IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.: A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE

Átírás

1 Adat és Információvédelmi Mesteriskola 30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.: A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE

2 Tartalom (Miről volt szó eddig?) IT biztonsági management szabványok A PDCA ciklus Vezérfonal a tervezéshez Követelmények a stratégiához A stratéga jellemzői A stratégiák hierarchiája A stratégia kialakítása Mekkora a stratégia súlya? A tervezés lépései A tervezés összetevői A biztonságtervezési folyamat A tervezés lépései 2

3 IT bizt. management szabványok IT biztonsági menedzsment szabványok 3 ISO/IEC Information security management systems Overview and vocabulary ISO/IEC Information technology - Security Techniques - Information security management systems Requirements ISO/IEC Code of practice for information security management ISO/IEC Information security management system implementation guidance ISO/IEC Information security management Measurement ISO/IEC Information security risk management ISO/IEC Requirements for bodies providing audit and certification of information security management systems ISO/IEC Guidelines for information security management systems auditing (focused on the management system) ISO/IEC TR Guidance for auditors on ISMS controls (focused on the information security controls)* ISO/IEC Information security management for inter-sector and inter-organizational communications ISO/IEC Information security management guidelines for telecommunications organizations based on ISO/IEC ISO/IEC Guideline on the integrated implementation of ISO/IEC and ISO/IEC ISO/IEC Information security governance. Mahncke assessed this standard in the context of Australian e-health ISO/IEC TR Information security management guidelinesfor financial services* ISO/IEC Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ISO/IEC Guidelines for information and communication technology readiness for business continuity ISO/IEC Guideline for cybersecurity ISO/IEC Network security - Part 1: Overview and concepts ISO/IEC Network security - Part 2: Guidelines for the design and implementation of network security ISO/IEC Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues ISO/IEC Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs) ISO/IEC Application security - Part 1: Guideline for application security ISO/IEC Information security incident management ISO/IEC Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security ISO/IEC Guidelines for identification, collection, acquisition and preservation of digital evidence ISO Information security management in health using ISO/IEC The purpose of ISO is to provide guidance to health organizations and other holders of personal health information on how to protect such information via implementation of ISO/IEC ISO/IEC Information security management for cloud systems ISO/IEC Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry ISO/IEC IT network security, a multi-part standard based on ISO/IEC 18028:2006 (parts 1-3 are published already) ISO/IEC Guidelines for security in supplier relationships ISO/IEC Specification for redaction of digital documents ISO/IEC Intrusion detection and protection systems ISO/IEC Guideline on storage security ISO/IEC Assurance for digital evidence investigation methods ISO/IEC Analysis and interpretation of digital evidence ISO/IEC Digital evidence investigation principles and processes Adat és Információvédelmi Mesteriskola Alapelvek

4 A PDCA ciklus A PDCA ciklus Plan A PDCA-t menedzsment területen elterjedten használják Deming ciklus Act 1950: Dr. W. Edwards Deming Ez valójában egy spirál. Az időtengely a lapra merőleges. Check Do TBEV Tervezés Bevezetés Ellenőrzés Végrehajtás Időnként OPCDA (O=Observation) 4 Adat és Információvédelmi Mesteriskola Alapelvek

5 A PDCA ciklus A PDCA ciklus Plan A tervezés az elvárt teljesítmény, valamint az ennek eléréséhez szükséges célkitűzések és folyamatok meghatározása. Az elvárt eredmény meghatározásával a specifikáció teljessége és pontossága is a kitűzött fejlődés részévé válik. A meglévő folyamat kulcsproblémáinak és a kijavítás lehetőségeinek meghatározása. (Amennyiben lehetséges, érdemes kis lépésekkel kezdeni a fejlesztést a lehetséges hatások tesztelése érdekében.) Do A cselekvés a terv végrehajtását, a folyamatok elindítását, a termék elkészítését jelenti. Fontos eleme az adatok összegyűjtése is, amelyek az ellenőrzés és beavatkozás lépésekben történő elemzési és ábrázolási feladatokhoz szükségesek. 5 Adat és Információvédelmi Mesteriskola Alapelvek

