AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package

Incidens Menedzsment Benyó Pál

Tartalom Hálózatbiztonsági incidensek Az Incidens Menedzsment A hatékony incidens kezelési csoport A szükséges erőforrások Esettanulmány vállalati incidens kezelés

Fenyegetések F e n y e g e té s fo rrá s a M o tiv á c ió T e vékenység H acke r, C ra cker S zám ító gépe s bűnöző T erro ristá k Ip ari k é m e k (válla la to k, külfö ld i ko rm á n yzato k, m á s korm á n yz a ti é rd e k e ltségek) B els ő s ze m é ly e k K ihívás, e g o, lá z a dás In fo rm á ció m e g s e m m is íté se, ille g á lis in fo rm á ció közlé s, p é n z sz e rzés, jo g o s u la tla n a d a t m e g v á lto zta tá s M e g se m m is íté s, k ih a s z n á lá s, b o sszú, ré m hír te rje szté s G a z d a sági e lő n yök s ze rzése, ve rs e n y e lő n yök, hírs ze rz é s K íváncsiság, e g o, in fo rm á c ió szerzés, pénz s z e rzés, b o sszú, h ibák H a ckelé s, s o c ia l e n g in e e rin g, b e h a to lá s, jo g o s u la tla n h o z z á fé ré s R e n d szer b e h a to lá s, sp o o fin g, m e g v e s zte g e té s, h a c k e r te ch n ik á k R e n d s ze r tá m a d á s, D D O S, re n d szer p e n e trá ció, re n d szer h a m isítá s, in fo rm á c ió s háború In fo rm á c ió lo pás, s o cia l e n g in e e rin g, szem é lye s a d a to k fe lh a s zn á lá s a, jo g o su la tla n re n d szer h o zz á fé ré se k (b iza lm a s a d a to k, te c h n o ló g ia i a d a to k, s tb.) A m u n k a v á lla ló m e g fe n y e g e té s e, ro ssz h ír te rje szté se, s zám ító gépes csalá s, in fo rm á c ió lo pás, m e g sz a kítá s, m e g h a m isíto tt a d a to k, re n d sz e r szabotá lá s, s tb.

Biztonsági incidensek Információ gyűjtés a cél számítógépről (Computer fingerprinting) Kártékony kód (Malicious code) Szolgáltatás megtagadás (Denial of Service) Jogosulatlan hozzáférés információhoz Jogosulatlan hozzáférés adatátvitelhez Jogosulatlan információ módosítás Jogosulatlan hozzáférés kommunikációs eszközökhöz

Incidens Menedzsment Történetileg az incidens kezelés és az incidens válaszadás fogalmak jelentek meg először, ezek a tevékenységek részei az Incidens Menedzsmentnek. Az incidens kezelés egy olyan szolgáltatás, ami magába foglalja a biztonsági események és incidensek kezelésével kapcsolatos feladatokat és folyamatokat

Incidens Menedzsment Az incidens kezelési folyamat általános felépítése: Azonosítás és jelentés: információk, incidens jelentések és figyelmeztetések fogadása és vizsgálata Sorrend (triage): besorolás, sorrendbe állítás Analízis: meghatározni mi is történt, milyen hatása van, milyen károkat okozott, milyen elhárítási vagy kárenyhítési stratégia alkalmazható Incidens válaszadás: megoldás vagy kárcsökkentés, ellenlépések koordinálása, információk megosztása, nyomonkövetési stratégiák kialakítása, hogy az incidens még egyszer ne fordulhasson elő

Incidens Menedzsment Az incidens menedzsment folyamata az incidens kezelésnél jóval több szolgáltatást foglal magába: Az incidensek megelőzését A sérülékenységek kezelését A kártékony kódok kezelését Biztonsági tudatosság növelését Biztonsági menedzsment funkciókat Azaz az incidens menedzsment nem csak az incidens bekövetkezésekor történő válaszadást, hanem a megelőzést, azaz a fenyegetések és kockázatok azonosítását és a válaszadási stratégiák kialakítását is jelenti.

