ݺߣ

ݺߣShare a Scribd company logo

[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams

Vilius Benetis
Vilius Benetis

VDAI konferencijoje DUOMENŲ APSAUGA 2014 M.: NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA - skaitytos paskaitos "Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams" medžiaga

1 of 16
DUOMENŲ APSAUGA 2014 M.: NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams Dr. Vilius Benetis, vb@nrd.no Direktorius, UAB NRD CS Pirmininkas, ISACA Lietuva 2014 01 30 2014-01-30 1
Kas yra kibernetinė sauga? Tinklo perimetras Vidiniai tinklai Alexander Klimburg (Ed.), National Cyber Security Framework Manual, NATO CCD COE Publication,Tallinn 2012 Analogiškai – ISO 27032 2
Pirmiausia: Kibernetinė sauga – ne IT, o veiklos klausimas T.y. ar už veiklą atsakingi asmenys suvokia ir prisiima riziką dėl kibernetinės saugos grėsmių? 3 Konfidencialu
Kibernetinė sauga • Tai kibernetinės erdvės grėsmių sumažinimas iki priimtino lygio, kad nenutiktų pvz.: – Web svetainės užvaldymas (pvz. Sirijos e-armija) – vidinių, išorinių naudotojų darbo vietų ar paskyrų užvaldymas (botnet‘ai) – Informacijos pagrobimas (asmens duomenų, verslo informacijos užkodavimas - Ransomware) – Pinigų pagrobimas (bankiniai trojanai, Zeus) – Komunikavimo perėmimas 2014-01-30 4
20 kritinės kibernetinės saugos priemonės (CSC20) • Atvira metodika kaip užtikrinti kibernetinę saugą organizacijoje • paruošta pagal NSA, DOD, SANS, australų, anglų specialistų praktines patirtis, ginantis nuo užpuolimų • http://www.counciloncybersecurity.org/practiceareas/technology • UAB NRD CS yra kompetencijos partneris, dalyvauja metodikos kūrime ir jos platinime Europoje, Afrikoje. 2014-01-30 5
Kibernetinės grėsmės • Kiekvienai organizacijai: – Žala reputacijai, dėl paviešinto saugos incidento – Žala veiklai, dėl tiesioginių (prekybos) ir netiesioginių (pavogtos informacijos, bylinėjimosi) nuostolių • Perkant IT paslaugas iš išorės, papildomai: – teisinių priemonių trūkumas valdyti incidento apimtį – kontrolės priemonių nebuvimas užtikrinant saugos organizavimą ir stebėjimą – silpnai apibrėžtas atsakomybės pasiskirstymas 2014-01-30 6
Dažniausiai perkamos IT paslaugos • IT sistemų kūrimas, diegimas • IT priegloba • IT sistemų priežiūra • T.y. teikėjas saugo, organizuoja, ir prižiūri jūsų duomenis 2014-01-30 7
..kai paslaugas teikia teikėjas: • Sutartis nusako: – Paslaugų apimtį – Paslaugų kokybės lygį ir kontrolės priemones – Sutarties nevykdymo finansinę atsakomybę • Galioja taip pat ir kiti Lietuvos įstatymai: – Teisėsauga 2014-01-30 8
Pirkimų sutartyse apibrėžkite: • Profilaktika: – Teikėjų auditavimas (fizinės saugos patikra, saugos kontrolės priemonių vertinimas) tiek užsakovo, tiek ir užsakovo atstovų – pvz. Valstybės kontrolės, VDAI, ar kito išorinio auditoriaus – Reikalavimai teikėjų IT saugos organizavimui (savo operacijoms, ir teikiant paslaugas) • Saugos incidentų valdymo procesai: – Kaip pasiskirsto atsakomybė organizuojant kiber-saugą – Komunikavimo sekos • Standartinės, ar koreguotinos (kilus saugos incidento įtarimui, iškart eskaluoti)? – Kas ir kaip turi vykdyti stebėjimą bei teikti reguliarias technines saugos ataskaitas – Saugos incidentų tipai, jų sprendimų sekos – Tvarkų testavimas 2014-01-30 9
Jūsų klausimai IT paslaugų teikėjams • IT sistemų kūrimas, diegimas – Kaip teikėjas organizuoja saugų/atsparų produkto kūrimą, saugos patikrą prieš paleidimą į gamybą? – Jei bus rastas pažeidžiamumas, koks SLA taisymui? • IT priegloba – Kokia metodika naudojama apsaugoti IT? (CSC20) – kaip atskiriami duomenys ir prieiga nuo kitų užsakovų ir darbuotojų? • IT sistemų priežiūra – Kokios yra kontrolės, kad užvaldžius Teikėją, būtų minimalus poveikis jums (CSC20, iso27k)? – Kokie pakeitimų ir konfigūracijų procesai naudojami? (iso20k) 2014-01-30 10
Patarimai: • Jūsų projektų vadovai – kertiniai asmenys: – Todėl juos mokykite kaip ruošti sutartis, valdyti santykius su Teikėjais – ISACA narystė • Bendraminčiai, sertifikacijos, metodinė medžiaga • Ruoškitės incidentams: – Apsibrėžkite scenarijus – įsivertinkite atsakomybes (kur perduodama atsakomybė, o kur – pasilieka jums) – Įsivertinkite, kas padės spręsti itin sunkius incidentus 2014-01-30 11
IT iškėlimo klausimais metodinė medžiaga: http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pa ges/Security-Considerations-for-CloudComputing.aspx 2014-01-30 12
ISACA metodiniai patarimai, pvz. 2014-01-30 13
ISACA metodiniai patarimai, pvz. 2014-01-30 14
ISACA metodiniai patarimai, pvz. 2014-01-30 15
Klausimai? Vilius Benetis vb@nrd.no 2014-01-30 16

