Manažment bezpečnosti

Manažérske metódy v riadení bezpečnosti

CRAMM, ITIL, BCM, IBA, ...

34 slide

Metodika a nástroj CRAMM

(CCTA Risk Analysis and Management Method – účel:

podpora pri vykonávaní analýzy rizík informačného systému (3.x)

analýza stavu voči norme BS7799-2 (Gap Analysis 4.x)

certifikácia ISO/IEC 27001:2005 (5.x)

©JV- MBIS ´11 2

prípravu na certifikáciu podľa ISO/IEC 27001:2005; vykonanie detailného aj expresného hodnotenia rizík

informačných systémov; návrh opatrení na zvyšovanie úrovne informačnej

bezpečnosti; vykonávanie analýzy stavu voči ISO/IEC 27001:2005; riadenie informačných rizík; tvorbu bezpečnostnej dokumentácie; vytváranie havarijných plánov, a plánov na zaistenie

kontinuity prevádzky (DRP, BCM).

©JV- MBIS ´11 3

Metodika CRAMM

aplikovaná vo všetkých fázach životného cyklu plánovanie vývoj realizácia ostrá prevádzku

pre všetky podniky

©JV- MBIS ´11 4

Typy analýz

typy analýzy poskytujú dostatočnú variabilitu pri voľbe štýlu práce, dĺžky analýzy, objemu vstupov aj výstupov a pod

CRAMM Expert CRAMM Express Analýza BS7799 (ISO 27001)

©JV- MBIS ´11 5

Identifikácia rizík

aktív (komponentov) hodnoteného systému,

ich zraniteľnosti, vplyvu prostredia (sily hrozieb) potenciálneho negatívneho vplyvu na

činnosť systému (dopadov).

©JV- MBIS ´11 6

Oblasti pokrytia

bezpečnosť informačného systému,

objektová bezpečnosť, fyzická personálna bezpečnosť bezpečnosť podpornej infraštruktúry

©JV- MBIS ´11 7

F1 - identifikácia aktív

Vytvorenie modelov a ohodnotenie aktív:

Identifikácia aktív - dát, služieb nad údajmi, programového vybavenia,

fyzických aktív a priestorov, vytvorenie modelov aktív, ktoré definujú

závislosť medzi rôznymi typmi aktív,

©JV- MBIS ´11 8

Identifikácia aktív

ohodnotenie dátových aktív (dopad pri prezradení, modifikácii, zničení, neprístupnosti),

ohodnotenie fyzických a programových aktív (náklady na obnovu, rekonštrukciu).

©JV- MBIS ´11 9

F2- Stanovenie rizík

Výpočet rizík, vyplývajúcich z hrozieb pôsobiacich na systém, alebo sieť, založených na ohodnotení aktív a

hodnotenie úrovne hrozieb a zraniteľnosti.

©JV- MBIS ´11 10

F3 - Riadenie rizík zahŕňa identifikáciu, výber a zavedenie

vhodných bezpečnostných opatrení pre zníženie rizika na prijateľnú úroveň

opatrenia z knižnice opatrení tak, aby pokryli všetky možné hrozby identifikované v druhej fáze s ohľadom na vypočítanú mieru rizika.

Takýmto spôsobom vznikne bezpečnostný profil IS.

©JV- MBIS ´11 11

Základné fázy

©JV- MBIS ´11 12

Výstupy z analýzy Prehľad o dátových hodnotách - Obsahuje

hodnotenie následkov, ktoré môžu pri dátach nastať. Tieto hodnoty sú jedným z parametrov pre stanovenie miery rizika.

Prehľad o miere rizika - Obsahuje hodnoty pre každé aktívum a hrozbu. Podľa miery rizík sú odporúčané protiopatrenia rôznej „sily“ a efektivity.

©JV- MBIS ´11 13

Výstupy z analýzy ...

Prehľad o hrozbách a skupinách aktív - Každú hrozbu je nutné pokryť určitými protiopatreniami. V tomto prehľade je väzba medzi hrozbou a skupinou protiopatrení.

©JV- MBIS ´11 14

Výstupy z analýzy ... Zoznam odporučených

protiopatrení - Najdôležitejší prehľad z expresnej analýzy obsahuje celý rad (počet závisí na miere rizika) bezpečnostných protiopatrení, ktoré sú odporučené k pokrytiu rizík.