Incidens Menedzsment szolgáltatások Reagáló szolgáltatások: Bizonyos események (pl. incidens riportok) által beindított szolgáltatások, a biztonsági események felszámolására: Jelzések, figyelmeztetések (információk publikálása az eseményekről) Incidens kezelés (analízis, kezelés, on-site kezelés, stb.) Sérülékenység kezelés (analízis, kezelés, on-site kezelés, stb.) Kártékony szoftver kezelés (analízis, kezelés, on-site kezelés, stb.)

Incidens Menedzsment szolgáltatások Megelőző szolgáltatások: Támogatás a biztonsági eseményekre való felkészülésben és a védelmi intézkedések meghozatalában: Értesítések, riportok (sérülékenységről, kártékony szoftverekről) Technológia figyelés (trend analízisek, védelmi technikák) Hálózat monitoring (behatolás figyelés) Biztonsági eszközök fejlesztése Biztonsági auditok Egyéb megelőző intézkedések

Incidens Menedzsment szolgáltatások Biztonsági minőség menedzsment szolgáltatások: Olyan szolgáltatások, amik segítségével fokozható a szervezet ellenálló képessége azaz a biztonsági minősége: Kockázat analízis Katasztrófa tervek Biztonsági tanácsadás Tudatosítás és oktatás Egyebek

Incidens Menedzsment szolgáltatások

Incidens Menedzsment kérdések Biztosított-e a felső vezetés elkötelezettsége? (szervezeti és finanszírozási kérdések) Kinek a felelőssége az IM a szervezetnél? Milyen IM folyamat szükséges? Hogyan alakítsuk ki a szervezetnél az IM kapacitást? Kikből álljon az IM csoport? Milyen szabályozás szükséges a hatékony IMhez?

Incidens Menedzsment - felelősség Elsődlegesen a szervezet felső vezetője/vezetése felelős minden, a szervezetet érintő biztonsági kérdésben A biztonsági vezető felelős az IM folyamat kialakításáért, az IM csoport működtetéséért és a felső vezetés tájékoztatásáért. A hatékony IM kialakításának és üzemeltetésnek alapvető követelménye, a felső vezetés elkötelezettsége, azaz a szervezeti funkciók és finanszírozási háttér biztosítása

Incidens Menedzsment Internet Biztonsági zóna 1: - Tűzfalak - Vírusvédelem - IDS/IPS - DMZ szerverek védelme (pl. webszerver) DMZ Biztonsági zóna 2: - Vírusvédelem - IDS/IPS - Patch menedzsment - Naplók - Egyéb biztonság (pl. adatmentés, titkosítás, stb.) Szerverek Office LAN Biztonsági zóna 3: - Vírusvédelem (kliens) - Tűzfal (kliens) - Biztonsági frissítések - Stb... Incidens Menedzsment: - biztonsági eszközök jelzései - korrelációk - incidens jelentések - incidens kezelés - incidens koordináció - sérülékenység kezelés - kártékony szoftver kezelés - biztonsági vizsgálatok - biztonsági tudatosítás, oktatás - stb...

Incidens Menedzsment - folyamata Alapvető szervezeti kérdés: Hogyan épül fel egy IM folyamat? Milyen struktúra szükséges? A szervezeteknek minőségi stratégiára és folyamatokra van szüksége, nem csak az incidensek kezelésére, de az incidensek megelőzésére és az újra bekövetkezés megakadályozására, azaz: Biztonsági incidens kapacitások terve és implementációja Megerősített és biztonságos infrastruktúra Felismerés, sorrendbe állítás, válaszadás, amikor az esemény bekövetkezik

Incidens Menedzsment - folyamata

Incidens Menedzsment - folyamata Felkészülés (Prepare): Előzetes IM kapacitás megtervezése és implementálása Az IM kapacitás működtetése A meglévő kapacitás fejlesztése folyamatos tanulással és értékeléssel Egyes IM intézkedések utólagos áttekintése, ha szükséges Az infrastruktúra fejlesztési javaslatok átvezetése a védelmi szakaszba

