AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
Incidens Menedzsment
Benyó Pál
Tartalom • • • • •
Hálózatbiztonsági incidensek Az Incidens Menedzsment A hatékony incidens kezelési csoport A szükséges erőforrások Esettanulmány – vállalati incidens kezelés
Fenyegetések F e n y e g e té s fo rrá s a H a c k e r, C ra c k e r
M o tiv á c ió K ih ív á s , e g o , lá z a d á s In fo rm á c ió m e g s e m m is íté s e , ille g á lis
S z á m ító g é p e s b ű n ö z ő
in fo rm á c ió k ö z lé s , p é n z s z e rz é s , jo g o s u la tla n a d a t m e g v á lto z ta tá s
T e rro ris tá k
M e g s e m m is íté s , k ih a s z n á lá s , b o s s z ú , ré m h ír te rje s z té s
Tevékenység H a c k e lé s , s o c ia l e n g in e e rin g , b e h a to lá s , jo g o s u la tla n h o z z á fé ré s R e n d s z e r b e h a to lá s , s p o o fin g , m e g v e s z te g e té s , h a c k e r te c h n ik á k R e n d s z e r tá m a d á s , D D O S , re n d s z e r p e n e trá c ió , re n d s z e r h a m is ítá s , in fo rm á c ió s h á b o rú In fo rm á c ió lo p á s , s o c ia l e n g in e e rin g ,
Ip a ri k é m e k (v á lla la to k , k ü lfö ld i k o rm á n y z a to k , m á s k o rm á n y z a ti é rd e k e lts é g e k )
G a z d a s á g i e lő n y ö k s z e rz é s e , v e rs e n y e lő n y ö k , h írs z e rz é s
s z e m é ly e s a d a to k fe lh a s z n á lá s a , jo g o s u la tla n re n d s z e r h o z z á fé ré s e k (b iz a lm a s a d a to k , te c h n o ló g ia i a d a to k , s tb .) A m u n k a v á lla ló m e g fe n y e g e té s e ,
B e ls ő s z e m é ly e k
K ív á n c s is á g , e g o , in fo rm á c ió
ro s s z h ír te rje s z té s e , s z á m ító g é p e s
s z e rz é s , p é n z s z e rz é s , b o s s z ú ,
c s a lá s , in fo rm á c ió lo p á s ,
h ib á k
m e g s z a k ítá s , m e g h a m is íto tt a d a to k , re n d s z e r s z a b o tá lá s , s tb .
Biztonsági incidensek • Információ gyűjtés a cél számítógépről (Computer fingerprinting) • Kártékony kód (Malicious code) • Szolgáltatás megtagadás (Denial of Service) • Jogosulatlan hozzáférés információhoz • Jogosulatlan hozzáférés adatátvitelhez • Jogosulatlan információ módosítás • Jogosulatlan hozzáférés kommunikációs eszközökhöz
Incidens Menedzsment • Történetileg az incidens kezelés és az incidens válaszadás fogalmak jelentek meg először, ezek a tevékenységek részei az Incidens Menedzsmentnek. • Az incidens kezelés egy olyan szolgáltatás, ami magába foglalja a biztonsági események és incidensek kezelésével kapcsolatos feladatokat és folyamatokat
Incidens Menedzsment Az incidens kezelési folyamat általános felépítése: • Azonosítás és jelentés: információk, incidens jelentések és figyelmeztetések fogadása és vizsgálata • Sorrend (triage): besorolás, sorrendbe állítás • Analízis: meghatározni mi is történt, milyen hatása van, milyen károkat okozott, milyen elhárítási vagy kárenyhítési stratégia alkalmazható • Incidens válaszadás: megoldás vagy kárcsökkentés, ellenlépések koordinálása, információk megosztása, nyomonkövetési stratégiák kialakítása, hogy az incidens még egyszer ne fordulhasson elő
Incidens Menedzsment • Az incidens menedzsment folyamata az incidens kezelésnél jóval több szolgáltatást foglal magába: – Az incidensek megelőzését – A sérülékenységek kezelését – A kártékony kódok kezelését – Biztonsági tudatosság növelését – Biztonsági menedzsment funkciókat • Azaz az incidens menedzsment nem csak az incidens bekövetkezésekor történő válaszadást, hanem a megelőzést, azaz a fenyegetések és kockázatok azonosítását és a válaszadási stratégiák kialakítását is jelenti.
