Bankovní institut vysoká škola Praha
Měření bezpečnosti informací Diplomová práce
Zbyněk Marx
Červen, 2011
Bankovní institut vysoká škola Praha Katedra informačních technologií a elektronického obchodování
Měření bezpečnosti informací Diplomová práce
Autor:
Zbyněk Marx Informační technologie a management
Vedoucí práce:
Praha
Ing. Vladimír Beneš
Červen, 2011
Prohlášení Prohlašuji, ţe jsem diplomovou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací. V Praze dne 28. 6. 2011
Zbyněk Marx
Poděkování Na tomto místě bych rád poděkoval panu Ing. Vladimíru Benešovi za hodnotné rady, zajímavé podněty a pomoc při psaní této diplomové práce.
Anotace Diplomová práce pojednává o měření bezpečnosti informací. Cílem práce je podat příslušná doporučení ohledně vývoje a pouţívání metrik pro měření bezpečnosti informací včetně praktických příkladů.
Annotation The thesis deals with the measurement of information security. The goal is to make appropriate recommendations regarding the development and use of metrics for measuring information security, including practical examples.
Obsah 1
ÚVOD ........................................................................................................................................................... 7
2
METODOLOGIE ........................................................................................................................................ 9
3
PLÁNOVÁNÍ MĚŘENÍ INFORMACÍ ................................................................................................... 10 3.1 CÍLE MĚŘENÍ............................................................................................................................................ 10 3.2 PROCES MĚŘENÍ ....................................................................................................................................... 12 3.3 FAKTORY ÚSPĚCHU MĚŘENÍ .................................................................................................................... 13 3.4 MODEL MĚŘENÍ BEZPEČNOSTI INFORMACÍ............................................................................................... 14 3.4.1 Základní metrika ........................................................................................................................... 16 3.4.2 Odvozená metrika a funkce měření ............................................................................................... 19 3.4.3 Indikátory a analytický model ....................................................................................................... 20 3.4.4 Výsledky měření a rozhodovací kritéria ........................................................................................ 21 3.5 ODPOVĚDNOST VEDENÍ ........................................................................................................................... 22 3.5.1 Řízení zdrojů.................................................................................................................................. 23 3.5.2 Školení, informovanost a odborná způsobilost týkající se měření ................................................. 24 3.6 VÝVOJ METRIK A MĚŘENÍ ........................................................................................................................ 24 3.6.1 Definování rozsahu měření ........................................................................................................... 25 3.6.2 Identifikování informačních potřeb ............................................................................................... 25 3.6.3 Výběr objektů měření a jejich atributů .......................................................................................... 26 3.7 VÝVOJ KONCEPTU MĚŘENÍ ...................................................................................................................... 28 3.7.1 Výběr metriky ................................................................................................................................ 28 3.7.2 Definování metrik měření .............................................................................................................. 29 3.7.3 Funkce měření ............................................................................................................................... 30 3.7.4 Analytický model ........................................................................................................................... 30 3.7.5 Indikátory ...................................................................................................................................... 30 3.7.6 Rozhodovací kritéria ..................................................................................................................... 31 3.7.7 Zainteresované strany ................................................................................................................... 32 3.7.8 Koncept měření ............................................................................................................................. 32 3.7.9 Sběr, analýza a hlášení dat ........................................................................................................... 33 3.7.10 Implementace a dokumentace měření ....................................................................................... 34
4
ZAVÁDĚNÍ MĚŘENÍ INFORMACÍ...................................................................................................... 35 4.1 4.2
5
INTEGRACE POSTUPU ............................................................................................................................... 35 SBĚR, UKLÁDÁNÍ A OVĚŘOVÁNÍ DAT ....................................................................................................... 36