©JV- MBIS ´11 15

Analýza BS7799 (ISO 27001)

Analýzy stavu prípravy Prehlásenia o aplikovaní

protiopatrení Tento typ analýzy CRAMM je vhodný,

pokiaľ sa organizácia rozhodne zaviesť a prevádzkovať ISMS a následne ho certifikovať

©JV- MBIS ´11 16

An. BS7799 umožňuje: Bezpečnostnú politiku organizácie, Správu o rozsahu ISMS, Prehlásenie o aplikovaní protiopatrení,

dokumenty o systéme riadenia bezpečnosti Vykonávať hodnotenie rizika, ktorého

výsledky sa priamo vzťahujú k častiam tém obsiahnutých v norme BS 7799

©JV- MBIS ´11 17

A BS7799 umožňuje:

Zaznamenávať názory manažmentu na potrebu určitých typov protiopatrení

Zaznamenávať, ktoré zdroje zaisťujú dané protiopatrenia

Vytvárať Program zvyšovania úrovne bezpečnosti.

©JV- MBIS ´11 18

ITIL

Information Technology Infrastructure Library

©JV- MBIS ´11 19

je súbor konceptov a postupov, ktoré umožňujú lepšie plánovať, využívať a skvalitňovať využitie informačných technológií (IT)

©JV- MBIS ´11 20

©JV- MBIS ´11 21

ITIL v2

Dodávka IT služieb (IT Service Delivery)

Podpora IT služieb (IT service Support)

bežne dohromady označované ako IT Service Management (ITSM).

©JV- MBIS ´11 22

ITIL v3

Podnikateľský pohľad (Business Perspectives) Správa aplikácií IT (Application Management) Dodávka IT služieb (IT Services Delivery) Podpora IT služieb (IT Services Support) Správa IT infraštruktúry (IT Infrastructure

Management) Riadenie IT projektov (IT Project Management) Správa bezpečnosti (Security Management).

©JV- MBIS ´11 23

Charakteristické rysy ITIL

Procesné riadenie Zákaznícky orientovaný prístup Jednoznačná terminológia Nezávislosť na platforme Public Domain

©JV- MBIS ´11 24

Procesné riadenie ITIL prináša moderný, procesne orientovaný prístup k

riadeniu IT služieb (na rozdiel od tradičného funkčne - líniového riadenia).

Proces je logický sled činností transformujúcich nejaký vstup na nejaký výstup, pričom plnenie jednotlivých činností v procese je zaisťované úlohami (rolami) s jasne definovanou zodpovednosťou.

Celý proces je riadený, monitorovaný, meraný, vyhodnocovaný a neustále vylepšovaný, čo je zodpovednosťou vlastníka procesu.

©JV- MBIS ´11 25

Zákaznícky orientovaný prístup

Tento rys vyplýva priamo zo samotnej podstaty ITSM; všetky procesy sa navrhujú s ohľadom na potreby zákazníka, tzn. každá aktivita, každý úkon v každom procese musí prinášať nejakú pridanú hodnotu pre zákazníka - pokiaľ nie, potom je taká činnosť nadbytočná

©JV- MBIS ´11 26

Jednoznačná terminológia

Jednoznačná terminológia je niekedy málo doceňovanou alebo úplne opomínanou charakteristikou ITIL, ale len do tej doby, než budeme v praxi prvý raz riešiť nedorozumenia plynúce z toho, že niekto používa rovnaký termín v inom význame, než očakávame.

©JV- MBIS ´11 27

Nezávislosť na platforme

Rámec ITSM procesov podľa ITIL je nezávislý na akejkoľvek platforme. Dokonca je možné ITIL použiť aj pre navrhnutie procesov (úplne mimo oblasť ICT) v akejkoľvek firme, ktorá podniká v službách.

©JV- MBIS ´11 28

Public domain

Knižnica je voľne dostupná, čo znamená, že každý si môže knihy ITIL kúpiť a procesy ITSM podľa ITIL vo svojom podniku implementovať, bez toho aby musel platiť akékoľvek ďalšie licenčné poplatky.

Táto skutočnosť o.i. prispela k rýchlemu celosvetovému rozšírení ITIL.