Recommended

Demo of security tool nessus - Network vulnerablity scanner
Demo of security tool nessus - Network vulnerablity scannerDemo of security tool nessus - Network vulnerablity scanner
Demo of security tool nessus - Network vulnerablity scanner
Ajit Dadresa
052516 week11 quantum computers
052516 week11 quantum computers052516 week11 quantum computers
052516 week11 quantum computers
Subas Nandy
Quantum computing
Quantum computingQuantum computing
Quantum computing
deeksha qanoungo
What is Ransomware? A Quick Guide
What is Ransomware? A Quick GuideWhat is Ransomware? A Quick Guide
What is Ransomware? A Quick Guide
Sarah Roberts
Cyber Risk: Exposures, prevention, and solutions
Cyber Risk: Exposures, prevention, and solutionsCyber Risk: Exposures, prevention, and solutions
Cyber Risk: Exposures, prevention, and solutions
Capri Insurance
Chapter 6
Chapter 6Chapter 6
Chapter 6
Howell Toribio
History and future cybercrime
History and future cybercrimeHistory and future cybercrime
History and future cybercrime
Online
Cyber crime presentation
Cyber crime presentation Cyber crime presentation
Cyber crime presentation
Priya Saluja
Tarptautiniai santykiai1
Tarptautiniai santykiai1Tarptautiniai santykiai1
Tarptautiniai santykiai1
111 001
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentasKibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Baltimax
Kompiuteriniai Virusai
Kompiuteriniai VirusaiKompiuteriniai Virusai
Kompiuteriniai Virusai
toxint6
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
TEO LT, AB
flyer_rectoflyer_recto
flyer_recto
Richard Hubbard
Réussir son projet ecommerceRéussir son projet ecommerce
Réussir son projet ecommerce
OLIVIER ALOCCIO
M20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida proteinM20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida protein
Feisal Rachman Soedibja
Ind eng-706-doc
Ind eng-706-docInd eng-706-doc
Ind eng-706-doc
Riverside School
Electricidad 1Electricidad 1
Electricidad 1
javieritha12
The Creation Issue - Fossil Record
The Creation Issue - Fossil RecordThe Creation Issue - Fossil Record
The Creation Issue - Fossil Record
Dr. Ryan Jouett
Curriculum vitae Werner Potgieter
Curriculum vitae Werner PotgieterCurriculum vitae Werner Potgieter
Curriculum vitae Werner Potgieter
Werner Potgieter
Unidad 8. Arte del barrocoUnidad 8. Arte del barroco
Unidad 8. Arte del barroco
mercheguillen
Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)
kunstpedia
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de ConservatorioExamen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Elisa Victoria Iruzubieta Pickman
Dhcp win server 2008
Dhcp win server 2008Dhcp win server 2008
Dhcp win server 2008
Bayu Dhani
Borang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekunBorang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekun
Zamzuri Amat Zaid Zam
Hama pada tanaman tembakau
Hama pada tanaman tembakauHama pada tanaman tembakau
Hama pada tanaman tembakau
Feisal Rachman Soedibja
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose NegreteSISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
gabytavanessa
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
FrenchWeb.fr
Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013
Siti Norijah Muda
Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir Realybe
Miroslav Lučinskij
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
BKA (Baltijos kompiuteriu akademija)

