Management informační bezpečnosti č Definice fi i
V Brně dne 3. 3 října 2013
Definice Common Criterta ITIL COBIT CRAMM Při ěř á b Přiměřená bezpečnost č t
Management informační bezpečnosti
2
Common Criteria Common Criteria jsou společná kritéria pro bezpečnosti informačních technologií. technologií
hodnocení
Jsou shrnuta v normě ISO/IEC 15408 Information technology – Security techniques – Evaluation criteria for IT security Framework Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným, přesným a standardizovaným způsobem. Oficiální literatura vychází v pravidelných intervalech s příslušnými aktualizacemi (viz rok 2012 ve verzi 3.1, 4. vydání) Na portálu Common Criteria existuje seznam certifikovaných produktů dle kategorií splňujících požadovaná bezpečnostní kritéria. kritéria http://www.commoncriteriaportal.org
Management informační bezpečnosti
3
Knihovna ITIL Knihovna ITIL - poskytnutí uceleného souboru pro řízení služeb IT (model ITIL V3 - ITR3, platná od roku 2007) celková koncepce je podřízena životnímu cyklu služeb IT ve formě: - strategie služeb - návrh služeb - implementace služeb - provoz služeb - průběžné zlepšování služeb Zkratka ITIL znamená IT Infrastructure Library, anglicky mluvícím je tedy zřejmé, že se jedná o knihovnu, která nám dává doporučení co a kdy dělat při provozu a údržbě IT služeb. Hned na začátku zmíníme, že ITIL neříká jak toto dělat, pouze říká co a kdy! – lépe řečeno se jedná o FRAMEWORK postavený na nejlepších zkušenostech z praxe (best practices). Protože ITIL je nezávislý na platformě a protože je to "rámec", jsou výstupy všech dodavatelů v celém odvětví kompatibilní a univerzálně použitelné (SW nástroje, nástroje školení školení, konzultační služby). Management informační bezpečnosti
4
ITIL ITIL není norma ani metodika! Druhým pojmem pojmem, který je pro ITIL klíčový je proaktivní přístup. přístup Klasický reaktivní přístup pouze reaguje na události, které nastaly, kdežto proaktivní přístup se zabývá aktivní detekcí a řešením možných problémů, potřebných změn v ICT infrastruktuře infrastruktuře, které by v budoucnu mohly vyvolat incidenty či přinést problémy problémy. ITIL je detailnější než COBIT. Obsahem ITIL je: - definování procesů potřebných pro zajištění ITSM - zásadyy p pro implementaci procesů ITSM p p ITIL neřeší: - konkrétní podobu organizační struktury - způsob obsazení rolí konkrétními pracovními pozicemi - podobu a obsah pracovních procedur - projektovou metodiku implementace ITSM Management informační bezpečnosti
5
ITIL Základní procesy řízení bezpečnosti informací dle ITIL
Management informační bezpečnosti
6
Metodiky M t dik - je Metodika j podrobný d b ý popis i celkové lk é či činnosti. ti
COBIT podobně jako ITIL vychází ze skutečnosti, že: aby podnik mohl dosahovat svých cílů (Business goals), vznáší business požadavky (Business Requirements), které generují požadavky na IT zdroje (IT resources), jež jsou zapojeny j d do IT procesů ů (IT processes)) přinášející ři áš jí í b businessu i požadovanou ž d službu a informace (Enterprise Information). V metodikách je uplatněn klasický PDCA cyklus, kde například pro metodiku COBIT Demingově fázi - PLAN odpovídá Plánování a organizace (Plan and Organise), - fáze DO jje zastoupena p doménou Akvizice a implementace p ((Acquire q and Implement) + Poskytování a podpora (Deliver and Support), - dvěma fázím CHECK+ACT odpovídá doména Monitorování a vyhodnocování (Monitor and Evaluate).
Management informační bezpečnosti
7
Metodika COBIT Metodika COBIT - (Control Objectives for Information and related Technology) je metodika řízení informatiky v organizacích (kostka COBIT) je považována za soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. rizik Cílem metodiky je propojení principů obecného řízení organizace s pravidly, která jsou uplatňována v prostředí IT. je komplexnější než ITIL (řídící služby IT) osa x – informační kriteria – 7 (důvěrnost, integrita, dostupnost, efektivita, účinnost/hospodárnost, soulad spolehlivost/hodnověrnost) soulad,
osa y – IT procesy - většinou 3 (aktivity, procesy, domény) j IT – obvykle y osa z – zdroje 4 ((aplikace, informace, infrastruktura, lidé))
S metodikou COBIT se velice dobře pracuje a člověk se v ní rychle orientuje, strukturou neboť vše je vyvedeno v přehledné tabelární formě s pevně danou strukturou.