Incidens Menedzsment szolgáltatások • Reagáló szolgáltatások: Bizonyos események (pl. incidens riportok) által beindított szolgáltatások, a biztonsági események felszámolására: – Jelzések, figyelmeztetések (információk publikálása az eseményekről) – Incidens kezelés (analízis, kezelés, on-site kezelés, stb.) – Sérülékenység kezelés (analízis, kezelés, on-site kezelés, stb.) – Kártékony szoftver kezelés (analízis, kezelés, on-site kezelés, stb.)
Incidens Menedzsment szolgáltatások • Megelőző szolgáltatások: Támogatás a biztonsági eseményekre való felkészülésben és a védelmi intézkedések meghozatalában: – Értesítések, riportok (sérülékenységről, kártékony szoftverekről) – Technológia figyelés (trend analízisek, védelmi technikák) – Hálózat monitoring (behatolás figyelés) – Biztonsági eszközök fejlesztése – Biztonsági auditok – Egyéb megelőző intézkedések
Incidens Menedzsment szolgáltatások • Biztonsági minőség menedzsment szolgáltatások: Olyan szolgáltatások, amik segítségével fokozható a szervezet ellenálló képessége azaz a biztonsági minősége: – Kockázat analízis – Katasztrófa tervek – Biztonsági tanácsadás – Tudatosítás és oktatás – Egyebek
Incidens Menedzsment szolgáltatások
Incidens Menedzsment kérdések • Biztosított-e a felső vezetés elkötelezettsége? (szervezeti és finanszírozási kérdések) • Kinek a felelőssége az IM a szervezetnél? • Milyen IM folyamat szükséges? • Hogyan alakítsuk ki a szervezetnél az IM kapacitást? • Kikből álljon az IM csoport? • Milyen szabályozás szükséges a hatékony IMhez?
Incidens Menedzsment - felelősség • Elsődlegesen a szervezet felső vezetője/vezetése felelős minden, a szervezetet érintő biztonsági kérdésben • A biztonsági vezető felelős az IM folyamat kialakításáért, az IM csoport működtetéséért és a felső vezetés tájékoztatásáért. • A hatékony IM kialakításának és üzemeltetésnek alapvető követelménye, a felső vezetés elkötelezettsége, azaz a szervezeti funkciók és finanszírozási háttér biztosítása
Incidens Menedzsment Biztonsági zóna 1: - Tűzfalak - Vírusvédelem - IDS/IPS - DMZ szerverek védelme (pl. webszerver)
Biztonsági zóna 2: - Vírusvédelem - IDS/IPS - Patch menedzsment - Naplók - Egyéb biztonság (pl. adatmentés, titkosítás, stb.) Szerverek
Internet Office LAN
DMZ
Biztonsági zóna 3: - Vírusvédelem (kliens) - Tűzfal (kliens) - Biztonsági frissítések - Stb...
Incidens Menedzsment:
- biztonsági eszközök jelzései - korrelációk - incidens jelentések - incidens kezelés - incidens koordináció - sérülékenység kezelés - kártékony szoftver kezelés - biztonsági vizsgálatok - biztonsági tudatosítás, oktatás - stb...
