610 likes | 823 Views
Manažment bezpečnosti. Manažérske metódy v riadení bezpečnosti CRAMM, ITIL, BCM, IBA,. 34 slide. Metodika a nástroj CRAMM. ( C CTA R isk A nalysis and M anagement M ethod – účel: podpora pri vykonávaní analýzy rizík informačného systému (3.x)
E N D
Manažment bezpečnosti Manažérske metódy v riadení bezpečnosti CRAMM, ITIL, BCM, IBA, ... 34 slide
Metodika a nástroj CRAMM • (CCTA Risk Analysis and Management Method – účel: • podpora pri vykonávaní analýzyrizíkinformačnéhosystému (3.x) • analýzastavuvočinorme BS7799-2 (Gap Analysis 4.x) • certifikácia ISO/IEC 27001:2005 (5.x)
prípravu na certifikáciu podľa ISO/IEC 27001:2005; • vykonanie detailného aj expresného hodnotenia rizík informačných systémov; • návrh opatrení na zvyšovanie úrovne informačnej bezpečnosti; • vykonávanie analýzy stavu voči ISO/IEC 27001:2005; • riadenie informačných rizík; • tvorbu bezpečnostnej dokumentácie; • vytváranie havarijných plánov, a plánov na zaistenie kontinuity prevádzky (DRP, BCM).
Metodika CRAMM • aplikovaná vo všetkých fázach životného cyklu • plánovanie • vývoj • realizácia • ostrá prevádzku • pre všetky podniky
Typy analýz • typy analýzy poskytujú dostatočnú variabilitu pri voľbe štýlu práce, dĺžky analýzy, objemu vstupov aj výstupov a pod • CRAMM Expert • CRAMM Express • Analýza BS7799 (ISO 27001)
Identifikácia rizík • aktív (komponentov) hodnoteného systému, • ich zraniteľnosti, • vplyvu prostredia (sily hrozieb) • potenciálneho negatívneho vplyvu na činnosť systému (dopadov).
Oblasti pokrytia • bezpečnosť informačného systému, • objektová bezpečnosť, • fyzická • personálna bezpečnosť • bezpečnosť podpornej infraštruktúry
F1 - identifikácia aktív • Vytvorenie modelov a ohodnotenie aktív: • Identifikácia aktív - dát, služieb nad údajmi, programového vybavenia, • fyzických aktív a priestorov, • vytvorenie modelov aktív, ktoré definujú závislosť medzi rôznymi typmi aktív,
Identifikácia aktív • ohodnotenie dátových aktív (dopad pri prezradení, modifikácii, zničení, neprístupnosti), • ohodnotenie fyzických a programových aktív (náklady na obnovu, rekonštrukciu).
F2- Stanovenie rizík • Výpočet rizík, vyplývajúcich z hrozieb pôsobiacich na systém, alebo sieť, založených na ohodnotení aktív a • hodnotenie úrovne hrozieb a zraniteľnosti.
F3 - Riadenie rizík • zahŕňa identifikáciu, výber a zavedenie vhodných bezpečnostných opatrení pre zníženie rizika na prijateľnú úroveň • opatrenia z knižnice opatrení tak, aby pokryli všetky možné hrozby identifikované v druhej fáze s ohľadom na vypočítanú mieru rizika. • Takýmto spôsobom vznikne bezpečnostný profil IS.
Výstupy z analýzy • Prehľad o dátových hodnotách - Obsahuje hodnotenie následkov, ktoré môžu pri dátach nastať. Tieto hodnoty sú jedným z parametrov pre stanovenie miery rizika. • Prehľad o miere rizika - Obsahuje hodnoty pre každé aktívum a hrozbu. Podľa miery rizík sú odporúčané protiopatrenia rôznej „sily“ a efektivity.
Výstupy z analýzy ... • Prehľad o hrozbách a skupinách aktív - Každú hrozbu je nutné pokryť určitými protiopatreniami. V tomto prehľade je väzba medzi hrozbou a skupinou protiopatrení.
Výstupy z analýzy ... • Zoznam odporučených protiopatrení - Najdôležitejší prehľad z expresnej analýzy obsahuje celý rad (počet závisí na miere rizika) bezpečnostných protiopatrení, ktoré sú odporučené k pokrytiu rizík.