More Related Content

Viewers also liked (20)

Tarptautiniai santykiai1
Tarptautiniai santykiai1Tarptautiniai santykiai1
Tarptautiniai santykiai1
111 001
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentasKibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Baltimax
Kompiuteriniai Virusai
Kompiuteriniai VirusaiKompiuteriniai Virusai
Kompiuteriniai Virusai
toxint6
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
TEO LT, AB
flyer_rectoflyer_recto
flyer_recto
Richard Hubbard
Réussir son projet ecommerceRéussir son projet ecommerce
Réussir son projet ecommerce
OLIVIER ALOCCIO
M20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida proteinM20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida protein
Feisal Rachman Soedibja
Ind eng-706-doc
Ind eng-706-docInd eng-706-doc
Ind eng-706-doc
Riverside School
Electricidad 1Electricidad 1
Electricidad 1
javieritha12
The Creation Issue - Fossil Record
The Creation Issue - Fossil RecordThe Creation Issue - Fossil Record
The Creation Issue - Fossil Record
Dr. Ryan Jouett
Curriculum vitae Werner Potgieter
Curriculum vitae Werner PotgieterCurriculum vitae Werner Potgieter
Curriculum vitae Werner Potgieter
Werner Potgieter
Unidad 8. Arte del barrocoUnidad 8. Arte del barroco
Unidad 8. Arte del barroco
mercheguillen
Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)
kunstpedia
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de ConservatorioExamen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Elisa Victoria Iruzubieta Pickman
Dhcp win server 2008
Dhcp win server 2008Dhcp win server 2008
Dhcp win server 2008
Bayu Dhani
Borang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekunBorang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekun
Zamzuri Amat Zaid Zam
Hama pada tanaman tembakau
Hama pada tanaman tembakauHama pada tanaman tembakau
Hama pada tanaman tembakau
Feisal Rachman Soedibja
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose NegreteSISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
gabytavanessa
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
FrenchWeb.fr
Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013
Siti Norijah Muda
Tarptautiniai santykiai1
Tarptautiniai santykiai1Tarptautiniai santykiai1
Tarptautiniai santykiai1
111 001
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentasKibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Kibernetinis saugumas: bendrasis asmeninių duomenų apsaugos reglamentas
Baltimax
Kompiuteriniai Virusai
Kompiuteriniai VirusaiKompiuteriniai Virusai
Kompiuteriniai Virusai
toxint6
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
Kibernetinis saugumas: iššūkiai, atakų tipai bei telekomunikacijų operatoriau...
TEO LT, AB
flyer_rectoflyer_recto
flyer_recto
Richard Hubbard
Réussir son projet ecommerceRéussir son projet ecommerce
Réussir son projet ecommerce
OLIVIER ALOCCIO
M20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida proteinM20 kelompok 7 metabolisme karbohidrat lipida protein
M20 kelompok 7 metabolisme karbohidrat lipida protein
Feisal Rachman Soedibja
Ind eng-706-doc
Ind eng-706-docInd eng-706-doc
Ind eng-706-doc
Riverside School
Electricidad 1Electricidad 1
Electricidad 1
javieritha12
The Creation Issue - Fossil Record
The Creation Issue - Fossil RecordThe Creation Issue - Fossil Record
The Creation Issue - Fossil Record
Dr. Ryan Jouett
Curriculum vitae Werner Potgieter
Curriculum vitae Werner PotgieterCurriculum vitae Werner Potgieter
Curriculum vitae Werner Potgieter
Werner Potgieter
Unidad 8. Arte del barrocoUnidad 8. Arte del barroco
Unidad 8. Arte del barroco
mercheguillen
Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)Kunstcatalogi Go eBook (Crowdfunding Project)
Kunstcatalogi Go eBook (Crowdfunding Project)
kunstpedia
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de ConservatorioExamen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Examen Adaptado alumno TDAH. 4º de Enseñanzas elementales de Conservatorio
Elisa Victoria Iruzubieta Pickman
Dhcp win server 2008
Dhcp win server 2008Dhcp win server 2008
Dhcp win server 2008
Bayu Dhani
Borang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekunBorang jpp02 edisi 2013.pdf.tekun
Borang jpp02 edisi 2013.pdf.tekun
Zamzuri Amat Zaid Zam
Hama pada tanaman tembakau
Hama pada tanaman tembakauHama pada tanaman tembakau
Hama pada tanaman tembakau
Feisal Rachman Soedibja
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose NegreteSISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
SISTEMA ÒSEO por Gabriela Nacimba y Maria jose Negrete
gabytavanessa
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
Atelier E-Commerce: "Les places de marchés, menace ou opportunité?" avec Pric...
FrenchWeb.fr
Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013Aktiviti badan pengawas 2013
Aktiviti badan pengawas 2013
Siti Norijah Muda