Incidens Menedzsment - folyamata • Alapvető szervezeti kérdés: Hogyan épül fel egy IM folyamat? Milyen struktúra szükséges? • A szervezeteknek minőségi stratégiára és folyamatokra van szüksége, nem csak az incidensek kezelésére, de az incidensek megelőzésére és az újra bekövetkezés megakadályozására, azaz: – Biztonsági incidens kapacitások terve és implementációja – Megerősített és biztonságos infrastruktúra – Felismerés, sorrendbe állítás, válaszadás, amikor az esemény bekövetkezik
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata Felkészülés (Prepare): • Előzetes IM kapacitás megtervezése és implementálása • Az IM kapacitás működtetése • A meglévő kapacitás fejlesztése folyamatos tanulással és értékeléssel • Egyes IM intézkedések utólagos áttekintése, ha szükséges • Az infrastruktúra fejlesztési javaslatok átvezetése a védelmi szakaszba
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata Védelem (Protect, Protect infrastrukcture): • Infrastruktúra változtatások bevezetése, hogy megakadályozzuk a folyamatban lévő incidenseket vagy csökkentsük a sérülékenységek kihasználhatóságának kockázatát • Infrastruktúra védelmi fejlesztések bevezetése • Az IT infrastruktúra értékelése proaktív tesztelésekkel, hálózat monitoringgal és kockázat értékeléssel • Információ továbbítás az észlelési szakaszba a folyamatban lévő incidensekről, a felismert sérülékenységekről és más biztonsági eseményekről
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata Észlelés (Detect events): • Az események észrevétele és jelentése • Jelentések fogadása • Megelőző monitoring (pl. IDS, technológia figyelés) • A figyelésre „érdemes” események analízise (mit is monitorozzunk?) • A gyanús események továbbítása a sorrendbe állítási szakaszba • Az IM folyamatba nem tartozó események továbbadása az illetékes helyre (pl. áramkimaradás) • A lezárható események lezárása
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata Sorrendbe állítás (Triage events): • Az események kategorizálása és korrelációinak meghatározása • Az események prioritásának meghatározása • Döntés esemény kezeléséről vagy válaszadásról • A szükséges információk továbbítása a válaszadási szakasz részére • Az IM folyamatba nem tartozó események továbbadása az illetékes helyre • A lezárható események lezárása
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata Válaszadás (Respond): • Az esemény analízise • Válaszadási stratégia megtervezése • Technikai, menedzsment és jogi válaszadás, illetve koordináció • Kommunikáció a külső partnerekkel • Az IM folyamatba nem tartozó események továbbadása az illetékes helyre • A válaszadás lezárása • Az eseményből, illetve a válaszadásból a tanulságok levonása és az érintettekkel való megosztása
Incidens Menedzsment kialakítása • Ahány szervezet annyi módszer a kialakításra. Függ a rendelkezésre álló időkerettől, erőforrásoktól, emberektől, finanszírozástól és szükséges szolgáltatásoktól. • Általánosan az alábbi tevékenységek, döntések szükségesek: – A felső vezetés támogatásának megszerzése (szervezet, erőforrások, finanszírozás) – A stratégiai célok meghatározása, az igények felmérése
Incidens Menedzsment kialakítása – Az IM csoport küldetésének meghatározása: • támogatottak körének definiálása • célok és feladatok definiálása • szolgáltatások meghatározása • szervezeti modell meghatározása • költségek és a finanszírozás meghatározása • szükséges erőforrások meghatározása – Az IM csoport céljainak és szolgáltatásainak kommunikálása a felső vezetés és a szolgáltatás leendő igénybevevői felé
Incidens Menedzsment kialakítása – A visszajelzések fogadása és a tervek finomítása – A végleges tervek alapján az IM bevezetése: • Az IM csoport tagjainak felvétele és kiképzése • Eszközök beszerzése és az IM infrastruktúra kialakítása • Folyamatok és szabályzatok kialakítása a mindennapi üzemeléshez • Incidens jelentési szabályzat/guidelines kialakítása a támogatottak részére • Az IM csoport bemutatása az együttműködők részére (pl. CERT közösség) • Az IM folyamat folyamatos értékelése és fejlesztése