Incidens Menedzsment - folyamata

Incidens Menedzsment - folyamata Védelem (Protect, Protect infrastrukcture): Infrastruktúra változtatások bevezetése, hogy megakadályozzuk a folyamatban lévő incidenseket vagy csökkentsük a sérülékenységek kihasználhatóságának kockázatát Infrastruktúra védelmi fejlesztések bevezetése Az IT infrastruktúra értékelése proaktív tesztelésekkel, hálózat monitoringgal és kockázat értékeléssel Információ továbbítás az észlelési szakaszba a folyamatban lévő incidensekről, a felismert sérülékenységekről és más biztonsági eseményekről

Incidens Menedzsment - folyamata

Incidens Menedzsment - folyamata Észlelés (Detect events): Az események észrevétele és jelentése Jelentések fogadása Megelőző monitoring (pl. IDS, technológia figyelés) A figyelésre érdemes események analízise (mit is monitorozzunk?) A gyanús események továbbítása a sorrendbe állítási szakaszba Az IM folyamatba nem tartozó események továbbadása az illetékes helyre (pl. áramkimaradás) A lezárható események lezárása

Incidens Menedzsment - folyamata

Incidens Menedzsment - folyamata Sorrendbe állítás (Triage events): Az események kategorizálása és korrelációinak meghatározása Az események prioritásának meghatározása Döntés esemény kezeléséről vagy válaszadásról A szükséges információk továbbítása a válaszadási szakasz részére Az IM folyamatba nem tartozó események továbbadása az illetékes helyre A lezárható események lezárása

Incidens Menedzsment - folyamata

Incidens Menedzsment - folyamata Válaszadás (Respond): Az esemény analízise Válaszadási stratégia megtervezése Technikai, menedzsment és jogi válaszadás, illetve koordináció Kommunikáció a külső partnerekkel Az IM folyamatba nem tartozó események továbbadása az illetékes helyre A válaszadás lezárása Az eseményből, illetve a válaszadásból a tanulságok levonása és az érintettekkel való megosztása

Incidens Menedzsment kialakítása Ahány szervezet annyi módszer a kialakításra. Függ a rendelkezésre álló időkerettől, erőforrásoktól, emberektől, finanszírozástól és szükséges szolgáltatásoktól. Általánosan az alábbi tevékenységek, döntések szükségesek: A felső vezetés támogatásának megszerzése (szervezet, erőforrások, finanszírozás) A stratégiai célok meghatározása, az igények felmérése

Incidens Menedzsment kialakítása Az IM csoport küldetésének meghatározása: támogatottak körének definiálása célok és feladatok definiálása szolgáltatások meghatározása szervezeti modell meghatározása költségek és a finanszírozás meghatározása szükséges erőforrások meghatározása Az IM csoport céljainak és szolgáltatásainak kommunikálása a felső vezetés és a szolgáltatás leendő igénybevevői felé

Incidens Menedzsment kialakítása A visszajelzések fogadása és a tervek finomítása A végleges tervek alapján az IM bevezetése: Az IM csoport tagjainak felvétele és kiképzése Eszközök beszerzése és az IM infrastruktúra kialakítása Folyamatok és szabályzatok kialakítása a mindennapi üzemeléshez Incidens jelentési szabályzat/guidelines kialakítása a támogatottak részére Az IM csoport bemutatása az együttműködők részére (pl. CERT közösség) Az IM folyamat folyamatos értékelése és fejlesztése

Incidens Menedzsment szervezet Az IM csoport szervezeti formája a meglévő szervezeti formától és a felső vezetés támogatásától függ. Általános szervezeti típusok: Biztonsági csoport a meglévő IT kollégák alkalmazásával Belső, megosztott IM csoport Belső, központi IM csoport Vegyes, részben megosztott és részben központi IM csoport Koordinációs IM csoport