AUTOMATIZACE MĚŘENÍ .................................................................................................................. 37 5.1 VÝHODY AUTOMATIZACE ........................................................................................................................ 37 5.1.1 Tabulkové procesory ..................................................................................................................... 38 5.1.2 Nástroje Business inteligence ........................................................................................................ 38 5.1.3 Security event a incident management (SIEM).............................................................................. 39 5.2 TECHNICKÉ POŢADAVKY NA AUTOMATIZAČNÍ NÁSTROJE ........................................................................ 41
6 ZPRACOVÁNÍ A PREZENTACE VÝSLEDKŮ MĚŘENÍ, ZLEPŠOVÁNÍ PROCESU MĚŘENÍ BEZPEČNOSTI INFORMACÍ ......................................................................................................................... 43 6.1 6.2 6.3 6.4 6.5 6.6 7
PRAKTICKÉ PŘÍKLADY KONCEPTŮ MĚŘENÍ .............................................................................. 50 7.1
8
ANALÝZA DAT A ZÍSKÁNÍ VÝSLEDKŮ MĚŘENÍ ......................................................................................... 43 SDĚLENÍ VÝSLEDKŮ MĚŘENÍ.................................................................................................................... 44 VYHODNOCENÍ A ZLEPŠOVÁNÍ PROCESU MĚŘENÍ BEZPEČNOSTI INFORMACÍ ............................................ 45 IDENTIFIKACE KRITÉRIÍ HODNOCENÍ PRO PROCES MĚŘENÍ BEZPEČNOSTI INFORMACÍ .............................. 46 MONITOROVÁNÍ, PŘEZKOUMÁVÁNÍ A HODNOCENÍ PROCESU MĚŘENÍ BEZPEČNOSTI INFORMACÍ.............. 47 ZAVEDENÍ ZLEPŠENÍ ................................................................................................................................ 49 PŘÍKLAD KONCEPTU MĚŘENÍ BEZPEČNOSTI INFORMACÍ ........................................................................... 52
ZÁVĚR ....................................................................................................................................................... 55
BIBLIOGRAFIE ................................................................................................................................................. 57 SLOVNÍK ODBORNÝCH TERMÍNŮ ............................................................................................................. 58
1 Úvod Cílem diplomové práce je návrh doporučení pro vývoj a pouţívání metrik a měření za účelem hodnocení účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a účinnosti opatření. Doporučení se týkají politiky, řízení rizik bezpečnosti informací, opatření, procesů, postupů a procesu revize, který napomáhá určit, zda některé procesy nebo opatření ISMS vyţadují změnu nebo zlepšení. Implementace doporučení je předmětem plánu měření bezpečnosti informací. Plán měření bezpečnosti informací napomáhá vedení organizace při identifikaci a vyhodnocení nevyhovujících a neúčinných procesů a opatření ISMS a při stanovení priorit činností spojených se zlepšováním nebo změnou těchto procesů anebo opatření. Můţe rovněţ pomáhat organizaci při demonstrování shody s příslušnými normami (např. ISO/IEC 27001) a poskytovat další důkazy pro procesy přezkoumání vedením organizace a řízení rizik bezpečnosti informací. Účinně zavedený plán měření bezpečnosti informací zvyšuje důvěru zainteresovaných stran ve výsledky měření a umoţňuje zainteresovaným stranám vyuţívat tyto metriky k uskutečňování neustálého zlepšování bezpečnosti informací a ISMS.
Proč měřit bezpečnost informací? Řízení bezpečnosti vyţaduje, aby organizace prováděla pravidelná přezkoumání účinnosti ISMS a brala přitom v úvahu výsledky měření účinnosti a měřila také účinnost opatření, aby si ověřila, zda poţadavky na bezpečnost byly splněny. Je potřeba, aby organizace definovala, jakým způsobem bude měřit účinnost opatření, a specifikovala, jak mají být tyto metriky pouţity k vyhodnocení účinnosti opatření, aby závěry hodnocení byly porovnatelné a opakovatelné. Přístup přijatý organizací ke splnění poţadavků na měření se bude lišit v závislosti na počtu významných faktorů, včetně rizik bezpečnosti informací, kterým organizace čelí, její organizační velikosti, dostupných zdrojů a platných právních, regulačních a smluvních poţadavků. Pečlivý výběr a zdůvodnění pouţité metody ke splnění poţadavků na měření jsou důleţité pro zajištění toho, aby těmto činnostem ISMS nebyly věnovány nadměrné
7
zdroje na úkor jiných. V ideálním případě mají být probíhající činnosti měření zahrnuty do běţných činností organizace s minimálními dodatečnými poţadavky na zdroje.
8
2 Metodologie Metodologie diplomové práce vychází z mezinárodní normy ISO/IEC 27004:2009, Information technology – Security techniques – Information security management – Measurement. Jelikoţ ISO (Mezinárodní organizace pro normalizaci) a IEC (Mezinárodní elektrotechnická komise) tvoří specializovaný systém celosvětové normalizace, lze dokument povaţovat za dostatečně relevantní pro vytvoření metodologie k diplomové práci.
Cílem diplomové práce je poskytnout základní doporučení pro měření bezpečnosti informací. Doporučení se týkají se následujících činností: a) vývoje metrik; b) zavedení a provozování procesu měření bezpečnosti informací; c) sběru a analýzy dat; d) získání výsledků měření; e) automatizování měření; f) sdělení výsledků měření zainteresovaným stranám; g) pouţití výsledků měření k rozhodnutím souvisejících s ISMS; h) pouţití výsledků měření k identifikaci potřeb pro zlepšování zavedeného ISMS, včetně jeho rozsahu, politik, cílů, opatření, procesů a postupů; i) napomáhání neustálému zlepšování proces měření bezpečnosti informací.
9
3 Plánování měření informací Aby bylo měření informací úspěšné, musí být jasně definán plán měření. Plán by měl obsahovat definované cíle měření, proces prostřednictvím kterého budou jednotlivé činnosti měření vykonávány, faktory úspěchu měření, model měření, akceptaci vedení organizace, vytvoření metrik, měření a konceptu měření viz následující kapitoly.