Incidens Menedzsment szervezet • Az IM csoport szervezeti formája a meglévő szervezeti formától és a felső vezetés támogatásától függ. • Általános szervezeti típusok: – Biztonsági csoport – a meglévő IT kollégák alkalmazásával – Belső, megosztott IM csoport – Belső, központi IM csoport – Vegyes, részben megosztott és részben központi IM csoport – Koordinációs IM csoport
Incidens Menedzsment szervezet Biztonsági csoport – a meglévő IT kollégákkal: • Rendszer és hálózat admin. feladata az IM is, mert amúgy is ők üzemeltetik az IT rendszereket • Mivel ők konfigurálják a biztonsági rendszereket is, ezért őket „szokták” biztonsági csoportnak hívni • Létezik centralizált megoldás, de leggyakrabban megosztott a szervezeti kialakítás • Nincs szervezeti felügyelet az IM folyamatra, egyénileg végzik a szakemberek • Nem jellemző a koordinált IM, ad-hoc módon történik a válaszadás • Elsősorban reaktív szolgáltatások a jellemzők
Incidens Menedzsment szervezet Biztonsági csoport – a meglévő IT kollégákkal: • Elsősorban olyan szervezeteknél jellemző, ahol szükséges a specializált IT biztonsági humán erőforrás • Az IM a munkaidő egy bizonyos részében történik • Jellemző rájuk a magas szintű technikai kompetencia, azonban kommunikációs, menedzsment és jogi kérdésekben alacsony a hozzáadott érték • Főleg üzleti szervezeteknél, oktatási intézményeknél jellemző ez a szervezeti felépítés
Incidens Menedzsment szervezet Belső, megosztott IM csoport: • A szervezet különböző egységeinél helyezkednek el az IM folyamatban szerepet kapó kollégák • Egy vagy több incidens menedzser irányítja a megosztott csoportot • Az IM-ben szerepet kapó kollégák a technikai kompetenciáktól, a kommunikáción át, a jogi szakértelemig rendelkeznek szaktudással • Az incidens menedzser feladata a megosztott rendszerben az IM koordinációja, a feladatok megosztása és ellenőrzése
Incidens Menedzsment szervezet Belső, megosztott IM csoport: • Az incidens menedzser mindig azt a kollégát vonja be a folyamatba, akinek a szaktudására éppen szükség van • A megosztott IM csoport esetén a szervezet teljes felügyeletet képes gyakorolni az IM folyamat egészére az incidens menedzseren keresztül • Ez a szervezeti forma elsősorban nagy szervezetekre jellemzőek, ahol a szervezet maga is megosztott (esetleg földrajzilag is) • A szolgáltatások az IM teljes spektrumát lefedhetik a szervezet igényeitől függően
Incidens Menedzsment szervezet Belső, központi IM csoport: • Egy központi helyen kezelik a teljes IM folyamatot • Az IM folyamatban résztvevő kollégák teljes munkaidejükben az IM-el foglalkoznak • Egy felelős vezető felel a teljes IM csoport tevékenységéért, ő jelent a felső vezetésnek • A teljes IM erőforrás központilag helyezkedik el • A központi IM csoport gyűjti be az incidensekkel kapcsolatos összes információt a szervezeti egységektől • A központi IM csoport teljes felügyeletet képes biztosítani a teljes IM folyamatra
Incidens Menedzsment szervezet Belső, központi IM csoport: • A csoport tagjai különböző kompetenciákkal rendelkeznek (technikai, menedzsment, jogi, kommunikációs, stb.) • A csoport nem csak a reagáló, hanem a megelőző és a biztonsági minőség menedzsment szolgáltatásokat is képesek a támogatottak számára nyújtani • A csoport kiemelt szerepet játszik a szervezet biztonsági tudatosságának növelésében és szinten tartásában (pl. oktatások, tréningek, figyelem felhívó kampányok) • A központi IM kis létszámú szervezetekre és fizikailag/földrajzilag megosztott nagy szervezetekre jellemző
Incidens Menedzsment szervezet Vegyes, (megosztott/központi) IM csoport: • A vegyes modellben létrehoznak egy központi IM csoportot, akik együttműködnek az egyes szervezeti egységeknél lévő szakemberekkel • A központi IM csoport magas szintű koordinációt lát el, illetve a szervezet egészét érintő problémákat kezeli • A központi csoport dolgozza ki a válaszadási és kárenyhítési stratégiákat • A központi csoport támogatási szolgáltatásokat ad a megosztott csoporttagoknak (pl. analízis) • A megosztott csoporttagok a saját területükön szakértők (technikai, jogi, stb.)
