1 / 61

Manažment bezpečnosti

Manažment bezpečnosti. Manažérske metódy v riadení bezpečnosti CRAMM, ITIL, BCM, IBA,. 34 slide. Metodika a nástroj CRAMM. ( C CTA R isk A nalysis and M anagement M ethod – účel: podpora pri vykonávaní analýzy rizík informačného systému (3.x)

Télécharger la présentation

Manažment bezpečnosti

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Manažment bezpečnosti Manažérske metódy v riadení bezpečnosti CRAMM, ITIL, BCM, IBA, ... 34 slide

  2. Metodika a nástroj CRAMM • (CCTA Risk Analysis and Management Method – účel: • podpora pri vykonávaní analýzyrizíkinformačnéhosystému (3.x) • analýzastavuvočinorme BS7799-2 (Gap Analysis 4.x) • certifikácia ISO/IEC 27001:2005 (5.x)

  3. prípravu na certifikáciu podľa ISO/IEC 27001:2005; • vykonanie detailného aj expresného hodnotenia rizík informačných systémov; • návrh opatrení na zvyšovanie úrovne informačnej bezpečnosti; • vykonávanie analýzy stavu voči ISO/IEC 27001:2005; • riadenie informačných rizík; • tvorbu bezpečnostnej dokumentácie; • vytváranie havarijných plánov, a plánov na zaistenie kontinuity prevádzky (DRP, BCM).

  4. Metodika CRAMM • aplikovaná vo všetkých fázach životného cyklu • plánovanie • vývoj • realizácia • ostrá prevádzku • pre všetky podniky

  5. Typy analýz • typy analýzy poskytujú dostatočnú variabilitu pri voľbe štýlu práce, dĺžky analýzy, objemu vstupov aj výstupov a pod • CRAMM Expert • CRAMM Express • Analýza BS7799 (ISO 27001)

  6. Identifikácia rizík • aktív (komponentov) hodnoteného systému, • ich zraniteľnosti, • vplyvu prostredia (sily hrozieb) • potenciálneho negatívneho vplyvu na činnosť systému (dopadov).

  7. Oblasti pokrytia • bezpečnosť informačného systému, • objektová bezpečnosť, • fyzická • personálna bezpečnosť • bezpečnosť podpornej infraštruktúry

  8. F1 - identifikácia aktív • Vytvorenie modelov a ohodnotenie aktív: • Identifikácia aktív - dát, služieb nad údajmi, programového vybavenia, • fyzických aktív a priestorov, • vytvorenie modelov aktív, ktoré definujú závislosť medzi rôznymi typmi aktív,

  9. Identifikácia aktív • ohodnotenie dátových aktív (dopad pri prezradení, modifikácii, zničení, neprístupnosti), • ohodnotenie fyzických a programových aktív (náklady na obnovu, rekonštrukciu).

  10. F2- Stanovenie rizík • Výpočet rizík, vyplývajúcich z hrozieb pôsobiacich na systém, alebo sieť, založených na ohodnotení aktív a • hodnotenie úrovne hrozieb a zraniteľnosti.

  11. F3 - Riadenie rizík • zahŕňa identifikáciu, výber a zavedenie vhodných bezpečnostných opatrení pre zníženie rizika na prijateľnú úroveň • opatrenia z knižnice opatrení tak, aby pokryli všetky možné hrozby identifikované v druhej fáze s ohľadom na vypočítanú mieru rizika. • Takýmto spôsobom vznikne bezpečnostný profil IS.

  12. Základné fázy

  13. Výstupy z analýzy • Prehľad o dátových hodnotách - Obsahuje hodnotenie následkov, ktoré môžu pri dátach nastať. Tieto hodnoty sú jedným z parametrov pre stanovenie miery rizika. • Prehľad o miere rizika - Obsahuje hodnoty pre každé aktívum a hrozbu. Podľa miery rizík sú odporúčané protiopatrenia rôznej „sily“ a efektivity.

  14. Výstupy z analýzy ... • Prehľad o hrozbách a skupinách aktív - Každú hrozbu je nutné pokryť určitými protiopatreniami. V tomto prehľade je väzba medzi hrozbou a skupinou protiopatrení.

  15. Výstupy z analýzy ... • Zoznam odporučených protiopatrení - Najdôležitejší prehľad z expresnej analýzy obsahuje celý rad (počet závisí na miere rizika) bezpečnostných protiopatrení, ktoré sú odporučené k pokrytiu rizík.