3.1 Cíle měření Mezi cíle měření bezpečnosti informací v souvislosti s ISMS patří: a) vyhodnocení účinnosti zavedených opatření nebo skupin opatření; b) vyhodnocení účinnosti zavedeného ISMS; c) ověření míry, do které byly identifikované poţadavky na bezpečnost splněny; d) podpora zlepšování výkonu bezpečnosti informací v rámci celkových rizik činností organizace; e) poskytování vstupu pro přezkoumání vedením organizace za účelem podpory rozhodování a zdůvodnění zlepšování zavedeného ISMS.
10
Obrázek 1 – Cyklický vztah mezi vstupy a výstupy činnosti měření ISMS v souvislosti s cyklem PDCA (Plánuj-Dělej-Kontroluj-Jednej).
Plánuj Vybrat cíle opatření a jednotlivá bezpečnostní opatření pro zvládání rizik. Vhodné cíle opatření a jednotlivá bezpečnostní opatření musí být vybrány a implementovány a tento výběr musí být zdůvodněn na základě výsledků procesů hodnocení a zvládání rizik.
Dělej Zavést bezpečnostní opatření vybraná pro dosažení (naplnění) cílů těchto opatření.
Definovat jakým způsobem bude měřena účinnost vybraných opatření nebo skupin opatření.
Měřit účinnost zavedených opatření pro ověření toho, že byly naplněny požadavky na bezpečnost.
Jednej Ohodnotit reálnou pravděpodobnost selhání bezpečnosti, které by se mohlo vyskytnout působením existujících hrozeb a zranitelností a dopady na konkrétní aktiva s přihlédnutím k účinnosti aktuálně zavedených opatření.
Zavádět identifikovaná zlepšení ISMS.
Kontroluj Pravidelně přezkoumávat účinnost ISMS.
V plánovaných intervalech provádět přezkoumání hodnocení rizik a přehodnocování úrovně zbytkového a akceptovatelného rizika s ohledem na změny účinnosti zavedených opatření
Vstupy pro přezkoumání vedením organizace musí zahrnovat informace o závěrech měření účinnosti zavedených opatření a o přezkoumání ISMS.
Výstup z přezkoumání prováděného vedením organizace musí zahrnovat jakákoli rozhodnutí a činnosti vztahující se ke: Aktualizaci hodnocení rizik a plánu zvládání rizik, Zlepšování postupů měření účinnosti opatření.
Na úrovni vedení organizace pravidelně přezkoumávat ISMS, aby se zajistilo, že jeho rozsah je i nadále odpovídající a že se daří nacházet možnosti zlepšení.
Zdroj: ISO/IEC 27004
Organizace by měla stanovit cíle měření zaloţené na řadě faktorů, které zahrnují: a) role bezpečnosti informací na podporu celkových obchodních činností organizace a rizik, kterým čelí; b) příslušné právní, regulační a smluvní poţadavky; c) organizační strukturu; d) náklady a výhody zavedení metrik bezpečnosti informací; e) kritéria akceptace rizik pro organizaci; f) potřebu porovnat několik ISMS v rámci samotné organizace.
11
3.2 Proces měření Organizace by měla ustavit a řídit proces měření bezpečnosti informací, aby dosáhla stanovených cílů měření. V rámci všech činností měření týkajících se organizace by měl být začleněn model PDCA. Organizace by měla také vytvořit a zavést koncepty měření, aby dosáhla opakovatelných, objektivních a pouţitelných výsledků měření zaloţených na modelu měření bezpečnosti informací. Proces měření bezpečnosti informací a vytvořený koncept měření by měly organizaci zajistit mj. co nejefektivněji dosahovat stanovených cílů, opakovatelných měření a výsledků měření, které zainteresovaným stranám pomohou k identifikaci potřeb pro zlepšování zavedeného ISMS, včetně jeho rozsahu, politik, cílů, opatření, procesů a postupů. Proces měření bezpečnosti informací by měl zahrnovat následující podprocesy: a) rozvoj metrik a měření; b) provádění měření; c) analýzu dat a hlášení výsledků měření; d) vyhodnocení a zlepšování procesu měření bezpečnosti informací.
Organizační a provozní struktura procesu měření bezpečnosti informací by měla být určena na základě zváţení rozsahu a komplexnosti ISMS, jehoţ je součástí. Ve všech případech by role a odpovědnosti pro proces měření bezpečnosti informací měly být výslovně přiděleny odborně způsobilým pracovníkům. Metriky vybrané a zavedené procesem měření bezpečnosti informací by se měly přímo vztahovat na provozování ISMS. Měření lze začlenit do běţných provozních činností nebo je lze provádět v pravidelných intervalech určených vedením organizace odpovědným za ISMS.