©JV- MBIS ´11 29

Rámcový model ITIL poskytuje návody pre všetky aspekty (end-to-end)

Service Managementu na základe „najlepších praktík (Best practies)“ a pokrýva kompletné spektrum personálu, procesov, produktov a využitie partnerov. „prijať a prispôsobiť“ (adopt and adapt), kritické faktory úspechu kľúčové výkonnostné indikátory

©JV- MBIS ´11 30

©JV- MBIS ´11 31

Dodávka služieb

Service Delivery: pokrýva procesy potrebné pre plánovanie a dodávku kvalitných služieb IT a zameriava sa na procesy s dlhším časovým dopadom, spojené so zlepšovaním kvality dodávaných služieb IT

©JV- MBIS ´11 32

Podpora služieb

Service Support: popisuje procesy spojené s každodennými aktivitami podpory a údržby spojenými s poskytovaním služieb IT

©JV- MBIS ´11 33

Správa infraštruktúry ICT

ICT Infrastructure Management/ICT IM) pokrýva všetky aspekty ICT Infrastructure Managementu od identifikácie obchodných požiadaviek cez ponukový proces k testovaniu, inštalácii, rozšíreniu a k následným operáciám a optimalizácii komponentov ICT a služieb IT.

©JV- MBIS ´11 34

Plánovánie implementácie Planning to Implement Service

Management: zameriava sa na problémy a úlohy súvisiace s plánovaním, zavádzaním a zlepšovaním procesov Správy služieb v organizácii.

Zameriava sa rovnako na problémy súvisiace s kultúrnymi a organizačnými zmenami, s rozvojom vízie a stratégie a s najvhodnejšími metódami prístupu.

©JV- MBIS ´11 35

Správa aplikácií Application Management: popisuje, ako

spravovať aplikácie od východiskovej potreby businessu cez všetky fáze životného cyklu aplikácie až do vyradenie (vrátane).

kladie dôraz na to, aby boli projekty a stratégia IT boli v tesnom súlade s projektmi a stratégiami businessu v celom životnom cykle aplikácie, a tým aby bolo zaistené, že business získa za svoje investície najlepšiu hodnotu.

©JV- MBIS ´11 36

Perspektíva businessu

The Business Perspective: poskytuje personálu IT radu a návod pre pochopenie, ako môžu prispieť k cieľom businessu a ako ich role a služby môžu byť lepšie prispôsobené a využité pre maximalizovania ich príspevku.

©JV- MBIS ´11 37

Správa bezpečnosti

Security Management: popisuje proces plánovania a správy definovanej úrovne bezpečnosti informácií a služieb IT, rátajúc so všetkými aspektmi súvisiacich s reakciou na bezpečnostné incidenty.

Zahŕňa analýzu a správu rizík a zraniteľností a implementáciu zdôvodnených protiopatrení.

 ©JV- MBIS ´11 38

IT Security Management

zaisťuje, že sú implementované a udržiavané bezpečnostné kontroly, ktoré sa zameriavajú na zmenené pomery, ako je zmena businessu požiadaviek na služby IT, prvkov architektúry IT, ohrození atd.

©JV- MBIS ´11 39

IT Security Management

zaisťuje, že sú spravované bezpečnostné incidenty výsledky auditu ukazujú adekvátnosť

bezpečnostných kontrol a prijatých opatrení

sú produkované reporty, ktoré prezentujú stav informačnej bezpečnosti.

©JV- MBIS ´11 40

©JV- MBIS ´11 41

Proces Informač. bezpečnosti

Proces znázorňuje kompletnú cestu od zberu požiadaviek zákazníka cez plánovanie, implementáciu, vyhodnotenie a údržbu - pod dohľadom kontroly - s pravidelným reportovaním stavu zákazníkovi, čo celú slučku uzatvára.

©JV- MBIS ´11 42

©JV- MBIS ´11 43

BCM, BIA,

Business Continuity Management

©JV- MBIS ´11 44

BCM

riadiaci proces, pri ktorom sú identifikované možné dopady udalostí, ohrozujúcich činnosť organizácie a ktorý definuje základný rámec prehlbovania schopností organizácie na takéto udalosti správne a úspešne reagovať.

©JV- MBIS ´11 45

©JV- MBIS ´11 46

Životný cyklus BCM

©JV- MBIS ´11 47

1. Porozumenie činnosti identifikácia kritických činností, procesov a zdrojov, ktoré

podporujú kľúčové produkty alebo služby organizácie; vykonanie tzv. analýzy dopadov (Business Impact

Analysis, BIA), Kľúčovými výstupmi analýzy pre ďalšie kroky implementácie BCM sú stanovené maximálne tolerované doby narušenie procesu / činnosti (Maximum Tolerable Period of Disruption, MTPD alebo taktiež Maximum Tolerable Outage, MTO), cieľovej doby obnovy (Recovery Time Objectives, RTO) spolu s minimálnou požadovanou úrovňou funkčnosti služieb (Level of Business Continuity, LBC);