Incidens Menedzsment szervezet Biztonsági csoport a meglévő IT kollégákkal: Rendszer és hálózat admin. feladata az IM is, mert amúgy is ők üzemeltetik az IT rendszereket Mivel ők konfigurálják a biztonsági rendszereket is, ezért őket szokták biztonsági csoportnak hívni Létezik centralizált megoldás, de leggyakrabban megosztott a szervezeti kialakítás Nincs szervezeti felügyelet az IM folyamatra, egyénileg végzik a szakemberek Nem jellemző a koordinált IM, ad-hoc módon történik a válaszadás Elsősorban reaktív szolgáltatások a jellemzők

Incidens Menedzsment szervezet Biztonsági csoport a meglévő IT kollégákkal: Elsősorban olyan szervezeteknél jellemző, ahol szükséges a specializált IT biztonsági humán erőforrás Az IM a munkaidő egy bizonyos részében történik Jellemző rájuk a magas szintű technikai kompetencia, azonban kommunikációs, menedzsment és jogi kérdésekben alacsony a hozzáadott érték Főleg üzleti szervezeteknél, oktatási intézményeknél jellemző ez a szervezeti felépítés

Incidens Menedzsment szervezet Belső, megosztott IM csoport: A szervezet különböző egységeinél helyezkednek el az IM folyamatban szerepet kapó kollégák Egy vagy több incidens menedzser irányítja a megosztott csoportot Az IM-ben szerepet kapó kollégák a technikai kompetenciáktól, a kommunikáción át, a jogi szakértelemig rendelkeznek szaktudással Az incidens menedzser feladata a megosztott rendszerben az IM koordinációja, a feladatok megosztása és ellenőrzése

Incidens Menedzsment szervezet Belső, megosztott IM csoport: Az incidens menedzser mindig azt a kollégát vonja be a folyamatba, akinek a szaktudására éppen szükség van A megosztott IM csoport esetén a szervezet teljes felügyeletet képes gyakorolni az IM folyamat egészére az incidens menedzseren keresztül Ez a szervezeti forma elsősorban nagy szervezetekre jellemzőek, ahol a szervezet maga is megosztott (esetleg földrajzilag is) A szolgáltatások az IM teljes spektrumát lefedhetik a szervezet igényeitől függően

Incidens Menedzsment szervezet Belső, központi IM csoport: Egy központi helyen kezelik a teljes IM folyamatot Az IM folyamatban résztvevő kollégák teljes munkaidejükben az IM-el foglalkoznak Egy felelős vezető felel a teljes IM csoport tevékenységéért, ő jelent a felső vezetésnek A teljes IM erőforrás központilag helyezkedik el A központi IM csoport gyűjti be az incidensekkel kapcsolatos összes információt a szervezeti egységektől A központi IM csoport teljes felügyeletet képes biztosítani a teljes IM folyamatra

Incidens Menedzsment szervezet Belső, központi IM csoport: A csoport tagjai különböző kompetenciákkal rendelkeznek (technikai, menedzsment, jogi, kommunikációs, stb.) A csoport nem csak a reagáló, hanem a megelőző és a biztonsági minőség menedzsment szolgáltatásokat is képesek a támogatottak számára nyújtani A csoport kiemelt szerepet játszik a szervezet biztonsági tudatosságának növelésében és szinten tartásában (pl. oktatások, tréningek, figyelem felhívó kampányok) A központi IM kis létszámú szervezetekre és fizikailag/földrajzilag megosztott nagy szervezetekre jellemző

Incidens Menedzsment szervezet Vegyes, (megosztott/központi) IM csoport: A vegyes modellben létrehoznak egy központi IM csoportot, akik együttműködnek az egyes szervezeti egységeknél lévő szakemberekkel A központi IM csoport magas szintű koordinációt lát el, illetve a szervezet egészét érintő problémákat kezeli A központi csoport dolgozza ki a válaszadási és kárenyhítési stratégiákat A központi csoport támogatási szolgáltatásokat ad a megosztott csoporttagoknak (pl. analízis) A megosztott csoporttagok a saját területükön szakértők (technikai, jogi, stb.)