Similar to [LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams (20)

Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir Realybe
Miroslav Lučinskij
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
BKA (Baltijos kompiuteriu akademija)
„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas
Baltimax
Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT Saugumas
Miroslav Lučinskij
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasAudrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Baltic Data Center (BDC)
Draugyste demo
Draugyste demoDraugyste demo
Draugyste demo
Kornelijus Zubrickas
Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Integruotas IT valdymas ir apsauga su „Axence nVision 9“Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Baltimax
Penetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasPenetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovas
Baltic Data Center (BDC)
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)
ikv2009
Ką apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasKą apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovas
BAIP
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Marijus Stroncikas
Pažangios debesų kompiuterijos infrastruktūros ir paslaugos
Pažangios debesų kompiuterijos infrastruktūros ir paslaugosPažangios debesų kompiuterijos infrastruktūros ir paslaugos
Pažangios debesų kompiuterijos infrastruktūros ir paslaugos
Donatas Mažeika
Agile pirkimai. Aleksej Kovaliov
Agile pirkimai. Aleksej KovaliovAgile pirkimai. Aleksej Kovaliov
Agile pirkimai. Aleksej Kovaliov
Agile Lietuva
Galima daryti kitaip
Galima daryti kitaipGalima daryti kitaip
Galima daryti kitaip
KarolisVyius1
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Alexey Kovalyov
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. RekomendacijosA. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
Agile Lietuva
COBIT sertifikacija
COBIT sertifikacijaCOBIT sertifikacija
COBIT sertifikacija
BKA (Baltijos kompiuteriu akademija)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
Marijus Stroncikas
Kibernetinio saugumo savonoriai
Kibernetinio saugumo savonoriaiKibernetinio saugumo savonoriai
Kibernetinio saugumo savonoriai
Sarunas Grigaliunas
MSP cloud renginys 2011 02 02
MSP cloud renginys 2011 02 02MSP cloud renginys 2011 02 02
MSP cloud renginys 2011 02 02
Zillion Consulting, UAB
Saugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir RealybeSaugumo Auditas Mitai Ir Realybe
Saugumo Auditas Mitai Ir Realybe
Miroslav Lučinskij
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.LečickisKibernetinė sauga. Vadovo požiūris. R.Lečickis
Kibernetinė sauga. Vadovo požiūris. R.Lečickis
BKA (Baltijos kompiuteriu akademija)
„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas„Baltimax“ produktų katalogas
„Baltimax“ produktų katalogas
Baltimax
Verslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT SaugumasVerslo Efektyvumas ir IT Saugumas
Verslo Efektyvumas ir IT Saugumas
Miroslav Lučinskij
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimasAudrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Baltic Data Center (BDC)
Draugyste demo
Draugyste demoDraugyste demo
Draugyste demo
Kornelijus Zubrickas
Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Integruotas IT valdymas ir apsauga su „Axence nVision 9“Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Integruotas IT valdymas ir apsauga su „Axence nVision 9“
Baltimax
Penetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovasPenetration_testing a.spiridenkovas
Penetration_testing a.spiridenkovas
Baltic Data Center (BDC)
Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)Kristina Miliūtė (MRU)
Kristina Miliūtė (MRU)
ikv2009
Ką apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovasKą apie IT turi žinoti vadovas
Ką apie IT turi žinoti vadovas
BAIP
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Kaštų centrai ar vertė verslui - Finansų ir IT komandinis darbas (LT)
Marijus Stroncikas
Pažangios debesų kompiuterijos infrastruktūros ir paslaugos
Pažangios debesų kompiuterijos infrastruktūros ir paslaugosPažangios debesų kompiuterijos infrastruktūros ir paslaugos
Pažangios debesų kompiuterijos infrastruktūros ir paslaugos
Donatas Mažeika
Agile pirkimai. Aleksej Kovaliov
Agile pirkimai. Aleksej KovaliovAgile pirkimai. Aleksej Kovaliov
Agile pirkimai. Aleksej Kovaliov
Agile Lietuva
Galima daryti kitaip
Galima daryti kitaipGalima daryti kitaip
Galima daryti kitaip
KarolisVyius1
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Viešieji pirkimai ir Agile. Rekomendacijos (Agile Lietuva meetup 2020 11)
Alexey Kovalyov
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. RekomendacijosA. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
A. Kovaliov ir M. Žemaitis: Viešieji pirkimai ir Agile. Rekomendacijos
Agile Lietuva
COBIT sertifikacija
COBIT sertifikacijaCOBIT sertifikacija
COBIT sertifikacija
BKA (Baltijos kompiuteriu akademija)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
IT iškėlimas - gauname ar prarandame, naudos prieš sąnaudas (LT)
Marijus Stroncikas
Kibernetinio saugumo savonoriai
Kibernetinio saugumo savonoriaiKibernetinio saugumo savonoriai
Kibernetinio saugumo savonoriai
Sarunas Grigaliunas
MSP cloud renginys 2011 02 02
MSP cloud renginys 2011 02 02MSP cloud renginys 2011 02 02
MSP cloud renginys 2011 02 02
Zillion Consulting, UAB