12
3.3 Faktory úspěchu měření Výčet faktorů přispívajících k úspěchu procesu měření bezpečnosti informací při napomáhání neustálého zlepšování ISMS: a) závazek vedení organizace podporovaný příslušnými zdroji; b) existence procesů a postupů ISMS; c) opakovatelný proces schopný získat a hlásit smysluplná data ke stanovení příslušných trendů za určité časové období; d) kvantifikovatelné metriky zaloţené na cílech ISMS; e) snadno získatelná data, která lze pouţít pro měření; f) vyhodnocení účinnosti procesu měření bezpečnosti informací a zavedení identifikovaných zlepšení; g) konzistentní periodický sběr, analýza a hlášení o datech měření způsobem, který má smysl; h) vyuţití výsledků měření příslušnými zainteresovanými stranami k identifikování poţadavků na zlepšování zavedeného ISMS, včetně jeho rozsahu, politik, cílů, opatření, procesů a postupů; i) akceptace zpětné vazby na výsledky měření od příslušných zainteresovaných stran; j) vyhodnocení uţitečnosti výsledků měření a zavedení identifikovaných zlepšení. Jakmile je jednou úspěšně zaveden proces měření bezpečnosti informací, proces můţe: 1. demonstrovat soulad organizace s příslušnými právními a regulačními poţadavky a smluvními povinnostmi; 2. podporovat identifikaci dříve nezjištěných nebo neznámých problémů bezpečnosti informací;
13
3. uváděním metrik pro historické a současné činnosti; napomáhat v uspokojování potřeb vedení organizace ohledně hlášení; 4. být pouţíván jako vstup do procesu řízení rizik bezpečnosti informací, interních auditů ISMS a přezkoumání vedením organizace.
3.4 Model měření bezpečnosti informací Model měření bezpečnosti informací je struktura spojující informační potřebu s příslušnými objekty měření a jejich atributy. Objekty měření mohou zahrnovat plánované nebo zavedené procesy, postupy, projekty a zdroje. Model měření bezpečnosti informací popisuje, jak jsou příslušné atributy kvantitativně určeny a převedeny na indikátory, které poskytují základ pro rozhodování. Obrázek 2 popisuje model měření bezpečnosti informací.
14
Obrázek 2 – Model měření bezpečnosti informací
Informační potřeby Účinnost
Výsledky měření
Procesy řízení bezpečnosti informací Cíle opatření
Rozhodovací kritéria
Opatření Implementace, procesy, postupy
Indikátor Analytický model
Odvozené metriky Objekt měření Atribut Atribut
Funkce měření
Metoda měření
Základní metriky
Atribut
Měření
Zdroj: ISO/IEC 27004
Následující podkapitoly představují jednotlivé prvky modelu. Uvádějí příklady toho, jak jsou tyto jednotlivé prvky pouţívány. Cílem informačních potřeb nebo účelu měření pouţitých v příkladech obsaţených v tabulkách 1 aţ 4 následujících podkapitol je ohodnotit stav povědomí o dodrţování bezpečnostní politiky organizace mezi příslušnými pracovníky.
15
3.4.1 Základní metrika Základní metrika je nejjednodušší metrika, která můţe být získána. Základní metrika vyplývá z pouţití metody měření na atributy vybrané u objektu měření. Objekt měření můţe mít mnoho atributů, z nichţ pouze některé mohou poskytnout uţitečné hodnoty, které mohou být přiřazeny k základní metrice. Daný atribut lze pouţít pro několik různých základních metrik. Metoda měření je logická posloupnost operací pouţitá při kvantitativním určení atributu s ohledem na stanovené měřítko. Operace můţe zahrnovat činnosti, jako je počítání výskytů nebo pozorování časového úseku. Metoda měření můţe aplikovat atributy na objekt měření. Příklady objektu měření mohou zahrnovat například poloţky: výkonnost opatření zavedených v ISMS; stav informačních aktiv chráněných těmito opatřeními; výkonnost procesů zavedených v ISMS; jednání pracovníků, kteří jsou odpovědní za zavedený ISMS; činnosti organizačních jednotek odpovědných za bezpečnost informací; míra spokojenosti zájmových skupin.
Metoda měření můţe pouţívat objekty měření a atributy z různých zdrojů, jako jsou: výsledky analýzy rizik a hodnocení rizik; dotazníky a osobní schůzky; zprávy z interních a/nebo externích auditů; záznamy o událostech, jako jsou logy, statistika hlášení a sledování auditů; hlášení o incidentech, zejména těch, které mají za následek dopad; 16
výsledky testů, např. z penetračního testování, sociálního inţenýrství, nástrojů ověření shody a nástrojů bezpečnostních auditů; záznamy z postupů a programů organizace souvisejících s bezpečností informací, např. výsledky školení o povědomí o bezpečnosti informací.
