[SK] Manažment informačnej bezpečnosti

MANAŽMENT INFORMAČNEJ BEZPEČNOSTI

A JEHO PRÍNOSY PRE VÁŠ BUSINESS CASE

21.10.2014, JÁN DRAHOŠ & JURAJ DANKO

Informačná bezpečnosť

Súkromnosť Integrita Dostupnosť

Aktíva

An

alýz

a

Stanovenie cieľov a prostriedkov

Vízia

Súkromnosť Integrita Dostupnosť

Aktíva

Zabezpečenie siete

Sieťová infraštruktúra, switching, routing Next Generation Firewall, Proxy Redundancia

Záložné centrá Integrácia

...

An

alýz

a

Vízia

Monitoring

Technické a procesné zabezpečenie

Súkromnosť Integrita Dostupnosť

Aktíva

Ria

den

ie

aktí

v

Identifikácia a klasifikácia aktív

An

alýz

a

Zabezpečenie siete

Vízia

Monitoring

Technické a procesné zabezpečenie

Súkromnosť Integrita Dostupnosť

Aktíva

Ria

den

ie

aktí

v

Identifikácia vlastníkov a rolí

An

alýz

a

Zabezpečenie siete

Súkromnosť Integrita Dostupnosť

Aktíva

Vízia

Monitoring

Technické a procesné zabezpečenie

An

alýza rizík

Identifikácia hrozieb Analýza dopadov

Výpočet rizík

ISO 2700x, Common Criteria, ISO 2000x, ...

An

alýz

a

Zabezpečenie siete

Ria

den

ie

aktí

v

Súkromnosť Integrita Dostupnosť

Aktíva

An

alýza rizík A

nal

ýza

Zabezpečenie siete

Man

ažm

ent

IB

Vízia

Politika

Audit a štandardy

Operačný manažment

Monitoring

Technické a procesné zabezpečenie

Ria

den

ie

aktí

v

Manažment Informačnej Bezpečnosti

• ISO 27000 (manažment IB) • Ochrana osobných údajov (z. 122/2013) • Common Criteria (SFR a SAR) • BIA (Business Impact Analysis) • SWAL/HWAL, MTBF, MTTR, SLA • Priemyselné a iné štandardy

Konzultačné služby

Zhrnutie ISMS v skratke: • Je to zdokumentovaný systém • Chrániaci identifikované a

kategorizované aktíva • Zároveň riadi rozpoznané riziká • Taktiež zabezpečuje, že zavedené

bezpečnostné opatrenia sú kontrolované

Konzultačné služby

Zhrnutie ISMS v skratke: • Je to zdokumentovaný systém • Chrániaci identifikované a

kategorizované aktíva • Zároveň riadi rozpoznané riziká • Taktiež zabezpečuje, že zavedené

bezpečnostné opatrenia sú kontrolované

Hlavné výhody: - Riadenie informačnej bezpečnosti je systematické a

komplexné - Poskytuje efektívnosť riadenia investícií do

informačnej bezpečnosti - Vlastné aktíva máme identifikované, ocenené a

kategorizované - Zavádzame systémový a systematický prístup pri

používaní informačných systémov - Zvyšujeme svoju dôveryhodnosť u partnerov

(certifikácia) - Plníme legislatívne požiadavky - Zvyšovanie bezpečnostného povedomia

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Analýza a audit s pridanou hodnotou Analýza stratégií, zámeru manažmentu Prepojenie s procesmi v organizácii, na organizačnú štruktúru, integráciou systémov, návrhom infraštruktúry Komplexný prístup aj čiastkové analýzy Výstupy s návrhmi opatrení, manažérske zhrnutie

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Získavanie podkladov od zamestnancov, expertov, partnerov, z dokumentácie, z predchádzajúcich auditov, a pod. Analýzy rizík, BIA analýzy, procesné analýzy, a pod. Kvantitatívne a kvalitatívne vyhodnotenie súčasného stavu

Riadenie bezpečnostných rizík

Zhrnutie:

V procese riadenia rizík sa definujú a ohodonocujú aktíva, posudzujú sa im hroziace zraniteľnosti a identifikujú hrozby, vypočítava pravdepodobnosť, posudzuje sa možný dopad, a definujú požiadavky na ochranu, teda bezpečnostné kontroly, zavádzajú sa ochranné opatrenia.

Analýzy rizík

Zhrnutie:

Posúdenie aktuálneho stavu informačnej bezpečnosti ktorý je rozoberaný z pohľadu na organizačnú, administratívnu, fyzickú, objektovú, personálnu a informačnú oblasť bezpečnosti

Ciele:

- Identifikovanie slabých miest, zraniteľností a reálne hroziacich rizík

- Zabezpečenie výstupu vo forme komplexnej informácie obsahujúcej aj konkrétne odporúčania a manažérske zhrnutie

Analýzy rizík

Zhrnutie:

Posúdenie aktuálneho stavu informačnej bezpečnosti ktorý je rozoberaný z pohľadu na organizačnú, administratívnu, fyzickú, objektovú, personálnu a informačnú oblasť bezpečnosti

Ciele:

- Identifikovanie slabých miest, zraniteľností a reálne hroziacich rizík

- Zabezpečenie výstupu vo forme komplexnej informácie obsahujúcej aj konkrétne odporúčania a manažérske zhrnutie

Prínosy:

- Odborné a nezávislé posúdenie aktuálneho stavu informačnej bezpečnosti a súladu s legislatívou

- Identifikácia slabých miest, zraniteľností a rizík ktoré bezprostredne ohrozujú kľúčové funkcie a aktíva

