Adat és Információvédelmi Mesteriskola 30 MB Dr. Beinschróth József AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.: A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE 2018. 09. 09.
Tartalom (Miről volt szó eddig?) IT biztonsági management szabványok A PDCA ciklus Vezérfonal a tervezéshez Követelmények a stratégiához A stratéga jellemzői A stratégiák hierarchiája A stratégia kialakítása Mekkora a stratégia súlya? A tervezés lépései A tervezés összetevői A biztonságtervezési folyamat A tervezés lépései 2
IT bizt. management szabványok IT biztonsági menedzsment szabványok 3 ISO/IEC 27000 Information security management systems Overview and vocabulary ISO/IEC 27001 Information technology - Security Techniques - Information security management systems Requirements ISO/IEC 27002 Code of practice for information security management ISO/IEC 27003 Information security management system implementation guidance ISO/IEC 27004 Information security management Measurement ISO/IEC 27005 Information security risk management ISO/IEC 27006 Requirements for bodies providing audit and certification of information security management systems ISO/IEC 27007 Guidelines for information security management systems auditing (focused on the management system) ISO/IEC TR 27008 Guidance for auditors on ISMS controls (focused on the information security controls)* ISO/IEC 27010 Information security management for inter-sector and inter-organizational communications ISO/IEC 27011 Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 ISO/IEC 27013 Guideline on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 ISO/IEC 27014 Information security governance. Mahncke assessed this standard in the context of Australian e-health ISO/IEC TR 27015 Information security management guidelinesfor financial services* ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors ISO/IEC 27031 Guidelines for information and communication technology readiness for business continuity ISO/IEC 27032 Guideline for cybersecurity ISO/IEC 27033-1-5 Network security - Part 1: Overview and concepts ISO/IEC 27033-2 Network security - Part 2: Guidelines for the design and implementation of network security ISO/IEC 27033-3 Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues ISO/IEC 27033-5 Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs) ISO/IEC 27034-1 Application security - Part 1: Guideline for application security ISO/IEC 27035 Information security incident management ISO/IEC 27036-3 Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security ISO/IEC 27037 Guidelines for identification, collection, acquisition and preservation of digital evidence ISO 27799 Information security management in health using ISO/IEC 27002. The purpose of ISO 27799 is to provide guidance to health organizations and other holders of personal health information on how to protect such information via implementation of ISO/IEC 27002. ISO/IEC 27017 Information security management for cloud systems ISO/IEC 27019 Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry ISO/IEC 27033 IT network security, a multi-part standard based on ISO/IEC 18028:2006 (parts 1-3 are published already) ISO/IEC 27036 Guidelines for security in supplier relationships ISO/IEC 27038 Specification for redaction of digital documents ISO/IEC 27039 Intrusion detection and protection systems ISO/IEC 27040 Guideline on storage security ISO/IEC 27041 Assurance for digital evidence investigation methods ISO/IEC 27042 Analysis and interpretation of digital evidence ISO/IEC 27043 Digital evidence investigation principles and processes Adat és Információvédelmi Mesteriskola Alapelvek
A PDCA ciklus A PDCA ciklus Plan A PDCA-t menedzsment területen elterjedten használják Deming ciklus Act 1950: Dr. W. Edwards Deming Ez valójában egy spirál. Az időtengely a lapra merőleges. Check Do TBEV Tervezés Bevezetés Ellenőrzés Végrehajtás Időnként OPCDA (O=Observation) 4 Adat és Információvédelmi Mesteriskola Alapelvek
A PDCA ciklus A PDCA ciklus Plan A tervezés az elvárt teljesítmény, valamint az ennek eléréséhez szükséges célkitűzések és folyamatok meghatározása. Az elvárt eredmény meghatározásával a specifikáció teljessége és pontossága is a kitűzött fejlődés részévé válik. A meglévő folyamat kulcsproblémáinak és a kijavítás lehetőségeinek meghatározása. (Amennyiben lehetséges, érdemes kis lépésekkel kezdeni a fejlesztést a lehetséges hatások tesztelése érdekében.) Do A cselekvés a terv végrehajtását, a folyamatok elindítását, a termék elkészítését jelenti. Fontos eleme az adatok összegyűjtése is, amelyek az ellenőrzés és beavatkozás lépésekben történő elemzési és ábrázolási feladatokhoz szükségesek. 5 Adat és Információvédelmi Mesteriskola Alapelvek