Tabulky 1-4 níţe uvádějí pouţití modelu bezpečnosti informací pro následující opatření: Opatření 2: Vedení organizace musí vyţadovat od zaměstnanců, dodavatelů a uţivatelů třetích stran, aby dodrţovali bezpečnost v souladu se stanovenými politikami a postupy organizace. Zavádí se takto: „Všechen personál, kterého se týká ISMS, musí podepsat prohlášení uţivatele před tím, neţ mu bude udělen přístup do informačního systému. Opatření 1: Všichni zaměstnanci organizace, a je-li to důleţité, i dodavatelé a uţivatelé třetích stran musí, s ohledem na svou pracovní náplň absolvovat odpovídající a pravidelně se opakující školení v oblasti bezpečnosti informací vztahující se k politikám a postupům organizace. Zavádí se takto: „Všechen personál, kterého se týká ISMS, musí absolvovat školení o povědomí o bezpečnosti informací, neţ mu bude udělen přístup do informačního systému. Odpovídající koncepty měření jsou uvedeny v B. 1. Tabulka 1 uvádí příklad vztahu mezi objektem měření, atributem, metodou měření a základní metrikou pro měření objektů ustanovených pro zavedená opatření popsaná výše.
17
Tabulka 1 – Příklad základní metriky a metody měření
Zdroj: ISO/IEC 27004
Tabulky 1-4 obsahují několik sloupců. Tabulka 1 např. čtyři, tabulky 2-4, tři sloupce. Kaţdý sloupec je pro lepší orientaci a identifikaci označen písmenem. Všem boxům v rámci kaţdého sloupce je přiřazeno číslo. V následujících boxech se k odkazům na předcházející okénka pouţívají kombinace označení písmenem a číslem. Šipky označují toky dat mezi jednotlivými prvky modelu měření bezpečnosti informací v rámci určitého příkladu.
18
3.4.2 Odvozená metrika a funkce měření Odvozená metrika je souhrn dvou nebo více základních metrik. Základní metrika můţe slouţit jako vstup pro několik odvozených metrik. Funkce měření je výpočet pouţívaný pro kombinování základních metrik dohromady za účelem vytvoření odvozené metriky. Měřítko a jednotka odvozené metriky závisí na měřítkách a jednotkách základních metrik, z nichţ jsou sloţeny, i na tom, jak jsou kombinovány funkcí měření. Funkce měření můţe obsahovat celou škálu technik, jako je průměrování základních metrik, pouţití váţení pro základní metriky nebo přiřazování kvalitativních hodnot základním metrikám. Funkce měření můţe kombinovat základní metriky za pouţití různých měřítek, jako jsou procenta a výsledky kvalitativního hodnocení. Příklad vztahu dalších prvků pouţití modelu měření bezpečnosti informací, tj. základní metriky, funkce měření a odvozené metriky, je uveden v tabulce 2.
19
Tabulka 2 – Příklad odvozené metriky a funkce měření
Zdroj: ISO/IEC 27004
3.4.3 Indikátory a analytický model Indikátor je metrika, která poskytuje odhad nebo ohodnocení stanovených atributů získaných z analytického modelu s ohledem na definovanou informační potřebu. Indikátory se získávají pouţitím analytického modelu pro základní anebo odvozenou metriku a jejich kombinováním s rozhodovacími kritérii. Měřítko a metoda měření ovlivňují výběr analytických technik pouţitých k vytvoření indikátorů. Příklad vztahu mezi odvozenými metrikami, analytickým modelem a indikátory pro pouţití modelu měření bezpečnosti informací je uveden v tabulce 3.
20
Tabulka 3 – Příklad indikátoru a analytického modelu
Zdroj: ISO/IEC 27004
3.4.4 Výsledky měření a rozhodovací kritéria Výsledky měření jsou získávány interpretací indikátorů zaloţených na definovaných rozhodovacích kritériích. Podle rozhodovacích kritérií se stanovují poţadavky na další činnosti, zkoumání, či k popisu úrovně důvěry v dané výsledky měření. Rozhodovací kritéria lze aplikovat na celou řadu indikátorů, například k provedení analýzy trendu zaloţené na indikátorech získaných v různých časových okamţicích. Cíle měření poskytují podrobné specifikace výkonnosti, jeţ jsou aplikovatelné pro organizaci nebo její části, a jsou odvozené od cílů bezpečnosti informací, jako jsou cíle ISMS a cíle opatření, a musí být stanoveny a splněny, aby se dosáhlo cílů bezpečnosti. Příklad vztahu konečných prvků pouţití modelu měření bezpečnosti informací (tj. indikátoru, rozhodovacích kritérií a výsledků měření) je uveden v tabulce 4.