Analýza BS7799 (ISO 27001) • Analýzy stavu • prípravy Prehlásenia o aplikovaní protiopatrení • Tento typ analýzy CRAMM je vhodný, pokiaľ sa organizácia rozhodne zaviesť a prevádzkovať ISMS a následne ho certifikovať
An. BS7799 umožňuje: • Bezpečnostnú politiku organizácie, • Správu o rozsahu ISMS, • Prehlásenie o aplikovaní protiopatrení, dokumenty o systéme riadenia bezpečnosti • Vykonávať hodnotenie rizika, ktorého výsledky sa priamo vzťahujú k častiam tém obsiahnutých v norme BS 7799
A BS7799 umožňuje: • Zaznamenávať názory manažmentu na potrebu určitých typov protiopatrení • Zaznamenávať, ktoré zdroje zaisťujú dané protiopatrenia • Vytvárať Program zvyšovania úrovne bezpečnosti.
je súbor konceptov a postupov, ktoré umožňujú lepšie plánovať, využívať a skvalitňovať využitie informačných technológií (IT)
ITIL v2 • Dodávka IT služieb (IT Service Delivery) • Podpora IT služieb (IT service Support) • bežne dohromady označované ako IT Service Management (ITSM).
ITIL v3 • Podnikateľský pohľad (Business Perspectives) • Správa aplikácií IT (Application Management) • Dodávka IT služieb (IT Services Delivery) • Podpora IT služieb (IT Services Support) • Správa IT infraštruktúry (IT Infrastructure Management) • Riadenie IT projektov (IT Project Management) • Správa bezpečnosti (Security Management).
Charakteristické rysy ITIL • Procesné riadenie • Zákaznícky orientovaný prístup • Jednoznačnáterminológia • Nezávislosť na platforme • Public Domain
Procesné riadenie • ITIL prináša moderný, procesne orientovaný prístup k riadeniu IT služieb (na rozdiel od tradičného funkčne - líniového riadenia). • Proces je logický sled činností transformujúcich nejaký vstup na nejaký výstup, pričom plnenie jednotlivých činností v procese je zaisťované úlohami (rolami) s jasne definovanou zodpovednosťou. • Celý proces je riadený, monitorovaný, meraný, vyhodnocovaný a neustále vylepšovaný, čo je zodpovednosťou vlastníka procesu.
Zákaznícky orientovaný prístup • Tento rys vyplýva priamo zo samotnej podstaty ITSM; všetky procesy sa navrhujú s ohľadom na potreby zákazníka, tzn. každá aktivita, každý úkon v každom procese musí prinášať nejakú pridanú hodnotu pre zákazníka - pokiaľ nie, potom je taká činnosť nadbytočná
Jednoznačnáterminológia • Jednoznačná terminológia je niekedy málo doceňovanou alebo úplne opomínanou charakteristikou ITIL, ale len do tej doby, než budeme v praxi prvý raz riešiť nedorozumenia plynúce z toho, že niekto používa rovnaký termín v inom význame, než očakávame.
Nezávislosť na platforme • Rámec ITSM procesov podľa ITIL je nezávislý na akejkoľvek platforme. Dokonca je možné ITIL použiť aj pre navrhnutie procesov (úplne mimo oblasť ICT) v akejkoľvek firme, ktorá podniká v službách.
Public domain • Knižnica je voľne dostupná, čo znamená, že každý si môže knihy ITIL kúpiť a procesy ITSM podľa ITIL vo svojom podniku implementovať, bez toho aby musel platiť akékoľvek ďalšie licenčné poplatky. • Táto skutočnosť o.i. prispela k rýchlemu celosvetovému rozšírení ITIL.
Rámcový model ITIL • poskytuje návody pre všetky aspekty (end-to-end) ServiceManagementu na základe „najlepších praktík (Bestpracties)“ a pokrýva kompletné spektrum personálu, procesov, produktov a využitie partnerov. • „prijať a prispôsobiť“ (adopt and adapt), • kritické faktory úspechu • kľúčové výkonnostné indikátory
Dodávkaslužieb • ServiceDelivery: pokrýva procesy potrebné pre plánovanie a dodávku kvalitných služieb IT a zameriava sa na procesy s dlhším časovým dopadom, spojené so zlepšovaním kvality dodávaných služieb IT
Podporaslužieb • ServiceSupport: popisuje procesy spojené s každodennými aktivitami podpory a údržby spojenými s poskytovaním služieb IT
SprávainfraštruktúryICT • ICT Infrastructure Management/ICT IM) pokrýva všetky aspekty ICT Infrastructure Managementu od identifikácie obchodných požiadaviek cez ponukový proces k testovaniu, inštalácii, rozšíreniu a k následným operáciám a optimalizácii komponentov ICT a služieb IT.