Management informační bezpečnosti
8
Management informační bezpečnosti
Lid dé
ktura Inrastruk
Infformace
Aplika ace
IT PROC CESY
Kostka COBIT
9
Informační kritéria COBIT důvěryhodnost (Confidentiality) - požadavky zahrnující oblast ochrany důležitých informací proti neautorizovanému použití (prozrazení)
integrita (Integrity) - požadavky týkající se přesnosti a kompletnosti informace ve vztahu k požadavkům podnikání a jeho očekáváním
dostupnost (Availability) - požadavky vztahující se k dostupnosti informace pro podnikání (nyní, ale i v budoucnosti) a týkající se také ochrany potřebných zdrojů (např. datových, technologických) efektivita (Effectiveness) - požadavky na včasné doručování relevantních informací ve správném, konzistentním a použitelném tvaru účinnost (Efficiency) - požadavky na zpracování informací (nejekonomičtějším a nejproduktivnějším způsobem) prostřednictvím optimálního využívání zdrojů informatiky
soulad (Compliance) - požadavky týkající se udržování souladu se zákony, regulacemi, směrnicemi a kontraktačními podmínkami, které se týkají procesů podnikání (hlavních podnikových procesů)
spolehlivost (Reliability) - požadavky vztahující se k přínosu informace pro rozhodování manažerů Management informační bezpečnosti
10
IT zdroje COBIT Aplikace Informace Infrastruktura Lidé
Odpovídá to obecnému členění aktiv na: - SW aktiva - Data - HW aktiva - IT služby
Management informační bezpečnosti
11
IT procesy COBIT Domény – existují 4 základní domény: - plánování lá á í a organizace i - akvizice a implementace - dodávka a podpora - sledování a hodnocení Procesy – jsou spravovány v rámci každé domény. Procesů (označovaných High Level Control Objectives) je 34. Aktivity – neboli detailní kontrolní cíle tvoří každý proces proces. Je jich 214 (platí pro verzi V4) Struktura IT p procesů vytváří y v COBIT "smyčku", y , která odpovídá p základním prvkům "životního cyklu" informačních systémů.
Management informační bezpečnosti
12
CRAMM CRAMM (CCTA Risk Analysis and Management Method) je metodika a soubor softwarových ý nástrojů j pro zavádění a podporu systému y řízení bezpečnosti informací (Information Security Management System - ISMS) pro provádění identifikace a ohodnocení aktiv, analýzy rizik informačních systémů a sítí, k návrhu bezpečnostních opatření, určování havarijních požadavků na informační systém a k návrhům na řešení havarijních situací.) Metodika CRAMM obsahuje velmi rozsáhlou databázi opatření, o níž hovoříme jako o knihovně opatření. opatření Ta zahrnuje bezpečnostní opatření na pokrytí rizik. V nové verzi CRAMM 5.2 je obsažena aktuální verze normy ISO/IEC 27001:2005 (také v české verzi). Metodika, která je podporována softwarovým nástrojem, umožňuje připravit organizaci na certifikaci podle ISO/IEC 27001:2005, 27001:2005 provést hodnocení rizik informačních systémů, navrhnout efektivní opatření s cílem zlepšit informační bezpečnost, provést analýzy stavu vůči ISO/IEC 27001:2005, řídit informační rizika vytvářet bezpečnostní dokumentace havarijních plánů a plánů zajištění rizika, kontinuity při provozu. Management informační bezpečnosti
13
CRAMM Expert Analýza CRAMM Expert – je detailní analýza CRAMM Expert se dělí na 3 fáze s následujícím cílem a obsahem: - fáze 1 – identifikace aktiv a vytvoření modelů aktiv, na základě interview s vybranými respondenty stanovení hodnoty aktiv (určit možné dopady na provoz a cíle organizace při jejich ohrožení) - fáze 2 – identifikace hrozeb a zranitelností systému a uřčení jejich úrovně, výpočet míry rizika - fáze 3 – návrh opatření na pokrytí zjištěných rizik a identifikace jejich stavu, zpracování pokladů pro implementaci opatření doporučených k realizaci Při provádění hodnocení rizik pomocí CRAMM Expert je nutné detailně p p ý systém, y popsat celý ohodnotit jjednotlivá identifikovaná aktiva a následně hrozby i zranitelnosti. Množství informací je značné a proto jsou tyto činnosti vykonávány v rámci samostatného projektu, jehož délka se zpravidla počítá v jednotkách měsíců.
Management informační bezpečnosti
14
CRAMM Express Analýza CRAMM Express - umožňuje provést analýzu rizik celého systému v průběhu několika hodin a přitom zůstávají původní zásady metodiky CRAMM nedotčeny Generují se pouze opatření první ze tří kategorií v knihovně CRAMM. Postup: - zjištění hodnoty dat pomocí vodítek hodnocení - rychlé hodnocení hrozeb a zranitelností - stanovení míryy rizika a výčet opatření ý p Expresní analýzu lze použít také jako rychlou variantu na začátku projektu. Všechny informace a přehledy lze velice snadno převést do CRAMM Expert a pokračovat v detailní analýze.
Management informační bezpečnosti
15
CRAMM a výběr opatření Výběr opatření je základním výstupem třetí fáze CRAMM analýzy (Expert). Zdrojem je databáze (knihovna) opatření opatření, kde jsou tato bezpečnostní opatření dělena do 5 hlavních oblastí: - IT bezpečnost p - Komunikační bezpečnost - Personální bezpečnost - Administrativní bezpečnost - Fyzická bezpečnost
Management informační bezpečnosti
16
Přiměřená bezpečnost Velikost úsilí a investic do bezpečnosti IS musí odpovídat hodnotě aktiv a míře možných rizik. rizik To stanovuje zejména bezpečnostní politika organizace.
Management informační bezpečnosti
17