Incidens Menedzsment szervezet Vegyes, (megosztott/központi) IM csoport: • A vegyes megoldás esetén a szervezet maximalizálhatja a meglévő kompetenciák kihasználását • A központi kollégák teljes munkaidőben, a megosztott csoport munkaidejének bizonyos részében foglalkozik az IM feladatokkal • A központi csoportnál helyezkednek el az incidens menedzserek, akik koordinálják az IM folyamatot • Az IM folyamat felügyelete is vegyes, a központi csoportnak a koordinációra teljes felügyeleti joga van, azonban a leosztott feladatok esetén a felügyelet korlátozott
Incidens Menedzsment szervezet Vegyes, (megosztott/központi) IM csoport: • A vegyes megoldás a nagyon nagy, megosztott szervezetekre jellemző leginkább, ahol központi irányítás alatt több, földrajzilag szétosztott szervezeti egység működik • Jó példa a vegyes megoldásra a nagy globális cégek (pl. bankok) • A központi csoportnak közvetlenül a szervezet központjához közel kell elhelyezkednie, hogy a teljes szervezetet érintő problémákra azonnal, felső vezetői jóváhagyással tudjon reagálni
Incidens Menedzsment szervezet Koordinációs IM csoport: • A koordinációs csoportok elsősorban nem belső szervezeti csoportok • Feladatuk a külső szervezetek IM támogatása, országok, szervezetek közötti IM koordináció megvalósítása • Célja a nyílt infrastruktúrán megjelenő, szervezetek közötti, illetve globális hatású incidensek kezelése • Tevékenységeik az információ megosztás, a kárenyhítő stratégiák kidolgozása, a trend kutatás és analízis, a figyelmeztetések kiadása • A támogatottak köre elsősorban szervezetek, akik maguk is rendelkezhetnek IM csoporttal
Incidens Menedzsment szervezet Koordinációs IM csoport: • Az IM folyamat felügyelete részükről korlátozott, erősen függ a támogatott szervezetekkel kötött megállapodásoktól • Létezik olyan koordinációs IM csoport, aminek egyáltalán nincs az IM folyamatra felügyeleti lehetősége, ebben az esetben csupán információ megosztó és tanácsadó szerepe van • A koordinációs csoportban teljes munkaidőben, különböző kompetenciákkal rendelkező kollégák dolgoznak • A kompetenciák a támogatott szervezetek igényeihez igazodnak
Incidens Menedzsment szervezet Koordinációs IM csoport: • A kompetenciák a technikai, menedzsment, jogi és kommunikációs területeket fedhetik le • A globális incidensek hatásainak kezeléséhez elengedhetetlen a folyamatos (7/24 órás) üzem, ezért a koordinációs csoportok nagy része rendelkezik ügyeleti szolgálattal • A koordinációs csoportok számára elengedhetetlenül fontosak a nemzetközi együttműködések, ezért leggyakrabban rendelkeznek nemzetközi kapcsolatok kezelésére dedikált szakemberrel is • A koordinációs központok finanszírozása általában nehéz feladat
Incidens Menedzsment erőforrások • Az IM csoport kialakításához szükséges erőforrások: – Eszközök: A megtervezett IM folyamatot támogató eszközrendszer – Humán: A szükséges kompetenciákkal rendelkező szakemberek – Szolgáltatások: Mindazok az erőforrások, amikkel nem rendelkezünk és nem is akarunk rendelkezni különböző okok miatt (pl. olcsóbb szolgáltatásként igénybe venni, a szükséges kompetencia nem érhető el szervezeten belül, stb.) • Az erőforrások tervezésénél figyelembe kell venni, hogy a szervezet folyamatosan képes legyen finanszírozni az üzemeltetésüket is
Incidens Menedzsment erőforrások Eszközök: • Az IM csoport eszközrendszerét a nyújtott szolgáltatások eszköz szükségletéhez kell igazítani (pl.): – Incidens kezelés: Ticketing rendszer, telefonok, fax, publikációs lehetőségek (pl. webszerver) – Sérülékenység kezelés: Publikációs lehetőség, adatbázis, analízis eszközök (pl. labor, virtuális gépek) – Kártékony kódok kezelése: Információ gyűjtő eszközök, szeparált labor a vizsgálatokhoz, publikációs lehetőségek • Nem csak a bekerülést, hanem a folyamatos fejlesztést és üzemeltetést is finanszírozni kell