©JV- MBIS ´11 48

Porozumenie ...

vykonanie hodnotenia rizík (Risk Assessment) vo vzťahu k zdrojom využívaných v identifikovaných kritických činnostiach. Organizácia by si mala zvoliť vhodnú metodiku hodnotenia rizík vyhovujúcu jej požiadavkám, ktorá umožní organizácii porozumieť hrozbám pôsobiacim na tieto zdroje, zraniteľnosti týchto zdrojov a dopadu na organizáciu, pokiaľ hrozby využití tieto zraniteľnosti a spôsobia incident s následkom narušenia / prerušenia činnosti;

©JV- MBIS ´11 49

porozumenie ...

výber vhodných opatrení pre zvládnutie rizík, ktoré sú navrhnuté k zníženiu pravdepodobnosti narušenia, skrátenie doby narušenia činnosti a k obmedzeniu dopadu narušenia na kľúčové produkty a služby organizácie.

©JV- MBIS ´11 50

2. Vytvorenie stratégií BCM

celková stratégia - reakcií na incidenty, postupy,

stratégie obnovy procesov stratégie obnovy zdrojov

©JV- MBIS ´11 51

3. Vývoj a implementácia plánov

plán krízového riadenia plán kontinuity činností plán obnovy zdrojov

Účel a rozsah, Role a zodpovednosti, Podmienky a postupy aktivácie plánu

Alternatívne lokality, Prehľad úkolov a činností - čo sa má urobiť, kedy, kde a v akom poradí, Umiestenie alternatívnych zdrojov, Dôležité kontaktní údaje ...

©JV- MBIS ´11 52

4. Vytvorenie a upevňovanie kultúry

vyhodnotenie existujúceho povedomia návrh a realizácia školenia a zvyšovanie

povedomia monitorovanie zručnosti jednotlivcov a

kultúry

©JV- MBIS ´11 53

PDCA cyklusPlan, Do, Control, Act

©JV- MBIS ´11 54

5. Testovanie, udržovanie a auditovanie

testovanie plánov aktualizácia plánov audit BCM

©JV- MBIS ´11 55

BIA Business Impact Analysis

je proces analýzy činností organizácie a dopadov, ktoré môžu byť spôsobené ich narušením.

Pozostáva z techník a metód, pomocou ktorých sa hodnotí aké dopady by na organizácii a ďalšie zainteresované strany malo narušenie dodávok kľúčových produktov alebo služieb organizácie a ich podporných kritických činností.

©JV- MBIS ´11 56

Business Impact Analysis

Súčasťou BIA je stanovenie minimálnych úrovní zdrojov potrebných pre obnovenie kritických činností v stanovených časoch a na stanovených úrovniach.

©JV- MBIS ´11 57

Kroky BIA

identifikovať činnosti, ktoré podporujú dodávku ich kľúčových produktov a služieb;

ohodnotiť dopady, pokiaľ dôjde k narušeniu týchto činností, a vývoj týchto dopadov v čase;

©JV- MBIS ´11 58

Kroky BIA ... určiť maximálnu tolerovanú dobu narušenia

činnosti (Maximum Tolerable Period of Disruption, MTPD alebo také Maximum Tolerable Outage, MTO), po ktorú sú dopady pre organizáciu ešte akceptovateľné, t. j. po ktorú ešte nie je životaschchopnosť organizácie ohrozená v prípade narušenia dodávok produktov alebo služieb,

©JV- MBIS ´11 59

Kroky BIA ...

identifikovať kritické činnosti a určiť priority ich obnovy na základe predchádzajúcich krokov určenia dopadu a MTPD pre jednotlivé činnosti.

Za kritické činnosti je možné považovať činnosti s najväčšími dopadmi v najkratších časoch - tieto činnosti by mali byť obnovené čo najskôr;

©JV- MBIS ´11 60

Kroky BIA ... pre každou kritickou činnosť určiť dobu jej obnovy na

požadovanú (čiastočnú alebo plnú) úroveň (Recovery Time Objective, RTO).

Nastavenie RTO - optimálna hodnota RTO môže byť hodnota, kedy sa finančná strata, spôsobená narušením rovná nákladom na jej obnovu.

Musí byť menšia ako jej identifikovaná maximálna tolerovaná dobe narušenia (MTPD);

určiť minimálnu úroveň zdrojov potrebných k obnove činnosti (ľudia, budovy, technológie, informácie alebo dodávky služieb.

©JV- MBIS ´11 61