A PDCA ciklus A PDCA ciklus Ch ec k Act 6 Az ellenőrzés az aktuális eredmények tanulmányozása (amelyeket a cselekvés lépésben mértünk és gyűjtöttünk össze) és összevetése az elvárt eredményekkel (amelyeket a tervezés lépésben határoztunk meg). E lépés során a tervezés és a végrehajtás közötti eltéréseket keressük, valamint megvizsgáljuk a tervet abból a szempontból, hogy mennyire megfelelő és teljes a megvalósíthatóság szempontjából. Az összegyűjtött adatok ábrázolásával a folyamat egyszerűbbé tehető, szemléletesen bemutathatóak az ismételt PDCA ciklusok trendjei. Az adatok így információvá alakíthatók, amelyre szükség van a beavatkozáshoz. Az aktuális és a tervezett eredmények közti jelentős eltérések fennállása esetén korrekciós intézkedéseket kell bevezetni, ez a beavatkozás lépése. A különbségek vizsgálata során meg kell állapítani, hogy elsődlegesen mi okozza ezeket. Ezt követően meg kell határozni, hogy hol szükséges a változtatásokat végrehajtani, amely magában foglalja a folyamat vagy a termék fejlesztését is. Adat és Információvédelmi Mesteriskola Alapelvek
Kérdések Időtáv 3-5év Vezérfonal a tervezéshez Vezérfonal a tervezéshez: Informatikai biztonsági stratégia 1. Stratégia: célok eléréshez szükséges eszközök (erőforrások) és módszerek 2. Célok: a legfontosabb törekvések közepes vagy hosszú időhorizontot figyelembe véve 3. 3. Az informatikai biztonsági stratégia a szervezet általános (üzleti, működési) stratégiájának része Jelen állapot Stratégiai tervek Célok A szervezet jelen állapota, a kiindulópont a stratégia megvalósításához Akciók a stratégiai elképzelések megvalósításáról (A lehetséges akciók száma limitált.) Vízió a szervezetről, szolgáltatásairól, és kapcsolatairól Hol vagyunk most? Hová kívánunk eljutni? Hogyan juthatunk el oda? 7
Követelmények a stratégiához A szervezeti stratégia általános követelményei Célja értékteremtés Reális célok kitűzése Teljes szervezeti működés lefedése Rendszeres aktualizálás Hatékony kommunikáció Compliance: Jogszabályok, szabványok, ajánlások követése 8
A stratéga jellemzői A szervezeti stratégia általános jellemzői A jövőre fókuszál, emiatt bizonytalanságokat tartalmaz Tipikusan megjelenik benne az intuíció Rugalmas, adaptív megközelítés (a feltételek változhatnak) Tartalmaz egy víziót magáról a szervezetről Definiált akcióterveket tartalmaz Tartalmazza az elért eredmények visszaellenőrzésnek módját 9
A stratéga jellemzői A stratégia-alkotás célja az értékteremtés: szolgáltatások nyújtásának vagy termékek előállításának formájában reális célok kitűzése (KIEMELKEDŐEN NAGY KOCKÁZATOT JELENT!) megfelelő módszertan alkalmazása a teljes szervezeti működés stratégiai szintű lefedése megfelelő pozícióban levő, elkötelezett felelős rendszeres aktualizálás aktualizálás környezeti, jogszabályi és technológiai változások esetén hatékony kommunikáció összhang a szervezeti stratégia és a különböző funkcionális stratégiák között összhang a hosszú, közép és rövidtávú célok és tevékenységek között a vonatkozó jogszabályok szabványok és ajánlások figyelembe vétele (a várható változások is) az adott szakterületen tapasztalható és várható trendek figyelembe vétele partner szervezetek, versenytársak tevékenységének figyelembe vétele 10
A stratégiák hierarchiája Az általános szervezeti és funkcionális stratégiák kapcsolata Általános stratégia szintje (felsővezetői közreműködés szükséges) Üzleti, működési, stratégia Funkcionális stratégia szintje (Szakterületi kompetencia szükséges) HR stratégia Biztonsági stratégia IT stratégia Beszerzési stratégia A rész stratégiák nem izoláltak, közöttök különböző erősségű, holisztikus kapcsolatok léteznek. 11
A stratégia kialakítása Az általános szervezeti stratégia kialakítása Vízió, elképzelés a szervezet által nyújtandó szolgáltatásokról Stratégiai tervek végrehajtása és mérése Piac, lehetőségek, technológiák elemzése Stratégiai tervek készítése Megvalósítandó célok azonosítása Stratégiai döntések a megvalósítandó célokról 12
Mekkora a stratégia súlya? Az IT stratégia súlya a szervezetben A fejlesztendő rendszerek stratégiai hatása (jövő) Kicsi Nagy Támogató Alakuló Termelési Stratégiai 13
A tervezés lépései Az IT stratégia tervezése Piac, lehetőségek, technológiák elemzése Szervezeti (üzleti) stratégia Stratégiai tervek végrehajtása és mérése A jelenlegi állapot felmérése (érettségi modell) Stratégiai tervek készítése Nyújtandó IT szolgáltatások azonosítása Stratégiai döntések a megvalósítandó IT szolgáltatásokról 14
