrenia, ktoré ich odstránia, alebo aspoň zmenšia možnosti ich využitia, niektore nebude schopna odstranit, alebo budu nove. Tvorcovia programoveho vybavenia reaguju na nove zranitelnosti zaplatami a novymi verziami programov.
103
Co je cielom Manažmentu technických zraniteľností?
Cieľom tejto politiky je zabrániť využitiu technických zraniteľností stanovením zodpovednosti za úlohy spojené s manažmentom technických zraniteľností, zodpovednosti za identifikáciu a sledovanie zdrojov informácií o zraniteľnostiach, definovaním postupnosti krokov, ktorými organizácia reaguje na informáciu o potenciálnej technickej zraniteľnosti a pod
104
Co je to kryptografia?
Kryptografické riešenia sú základom kybernetickej a informačnej bezpečnosti, zaistuju CIA, postavene na tazkych matematickych problemoch, organizacie pouzivaju standardne krypto riesenia
105
Co specifikuje politika kryptografickych opatreni?
* na čo sa v organizácii používajú kryptografické funkcie
* algoritmy a ich parametre
* správu kryptografických kľúčov
* zodpovednosti za implementáciu politiky a manžmentu kľúčov,
* a dopad používania šifrovania na iné bezpečnostné opatrenia
(detekcia škodlivého kódu), kontrola a audit
106
Preco sa zaoberami aj ochranou sukromia a osobnych udajov?
organizácia spracováva a je povinné primerane chrániť aj osobné údaje, Nemá zmysel vypracovávať paralelné bezpečnostné projekty
107
co je obsahom politiky ochrany sukromia a osobnych udajov?
Zodpovednosť za ochranu osobných údajov v organizácii, Čo sú osobné údaje, všeobecné dôvody, prečo ich organizácia spracováva, potreba ich ochrany, Z čoho Politika vychádza (GDPR) a ako súvisí s Politikou KIB, Základné zásady pri spracovaní osobných údajov (podľa GDPR), postupy...
108
Co dalsie robime v suvislosti s ochranou sukromia a osobnych udajov?
vzdelávanie v oblasti ochrany osobných údajov, opatrenia, postupy, analyza rizik, audit, správa Politiky ochrany osobných údajov
109
Čo je KIB vo vzťahoch s tretími stranami?
K informačným aktívam organizácie majú prístup aj dodávatelia, poskytovatelia rôznych informačných služieb a zamestnanci tretích strán, musia tiež dodržiavať nejakú bezpečnostún politiku KIB organizácie. Tie zahŕňame do zmluv, lebo nevieme to od nich vyžadovať tak ako od zamestnancov
110
Čo je to Zaznamenávanie udalostí a monitorovanie?
bezpečnostne relevantné aktivity v systémoch organizácie sú kontinuálne monitorované a vytvára sa o nich záznam auditu. Politika stanovuje čo sa bude zaznamenávať, kto o tom rozhodne, ako dlho sa audit bude uchovávať a pod.
111
Čo ďalej v organizácii KIB?
Dlhodobé a systematické riešenie KIB v organizácii si vyžaduje koordinovanú činnosť rôznych ľudí, Bude potrebné vytvoriť špecializovaný útvar, ktorý sa bude venovať výlučne KIB, pozíciu manažéra KIB, všetko poprepájať
112
Čo nie je good practice?
zasypať organizáciu bezpečnostnými politikami, smernicami a vzniesť ultimatívne požiadavky na vedenie - to je cesta k odvolaniu manažéra KIB
113
Čo je good practive pri dosahovaní bezpečnosti?
zainteresovať kľúčových ľudí (bezpečnostný výbor: garant, vedúci personálneho, právneho, informatik, správa budov, ochrana osobných údajov), prejsť si na výbore výsledky vysokoúrovňovej analýzy rizík
114
Čo ešte vieme spraviť?
Plán práce, nterný web s informáciami pre
zamestnancov, bod na porade vedúcich zamestnancov organizácie, inventarizácia aktív, napojenie na rozpočet, a neskutočne veľa vecí. DO KIB sa dá investovať neobmedzené množstvo peňazí!