21
Tabulka 4 – Příklad výsledku měření a analytického modelu
Zdroj: ISO/IEC 27004
3.5 Odpovědnost vedení Vedení organizace je odpovědné za ustanovení procesu měření bezpečnosti informací, za zapojení příslušných zainteresovaných stran do činností měření, za akceptaci výsledků měření jako vstupu do přezkoumání vedením organizace a za pouţití výsledků měření v činnostech zlepšování v rámci ISMS. Aby toho dosáhlo, vedení organizace by mělo: stanovit cíle pro proces měření bezpečnosti informací; ustanovit politiku pro proces měření bezpečnosti informací; stanovit role a odpovědnosti pro proces měření bezpečnosti informací; zajistit dostatečné zdroje pro provádění měření, včetně personálu, financování, nástrojů a infrastruktury;
22
zajistit dosaţení cílů procesu měření bezpečnosti informací; zajistit, aby nástroje a zařízení pouţívané ke sběru dat byly řádně udrţovány; stanovit účel měření pro kaţdý koncept měření; zajistit, aby měření poskytovalo dostatek informací pro příslušné zainteresované strany s ohledem na účinnost ISMS a poţadavky na zlepšování zavedeného ISMS, včetně jeho rozsahu, politik, cílů, opatření, procesů a postupů; zajistit, aby měření poskytovalo dostatek informací pro příslušné zainteresované strany s ohledem na účinnost opatření nebo skupin opatření a poţadavky na zlepšování zavedených opatření. Prostřednictvím příslušného přiřazení rolí a odpovědností v rámci měření by vedení organizace mělo zajistit, aby výsledky měření nebyly ovlivněny vlastníky informací. Toho lze dosáhnout prostřednictvím oddělení povinností, nebo pokud to není moţné, prostřednictvím pouţití podrobné dokumentace, která umoţní nezávislé kontroly.
3.5.1 Řízení zdrojů Vedení organizace by mělo přiřadit a zajistit zdroje na podporu základních činností měření, jako je sběr, analýzy, uchovávání, hlášení a distribuce dat. Přidělení zdrojů by mělo zahrnovat přiřazení: jednotlivců s odpovědností pro všechny aspekty procesu měření bezpečnosti informací; příslušné finanční podpory; příslušné
podpory
infrastruktury,
jako
k vykonávání procesu měření.
23
fyzické
infrastruktury
a
nástrojů
3.5.2 Školení, informovanost a odborná způsobilost týkající se měření Vedení organizace by mělo zajistit, aby: zainteresované strany byly přiměřeným způsobem vyškoleny pro vykonávání svých rolí a odpovědností v zavedeném procesu měření bezpečnosti informací, a aby zainteresované strany byly přiměřeně způsobilé své role a odpovědnosti vykonávat; zainteresované strany chápaly, ţe jejich povinnosti zahrnují předkládání návrhů na zlepšování zavedeného procesu měření bezpečnosti informací.
3.6 Vývoj metrik a měření Tato kapitola poskytuje metodický pokyn, jak vyvíjet metriky a měření pro účely hodnocení účinnosti zavedeného ISMS a opatření nebo skupiny opatření a identifikaci souborů konceptů měření specifických pro organizaci. Měly by být ustanoveny a dokumentovány činnosti potřebné k vývoji metrik a měření, včetně: definování rozsahu měření; identifikování informační potřeby; výběru objektu měření a jeho atributů; vývoj konceptů měření; pouţívání konceptů měření; ustanovení sběru dat a analytických procesů a nástrojů; stanovení přístupu k implementaci měření a k dokumentaci. Při ustanovení těchto činnosti by organizace měla brát v úvahu zdroje finanční, lidské a infrastruktury (fyzické a nástroje).
24
3.6.1 Definování rozsahu měření V závislosti na schopnostech a zdrojích organizace by měl být počáteční rozsah činností měření organizace zaměřen na specifická opatření, informační aktiva chráněná specifickými opatřeními, specifické činnosti pro bezpečnost informací, kterým vedení organizace udělilo nejvyšší prioritu. Po čase by měl být rozsah činností měření rozšířen na další prvky zavedeného ISMS a opatření nebo skupiny opatření, s ohledem na priority zainteresovaných stran. Všechny zainteresované strany by měly být identifikovány a následně přizvány k definování rozsahu měření. Příslušné zainteresované strany mohou být například vedoucí projektů, vedoucí informačních systémů nebo ti, kdo rozhodují o bezpečnosti informací. Můţe se jednat jak o externí a tak interní pracovníky ve vztahu k jednotkám organizace. Příslušným zainteresovaným stranám by měly být sděleny výsledky měření týkající se účinnosti jednotlivých opatření. Organizace by měla zváţit omezení počtu výsledků měření, jeţ mají být hlášeny těm, kdo rozhodují, v rámci daného časového období, aby byla zajištěna jejich schopnost provést zlepšení ISMS na základě jiţ nahlášených výsledků měření. Nadměrný počet nahlášených výsledků měření můţe mít dopad na schopnost osob odpovědných za rozhodnutí soustředit úsilí a stanovit priority pro budoucí činnosti za účelem zlepšování. Priorita výsledků měření by měla být stanovena na základě důleţitosti odpovídajících informačních potřeb a souvisejících cílů ISMS.
