31
MANAŽMENT INFORMAČNEJ BEZPEČNOSTI A JEHO PRÍNOSY PRE VÁŠ BUSINESS CASE 21.10.2014, JÁN DRAHOŠ & JURAJ DANKO

[SK] Manažment informačnej bezpečnosti

Embed Size (px)

Citation preview

Page 1: [SK] Manažment informačnej bezpečnosti

MANAŽMENT INFORMAČNEJ BEZPEČNOSTI

A JEHO PRÍNOSY PRE VÁŠ BUSINESS CASE

21.10.2014, JÁN DRAHOŠ & JURAJ DANKO

Page 2: [SK] Manažment informačnej bezpečnosti

Informačná bezpečnosť

Page 3: [SK] Manažment informačnej bezpečnosti

Súkromnosť Integrita Dostupnosť

Aktíva

An

alýz

a

Stanovenie cieľov a prostriedkov

Page 4: [SK] Manažment informačnej bezpečnosti

Vízia

Súkromnosť Integrita Dostupnosť

Aktíva

Zabezpečenie siete

Sieťová infraštruktúra, switching, routing Next Generation Firewall, Proxy Redundancia

Záložné centrá Integrácia

...

An

alýz

a

Page 5: [SK] Manažment informačnej bezpečnosti

Vízia

Monitoring

Technické a procesné zabezpečenie

Súkromnosť Integrita Dostupnosť

Aktíva

Ria

den

ie

aktí

v

Identifikácia a klasifikácia aktív

An

alýz

a

Zabezpečenie siete

Page 6: [SK] Manažment informačnej bezpečnosti

Vízia

Monitoring

Technické a procesné zabezpečenie

Súkromnosť Integrita Dostupnosť

Aktíva

Ria

den

ie

aktí

v

Identifikácia vlastníkov a rolí

An

alýz

a

Zabezpečenie siete

Page 7: [SK] Manažment informačnej bezpečnosti

Súkromnosť Integrita Dostupnosť

Aktíva

Vízia

Monitoring

Technické a procesné zabezpečenie

An

alýza rizík

Identifikácia hrozieb Analýza dopadov

Výpočet rizík

ISO 2700x, Common Criteria, ISO 2000x, ...

An

alýz

a

Zabezpečenie siete

Ria

den

ie

aktí

v

Page 8: [SK] Manažment informačnej bezpečnosti

Súkromnosť Integrita Dostupnosť

Aktíva

An

alýza rizík A

nal

ýza

Zabezpečenie siete

Man

ažm

ent

IB

Vízia

Politika

Audit a štandardy

Operačný manažment

Monitoring

Technické a procesné zabezpečenie

Ria

den

ie

aktí

v

Page 9: [SK] Manažment informačnej bezpečnosti

Manažment Informačnej Bezpečnosti

• ISO 27000 (manažment IB) • Ochrana osobných údajov (z. 122/2013) • Common Criteria (SFR a SAR) • BIA (Business Impact Analysis) • SWAL/HWAL, MTBF, MTTR, SLA • Priemyselné a iné štandardy

Page 10: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

Zhrnutie ISMS v skratke: • Je to zdokumentovaný systém • Chrániaci identifikované a

kategorizované aktíva • Zároveň riadi rozpoznané riziká • Taktiež zabezpečuje, že zavedené

bezpečnostné opatrenia sú kontrolované

Page 11: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

Zhrnutie ISMS v skratke: • Je to zdokumentovaný systém • Chrániaci identifikované a

kategorizované aktíva • Zároveň riadi rozpoznané riziká • Taktiež zabezpečuje, že zavedené

bezpečnostné opatrenia sú kontrolované

Hlavné výhody: - Riadenie informačnej bezpečnosti je systematické a

komplexné - Poskytuje efektívnosť riadenia investícií do

informačnej bezpečnosti - Vlastné aktíva máme identifikované, ocenené a

kategorizované - Zavádzame systémový a systematický prístup pri

používaní informačných systémov - Zvyšujeme svoju dôveryhodnosť u partnerov

(certifikácia) - Plníme legislatívne požiadavky - Zvyšovanie bezpečnostného povedomia

Page 12: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Analýza a audit s pridanou hodnotou Analýza stratégií, zámeru manažmentu Prepojenie s procesmi v organizácii, na organizačnú štruktúru, integráciou systémov, návrhom infraštruktúry Komplexný prístup aj čiastkové analýzy Výstupy s návrhmi opatrení, manažérske zhrnutie