  16. Analýza BS7799 (ISO 27001) • Analýzy stavu • prípravy Prehlásenia o aplikovaní protiopatrení • Tento typ analýzy CRAMM je vhodný, pokiaľ sa organizácia rozhodne zaviesť a prevádzkovať ISMS a následne ho certifikovať

  17. An. BS7799 umožňuje: • Bezpečnostnú politiku organizácie, • Správu o rozsahu ISMS, • Prehlásenie o aplikovaní protiopatrení, dokumenty o systéme riadenia bezpečnosti • Vykonávať hodnotenie rizika, ktorého výsledky sa priamo vzťahujú k častiam tém obsiahnutých v norme BS 7799

  18. A BS7799 umožňuje: • Zaznamenávať názory manažmentu na potrebu určitých typov protiopatrení • Zaznamenávať, ktoré zdroje zaisťujú dané protiopatrenia • Vytvárať Program zvyšovania úrovne bezpečnosti.

  19. Information Technology Infrastructure Library ITIL

  20. je súbor konceptov a postupov, ktoré umožňujú lepšie plánovať, využívať a skvalitňovať využitie informačných technológií (IT)

  21. ITIL v2 • Dodávka IT služieb (IT Service Delivery) • Podpora IT služieb (IT service Support) • bežne dohromady označované ako IT Service Management (ITSM).

  22. ITIL v3 • Podnikateľský pohľad (Business Perspectives) • Správa aplikácií IT (Application Management) • Dodávka IT služieb (IT Services Delivery) • Podpora IT služieb (IT Services Support) • Správa IT infraštruktúry (IT Infrastructure Management) • Riadenie IT projektov (IT Project Management) • Správa bezpečnosti (Security Management).

  23. Charakteristické rysy ITIL • Procesné riadenie • Zákaznícky orientovaný prístup • Jednoznačnáterminológia • Nezávislosť na platforme • Public Domain

  24. Procesné riadenie • ITIL prináša moderný, procesne orientovaný prístup k riadeniu IT služieb (na rozdiel od tradičného funkčne - líniového riadenia). • Proces je logický sled činností transformujúcich nejaký vstup na nejaký výstup, pričom plnenie jednotlivých činností v procese je zaisťované úlohami (rolami) s jasne definovanou zodpovednosťou. • Celý proces je riadený, monitorovaný, meraný, vyhodnocovaný a neustále vylepšovaný, čo je zodpovednosťou vlastníka procesu.

  25. Zákaznícky orientovaný prístup • Tento rys vyplýva priamo zo samotnej podstaty ITSM; všetky procesy sa navrhujú s ohľadom na potreby zákazníka, tzn. každá aktivita, každý úkon v každom procese musí prinášať nejakú pridanú hodnotu pre zákazníka - pokiaľ nie, potom je taká činnosť nadbytočná

  26. Jednoznačnáterminológia • Jednoznačná terminológia je niekedy málo doceňovanou alebo úplne opomínanou charakteristikou ITIL, ale len do tej doby, než budeme v praxi prvý raz riešiť nedorozumenia plynúce z toho, že niekto používa rovnaký termín v inom význame, než očakávame.

  27. Nezávislosť na platforme • Rámec ITSM procesov podľa ITIL je nezávislý na akejkoľvek platforme. Dokonca je možné ITIL použiť aj pre navrhnutie procesov (úplne mimo oblasť ICT) v akejkoľvek firme, ktorá podniká v službách.

  28. Public domain • Knižnica je voľne dostupná, čo znamená, že každý si môže knihy ITIL kúpiť a procesy ITSM podľa ITIL vo svojom podniku implementovať, bez toho aby musel platiť akékoľvek ďalšie licenčné poplatky. • Táto skutočnosť o.i. prispela k rýchlemu celosvetovému rozšírení ITIL.

  29. Rámcový model ITIL • poskytuje návody pre všetky aspekty (end-to-end) ServiceManagementu na základe „najlepších praktík (Bestpracties)“ a pokrýva kompletné spektrum personálu, procesov, produktov a využitie partnerov. • „prijať a prispôsobiť“ (adopt and adapt), • kritické faktory úspechu • kľúčové výkonnostné indikátory

  30. Dodávkaslužieb • ServiceDelivery: pokrýva procesy potrebné pre plánovanie a dodávku kvalitných služieb IT a zameriava sa na procesy s dlhším časovým dopadom, spojené so zlepšovaním kvality dodávaných služieb IT

  31. Podporaslužieb • ServiceSupport: popisuje procesy spojené s každodennými aktivitami podpory a údržby spojenými s poskytovaním služieb IT

  32. SprávainfraštruktúryICT • ICT Infrastructure Management/ICT IM) pokrýva všetky aspekty ICT Infrastructure Managementu od identifikácie obchodných požiadaviek cez ponukový proces k testovaniu, inštalácii, rozšíreniu a k následným operáciám a optimalizácii komponentov ICT a služieb IT.