6 A PDCA ciklus A PDCA ciklus Ch ec k Act 6 Az ellenőrzés az aktuális eredmények tanulmányozása (amelyeket a cselekvés lépésben mértünk és gyűjtöttünk össze) és összevetése az elvárt eredményekkel (amelyeket a tervezés lépésben határoztunk meg). E lépés során a tervezés és a végrehajtás közötti eltéréseket keressük, valamint megvizsgáljuk a tervet abból a szempontból, hogy mennyire megfelelő és teljes a megvalósíthatóság szempontjából. Az összegyűjtött adatok ábrázolásával a folyamat egyszerűbbé tehető, szemléletesen bemutathatóak az ismételt PDCA ciklusok trendjei. Az adatok így információvá alakíthatók, amelyre szükség van a beavatkozáshoz. Az aktuális és a tervezett eredmények közti jelentős eltérések fennállása esetén korrekciós intézkedéseket kell bevezetni, ez a beavatkozás lépése. A különbségek vizsgálata során meg kell állapítani, hogy elsődlegesen mi okozza ezeket. Ezt követően meg kell határozni, hogy hol szükséges a változtatásokat végrehajtani, amely magában foglalja a folyamat vagy a termék fejlesztését is. Adat és Információvédelmi Mesteriskola Alapelvek

7 Kérdések Időtáv 3-5év Vezérfonal a tervezéshez Vezérfonal a tervezéshez: Informatikai biztonsági stratégia 1. Stratégia: célok eléréshez szükséges eszközök (erőforrások) és módszerek 2. Célok: a legfontosabb törekvések közepes vagy hosszú időhorizontot figyelembe véve Az informatikai biztonsági stratégia a szervezet általános (üzleti, működési) stratégiájának része Jelen állapot Stratégiai tervek Célok A szervezet jelen állapota, a kiindulópont a stratégia megvalósításához Akciók a stratégiai elképzelések megvalósításáról (A lehetséges akciók száma limitált.) Vízió a szervezetről, szolgáltatásairól, és kapcsolatairól Hol vagyunk most? Hová kívánunk eljutni? Hogyan juthatunk el oda? 7

8 Követelmények a stratégiához A szervezeti stratégia általános követelményei Célja értékteremtés Reális célok kitűzése Teljes szervezeti működés lefedése Rendszeres aktualizálás Hatékony kommunikáció Compliance: Jogszabályok, szabványok, ajánlások követése 8

9 A stratéga jellemzői A szervezeti stratégia általános jellemzői A jövőre fókuszál, emiatt bizonytalanságokat tartalmaz Tipikusan megjelenik benne az intuíció Rugalmas, adaptív megközelítés (a feltételek változhatnak) Tartalmaz egy víziót magáról a szervezetről Definiált akcióterveket tartalmaz Tartalmazza az elért eredmények visszaellenőrzésnek módját 9

10 A stratéga jellemzői A stratégia-alkotás célja az értékteremtés: szolgáltatások nyújtásának vagy termékek előállításának formájában reális célok kitűzése (KIEMELKEDŐEN NAGY KOCKÁZATOT JELENT!) megfelelő módszertan alkalmazása a teljes szervezeti működés stratégiai szintű lefedése megfelelő pozícióban levő, elkötelezett felelős rendszeres aktualizálás aktualizálás környezeti, jogszabályi és technológiai változások esetén hatékony kommunikáció összhang a szervezeti stratégia és a különböző funkcionális stratégiák között összhang a hosszú, közép és rövidtávú célok és tevékenységek között a vonatkozó jogszabályok szabványok és ajánlások figyelembe vétele (a várható változások is) az adott szakterületen tapasztalható és várható trendek figyelembe vétele partner szervezetek, versenytársak tevékenységének figyelembe vétele 10

11 A stratégiák hierarchiája Az általános szervezeti és funkcionális stratégiák kapcsolata Általános stratégia szintje (felsővezetői közreműködés szükséges) Üzleti, működési, stratégia Funkcionális stratégia szintje (Szakterületi kompetencia szükséges) HR stratégia Biztonsági stratégia IT stratégia Beszerzési stratégia A rész stratégiák nem izoláltak, közöttök különböző erősségű, holisztikus kapcsolatok léteznek. 11

12 A stratégia kialakítása Az általános szervezeti stratégia kialakítása Vízió, elképzelés a szervezet által nyújtandó szolgáltatásokról Stratégiai tervek végrehajtása és mérése Piac, lehetőségek, technológiák elemzése Stratégiai tervek készítése Megvalósítandó célok azonosítása Stratégiai döntések a megvalósítandó célokról 12

13 Mekkora a stratégia súlya? Az IT stratégia súlya a szervezetben A fejlesztendő rendszerek stratégiai hatása (jövő) Kicsi Nagy Támogató Alakuló Termelési Stratégiai 13

14 A tervezés lépései Az IT stratégia tervezése Piac, lehetőségek, technológiák elemzése Szervezeti (üzleti) stratégia Stratégiai tervek végrehajtása és mérése A jelenlegi állapot felmérése (érettségi modell) Stratégiai tervek készítése Nyújtandó IT szolgáltatások azonosítása Stratégiai döntések a megvalósítandó IT szolgáltatásokról 14