Incidens Menedzsment szervezet Vegyes, (megosztott/központi) IM csoport: A vegyes megoldás esetén a szervezet maximalizálhatja a meglévő kompetenciák kihasználását A központi kollégák teljes munkaidőben, a megosztott csoport munkaidejének bizonyos részében foglalkozik az IM feladatokkal A központi csoportnál helyezkednek el az incidens menedzserek, akik koordinálják az IM folyamatot Az IM folyamat felügyelete is vegyes, a központi csoportnak a koordinációra teljes felügyeleti joga van, azonban a leosztott feladatok esetén a felügyelet korlátozott

Incidens Menedzsment szervezet Vegyes, (megosztott/központi) IM csoport: A vegyes megoldás a nagyon nagy, megosztott szervezetekre jellemző leginkább, ahol központi irányítás alatt több, földrajzilag szétosztott szervezeti egység működik Jó példa a vegyes megoldásra a nagy globális cégek (pl. bankok) A központi csoportnak közvetlenül a szervezet központjához közel kell elhelyezkednie, hogy a teljes szervezetet érintő problémákra azonnal, felső vezetői jóváhagyással tudjon reagálni

Incidens Menedzsment szervezet Koordinációs IM csoport: A koordinációs csoportok elsősorban nem belső szervezeti csoportok Feladatuk a külső szervezetek IM támogatása, országok, szervezetek közötti IM koordináció megvalósítása Célja a nyílt infrastruktúrán megjelenő, szervezetek közötti, illetve globális hatású incidensek kezelése Tevékenységeik az információ megosztás, a kárenyhítő stratégiák kidolgozása, a trend kutatás és analízis, a figyelmeztetések kiadása A támogatottak köre elsősorban szervezetek, akik maguk is rendelkezhetnek IM csoporttal

Incidens Menedzsment szervezet Koordinációs IM csoport: Az IM folyamat felügyelete részükről korlátozott, erősen függ a támogatott szervezetekkel kötött megállapodásoktól Létezik olyan koordinációs IM csoport, aminek egyáltalán nincs az IM folyamatra felügyeleti lehetősége, ebben az esetben csupán információ megosztó és tanácsadó szerepe van A koordinációs csoportban teljes munkaidőben, különböző kompetenciákkal rendelkező kollégák dolgoznak A kompetenciák a támogatott szervezetek igényeihez igazodnak

Incidens Menedzsment szervezet Koordinációs IM csoport: A kompetenciák a technikai, menedzsment, jogi és kommunikációs területeket fedhetik le A globális incidensek hatásainak kezeléséhez elengedhetetlen a folyamatos (7/24 órás) üzem, ezért a koordinációs csoportok nagy része rendelkezik ügyeleti szolgálattal A koordinációs csoportok számára elengedhetetlenül fontosak a nemzetközi együttműködések, ezért leggyakrabban rendelkeznek nemzetközi kapcsolatok kezelésére dedikált szakemberrel is A koordinációs központok finanszírozása általában nehéz feladat

Incidens Menedzsment erőforrások Az IM csoport kialakításához szükséges erőforrások: Eszközök: A megtervezett IM folyamatot támogató eszközrendszer Humán: A szükséges kompetenciákkal rendelkező szakemberek Szolgáltatások: Mindazok az erőforrások, amikkel nem rendelkezünk és nem is akarunk rendelkezni különböző okok miatt (pl. olcsóbb szolgáltatásként igénybe venni, a szükséges kompetencia nem érhető el szervezeten belül, stb.) Az erőforrások tervezésénél figyelembe kell venni, hogy a szervezet folyamatosan képes legyen finanszírozni az üzemeltetésüket is

Incidens Menedzsment erőforrások Eszközök: Az IM csoport eszközrendszerét a nyújtott szolgáltatások eszköz szükségletéhez kell igazítani (pl.): Incidens kezelés: Ticketing rendszer, telefonok, fax, publikációs lehetőségek (pl. webszerver) Sérülékenység kezelés: Publikációs lehetőség, adatbázis, analízis eszközök (pl. labor, virtuális gépek) Kártékony kódok kezelése: Információ gyűjtő eszközök, szeparált labor a vizsgálatokhoz, publikációs lehetőségek Nem csak a bekerülést, hanem a folyamatos fejlesztést és üzemeltetést is finanszírozni kell