Incidens Menedzsment erőforrások Humán: • Miután eldöntöttük, hogy milyen IM csoportot alakítunk ki, meg kell határozni a szükséges kompetenciákat: – Technikai: Aki képes az adott incidens technikai működését megérteni, képes egy problémát analizálni és képes meghatározni a hatékony technikai válaszlépéseket – Menedzsment: Aki képes egy incidens esetén az incidens szervezetre gyakorolt hatását megérteni, képes meghatározni a szervezeti válaszlépéseket, képes olyan kárenyhítési stratégiák kialakítására, ami növeli a szervezet ellenálló képességét
Incidens Menedzsment erőforrások – Jogi: Aki képes egy adott incidens szervezetre gyakorolt jogi hatásait felfogni, képes megfelelő jogi válaszlépések kialakítására, képes a szervezet szabályozó rendszerében olyan változtatások kezdeményezésére, ami növeli a szervezet ellenálló képességét – Kommunikáció: Aki képes a szervezeten belül és kifelé (pl. partnerek, ügyfelek, stb.) egy incidens megfelelő kommunikációjára, azaz mi történt, milyen válaszlépések történtek, mindennek milyen hatása van az érintettekre. A kommunikációba beleértjük a biztonsági tudatosság növelését, azaz az oktatásokat, tréningeket, figyelemfelhívó kampányokat is.
Incidens Menedzsment erőforrások – Incidens Menedzserek: Feladatuk a teljes IM folyamat áttekintése és a szervezeti válaszadás koordinációja, valamint a felső vezetés részére a szükséges információk biztosítása – Nemzetközi kapcsolatok: Feladatuk az IM csoport nemzetközi kapcsolatainak, együttműködéseinek biztosítása (elsősorban a koordinációs IM csoportoknál) – Adminisztráció: Nem tartoznak minden esetben szorosan az IM csoporthoz. Ők biztosítják a tevékenység teljes adminisztrációs folyamatát (pl. pénzügy, elszámolások, stb.)
Incidens Menedzsment erőforrások Szolgáltatások: • Alapvető probléma, hogy nem minden szervezet képes a teljes szükséges IM folyamatot saját erőforrásokkal lefedni, ilyenkor szükséges lehet a szolgáltatás vásárlás, pl.: – Analízis kapacitás: külső analízis labor igénybe vétele – Jogi tanácsadás – Kommunikációs szolgáltatások
Incidens Menedzsment esettanulmány Vállalti IM csoport kialakítása: • Cipő gyártó és értékesítő vállalat • Budapesti központ, gyártó kapacitás vidéken, megosztott értékesítési hálózat (saját boltok, ügynökök, internet értékesítés) • IT rendszer is megosztott: – IT központ Budapesten, itt van az internet értékesítési pont is – Tartalék IT központ a gyártás helyén, itt van a gyártást támogató fő IT rendszer is – Az értékesítési pontokon munkaállomások, interneten érik el a központi értékesítési rendszert
Incidens Menedzsment esettanulmány – Az ügynökök laptopon/interneten keresztül érik el a központi értékesítési rendszert – A két IT központ és az értékesítési hálózat között titkosított VPN kapcsolat van – A teljes infrastruktúra rendelkezik védelmi megoldásokkal (pl. vírusvédelem, tűzfalak, IDS, stb.), amit az IT üzemeltetés kezel • Szervezeti felépítés: – A központban van a központi IT üzemeltetés – A gyártás helyén kihelyezett üzemeltetők vannak, illetve a központból távfelügyeletet adnak – Az értékesítési hálózatot egy központi helpdesk távmenedzsmenttel felügyeli
Incidens Menedzsment esettanulmány – A vállalat nem rendelkezik IM folyamattal, az informatikai igazgató feladata volt az IT biztonság kezelése • A probléma: – Az elmúlt 1,5 hónapban rendszeres dDoS támadások jelentősen csökkentették az internetes értékesítés forgalmát, illetve a szervezeti egységek közötti kapcsolat is akadozik • A vezetői döntés: – A felső vezetés felismerve a problémát úgy dönt, hogy IM folyamatot vezet be, amire TÉGED kérnek fel, mint projekt vezetőt!