15 A tervezés lépései Az IT érettségi szintek helyzetfeltáráshoz Az érettségi modellekről még Gartner IT érettségi modell 15

16 A tervezés összetevői Az IT stratégia összetevői Biztonság Alkalmazások Technológia Menedzs -ment 16

17 A tervezés összetevői Példák IT biztonsági célokra Complience Hardening Teszetelés, monitorozás Kommunikáció Kompetencia Negatív hatások minimalizálása 17

18 ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Minden szervezetben szükség van-e stratégiai tervezésre? 2. Lehetséges-e IT stratégiát kidolgozni általános (üzleti, működési) stratégia hiányában? 3. Milyen más stratégiákból vezethető le az IT biztonsági stratégia? 4. Soroljunk fel elképzelt konkrét IT biztonsági stratégiai célokat! 5. Soroljon fel olyan tényezőket amelyeket a compliance, mint IT biztonsági cél eléréséhez tekintetbe kell venni! 18

19 ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai stratégia kidolgozása a felsővezetés feladata.. b. Minden szervezetnek kell informatikai biztonsági stratégiával rendelkeznie.. c. Az informatikai biztonsági stratégia legalább 10 éves időhorizontot kell, hogy átfogjon. d. Az ITIL szerint minden szervezetnek szükséges részletes IT stratégiai tervezést végezni. e. A szervezet IT stratégiáját az üzemeltető informatikusok végzik. f. A szervezetek IT stratégiája néhány szakértő bevonásával általában kevesebb, mint egy nap alatt elkészíthető. g. Nincs szükség IT biztonsági stratégiára, az informatikai stratégiának kell tartalmaznia az IT biztonsági stratégiát. 19

20 ACTIVITY Meglevő IT stratégia-részlet értékelése 20

21 ACTIVITY SWOT elemzés létező vagy fiktív szervezetről Erősségek Gyengeségek SWOT Lehetőségek Fenyegetések 21

22 Alapvetések A megfelelő tervezésnek szükséges feltételei vannak (1) 1.Elkötelezett menedzsment 2.Standard-ek szerinti módszertan alkalmazása 3.Rendszer és folyamatszemléletű tervezés 4.Top-down megközelítés Kockázatarányos védelem kialakítása 5.Egyenszilárdság elvének betartása az ellen nem véd - Szalacsi Sándor 22 Adat és Információvédelmi Mesteriskola Alapelvek

23 Alapvetések A megfelelő tervezésnek szükséges feltételei vannak (2) A védelemnek minden ponton azonos erősségűnek kell lennie. 23 Adat és Információvédelmi Mesteriskola Alapelvek

24 Alapvetések Idézet a évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról c. törvényből Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. 24 Adat és Információvédelmi Mesteriskola Alapelvek

25 A biztonságtervezési folyamat A tervezési folyamat never ending story Start Konkrét védelmi intézkedések Helyzetfeltárás Veszélyforrás analízis Döntés a kezelendő kockázatokról Javaslat azonnali intézkedésekre (opcionális) Kockázat-elemzés 25 Adat és Információvédelmi Mesteriskola A tervezési folyamat

26 A tervezés lépései Az IT biztonság megvalósításának lépései (1) 1. Helyzetfeltárás (környezet) 6. Konkrét védelmi intézkedések 2. Veszélyforrás analízis (a relevánsak) 5. Döntés a kezelendő kockázatokról 3. Javaslat azonnali intézkedésekre 4. Kockázatelemzés 26 Adat és Információvédelmi Mesteriskola

27 ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Mit jelent az egyenszilárdság elve? 2. Milyen lépéseket kell végrehajtani az IT biztonság tervezése során? 3. Mi a helyzetfeltárás célja az IT biztonság tervezésiének folyamatában? 4. Mi a veszélyforrás analízis célja az IT biztonság tervezésiének folyamatában? 5. Mi a kockázatelemzés célja az IT biztonság tervezésének folyamatában? 27

28 ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai biztonság szintjét döntően meghatározza a leggyengébb láncszem.. b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.. c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a felsővezetést. d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység. e. Az informatikai biztonság tervezése a tanúsítás megszerzésével ér véget. f. Az IT biztonság tervezése a top down megközelítés szerint történik. g. Az IT biztonság tervezése a bottom up megközelítés szerint történik. h. Az IT biztonság tervezése szabályzatok írását jelenti. 28

29 Köszönöm a figyelmet! 29