Incidens Menedzsment erőforrások Humán: Miután eldöntöttük, hogy milyen IM csoportot alakítunk ki, meg kell határozni a szükséges kompetenciákat: Technikai: Aki képes az adott incidens technikai működését megérteni, képes egy problémát analizálni és képes meghatározni a hatékony technikai válaszlépéseket Menedzsment: Aki képes egy incidens esetén az incidens szervezetre gyakorolt hatását megérteni, képes meghatározni a szervezeti válaszlépéseket, képes olyan kárenyhítési stratégiák kialakítására, ami növeli a szervezet ellenálló képességét

Incidens Menedzsment erőforrások Jogi: Aki képes egy adott incidens szervezetre gyakorolt jogi hatásait felfogni, képes megfelelő jogi válaszlépések kialakítására, képes a szervezet szabályozó rendszerében olyan változtatások kezdeményezésére, ami növeli a szervezet ellenálló képességét Kommunikáció: Aki képes a szervezeten belül és kifelé (pl. partnerek, ügyfelek, stb.) egy incidens megfelelő kommunikációjára, azaz mi történt, milyen válaszlépések történtek, mindennek milyen hatása van az érintettekre. A kommunikációba beleértjük a biztonsági tudatosság növelését, azaz az oktatásokat, tréningeket, figyelemfelhívó kampányokat is.

Incidens Menedzsment erőforrások Incidens Menedzserek: Feladatuk a teljes IM folyamat áttekintése és a szervezeti válaszadás koordinációja, valamint a felső vezetés részére a szükséges információk biztosítása Nemzetközi kapcsolatok: Feladatuk az IM csoport nemzetközi kapcsolatainak, együttműködéseinek biztosítása (elsősorban a koordinációs IM csoportoknál) Adminisztráció: Nem tartoznak minden esetben szorosan az IM csoporthoz. Ők biztosítják a tevékenység teljes adminisztrációs folyamatát (pl. pénzügy, elszámolások, stb.)

Incidens Menedzsment erőforrások Szolgáltatások: Alapvető probléma, hogy nem minden szervezet képes a teljes szükséges IM folyamatot saját erőforrásokkal lefedni, ilyenkor szükséges lehet a szolgáltatás vásárlás, pl.: Analízis kapacitás: külső analízis labor igénybe vétele Jogi tanácsadás Kommunikációs szolgáltatások

Incidens Menedzsment esettanulmány Vállalti IM csoport kialakítása: Cipő gyártó és értékesítő vállalat Budapesti központ, gyártó kapacitás vidéken, megosztott értékesítési hálózat (saját boltok, ügynökök, internet értékesítés) IT rendszer is megosztott: IT központ Budapesten, itt van az internet értékesítési pont is Tartalék IT központ a gyártás helyén, itt van a gyártást támogató fő IT rendszer is Az értékesítési pontokon munkaállomások, interneten érik el a központi értékesítési rendszert

Incidens Menedzsment esettanulmány Az ügynökök laptopon/interneten keresztül érik el a központi értékesítési rendszert A két IT központ és az értékesítési hálózat között titkosított VPN kapcsolat van A teljes infrastruktúra rendelkezik védelmi megoldásokkal (pl. vírusvédelem, tűzfalak, IDS, stb.), amit az IT üzemeltetés kezel Szervezeti felépítés: A központban van a központi IT üzemeltetés A gyártás helyén kihelyezett üzemeltetők vannak, illetve a központból távfelügyeletet adnak Az értékesítési hálózatot egy központi helpdesk távmenedzsmenttel felügyeli

Incidens Menedzsment esettanulmány A vállalat nem rendelkezik IM folyamattal, az informatikai igazgató feladata volt az IT biztonság kezelése A probléma: Az elmúlt 1,5 hónapban rendszeres ddos támadások jelentősen csökkentették az internetes értékesítés forgalmát, illetve a szervezeti egységek közötti kapcsolat is akadozik A vezetői döntés: A felső vezetés felismerve a problémát úgy dönt, hogy IM folyamatot vezet be, amire TÉGED kérnek fel, mint projekt vezetőt!