[LT] V.Benetis. Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams

  • 1. DUOMENŲ APSAUGA 2014 M.: NAUJOVĖS, AKTUALIJOS, PROBLEMATIKA Kibernetinis saugumas: ką būtina žinoti IT paslaugų pirkėjams Dr. Vilius Benetis, vb@nrd.no Direktorius, UAB NRD CS Pirmininkas, ISACA Lietuva 2014 01 30 2014-01-30 1
  • 2. Kas yra kibernetinė sauga? Tinklo perimetras Vidiniai tinklai Alexander Klimburg (Ed.), National Cyber Security Framework Manual, NATO CCD COE Publication,Tallinn 2012 Analogiškai – ISO 27032 2
  • 3. Pirmiausia: Kibernetinė sauga – ne IT, o veiklos klausimas T.y. ar už veiklą atsakingi asmenys suvokia ir prisiima riziką dėl kibernetinės saugos grėsmių? 3 Konfidencialu
  • 4. Kibernetinė sauga • Tai kibernetinės erdvės grėsmių sumažinimas iki priimtino lygio, kad nenutiktų pvz.: – Web svetainės užvaldymas (pvz. Sirijos e-armija) – vidinių, išorinių naudotojų darbo vietų ar paskyrų užvaldymas (botnet‘ai) – Informacijos pagrobimas (asmens duomenų, verslo informacijos užkodavimas - Ransomware) – Pinigų pagrobimas (bankiniai trojanai, Zeus) – Komunikavimo perėmimas 2014-01-30 4
  • 5. 20 kritinės kibernetinės saugos priemonės (CSC20) • Atvira metodika kaip užtikrinti kibernetinę saugą organizacijoje • paruošta pagal NSA, DOD, SANS, australų, anglų specialistų praktines patirtis, ginantis nuo užpuolimų • http://www.counciloncybersecurity.org/practiceareas/technology • UAB NRD CS yra kompetencijos partneris, dalyvauja metodikos kūrime ir jos platinime Europoje, Afrikoje. 2014-01-30 5
  • 6. Kibernetinės grėsmės • Kiekvienai organizacijai: – Žala reputacijai, dėl paviešinto saugos incidento – Žala veiklai, dėl tiesioginių (prekybos) ir netiesioginių (pavogtos informacijos, bylinėjimosi) nuostolių • Perkant IT paslaugas iš išorės, papildomai: – teisinių priemonių trūkumas valdyti incidento apimtį – kontrolės priemonių nebuvimas užtikrinant saugos organizavimą ir stebėjimą – silpnai apibrėžtas atsakomybės pasiskirstymas 2014-01-30 6
  • 7. Dažniausiai perkamos IT paslaugos • IT sistemų kūrimas, diegimas • IT priegloba • IT sistemų priežiūra • T.y. teikėjas saugo, organizuoja, ir prižiūri jūsų duomenis 2014-01-30 7
