Upload
juraj-danko
View
95
Download
8
Embed Size (px)
Citation preview
MANAŽMENT INFORMAČNEJ BEZPEČNOSTI
A JEHO PRÍNOSY PRE VÁŠ BUSINESS CASE
21.10.2014, JÁN DRAHOŠ & JURAJ DANKO
Informačná bezpečnosť
Súkromnosť Integrita Dostupnosť
Aktíva
An
alýz
a
Stanovenie cieľov a prostriedkov
Vízia
Súkromnosť Integrita Dostupnosť
Aktíva
Zabezpečenie siete
Sieťová infraštruktúra, switching, routing Next Generation Firewall, Proxy Redundancia
Záložné centrá Integrácia
...
An
alýz
a
Vízia
Monitoring
Technické a procesné zabezpečenie
Súkromnosť Integrita Dostupnosť
Aktíva
Ria
den
ie
aktí
v
Identifikácia a klasifikácia aktív
An
alýz
a
Zabezpečenie siete
Vízia
Monitoring
Technické a procesné zabezpečenie
Súkromnosť Integrita Dostupnosť
Aktíva
Ria
den
ie
aktí
v
Identifikácia vlastníkov a rolí
An
alýz
a
Zabezpečenie siete
Súkromnosť Integrita Dostupnosť
Aktíva
Vízia
Monitoring
Technické a procesné zabezpečenie
An
alýza rizík
Identifikácia hrozieb Analýza dopadov
Výpočet rizík
ISO 2700x, Common Criteria, ISO 2000x, ...
An
alýz
a
Zabezpečenie siete
Ria
den
ie
aktí
v
Súkromnosť Integrita Dostupnosť
Aktíva
An
alýza rizík A
nal
ýza
Zabezpečenie siete
Man
ažm
ent
IB
Vízia
Politika
Audit a štandardy
Operačný manažment
Monitoring
Technické a procesné zabezpečenie
Ria
den
ie
aktí
v
Manažment Informačnej Bezpečnosti
• ISO 27000 (manažment IB) • Ochrana osobných údajov (z. 122/2013) • Common Criteria (SFR a SAR) • BIA (Business Impact Analysis) • SWAL/HWAL, MTBF, MTTR, SLA • Priemyselné a iné štandardy
Konzultačné služby
Zhrnutie ISMS v skratke: • Je to zdokumentovaný systém • Chrániaci identifikované a
kategorizované aktíva • Zároveň riadi rozpoznané riziká • Taktiež zabezpečuje, že zavedené
bezpečnostné opatrenia sú kontrolované
Konzultačné služby
Zhrnutie ISMS v skratke: • Je to zdokumentovaný systém • Chrániaci identifikované a
kategorizované aktíva • Zároveň riadi rozpoznané riziká • Taktiež zabezpečuje, že zavedené
bezpečnostné opatrenia sú kontrolované
Hlavné výhody: - Riadenie informačnej bezpečnosti je systematické a
komplexné - Poskytuje efektívnosť riadenia investícií do
informačnej bezpečnosti - Vlastné aktíva máme identifikované, ocenené a
kategorizované - Zavádzame systémový a systematický prístup pri
používaní informačných systémov - Zvyšujeme svoju dôveryhodnosť u partnerov
(certifikácia) - Plníme legislatívne požiadavky - Zvyšovanie bezpečnostného povedomia
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Analýza a audit s pridanou hodnotou Analýza stratégií, zámeru manažmentu Prepojenie s procesmi v organizácii, na organizačnú štruktúru, integráciou systémov, návrhom infraštruktúry Komplexný prístup aj čiastkové analýzy Výstupy s návrhmi opatrení, manažérske zhrnutie
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Získavanie podkladov od zamestnancov, expertov, partnerov, z dokumentácie, z predchádzajúcich auditov, a pod. Analýzy rizík, BIA analýzy, procesné analýzy, a pod. Kvantitatívne a kvalitatívne vyhodnotenie súčasného stavu
Riadenie bezpečnostných rizík
Zhrnutie:
V procese riadenia rizík sa definujú a ohodonocujú aktíva, posudzujú sa im hroziace zraniteľnosti a identifikujú hrozby, vypočítava pravdepodobnosť, posudzuje sa možný dopad, a definujú požiadavky na ochranu, teda bezpečnostné kontroly, zavádzajú sa ochranné opatrenia.