Incidens Menedzsment esettanulmány • A feladat: – Mérd fel a vállalat jelenlegi IM képességeit – Tegyél javaslatot egy hatékony IM folyamat kialakítására – Tervezd meg a kialakítási projektet (milyen csoport, milyen erőforrások, milyen finanszírozás szükséges) – Milyen szervezeti változtatások szükségesek? – Tervezd meg a kialakított rendszer üzemeltetési erőforrás és finanszírozási igényét – Tervezd meg a rendszer fejlesztési koncepcióját
Incidens Menedzsment esettanulmány Egy lehetséges megoldás: • Vegyes, részben megosztott IM csoport: – A központi IM csoport a kapcsolati pont, innen történik az IM koordináció (ide jelent az értékesítési hálózat és a gyártó szervezeti egység is) – A központban koncentrálódik az IM szolgáltatások jelentős része (technika, menedzsment, jog, kommunikáció) – Az IM-re az informatikai igazgatótól független vezető kerül kinevezésre, aki közvetlenül a vezérigazgató irányításával dolgozik – Incidens menedzserek kerülnek alkalmazásra, akik teles munkaidőben az IM-el foglalkoznak
Incidens Menedzsment esettanulmány – A központban a kompetenciákkal rendelkező szakemberek munkaidejük egy részében foglalkoznak az IM-el (pl. technikai személyzet) – Központi szolgáltatások: • Védekezés (incidens, sérülékenység, kártékony kód kezelés, stb.) • Megelőzés (figyelmeztetések, behatolás érzékelés, biztonsági auditok, stb.) • Biztonsági minőség menedzsment (kockázat értékelések, dolgozók és partnerek biztonsági oktatása, katasztrófa tervek, stb.) – A gyártó szervezeti egységnél lévő IT szakemberek a megosztott csoport tagjai
Incidens Menedzsment esettanulmány – A megosztott csoport tagjai technikai kompetenciákkal rendelkeznek – Az incidens menedzserek koordinálják a központi és megosztott csoport tagjait az IM folyamat során – Az értékesítési hálózat tagjai nem rendelkeznek kompetenciákkal, feladatuk az események jelentése a központba – Az értékesítési hálózat esetén az incidensek kezelése távfelügyelettel történik – Az internet értékesítési pont a központi csoporthoz tartozik
Incidens Menedzsment esettanulmány • Erőforrások: – Eszköz: központi ticketing rendszer, belső információs weboldal, stb. – Humán: IM vezető, incidens menedzserek alkalmazása, a kompetenciákkal rendelkező szakemberek IM képzése – Szolgáltatás: Analízis, nemzetközi koordináció, oktatás, stb. • Finanszírozási igény: – Kialakítás: eszközbeszerzés, elhelyezés, rendszerfejlesztés, oktatás, stb. – Üzemeltetés: Humán költségek, üzemeltetési költségek, szolgáltatás vásárlás
Incidens Menedzsment esettanulmány • Szervezeti változások: – Közvetlenül a vezér alá rendelet IM vezető – A vegyes IM csoport tagjainak plusz feladatai – Az incidens menedzserek feladatai és jogai – A jelenlegi struktúra „erős embereivel” elfogadtatni a változásokat (pl. informatikai vezető) • Fejlesztési stratégia: – A bevezetett szolgáltatások folyamatos figyelése és javítása – Új szolgáltatások bevezetése a szervezet igényei és lehetőségei szerint
Incidens Menedzsment esettanulmány Hasznos információk az IM-el kapcsolatban: • www.cert.org/csirts/ • www.enisa.europa.eu/cert_guide/ • www.first.org/library/ • www.trusted-introducer.nl/links/documents.html
Köszönöm a figyelmet! www.cert-hungary.hu