  • 8. ..kai paslaugas teikia teikėjas: • Sutartis nusako: – Paslaugų apimtį – Paslaugų kokybės lygį ir kontrolės priemones – Sutarties nevykdymo finansinę atsakomybę • Galioja taip pat ir kiti Lietuvos įstatymai: – Teisėsauga 2014-01-30 8
  • 9. Pirkimų sutartyse apibrėžkite: • Profilaktika: – Teikėjų auditavimas (fizinės saugos patikra, saugos kontrolės priemonių vertinimas) tiek užsakovo, tiek ir užsakovo atstovų – pvz. Valstybės kontrolės, VDAI, ar kito išorinio auditoriaus – Reikalavimai teikėjų IT saugos organizavimui (savo operacijoms, ir teikiant paslaugas) • Saugos incidentų valdymo procesai: – Kaip pasiskirsto atsakomybė organizuojant kiber-saugą – Komunikavimo sekos • Standartinės, ar koreguotinos (kilus saugos incidento įtarimui, iškart eskaluoti)? – Kas ir kaip turi vykdyti stebėjimą bei teikti reguliarias technines saugos ataskaitas – Saugos incidentų tipai, jų sprendimų sekos – Tvarkų testavimas 2014-01-30 9
  • 10. Jūsų klausimai IT paslaugų teikėjams • IT sistemų kūrimas, diegimas – Kaip teikėjas organizuoja saugų/atsparų produkto kūrimą, saugos patikrą prieš paleidimą į gamybą? – Jei bus rastas pažeidžiamumas, koks SLA taisymui? • IT priegloba – Kokia metodika naudojama apsaugoti IT? (CSC20) – kaip atskiriami duomenys ir prieiga nuo kitų užsakovų ir darbuotojų? • IT sistemų priežiūra – Kokios yra kontrolės, kad užvaldžius Teikėją, būtų minimalus poveikis jums (CSC20, iso27k)? – Kokie pakeitimų ir konfigūracijų procesai naudojami? (iso20k) 2014-01-30 10
  • 11. Patarimai: • Jūsų projektų vadovai – kertiniai asmenys: – Todėl juos mokykite kaip ruošti sutartis, valdyti santykius su Teikėjais – ISACA narystė • Bendraminčiai, sertifikacijos, metodinė medžiaga • Ruoškitės incidentams: – Apsibrėžkite scenarijus – įsivertinkite atsakomybes (kur perduodama atsakomybė, o kur – pasilieka jums) – Įsivertinkite, kas padės spręsti itin sunkius incidentus 2014-01-30 11
  • 12. IT iškėlimo klausimais metodinė medžiaga: http://www.isaca.org/KnowledgeCenter/Research/ResearchDeliverables/Pa ges/Security-Considerations-for-CloudComputing.aspx 2014-01-30 12
  • 13. ISACA metodiniai patarimai, pvz. 2014-01-30 13
  • 14. ISACA metodiniai patarimai, pvz. 2014-01-30 14
  • 15. ISACA metodiniai patarimai, pvz. 2014-01-30 15