Incidens Menedzsment esettanulmány A feladat: Mérd fel a vállalat jelenlegi IM képességeit Tegyél javaslatot egy hatékony IM folyamat kialakítására Tervezd meg a kialakítási projektet (milyen csoport, milyen erőforrások, milyen finanszírozás szükséges) Milyen szervezeti változtatások szükségesek? Tervezd meg a kialakított rendszer üzemeltetési erőforrás és finanszírozási igényét Tervezd meg a rendszer fejlesztési koncepcióját

Incidens Menedzsment esettanulmány Egy lehetséges megoldás: Vegyes, részben megosztott IM csoport: A központi IM csoport a kapcsolati pont, innen történik az IM koordináció (ide jelent az értékesítési hálózat és a gyártó szervezeti egység is) A központban koncentrálódik az IM szolgáltatások jelentős része (technika, menedzsment, jog, kommunikáció) Az IM-re az informatikai igazgatótól független vezető kerül kinevezésre, aki közvetlenül a vezérigazgató irányításával dolgozik Incidens menedzserek kerülnek alkalmazásra, akik teles munkaidőben az IM-el foglalkoznak

Incidens Menedzsment esettanulmány A központban a kompetenciákkal rendelkező szakemberek munkaidejük egy részében foglalkoznak az IM-el (pl. technikai személyzet) Központi szolgáltatások: Védekezés (incidens, sérülékenység, kártékony kód kezelés, stb.) Megelőzés (figyelmeztetések, behatolás érzékelés, biztonsági auditok, stb.) Biztonsági minőség menedzsment (kockázat értékelések, dolgozók és partnerek biztonsági oktatása, katasztrófa tervek, stb.) A gyártó szervezeti egységnél lévő IT szakemberek a megosztott csoport tagjai

Incidens Menedzsment esettanulmány A megosztott csoport tagjai technikai kompetenciákkal rendelkeznek Az incidens menedzserek koordinálják a központi és megosztott csoport tagjait az IM folyamat során Az értékesítési hálózat tagjai nem rendelkeznek kompetenciákkal, feladatuk az események jelentése a központba Az értékesítési hálózat esetén az incidensek kezelése távfelügyelettel történik Az internet értékesítési pont a központi csoporthoz tartozik

Incidens Menedzsment esettanulmány Erőforrások: Eszköz: központi ticketing rendszer, belső információs weboldal, stb. Humán: IM vezető, incidens menedzserek alkalmazása, a kompetenciákkal rendelkező szakemberek IM képzése Szolgáltatás: Analízis, nemzetközi koordináció, oktatás, stb. Finanszírozási igény: Kialakítás: eszközbeszerzés, elhelyezés, rendszerfejlesztés, oktatás, stb. Üzemeltetés: Humán költségek, üzemeltetési költségek, szolgáltatás vásárlás

Incidens Menedzsment esettanulmány Szervezeti változások: Közvetlenül a vezér alá rendelet IM vezető A vegyes IM csoport tagjainak plusz feladatai Az incidens menedzserek feladatai és jogai A jelenlegi struktúra erős embereivel elfogadtatni a változásokat (pl. informatikai vezető) Fejlesztési stratégia: A bevezetett szolgáltatások folyamatos figyelése és javítása Új szolgáltatások bevezetése a szervezet igényei és lehetőségei szerint

Incidens Menedzsment esettanulmány Hasznos információk az IM-el kapcsolatban: www.cert.org/csirts/ www.enisa.europa.eu/cert_guide/ www.first.org/library/ www.trusted-introducer.nl/links/documents.html

Köszönöm a figyelmet! www.cert-hungary.hu