A tervezés lépései Az IT érettségi szintek helyzetfeltáráshoz Az érettségi modellekről még Gartner IT érettségi modell 15
A tervezés összetevői Az IT stratégia összetevői Biztonság Alkalmazások Technológia Menedzs -ment 16
A tervezés összetevői Példák IT biztonsági célokra Complience Hardening Teszetelés, monitorozás Kommunikáció Kompetencia Negatív hatások minimalizálása 17
ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Minden szervezetben szükség van-e stratégiai tervezésre? 2. Lehetséges-e IT stratégiát kidolgozni általános (üzleti, működési) stratégia hiányában? 3. Milyen más stratégiákból vezethető le az IT biztonsági stratégia? 4. Soroljunk fel elképzelt konkrét IT biztonsági stratégiai célokat! 5. Soroljon fel olyan tényezőket amelyeket a compliance, mint IT biztonsági cél eléréséhez tekintetbe kell venni! 18
ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai stratégia kidolgozása a felsővezetés feladata.. b. Minden szervezetnek kell informatikai biztonsági stratégiával rendelkeznie.. c. Az informatikai biztonsági stratégia legalább 10 éves időhorizontot kell, hogy átfogjon. d. Az ITIL szerint minden szervezetnek szükséges részletes IT stratégiai tervezést végezni. e. A szervezet IT stratégiáját az üzemeltető informatikusok végzik. f. A szervezetek IT stratégiája néhány szakértő bevonásával általában kevesebb, mint egy nap alatt elkészíthető. g. Nincs szükség IT biztonsági stratégiára, az informatikai stratégiának kell tartalmaznia az IT biztonsági stratégiát. 19
ACTIVITY Meglevő IT stratégia-részlet értékelése 20
ACTIVITY SWOT elemzés létező vagy fiktív szervezetről Erősségek Gyengeségek SWOT Lehetőségek Fenyegetések 21
Alapvetések A megfelelő tervezésnek szükséges feltételei vannak (1) 1.Elkötelezett menedzsment 2.Standard-ek szerinti módszertan alkalmazása 3.Rendszer és folyamatszemléletű tervezés 4.Top-down megközelítés Kockázatarányos védelem kialakítása 5.Egyenszilárdság elvének betartása az ellen nem véd - Szalacsi Sándor 22 Adat és Információvédelmi Mesteriskola Alapelvek
Alapvetések A megfelelő tervezésnek szükséges feltételei vannak (2) A védelemnek minden ponton azonos erősségűnek kell lennie. 23 Adat és Információvédelmi Mesteriskola Alapelvek
Alapvetések Idézet a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról c. törvényből Társadalmi elvárás az állam és polgárai számára elengedhetetlen elektronikus információs rendszerekben kezelt adatok és információk bizalmasságának, sértetlenségének és rendelkezésre állásának, valamint ezek rendszerelemei sértetlenségének és rendelkezésre állásának zárt, teljes körű, folytonos és a kockázatokkal arányos védelmének biztosítása, ezáltal a kibertér védelme. 24 Adat és Információvédelmi Mesteriskola Alapelvek
A biztonságtervezési folyamat A tervezési folyamat never ending story Start Konkrét védelmi intézkedések Helyzetfeltárás Veszélyforrás analízis Döntés a kezelendő kockázatokról Javaslat azonnali intézkedésekre (opcionális) Kockázat-elemzés 25 Adat és Információvédelmi Mesteriskola A tervezési folyamat
A tervezés lépései Az IT biztonság megvalósításának lépései (1) 1. Helyzetfeltárás (környezet) 6. Konkrét védelmi intézkedések 2. Veszélyforrás analízis (a relevánsak) 5. Döntés a kezelendő kockázatokról 3. Javaslat azonnali intézkedésekre 4. Kockázatelemzés 26 Adat és Információvédelmi Mesteriskola
ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Mit jelent az egyenszilárdság elve? 2. Milyen lépéseket kell végrehajtani az IT biztonság tervezése során? 3. Mi a helyzetfeltárás célja az IT biztonság tervezésiének folyamatában? 4. Mi a veszélyforrás analízis célja az IT biztonság tervezésiének folyamatában? 5. Mi a kockázatelemzés célja az IT biztonság tervezésének folyamatában? 27
ACTIVITY Ellenőrző kérdések és teszt feladatok 1. Igazak vagy hamisak a következő állítások? a. Az informatikai biztonság szintjét döntően meghatározza a leggyengébb láncszem.. b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.. c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a felsővezetést. d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység. e. Az informatikai biztonság tervezése a tanúsítás megszerzésével ér véget. f. Az IT biztonság tervezése a top down megközelítés szerint történik. g. Az IT biztonság tervezése a bottom up megközelítés szerint történik. h. Az IT biztonság tervezése szabályzatok írását jelenti. 28
Köszönöm a figyelmet! 29