Page 13: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Získavanie podkladov od zamestnancov, expertov, partnerov, z dokumentácie, z predchádzajúcich auditov, a pod. Analýzy rizík, BIA analýzy, procesné analýzy, a pod. Kvantitatívne a kvalitatívne vyhodnotenie súčasného stavu

Page 14: [SK] Manažment informačnej bezpečnosti

Riadenie bezpečnostných rizík

Zhrnutie:

V procese riadenia rizík sa definujú a ohodonocujú aktíva, posudzujú sa im hroziace zraniteľnosti a identifikujú hrozby, vypočítava pravdepodobnosť, posudzuje sa možný dopad, a definujú požiadavky na ochranu, teda bezpečnostné kontroly, zavádzajú sa ochranné opatrenia.

Page 15: [SK] Manažment informačnej bezpečnosti

Analýzy rizík

Zhrnutie:

Posúdenie aktuálneho stavu informačnej bezpečnosti ktorý je rozoberaný z pohľadu na organizačnú, administratívnu, fyzickú, objektovú, personálnu a informačnú oblasť bezpečnosti

Ciele:

- Identifikovanie slabých miest, zraniteľností a reálne hroziacich rizík

- Zabezpečenie výstupu vo forme komplexnej informácie obsahujúcej aj konkrétne odporúčania a manažérske zhrnutie

Page 16: [SK] Manažment informačnej bezpečnosti

Analýzy rizík

Zhrnutie:

Posúdenie aktuálneho stavu informačnej bezpečnosti ktorý je rozoberaný z pohľadu na organizačnú, administratívnu, fyzickú, objektovú, personálnu a informačnú oblasť bezpečnosti

Ciele:

- Identifikovanie slabých miest, zraniteľností a reálne hroziacich rizík

- Zabezpečenie výstupu vo forme komplexnej informácie obsahujúcej aj konkrétne odporúčania a manažérske zhrnutie

Prínosy:

- Odborné a nezávislé posúdenie aktuálneho stavu informačnej bezpečnosti a súladu s legislatívou

- Identifikácia slabých miest, zraniteľností a rizík ktoré bezprostredne ohrozujú kľúčové funkcie a aktíva

- Významné zvýšenie úrovne bezpečnosti prostredníctvom implementácie navrhovaných bezpečnostných opatrení

- Získanie podkladov pre rozhodnutia manažmentu organizácie o prideľovaní investícií do informačnej bezpečnosti

Page 17: [SK] Manažment informačnej bezpečnosti

Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky

Riadenie kontinuity činností

Page 18: [SK] Manažment informačnej bezpečnosti

Riadenie kontinuity činností

Životný cyklus BCM pre zlepšenie odolnosti organizácie

• Riadenie Politiky a Programu BCM – stanovenie politiky organizácie pre BCM a požiadavky, ako bude implementovaná , riadená a overovaná pomocou programu BCM

• Analýzy – preskúmanie a hodnotenie organizácie z hľadiska jej hlavných cieľov, ako organizácia funguje a aké sú obmedzenia prostredia, v ktorom pôsobí

• Návrh - stanovenie a výber vhodných stratégií a taktík pre stanovenie ako dosiahnuť potrebnú kontinuitu a obnovu po náhlom prerušení

• Realizácia – výkon odsúhlasených stratégií a taktík pomocou spracovania a realizácie plánov BC

• Včlenenie BC do organizácie a praktík – integrácia BC do denno-dennej praxe a aktivít a do kultúry organizácie

• Validácia – overovanie a potvrdzovanie, že Program BCM dosahuje a plní požiadavky stanovené v Politike BC a že je vhodný a použiteľný pre danú organizáciu

Page 19: [SK] Manažment informačnej bezpečnosti

Riadenie kontinuity činností

Zhrnutie:

Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky

Ciele:

- Definovanie postupov na zabezpečenie chodu kritických procesov v prípade mimoriadnych udalostí

- Zabezpečenie obnovy prevádzky organizácie v čo najkratšom možnom čase bez negatívneho vplyvu na plnenie legislatívnych a

zmluvných záväzkov

Page 20: [SK] Manažment informačnej bezpečnosti

Riadenie kontinuity činností

Zhrnutie:

Riadenie kontinuity činností je proces ktorý organizáciu pripravuje na riešenie kritických situácií a v najväčšej možnej miere zmierňuje ich následky

Ciele:

- Definovanie postupov na zabezpečenie chodu kritických procesov v prípade mimoriadnych udalostí