3.6.2 Identifikování informačních potřeb Kaţdý koncept měření by měl naplňovat alespoň jednu informační potřebu. K identifikaci příslušných informačních potřeb by měly být vykonány následující činnosti: a) prověřit ISMS a jeho procesy, jako jsou: 1. politika a cíle ISMS, cíle opatření a opatření; 2. právní, regulační, smluvní a organizační poţadavky na bezpečnost informací; 3. výstupy procesu řízení rizik bezpečnosti informací, jak jsou uvedeny v ISO/IEC 27001; 25
b) stanovit priority identifikovaných informačních potřeb na základě kritérií, jako jsou: 1. priority zvládání rizik; 2. schopnosti a zdroje organizace; 3. zájmy zainteresovaných stran; 4. politika bezpečnosti informací; 5. informace potřebné k tomu, aby byly splněny právní, regulační a smluvní poţadavky; 6. hodnota informace ve vztahu k nákladům na měření; c) vybrat ze seznamu priorit podmnoţinu informací, na kterou se mají činnosti měření zaměřit; d) dokumentovat a sdělit vybrané informační potřeby příslušným zainteresovaným stranám. Všechny příslušné metriky aplikované na zavedený ISMS, opatření nebo skupiny opatření, by měly být zavedeny na základě vybraných informačních potřeb.
3.6.3 Výběr objektů měření a jejich atributů Objekt měření a jeho atributy by měly být identifikovány v celkovém kontextu a rozsahu ISMS. Mělo by se brát v úvahu, ţe objekt měření můţe mít několik aplikovatelných atributů. Objekt a jeho atributy, jeţ mají být pouţity měřením, by měly být vybrány na základě priority odpovídajících informačních potřeb. Hodnoty, které mají být přiřazeny k příslušné základní metrice, se získají pouţitím vhodné metody měření pro vybrané atributy. Tento výběr by měl rovněţ zajistit, ţe: příslušná základní metrika a vhodná metoda měření můţe být identifikována;
26
na základě získaných hodnot a vyvinutých metrik lze dosáhnout uţitečných výsledků měření. Charakteristiky vybraných atributů určují, který typ metody měření vyţaduje být pouţit, aby bylo moţné získat hodnoty, které mají být přiřazeny k základní metrice (např. kvalitativní nebo kvantitativní). Vybraný objekt a atributy by měly být spolu s odůvodněním výběru dokumentovány. Data popisující objekt měření a odpovídající atributy by měly být pouţity jako hodnoty, které mají být přiřazeny k základní metrice. Příklady objektů měření zahrnují následující poloţky, ale neomezují se pouze na ně: produkty a sluţby; procesy; aplikovatelná aktiva, jako jsou zařízení, aplikace a informační systémy; obchodní jednotky; geografické lokality; sluţby třetích stran.
Atributy by měly být přezkoumány, aby se zajistilo, ţe: pro měření byly vybrány vhodné atributy; byl definován sběr dat k zajištění dostatečného počet atributů, aby bylo umoţněno účinné měření. Měly by být vybrány pouze atributy, které jsou relevantní k příslušné základní metrice. Ačkoliv by výběr atributů měl brát v úvahu i stupeň obtíţnosti získávání atributů pro měření, neměl by být činěn výhradně na základě dat, která jsou snadno získatelná, nebo atributu, který se snadno měří.
27
3.7 Vývoj konceptu měření Vývoj konceptu měření by se měl skládat z výběru metrik a verifikování metrik měření, definování funkce měření, sestavení analytického modelu, vybrání vhodného indikátoru a rozhodovacích kritérií, vybrání zainteresovaných stran, specifikace konceptu měření, sběru, analýzy a prezentace dat, implementace a dokumentace měření.
3.7.1 Výběr metriky Měly by být identifikovány metriky, které by mohly potenciálně uspokojit vybranou informační potřebu. Identifikované metriky by měly být definovány dostatečně podrobně, aby umoţňovaly výběr metrik, jeţ mají být implementovány. Nově identifikované metriky mohou vyţadovat úpravu stávající metriky. Identifikace základní metriky úzce souvisí s identifikací objektů měření a jejich atributů. Měly by být vybrány identifikované metriky, které by mohly potenciálně uspokojit vybranou informační potřebu. V úvahu by se měly brát i související informace nezbytné k interpretaci nebo standardizaci metrik. K řešení informační potřeby lze vybrat mnoho různých kombinací metrik (tj. základní metriky, odvozené metriky a indikátory). Vybrané metriky by měly odráţet priority informačních potřeb. Další příklady kritérií, které lze pouţít pro výběr metrik, zahrnují: snadnost sběru dat; dostupnost lidských zdrojů pro sběr a řízení dat; dostupnost vhodných nástrojů; počet potenciálně relevantních indikátorů podporovaných základní metrikou; snadnost interpretace;
28
počet uţivatelů získaných výsledků měření; důkaz o vhodnosti metriky pro daný účel nebo informační potřebu; náklady na sběr, řízení a analyzování dat.