  33. Plánovánieimplementácie • Planning to Implement Service Management: zameriava sa na problémy a úlohy súvisiace s plánovaním, zavádzaním a zlepšovaním procesov Správy služieb v organizácii. • Zameriava sa rovnako na problémy súvisiace s kultúrnymi a organizačnými zmenami, s rozvojom vízie a stratégie a s najvhodnejšími metódami prístupu.

  34. Správaaplikácií • Application Management: popisuje, ako spravovať aplikácie od východiskovej potreby businessu cez všetky fáze životného cyklu aplikácie až do vyradenie (vrátane). • kladie dôraz na to, aby boli projekty a stratégia IT boli v tesnom súlade s projektmi a stratégiami businessu v celom životnom cykle aplikácie, a tým aby bolo zaistené, že business získa za svoje investície najlepšiu hodnotu.

  35. Perspektívabusinessu • The Business Perspective: poskytuje personálu IT radu a návod pre pochopenie, ako môžu prispieť k cieľom businessu a ako ich role a služby môžu byť lepšie prispôsobené a využité pre maximalizovania ich príspevku.

  36. Správabezpečnosti • SecurityManagement: popisuje proces plánovania a správy definovanej úrovne bezpečnosti informácií a služieb IT, rátajúc so všetkými aspektmi súvisiacich s reakciou na bezpečnostné incidenty. • Zahŕňa analýzu a správu rizík a zraniteľností a implementáciu zdôvodnených protiopatrení.

  37. IT Security Management • zaisťuje, že sú implementované a udržiavané bezpečnostné kontroly, ktoré sa zameriavajú na zmenené pomery, ako je zmena • businessu • požiadaviek na služby IT, • prvkov architektúry IT, • ohrození atd.

  38. IT Security Management zaisťuje, že • sú spravované bezpečnostné incidenty • výsledky auditu ukazujú adekvátnosť bezpečnostných kontrol a prijatých opatrení • sú produkované reporty, ktoré prezentujú stav informačnej bezpečnosti.

  39. Proces Informač. bezpečnosti • Proces znázorňuje kompletnú cestu od zberu požiadaviek zákazníka cez plánovanie, implementáciu, vyhodnotenie a údržbu - pod dohľadom kontroly - s pravidelným reportovaním stavu zákazníkovi, čo celú slučku uzatvára.

  40. Business Continuity Management BCM, BIA,

  41. BCM • riadiaci proces, pri ktorom sú identifikované možné dopadyudalostí, ohrozujúcich činnosť organizácie a ktorý definuje základný rámec prehlbovania schopností organizácie na takéto udalosti správne a úspešne reagovať.

  42. Životný cyklus BCM

  43. 1. Porozumenie činnosti • identifikácia kritických činností, procesov a zdrojov, ktoré podporujú kľúčové produkty alebo služby organizácie; • vykonanie tzv. analýzy dopadov (Business Impact Analysis, BIA), Kľúčovými výstupmi analýzy pre ďalšie kroky implementácie BCM sú stanovené maximálnetolerované doby narušenie procesu / činnosti (MaximumTolerablePeriodofDisruption, MTPD alebo taktiež MaximumTolerableOutage, MTO), cieľovej doby obnovy (RecoveryTimeObjectives, RTO) spolu s minimálnou požadovanou úrovňou funkčnosti služieb (LevelofBusinessContinuity, LBC);

  44. Porozumenie ... • vykonanie hodnotenia rizík (RiskAssessment) vo vzťahu k zdrojom využívaných v identifikovaných kritických činnostiach. Organizácia by si mala zvoliť vhodnú metodiku hodnotenia rizík vyhovujúcu jej požiadavkám, ktorá umožní organizácii porozumieť hrozbám pôsobiacim na tieto zdroje, zraniteľnosti týchto zdrojov a dopadu na organizáciu, pokiaľ hrozby využití tieto zraniteľnosti a spôsobia incident s následkom narušenia / prerušenia činnosti;

  45. porozumenie ... • výber vhodných opatrení pre zvládnutie rizík, ktoré sú navrhnuté k zníženiu pravdepodobnosti narušenia, skrátenie doby narušenia činnosti a k obmedzeniu dopadu narušenia na kľúčové produkty a služby organizácie.

More Related