- Zabezpečenie obnovy prevádzky organizácie v čo najkratšom možnom čase bez negatívneho vplyvu na plnenie legislatívnych a

zmluvných záväzkov

Prínosy:

- Ochrana dobrého mena

- Poskytnutie záruk ako zabezpečenie chodu hlavných podnikateľských činností a čo najrýchlejšie a zodpovedajúce plnenie záväzkov voči klientom

- Zníženie (nielen) finančných strát v prípade prerušenia kontinuity činností

- Vytvorenie prehľadných a na seba nadväzujúcich postupov pre prípad mimoriadnej udalosti

- Špecifikovanie priority činností nutných pre obnovu kritických ICT systémov v organizácii

- Dĺžka výpadkov a nedostupnosti informačných systémov je znížená na minimum

Page 21: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Page 22: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Politika informačnej bezpečnosti Bezpečnostné smernice - informačnej bezpečnosti pre zamestnancov - správa a prevádzka informačných systémov

a služieb - inventarizácia a ochrana informačných aktív - zálohovanie a havarijné plánovanie (bez samotných

havarijných plánov) - riadenie prístupu k informačným systémom - riadenie bezpečnostných incidentov

Page 23: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Školenia a preškoľovania zodpovedných osôb a expertov Školenia a preškoľovania ostatných zamestnancov Príprava systému dlhodobo udržateľného povedomia a kvalifikácie, systému interných školení a preškoľovaní, a pod.

Page 24: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Priamo aplikovateľné výstupy a odporúčania pre zabezpečenie súladu, zvýšenie úrovnie zabezpečenia alebo iné zlepšenie stavu Návrh priorít, metód, termínov, zodpovedných aktérov, konzultácie s manažmentom a ďalšieho postupu

Page 25: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Priamočiara integrovateľnosť do existujúceho systému riadenia kvality, intranetu alebo iných systémov riadenia dokumentov Elektronická a papierová verzia výstupných dokumentov Komplexné zabezpečenie kompatibility a ľahkej udržateľnosti

Page 26: [SK] Manažment informačnej bezpečnosti

Konzultačné služby

• Analýza business procesov a cieľov • Komplexná analýza stavu

• Osobný audit, audit dokumentov, dotazníky, analýza súladu

• Aktualizácia smerníc a interných aktov • Školenia zamestnancov • Výstupné odporúčania a návrhy • Vypracovanie potrebnej dokumentácie

Priamočiara integrovateľnosť do existujúceho systému riadenia kvality, intranetu alebo iných systémov riadenia dokumentov Elektronická a papierová verzia výstupných dokumentov Komplexné zabezpečenie kompatibility a ľahkej udržateľnosti

Neoddeliteľná súčasť ISMS - Bezpečnostné metodiky, plány, príručky a manuály - Metodika riadenia bezpečnostných rizík - Metodika vnútorného auditu informačnej

bezpečnosti - Príručka ISMS - Štúdia aplikovateľnosti (SoA) - Bezpečnostný plán ako výstup opatrení na pokrytie

zistení interných auditov

Page 27: [SK] Manažment informačnej bezpečnosti

Udržateľnosť a plánovanie

ISMS

Dlhodobá udržateľnosť

Infraštruktúra

Riadenie incidentov

Penetračné testy

Kritické procesy a systémy

Monitoring, SIEM

Školenia a zvyšovanie povedomia

Page 28: [SK] Manažment informačnej bezpečnosti

ISMS

Infraštruktúra

Riadenie incidentov

Penetračné testy

Kritické procesy a systémy

Monitoring, SIEM

SOC

Page 29: [SK] Manažment informačnej bezpečnosti

Riadenie incidentov

Penetračné testy Forenzná analýza Behaviorálna analýza

Monitoring, SIEM

SOC – Security Operations Center

Správa aktív

Manažment zmien

Riadenie politík

Manažment zraniteľností

Page 30: [SK] Manažment informačnej bezpečnosti

Riadenie incidentov

Penetračné testy Forenzná analýza Behaviorálna analýza

Monitoring, SIEM

SOC

Správa aktív

Manažment zmien

Policy management

Manažment zraniteľností

SOC ako služba

Page 31: [SK] Manažment informačnej bezpečnosti

Ďakujeme za pozornosť

TooNet, s.r.o. Seberíniho 1 821 03 Bratislava

+421 2 32 144 211

[email protected]

www.toonet.sk

a tešíme sa na spoluprácu