- Významné zvýšenie úrovne bezpečnosti prostredníctvom implementácie navrhovaných bezpečnostných opatrení

- Získanie podkladov pre rozhodnutia manažmentu organizácie o prideľovaní investícií do informačnej bezpečnosti

Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky

Riadenie kontinuity činností

Riadenie kontinuity činností

Životný cyklus BCM pre zlepšenie odolnosti organizácie

• Riadenie Politiky a Programu BCM – stanovenie politiky organizácie pre BCM a požiadavky, ako bude implementovaná , riadená a overovaná pomocou programu BCM

• Analýzy – preskúmanie a hodnotenie organizácie z hľadiska jej hlavných cieľov, ako organizácia funguje a aké sú obmedzenia prostredia, v ktorom pôsobí

• Návrh - stanovenie a výber vhodných stratégií a taktík pre stanovenie ako dosiahnuť potrebnú kontinuitu a obnovu po náhlom prerušení

• Realizácia – výkon odsúhlasených stratégií a taktík pomocou spracovania a realizácie plánov BC

• Včlenenie BC do organizácie a praktík – integrácia BC do denno-dennej praxe a aktivít a do kultúry organizácie

• Validácia – overovanie a potvrdzovanie, že Program BCM dosahuje a plní požiadavky stanovené v Politike BC a že je vhodný a použiteľný pre danú organizáciu

Riadenie kontinuity činností

Zhrnutie:

Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky

Ciele:

- Definovanie postupov na zabezpečenie chodu kritických procesov v prípade mimoriadnych udalostí

- Zabezpečenie obnovy prevádzky organizácie v čo najkratšom možnom čase bez negatívneho vplyvu na plnenie legislatívnych a

zmluvných záväzkov

Riadenie kontinuity činností

Zhrnutie:

Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky

Ciele:

- Definovanie postupov na zabezpečenie chodu kritických procesov v prípade mimoriadnych udalostí

- Zabezpečenie obnovy prevádzky organizácie v čo najkratšom možnom čase bez negatívneho vplyvu na plnenie legislatívnych a

zmluvných záväzkov

Prínosy:

- Ochrana dobrého mena

- Poskytnutie záruk ako zabezpečenie chodu hlavných podnikateľských činností a čo najrýchlejšie a zodpovedajúce plnenie záväzkov voči klientom

- Zníženie (nielen) finančných strát v prípade prerušenia kontinuity činností

- Vytvorenie prehľadných a na seba nadväzujúcich postupov pre prípad mimoriadnej udalosti

- Špecifikovanie priority činností nutných pre obnovu kritických ICT systémov v organizácii

- Dĺžka výpadkov a nedostupnosti informačných systémov je znížená na minimum

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Politika informačnej bezpečnosti Bezpečnostné smernice - informačnej bezpečnosti pre zamestnancov - správa a prevádzka informačných systémov

a služieb - inventarizácia a ochrana informačných aktív - zálohovanie a havarijné plánovanie (bez samotných

havarijných plánov) - riadenie prístupu k informačným systémom - riadenie bezpečnostných incidentov

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Školenia a preškoľovania zodpovedných osôb a expertov Školenia a preškoľovania ostatných zamestnancov Príprava systému dlhodobo udržateľného povedomia a kvalifikácie, systému interných školení a preškoľovaní, a pod.

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Priamo aplikovateľné výstupy a odporúčania pre zabezpečenie súladu, zvýšenie úrovnie zabezpečenia alebo iné zlepšenie stavu Návrh priorít, metód, termínov, zodpovedných aktérov, konzultácie s manažmentom a ďalšieho postupu

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Priamočiara integrovateľnosť do existujúceho systému riadenia kvality, intranetu alebo iných systémov riadenia dokumentov Elektronická a papierová verzia výstupných dokumentov Komplexné zabezpečenie kompatibility a ľahkej udržateľnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Priamočiara integrovateľnosť do existujúceho systému riadenia kvality, intranetu alebo iných systémov riadenia dokumentov Elektronická a papierová verzia výstupných dokumentov Komplexné zabezpečenie kompatibility a ľahkej udržateľnosti

Neoddeliteľná súčasť ISMS - Bezpečnostné metodiky, plány, príručky a manuály - Metodika riadenia bezpečnostných rizík - Metodika vnútorného auditu informačnej

bezpečnosti - Príručka ISMS - Štúdia aplikovateľnosti (SoA) - Bezpečnostný plán ako výstup opatrení na pokrytie

zistení interných auditov

Udržateľnosť a plánovanie

ISMS

Dlhodobá udržateľnosť

Infraštruktúra

Riadenie incidentov

Penetračné testy

Kritické procesy a systémy

Monitoring, SIEM

Školenia a zvyšovanie povedomia

ISMS

Infraštruktúra

Riadenie incidentov

Penetračné testy

Kritické procesy a systémy

Monitoring, SIEM

SOC

Riadenie incidentov

Penetračné testy Forenzná analýza Behaviorálna analýza

Monitoring, SIEM

SOC – Security Operations Center

Správa aktív

Manažment zmien

Riadenie politík

Manažment zraniteľností

Riadenie incidentov

Penetračné testy Forenzná analýza Behaviorálna analýza

Monitoring, SIEM

SOC

Správa aktív

Manažment zmien

Policy management

Manažment zraniteľností

SOC ako služba

Ďakujeme za pozornosť

TooNet, s.r.o. Seberíniho 1 821 03 Bratislava

+421 2 32 144 211

obchod@toonet.sk

www.toonet.sk

a tešíme sa na spoluprácu