Efektivní informační bezpečnost

Prezentace na téma: "Efektivní informační bezpečnost"— Transkript prezentace:

1 Efektivní informační bezpečnost
Petr Svojanovský, FIT VUT Brno, ANECT a.s. Jitka Kreslíková, FIT VUT Brno Luděk Novák, ANECT a.s. Konference Security and Protection of Information , BVV Brno

2 Obsah prezentace Tradiční přístup k informační bezpečnosti;
Zvyšovaní efektivity v informační bezpečnosti; Využití procesů dle ISO/IEC v informační bezpečnosti. Rizika v implementaci procesů managementu služeb IT | | 2

3 Informační bezpečnost – tradiční přístup
Standardy řady ISO/IEC – zaběhlý a ověřený přístup k informační bezpečnosti: ISO/IEC 27001: specifikace ISMS (Information Security Management System); ISO/IEC 27002: soubor postupů pro ISMS; ISO/IEC 27005: risk management v informační bezpečnosti; … a další. Rizika v implementaci procesů managementu služeb IT | | 3

4 ISMS dle ISO/IEC 27000 – možnosti zlepšení?
Pokrývá ISO/IEC všechny aspekty informační bezpečnosti? Co ještě podniknout, aby byl ISMS efektivnější? Odpověď: ANO, ISO/IEC dobře pokrývá informační bezpečnost; ALE, převzetím přístupů z jiných (standardizovaných) oblastí lze vybudovat bezpečnější a efektivnější ISMS. Rizika v implementaci procesů managementu služeb IT | | 4

5 ISO/IEC – stručně První mezinárodní standard zaměřený na IT Service Management Zabývá se procesy – není určen k hodnocení produktů! Rozdělen do dvou částí: ISO/IEC :2005 – specifikace: nutné k získání certifikace ISO/IEC :2005 – soubor postupů: popis tzv. best practices Rizika v implementaci procesů managementu služeb IT | | 5

6 ISO/IEC – podrobněji Požadavky na systém managementu (odpovědnost managementu, požadavky na dokumentaci, odborná způsobilost, povědomí a výcvik) Plánování a implementace managementu služeb (PDCA) Plánování a implementace nových nebo změněných služeb Procesy dodávky služeb (management úrovně služeb, výkazy o službách, management kontinuity a dostupnosti služeb, rozpočtování a účtování pro IT služby, management kapacit, management bezpečnosti informací) Procesy vztahů (management vztahů s byznysem a dodavateli) Procesy řešení (management incidentů a problémů) Řídicí procesy (management konfigurací a změn) Proces uvolnění Rizika v implementaci procesů managementu služeb IT | | 6

7 Proces managementu úrovně služeb (1/8)
Definuje, zaznamenává, udržuje a řídí úrovně poskytovaných služeb (Service Level Agreement, SLA); Veškeré detaily poskytované služby musí být zaznamenány a řízeny; Změny v SLA podléhají procesu řízení změn; Monitoring – porovnání dosažené reality a cílů; akční plány. Odsouhlasení úrovně informační bezpečnosti a monitoring; Definování podmínek platnosti dohodnuté úrovně bezpečnosti! Rizika v implementaci procesů managementu služeb IT | | 7

8 Proces managementu kontinuity a dostupnosti (2/8)
Na základě business plánů a strategie společnosti, SLAs a ohodnocených rizik: Ustanovit; Testovat; A zlepšovat plány kontinuity dané služby nebo celé organizace. Využití v informační bezpečnosti: řízení rizik s extrémním dopadem a nízkou pravděpodobností výskytu (důvěrnost, integrita a dostupnost informačních aktiv) Rizika v implementaci procesů managementu služeb IT | | 8

9 Proces managementu kapacit (3/8)
Cílem je zabezpečení dostatečné kapacity „zdrojů“ v každý okamžik poskytování služby; Na základě potřeb businessu; Sledování trendů; Předvídání kapacit v budoucnu. Informační bezpečnost: Např. IDS systém, DoS útok; Zabezpečení fyzického perimetru, apod. Rizika v implementaci procesů managementu služeb IT | | 9

10 Proces managementu vztahů (4/8)
Rozlišuje vztahy se zákazníky a dodavateli; Cílem je řídit dodavatele tak, aby bylo zajištěno nepřerušené poskytování služby zákazníkovi; Klíč k úspěchu je v proaktivitě! Využití v informační bezpečnosti: v případě, že je část služby poskytované zákazníkovi v režii třetí strany (dodavatelé, outsourcing), dostupnost informací… Rizika v implementaci procesů managementu služeb IT | | 10

11 Proces managementu incidentů a problémů (5/8)
Rozdíl mezi incidentem a problémem! Management incidentů: obnovit dodávku služby po incidentu; Zaznamenání všech incidentů, stanovení priorit a dopadu na business; Důležitá je komunikace se zákazníkem; Management problémů: odhalit podstatu vzniklého problému, proaktivní vyhledávání potenciálních incidentů (problémů). Incident management je již pokryt ISO/IEC 27002; ISO/IEC 20000: rozšíření pohledu (problém vs. incident). Rizika v implementaci procesů managementu služeb IT | | 11

12 Proces managementu konfigurací (6/8)
Jádrem je konfigurační databáze (CMDB); Primárním cílem je udržovat a řídit veškeré položky konfigurace (verze, změny, vztahy), které jsou důležité pro business; Změny podléhají procesu managementu změn. Informační bezpečnost: Příklad: detekce ne bezpečné verze firmwaru firewallu; Řízení rizik, registr rizik!!! Rizika v implementaci procesů managementu služeb IT | | 12

13 Proces managementu změn (7/8)
Cílem je řídit změny: ohodnocení, odsouhlasení, implementace, měření… - vše kontrolovaným způsobem; Identifikace potenciálních problémů / incidentů; Řízení rizik a jejich dopadu na business. Informační bezpečnost: neřízené změny a jejich vliv na informační bezpečnost (např. firewall pravidla). Rizika v implementaci procesů managementu služeb IT | | 13

14 Proces managementu uvolnění (8/8)
Velmi úzce svázán s managementem změn a konfigurací; Každé uvolnění musí být plánováno společně se zákazníkem; Testování nové verze; Ohodnocení a analýza změn; Musí obsahovat procedury pro návrat v případě selhání (CMDB). Informační bezpečnost: například analýza změn, monitoring a mechanizmy pro navrácení do původního stavu. Rizika v implementaci procesů managementu služeb IT | | 14

15 Risk Management Tool – ISO/IEC 27000 / 20000 ready

16 Děkuji za pozornost.