Plánovánieimplementácie • Planning to Implement Service Management: zameriava sa na problémy a úlohy súvisiace s plánovaním, zavádzaním a zlepšovaním procesov Správy služieb v organizácii. • Zameriava sa rovnako na problémy súvisiace s kultúrnymi a organizačnými zmenami, s rozvojom vízie a stratégie a s najvhodnejšími metódami prístupu.
Správaaplikácií • Application Management: popisuje, ako spravovať aplikácie od východiskovej potreby businessu cez všetky fáze životného cyklu aplikácie až do vyradenie (vrátane). • kladie dôraz na to, aby boli projekty a stratégia IT boli v tesnom súlade s projektmi a stratégiami businessu v celom životnom cykle aplikácie, a tým aby bolo zaistené, že business získa za svoje investície najlepšiu hodnotu.
Perspektívabusinessu • The Business Perspective: poskytuje personálu IT radu a návod pre pochopenie, ako môžu prispieť k cieľom businessu a ako ich role a služby môžu byť lepšie prispôsobené a využité pre maximalizovania ich príspevku.
Správabezpečnosti • SecurityManagement: popisuje proces plánovania a správy definovanej úrovne bezpečnosti informácií a služieb IT, rátajúc so všetkými aspektmi súvisiacich s reakciou na bezpečnostné incidenty. • Zahŕňa analýzu a správu rizík a zraniteľností a implementáciu zdôvodnených protiopatrení.
IT Security Management • zaisťuje, že sú implementované a udržiavané bezpečnostné kontroly, ktoré sa zameriavajú na zmenené pomery, ako je zmena • businessu • požiadaviek na služby IT, • prvkov architektúry IT, • ohrození atd.
IT Security Management zaisťuje, že • sú spravované bezpečnostné incidenty • výsledky auditu ukazujú adekvátnosť bezpečnostných kontrol a prijatých opatrení • sú produkované reporty, ktoré prezentujú stav informačnej bezpečnosti.
Proces Informač. bezpečnosti • Proces znázorňuje kompletnú cestu od zberu požiadaviek zákazníka cez plánovanie, implementáciu, vyhodnotenie a údržbu - pod dohľadom kontroly - s pravidelným reportovaním stavu zákazníkovi, čo celú slučku uzatvára.
Business Continuity Management BCM, BIA,
BCM • riadiaci proces, pri ktorom sú identifikované možné dopadyudalostí, ohrozujúcich činnosť organizácie a ktorý definuje základný rámec prehlbovania schopností organizácie na takéto udalosti správne a úspešne reagovať.
1. Porozumenie činnosti • identifikácia kritických činností, procesov a zdrojov, ktoré podporujú kľúčové produkty alebo služby organizácie; • vykonanie tzv. analýzy dopadov (Business Impact Analysis, BIA), Kľúčovými výstupmi analýzy pre ďalšie kroky implementácie BCM sú stanovené maximálnetolerované doby narušenie procesu / činnosti (MaximumTolerablePeriodofDisruption, MTPD alebo taktiež MaximumTolerableOutage, MTO), cieľovej doby obnovy (RecoveryTimeObjectives, RTO) spolu s minimálnou požadovanou úrovňou funkčnosti služieb (LevelofBusinessContinuity, LBC);
Porozumenie ... • vykonanie hodnotenia rizík (RiskAssessment) vo vzťahu k zdrojom využívaných v identifikovaných kritických činnostiach. Organizácia by si mala zvoliť vhodnú metodiku hodnotenia rizík vyhovujúcu jej požiadavkám, ktorá umožní organizácii porozumieť hrozbám pôsobiacim na tieto zdroje, zraniteľnosti týchto zdrojov a dopadu na organizáciu, pokiaľ hrozby využití tieto zraniteľnosti a spôsobia incident s následkom narušenia / prerušenia činnosti;
porozumenie ... • výber vhodných opatrení pre zvládnutie rizík, ktoré sú navrhnuté k zníženiu pravdepodobnosti narušenia, skrátenie doby narušenia činnosti a k obmedzeniu dopadu narušenia na kľúčové produkty a služby organizácie.