Analýzy rizík
Zhrnutie:
Posúdenie aktuálneho stavu informačnej bezpečnosti ktorý je rozoberaný z pohľadu na organizačnú, administratívnu, fyzickú, objektovú, personálnu a informačnú oblasť bezpečnosti
Ciele:
- Identifikovanie slabých miest, zraniteľností a reálne hroziacich rizík
- Zabezpečenie výstupu vo forme komplexnej informácie obsahujúcej aj konkrétne odporúčania a manažérske zhrnutie
Analýzy rizík
Zhrnutie:
Posúdenie aktuálneho stavu informačnej bezpečnosti ktorý je rozoberaný z pohľadu na organizačnú, administratívnu, fyzickú, objektovú, personálnu a informačnú oblasť bezpečnosti
Ciele:
- Identifikovanie slabých miest, zraniteľností a reálne hroziacich rizík
- Zabezpečenie výstupu vo forme komplexnej informácie obsahujúcej aj konkrétne odporúčania a manažérske zhrnutie
Prínosy:
- Odborné a nezávislé posúdenie aktuálneho stavu informačnej bezpečnosti a súladu s legislatívou
- Identifikácia slabých miest, zraniteľností a rizík ktoré bezprostredne ohrozujú kľúčové funkcie a aktíva
- Významné zvýšenie úrovne bezpečnosti prostredníctvom implementácie navrhovaných bezpečnostných opatrení
- Získanie podkladov pre rozhodnutia manažmentu organizácie o prideľovaní investícií do informačnej bezpečnosti
Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky
Riadenie kontinuity činností
Riadenie kontinuity činností
Životný cyklus BCM pre zlepšenie odolnosti organizácie
• Riadenie Politiky a Programu BCM – stanovenie politiky organizácie pre BCM a požiadavky, ako bude implementovaná , riadená a overovaná pomocou programu BCM
• Analýzy – preskúmanie a hodnotenie organizácie z hľadiska jej hlavných cieľov, ako organizácia funguje a aké sú obmedzenia prostredia, v ktorom pôsobí
• Návrh - stanovenie a výber vhodných stratégií a taktík pre stanovenie ako dosiahnuť potrebnú kontinuitu a obnovu po náhlom prerušení
• Realizácia – výkon odsúhlasených stratégií a taktík pomocou spracovania a realizácie plánov BC
• Včlenenie BC do organizácie a praktík – integrácia BC do denno-dennej praxe a aktivít a do kultúry organizácie
• Validácia – overovanie a potvrdzovanie, že Program BCM dosahuje a plní požiadavky stanovené v Politike BC a že je vhodný a použiteľný pre danú organizáciu
Riadenie kontinuity činností
Zhrnutie:
Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky
Ciele:
- Definovanie postupov na zabezpečenie chodu kritických procesov v prípade mimoriadnych udalostí
- Zabezpečenie obnovy prevádzky organizácie v čo najkratšom možnom čase bez negatívneho vplyvu na plnenie legislatívnych a
zmluvných záväzkov
Riadenie kontinuity činností
Zhrnutie:
Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky
Ciele:
- Definovanie postupov na zabezpečenie chodu kritických procesov v prípade mimoriadnych udalostí
- Zabezpečenie obnovy prevádzky organizácie v čo najkratšom možnom čase bez negatívneho vplyvu na plnenie legislatívnych a
zmluvných záväzkov
Prínosy:
- Ochrana dobrého mena
- Poskytnutie záruk ako zabezpečenie chodu hlavných podnikateľských činností a čo najrýchlejšie a zodpovedajúce plnenie záväzkov voči klientom
- Zníženie (nielen) finančných strát v prípade prerušenia kontinuity činností
- Vytvorenie prehľadných a na seba nadväzujúcich postupov pre prípad mimoriadnej udalosti
- Špecifikovanie priority činností nutných pre obnovu kritických ICT systémov v organizácii
- Dĺžka výpadkov a nedostupnosti informačných systémov je znížená na minimum
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Politika informačnej bezpečnosti Bezpečnostné smernice - informačnej bezpečnosti pre zamestnancov - správa a prevádzka informačných systémov
a služieb - inventarizácia a ochrana informačných aktív - zálohovanie a havarijné plánovanie (bez samotných
havarijných plánov) - riadenie prístupu k informačným systémom - riadenie bezpečnostných incidentov
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Školenia a preškoľovania zodpovedných osôb a expertov Školenia a preškoľovania ostatných zamestnancov Príprava systému dlhodobo udržateľného povedomia a kvalifikácie, systému interných školení a preškoľovaní, a pod.
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Priamo aplikovateľné výstupy a odporúčania pre zabezpečenie súladu, zvýšenie úrovnie zabezpečenia alebo iné zlepšenie stavu Návrh priorít, metód, termínov, zodpovedných aktérov, konzultácie s manažmentom a ďalšieho postupu
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Priamočiara integrovateľnosť do existujúceho systému riadenia kvality, intranetu alebo iných systémov riadenia dokumentov Elektronická a papierová verzia výstupných dokumentov Komplexné zabezpečenie kompatibility a ľahkej udržateľnosti
Konzultačné služby
• Analýza business procesov a cieľov • Komplexná analýza stavu
• Osobný audit, audit dokumentov, dotazníky, analýza súladu
• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie
Priamočiara integrovateľnosť do existujúceho systému riadenia kvality, intranetu alebo iných systémov riadenia dokumentov Elektronická a papierová verzia výstupných dokumentov Komplexné zabezpečenie kompatibility a ľahkej udržateľnosti
Neoddeliteľná súčasť ISMS - Bezpečnostné metodiky, plány, príručky a manuály - Metodika riadenia bezpečnostných rizík - Metodika vnútorného auditu informačnej
bezpečnosti - Príručka ISMS - Štúdia aplikovateľnosti (SoA) - Bezpečnostný plán ako výstup opatrení na pokrytie
zistení interných auditov
Udržateľnosť a plánovanie
ISMS
Dlhodobá udržateľnosť
Infraštruktúra
Riadenie incidentov
Penetračné testy
Kritické procesy a systémy
Monitoring, SIEM
Školenia a zvyšovanie povedomia
ISMS
Infraštruktúra
Riadenie incidentov
Penetračné testy
Kritické procesy a systémy
Monitoring, SIEM
SOC
Riadenie incidentov
Penetračné testy Forenzná analýza Behaviorálna analýza
Monitoring, SIEM
SOC – Security Operations Center
Správa aktív
Manažment zmien
Riadenie politík
Manažment zraniteľností
Riadenie incidentov
Penetračné testy Forenzná analýza Behaviorálna analýza
Monitoring, SIEM
SOC
Správa aktív
Manažment zmien
Policy management
Manažment zraniteľností
SOC ako služba
Ďakujeme za pozornosť
TooNet, s.r.o. Seberíniho 1 821 03 Bratislava
+421 2 32 144 211
www.toonet.sk
a tešíme sa na spoluprácu