Efektivní informační bezpečnost Petr Svojanovský, FIT VUT Brno, ANECT a.s. Jitka Kreslíková, FIT VUT Brno Luděk Novák, ANECT a.s. Konference Security and Protection of Information 6. 5. 2009, BVV Brno

Obsah prezentace Tradiční přístup k informační bezpečnosti; Zvyšovaní efektivity v informační bezpečnosti; Využití procesů dle ISO/IEC 20000 v informační bezpečnosti. Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 2

Informační bezpečnost – tradiční přístup Standardy řady ISO/IEC 27000 – zaběhlý a ověřený přístup k informační bezpečnosti: ISO/IEC 27001: specifikace ISMS (Information Security Management System); ISO/IEC 27002: soubor postupů pro ISMS; ISO/IEC 27005: risk management v informační bezpečnosti; … a další. Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 3

ISMS dle ISO/IEC 27000 – možnosti zlepšení? Pokrývá ISO/IEC 27000 všechny aspekty informační bezpečnosti? Co ještě podniknout, aby byl ISMS efektivnější? Odpověď: ANO, ISO/IEC 27000 dobře pokrývá informační bezpečnost; ALE, převzetím přístupů z jiných (standardizovaných) oblastí lze vybudovat bezpečnější a efektivnější ISMS. Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 4

ISO/IEC 20000 – stručně První mezinárodní standard zaměřený na IT Service Management Zabývá se procesy – není určen k hodnocení produktů! Rozdělen do dvou částí: ISO/IEC 20000-1:2005 – specifikace: nutné k získání certifikace ISO/IEC 20000-2:2005 – soubor postupů: popis tzv. best practices Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 5

ISO/IEC 20000 – podrobněji Požadavky na systém managementu (odpovědnost managementu, požadavky na dokumentaci, odborná způsobilost, povědomí a výcvik) Plánování a implementace managementu služeb (PDCA) Plánování a implementace nových nebo změněných služeb Procesy dodávky služeb (management úrovně služeb, výkazy o službách, management kontinuity a dostupnosti služeb, rozpočtování a účtování pro IT služby, management kapacit, management bezpečnosti informací) Procesy vztahů (management vztahů s byznysem a dodavateli) Procesy řešení (management incidentů a problémů) Řídicí procesy (management konfigurací a změn) Proces uvolnění Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 6

Proces managementu úrovně služeb (1/8) Definuje, zaznamenává, udržuje a řídí úrovně poskytovaných služeb (Service Level Agreement, SLA); Veškeré detaily poskytované služby musí být zaznamenány a řízeny; Změny v SLA podléhají procesu řízení změn; Monitoring – porovnání dosažené reality a cílů; akční plány. Odsouhlasení úrovně informační bezpečnosti a monitoring; Definování podmínek platnosti dohodnuté úrovně bezpečnosti! Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 7

Proces managementu kontinuity a dostupnosti (2/8) Na základě business plánů a strategie společnosti, SLAs a ohodnocených rizik: Ustanovit; Testovat; A zlepšovat plány kontinuity dané služby nebo celé organizace. Využití v informační bezpečnosti: řízení rizik s extrémním dopadem a nízkou pravděpodobností výskytu (důvěrnost, integrita a dostupnost informačních aktiv) Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 8

Proces managementu kapacit (3/8) Cílem je zabezpečení dostatečné kapacity „zdrojů“ v každý okamžik poskytování služby; Na základě potřeb businessu; Sledování trendů; Předvídání kapacit v budoucnu. Informační bezpečnost: Např. IDS systém, DoS útok; Zabezpečení fyzického perimetru, apod. Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 9

Proces managementu vztahů (4/8) Rozlišuje vztahy se zákazníky a dodavateli; Cílem je řídit dodavatele tak, aby bylo zajištěno nepřerušené poskytování služby zákazníkovi; Klíč k úspěchu je v proaktivitě! Využití v informační bezpečnosti: v případě, že je část služby poskytované zákazníkovi v režii třetí strany (dodavatelé, outsourcing), dostupnost informací… Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 10

Proces managementu incidentů a problémů (5/8) Rozdíl mezi incidentem a problémem! Management incidentů: obnovit dodávku služby po incidentu; Zaznamenání všech incidentů, stanovení priorit a dopadu na business; Důležitá je komunikace se zákazníkem; Management problémů: odhalit podstatu vzniklého problému, proaktivní vyhledávání potenciálních incidentů (problémů). Incident management je již pokryt ISO/IEC 27002; ISO/IEC 20000: rozšíření pohledu (problém vs. incident). Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 11

Proces managementu konfigurací (6/8) Jádrem je konfigurační databáze (CMDB); Primárním cílem je udržovat a řídit veškeré položky konfigurace (verze, změny, vztahy), které jsou důležité pro business; Změny podléhají procesu managementu změn. Informační bezpečnost: Příklad: detekce ne bezpečné verze firmwaru firewallu; Řízení rizik, registr rizik!!! Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 12

Proces managementu změn (7/8) Cílem je řídit změny: ohodnocení, odsouhlasení, implementace, měření… - vše kontrolovaným způsobem; Identifikace potenciálních problémů / incidentů; Řízení rizik a jejich dopadu na business. Informační bezpečnost: neřízené změny a jejich vliv na informační bezpečnost (např. firewall pravidla). Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 13

Proces managementu uvolnění (8/8) Velmi úzce svázán s managementem změn a konfigurací; Každé uvolnění musí být plánováno společně se zákazníkem; Testování nové verze; Ohodnocení a analýza změn; Musí obsahovat procedury pro návrat v případě selhání (CMDB). Informační bezpečnost: například analýza změn, monitoring a mechanizmy pro navrácení do původního stavu. Rizika v implementaci procesů managementu služeb IT | 7.4.2017 | 14

Risk Management Tool – ISO/IEC 27000 / 20000 ready

Děkuji za pozornost. petr.svojanovsky@anect.com