1 / 16

Efektivní informační bezpečnost

Efektivní informační bezpečnost. Petr Svojanovský, FIT VUT Brno, ANECT a.s. Jitka Kreslíková, FIT VUT Brno Luděk Novák, ANECT a.s. Konference Security and Protection of Information 6. 5. 2009, BVV Brno. Obsah prezentace. Tradiční přístup k informační bezpečnosti;

padma
Download Presentation

Efektivní informační bezpečnost

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Efektivní informační bezpečnost • Petr Svojanovský, FIT VUT Brno, ANECT a.s. • Jitka Kreslíková, FIT VUT Brno • Luděk Novák, ANECT a.s. • Konference Security and Protection of Information • 6. 5. 2009, BVV Brno

  2. Obsah prezentace • Tradiční přístup k informační bezpečnosti; • Zvyšovaní efektivity v informační bezpečnosti; • Využití procesů dle ISO/IEC 20000 v informační bezpečnosti.

  3. Informační bezpečnost – tradiční přístup • Standardy řady ISO/IEC 27000 – zaběhlý a ověřený přístup k informační bezpečnosti: • ISO/IEC 27001: specifikace ISMS (Information Security Management System); • ISO/IEC 27002: soubor postupů pro ISMS; • ISO/IEC 27005: risk management v informační bezpečnosti; • … a další.

  4. ISMS dle ISO/IEC 27000 – možnosti zlepšení? • Pokrývá ISO/IEC 27000 všechny aspekty informační bezpečnosti? • Co ještě podniknout, aby byl ISMS efektivnější? • Odpověď: • ANO, ISO/IEC 27000 dobře pokrývá informační bezpečnost; • ALE, převzetím přístupů z jiných (standardizovaných) oblastí lze vybudovatbezpečnější a efektivnější ISMS.

  5. ISO/IEC 20000 – stručně • První mezinárodní standard zaměřený na IT Service Management • Zabývá se procesy – není určen k hodnocení produktů! • Rozdělen do dvou částí: • ISO/IEC 20000-1:2005 – specifikace: nutné k získání certifikace • ISO/IEC 20000-2:2005 – soubor postupů: popis tzv. best practices

  6. ISO/IEC 20000 – podrobněji • Požadavky na systém managementu (odpovědnost managementu, požadavky na dokumentaci, odborná způsobilost, povědomí a výcvik) • Plánování a implementace managementu služeb (PDCA) • Plánování a implementace nových nebo změněných služeb • Procesy dodávky služeb (management úrovně služeb, výkazy o službách, management kontinuity a dostupnosti služeb, rozpočtování a účtování pro IT služby, management kapacit, management bezpečnosti informací) • Procesy vztahů (management vztahů s byznysem a dodavateli) • Procesy řešení (management incidentů a problémů) • Řídicí procesy (management konfigurací a změn) • Proces uvolnění

  7. Proces managementu úrovně služeb (1/8) • Definuje, zaznamenává, udržuje a řídí úrovně poskytovaných služeb (Service Level Agreement, SLA); • Veškeré detaily poskytované služby musí být zaznamenány a řízeny; • Změny v SLA podléhají procesu řízení změn; • Monitoring – porovnání dosažené reality a cílů; akční plány. • Odsouhlasení úrovně informační bezpečnosti a monitoring; • Definování podmínek platnosti dohodnuté úrovně bezpečnosti!

  8. Proces managementu kontinuity a dostupnosti (2/8) • Na základě business plánů a strategie společnosti, SLAs a ohodnocených rizik: • Ustanovit; • Testovat; • A zlepšovat plány kontinuity dané služby nebo celé organizace. • Využití v informační bezpečnosti: řízení rizik s extrémním dopadem a nízkou pravděpodobností výskytu (důvěrnost, integrita a dostupnost informačních aktiv)

  9. Proces managementu kapacit (3/8) • Cílem je zabezpečení dostatečné kapacity „zdrojů“ v každý okamžik poskytování služby; • Na základě potřeb businessu; • Sledování trendů; • Předvídání kapacit v budoucnu. • Informační bezpečnost: • Např. IDS systém, DoS útok; • Zabezpečení fyzického perimetru, apod.

  10. Proces managementu vztahů (4/8) • Rozlišuje vztahy se zákazníky a dodavateli; • Cílem je řídit dodavatele tak, aby bylo zajištěno nepřerušené poskytování služby zákazníkovi; • Klíč k úspěchu je v proaktivitě! • Využití v informační bezpečnosti: v případě, že je část služby poskytované zákazníkovi v režii třetí strany (dodavatelé, outsourcing), dostupnost informací…

  11. Proces managementu incidentů a problémů (5/8) • Rozdíl mezi incidentem a problémem! • Management incidentů: obnovit dodávku služby po incidentu; • Zaznamenání všech incidentů, stanovení priorit a dopadu na business; • Důležitá je komunikace se zákazníkem; • Management problémů: odhalit podstatu vzniklého problému, proaktivní vyhledávání potenciálních incidentů (problémů). • Incident management je již pokryt ISO/IEC 27002; • ISO/IEC 20000: rozšíření pohledu (problém vs. incident).

  12. Proces managementu konfigurací (6/8) • Jádrem je konfigurační databáze (CMDB); • Primárním cílem je udržovat a řídit veškeré položky konfigurace (verze, změny, vztahy), které jsou důležité pro business; • Změny podléhají procesu managementu změn. • Informační bezpečnost: • Příklad: detekce ne bezpečné verze firmwaru firewallu; • Řízení rizik, registr rizik!!!

  13. Proces managementu změn (7/8) • Cílem je řídit změny: ohodnocení, odsouhlasení, implementace, měření… - vše kontrolovaným způsobem; • Identifikace potenciálních problémů / incidentů; • Řízení rizik a jejich dopadu na business. • Informační bezpečnost: neřízené změny a jejich vliv na informační bezpečnost (např. firewall pravidla).

  14. Proces managementu uvolnění (8/8) • Velmi úzce svázán s managementem změn a konfigurací; • Každé uvolnění musí být plánováno společně se zákazníkem; • Testování nové verze; • Ohodnocení a analýza změn; • Musí obsahovat procedury pro návrat v případě selhání (CMDB). • Informační bezpečnost: například analýza změn, monitoring a mechanizmy pro navrácení do původního stavu.

  15. Risk Management Tool – ISO/IEC 27000 / 20000 ready

  16. Děkuji za pozornost. petr.svojanovsky@anect.com

More Related