Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Efektivní informační bezpečnost Petr Svojanovský, FIT VUT Brno, ANECT a.s. Jitka Kreslíková, FIT VUT Brno Luděk Novák, ANECT a.s. Konference Security and.

Podobné prezentace


Prezentace na téma: "Efektivní informační bezpečnost Petr Svojanovský, FIT VUT Brno, ANECT a.s. Jitka Kreslíková, FIT VUT Brno Luděk Novák, ANECT a.s. Konference Security and."— Transkript prezentace:

1 Efektivní informační bezpečnost Petr Svojanovský, FIT VUT Brno, ANECT a.s. Jitka Kreslíková, FIT VUT Brno Luděk Novák, ANECT a.s. Konference Security and Protection of Information , BVV Brno

2 Tradiční přístup k informační bezpečnosti; Zvyšovaní efektivity v informační bezpečnosti; Využití procesů dle ISO/IEC v informační bezpečnosti. Obsah prezentace Rizika v implementaci procesů managementu služeb IT | | 2

3 Standardy řady ISO/IEC – zaběhlý a ověřený přístup k informační bezpečnosti: ISO/IEC 27001:specifikace ISMS (Information Security Management System); ISO/IEC 27002:soubor postupů pro ISMS; ISO/IEC 27005:risk management v informační bezpečnosti; … a další. Informační bezpečnost – tradiční přístup Rizika v implementaci procesů managementu služeb IT | | 3

4 Pokrývá ISO/IEC všechny aspekty informační bezpečnosti? Co ještě podniknout, aby byl ISMS efektivnější? Odpověď: ANO, ISO/IEC dobře pokrývá informační bezpečnost; ALE, převzetím přístupů z jiných (standardizovaných) oblastí lze vybudovat bezpečnější a efektivnější ISMS. ISMS dle ISO/IEC – možnosti zlepšení? Rizika v implementaci procesů managementu služeb IT | | 4

5 První mezinárodní standard zaměřený na IT Service Management Zabývá se procesy – není určen k hodnocení produktů! Rozdělen do dvou částí: ISO/IEC :2005 – specifikace: nutné k získání certifikace ISO/IEC :2005 – soubor postupů: popis tzv. best practices ISO/IEC – stručně Rizika v implementaci procesů managementu služeb IT | | 5

6 1.Požadavky na systém managementu (odpovědnost managementu, požadavky na dokumentaci, odborná způsobilost, povědomí a výcvik) 2.Plánování a implementace managementu služeb (PDCA) 3.Plánování a implementace nových nebo změněných služeb 4.Procesy dodávky služeb (management úrovně služeb, výkazy o službách, management kontinuity a dostupnosti služeb, rozpočtování a účtování pro IT služby, management kapacit, management bezpečnosti informací) 5.Procesy vztahů (management vztahů s byznysem a dodavateli) 6.Procesy řešení (management incidentů a problémů) 7.Řídicí procesy (management konfigurací a změn) 8.Proces uvolnění ISO/IEC – podrobněji Rizika v implementaci procesů managementu služeb IT | | 6

7 Definuje, zaznamenává, udržuje a řídí úrovně poskytovaných služeb (Service Level Agreement, SLA); Veškeré detaily poskytované služby musí být zaznamenány a řízeny; Změny v SLA podléhají procesu řízení změn; Monitoring – porovnání dosažené reality a cílů; akční plány. Odsouhlasení úrovně informační bezpečnosti a monitoring; Definování podmínek platnosti dohodnuté úrovně bezpečnosti! Proces managementu úrovně služeb (1/8) Rizika v implementaci procesů managementu služeb IT | | 7

8 Na základě business plánů a strategie společnosti, SLAs a ohodnocených rizik: Ustanovit; Testovat; A zlepšovat plány kontinuity dané služby nebo celé organizace. Využití v informační bezpečnosti: řízení rizik s extrémním dopadem a nízkou pravděpodobností výskytu (důvěrnost, integrita a dostupnost informačních aktiv) Proces managementu kontinuity a dostupnosti (2/8) Rizika v implementaci procesů managementu služeb IT | | 8

9 Cílem je zabezpečení dostatečné kapacity „zdrojů“ v každý okamžik poskytování služby; Na základě potřeb businessu; Sledování trendů; Předvídání kapacit v budoucnu. Informační bezpečnost: Např. IDS systém, DoS útok; Zabezpečení fyzického perimetru, apod. Proces managementu kapacit (3/8) Rizika v implementaci procesů managementu služeb IT | | 9

10 Rozlišuje vztahy se zákazníky a dodavateli; Cílem je řídit dodavatele tak, aby bylo zajištěno nepřerušené poskytování služby zákazníkovi; Klíč k úspěchu je v proaktivitě! Využití v informační bezpečnosti: v případě, že je část služby poskytované zákazníkovi v režii třetí strany (dodavatelé, outsourcing), dostupnost informací… Proces managementu vztahů (4/8) Rizika v implementaci procesů managementu služeb IT | | 10

11 Rozdíl mezi incidentem a problémem! Management incidentů: obnovit dodávku služby po incidentu; Zaznamenání všech incidentů, stanovení priorit a dopadu na business; Důležitá je komunikace se zákazníkem; Management problémů: odhalit podstatu vzniklého problému, proaktivní vyhledávání potenciálních incidentů (problémů). Incident management je již pokryt ISO/IEC 27002; ISO/IEC 20000: rozšíření pohledu (problém vs. incident). Proces managementu incidentů a problémů (5/8) Rizika v implementaci procesů managementu služeb IT | | 11

12 Jádrem je konfigurační databáze (CMDB); Primárním cílem je udržovat a řídit veškeré položky konfigurace (verze, změny, vztahy), které jsou důležité pro business; Změny podléhají procesu managementu změn. Informační bezpečnost: Příklad: detekce ne bezpečné verze firmwaru firewallu; Řízení rizik, registr rizik!!! Proces managementu konfigurací (6/8) Rizika v implementaci procesů managementu služeb IT | | 12

13 Cílem je řídit změny: ohodnocení, odsouhlasení, implementace, měření… - vše kontrolovaným způsobem; Identifikace potenciálních problémů / incidentů; Řízení rizik a jejich dopadu na business. Informační bezpečnost: neřízené změny a jejich vliv na informační bezpečnost (např. firewall pravidla). Proces managementu změn (7/8) Rizika v implementaci procesů managementu služeb IT | | 13

14 Velmi úzce svázán s managementem změn a konfigurací; Každé uvolnění musí být plánováno společně se zákazníkem; Testování nové verze; Ohodnocení a analýza změn; Musí obsahovat procedury pro návrat v případě selhání (CMDB). Informační bezpečnost: například analýza změn, monitoring a mechanizmy pro navrácení do původního stavu. Proces managementu uvolnění (8/8) Rizika v implementaci procesů managementu služeb IT | | 14

15 Risk Management Tool – ISO/IEC / ready

16 Děkuji za pozornost.


Stáhnout ppt "Efektivní informační bezpečnost Petr Svojanovský, FIT VUT Brno, ANECT a.s. Jitka Kreslíková, FIT VUT Brno Luděk Novák, ANECT a.s. Konference Security and."

Podobné prezentace


Reklamy Google