3.7.2 Definování metrik měření Pro kaţdou jednotlivou základní metriku by měla být definována metoda měření. Tato metoda měření se pouţívá ke kvantitativnímu určení objektu měření převedením atributů na hodnotu, která má být přiřazena k základní metrice. Metoda měření můţe být subjektivní nebo objektivní. Subjektivní metody spočívají v kvantitativním určení na základě lidského úsudku, zatímco objektivní metody pouţívají kvantitativní určení na základě numerických pravidel, jako je počítání, které lze implementovat lidskými nebo automatickými prostředky. Metoda měření kvantitativně určuje atributy jako hodnoty pouţitím vhodného měřítka. Kaţdé měřítko pouţívá jednotky měření. Přímo porovnatelné jsou pouze veličiny vyjádřené ve stejné jednotce měření. U kaţdé metody měření by měl být ustaven a zdokumentován proces verifikace. Tato verifikace by měla zajistit jistou míru důvěry v hodnotu, která má být získána pouţitím metody měření pro atribut objektu měření a přiřazena k základní metrice. V případech, kdy je nutno zjistit platnou hodnotu, by nástroje, pouţívané k získání atributů, měly být v určitých intervalech standardizovány a verifikovány. Přesnost metody měření by měla brát v úvahu a měly by být zaznamenány i přidruţená odchylka nebo rozdíl. Metoda měření by měla být po celou dobu konsistentní, aby hodnoty přiřazené k základní metrice, odebrané v různou dobu, byly porovnatelné, a aby hodnoty přiřazené k odvozené metrice a indikátoru byly také porovnatelné.
29
3.7.3 Funkce měření U kaţdé jednotlivé odvozené metriky by se měla definovat funkce měření, která se pouţívá pro dvě nebo více hodnot přiřazených k základním metrikám. Tato funkce měření se pouţívá k převedení hodnot přiřazených k jedné nebo několika základním metrikám na hodnotu, která se má přiřadit k odvozené metrice. V některých případech můţe základní metrika přímo přispět, kromě k odvozené metrice, také k analytickému modelu. Funkce měření (např. výpočet) můţe zahrnovat různé techniky, jako je průměrování všech hodnot přiřazených k základním metrikám, pouţití váţení pro hodnoty přiřazené k základním metrikám, nebo přiřazení kvalitativních hodnot hodnotám přiřazeným k základní metrice, předtím neţ jsou sloučeny do hodnoty, která má být přiřazena k odvozené metrice. Funkce měření můţe kombinovat hodnoty přiřazené k základní metrice za pouţití různých měřítek, jako jsou procenta a výsledky kvalitativního hodnocení.
3.7.4 Analytický model Pro kaţdý indikátor by měl být definován analytický model za účelem převedení jedné nebo více hodnot přiřazených k základní a/nebo odvozené metrice na hodnotu přiřazenou k indikátoru. Analytický model kombinuje příslušné metriky způsobem, který vytváří výstup, jenţ má pro zainteresované strany smysl. Rozhodovací kritéria, která jsou pouţita pro indikátor, by také měla být při definování analytického modelu brána v úvahu. Někdy můţe být analytický model tak jednoduchý, jako je převedení jedné hodnoty přiřazené k odvozené metrice na hodnotu přiřazenou k indikátoru.
3.7.5 Indikátory Hodnoty, jeţ mají být přiřazeny k indikátorům, se vytvoří spojením hodnot přiřazených k odvozené metrice a interpretací těchto hodnot na základě rozhodovacích kritérií. Pro kaţdý indikátor, který bude hlášen klientovi, by měla být jako součást forem hlášení (viz 3.7.9 Sběr, analýza a hlášení dat) definována forma pro prezentaci indikátoru. 30
Formy pro prezentaci indikátoru vizuálně zobrazí metriky a poskytnou slovní vysvětlení indikátorů. Formy pro prezentaci indikátoru by měly být upraveny podle potřeb klienta, aby splňovaly jeho informační potřeby.
3.7.6 Rozhodovací kritéria Na základě cílů bezpečnosti informací by měla být definována a zdokumentována rozhodovací
kritéria
odpovídající
kaţdému
indikátoru,
která
by
poskytovala
zainteresovaným stranám určitý návod. Tento návod by měl pojednávat o očekáváních pokroku a o prahových úrovních pro zahájení činností ke zlepšení na základě indikátoru. Rozhodovací kritéria stanoví cíl, kterým se měří úspěch (viz 3.3 Faktory úspěchu měření) a poskytují návod, jak interpretovat indikátor ve vztahu k tomu, jak má k tomuto cíli blízko. Cíle musí být stanoveny pro kaţdou poloţku vztahující se k výkonnosti procesů a opatření ISMS, dosaţení cílů a pro účinnost ISMS, která má být vyhodnocena. Vedení organizace můţe rozhodnout, ţe nestanoví cíle pro indikátory, dokud nebudou shromáţděna počáteční data. Jakmile jsou na základě počátečních dat identifikována nápravná opatření, lze definovat příslušná rozhodovací kritéria a milníky implementace, které jsou reálné pro specifický ISMS. Nelze-li rozhodovací kritéria v tomto okamţiku stanovit, vedení organizace by mělo zhodnotit, zda objekt měření a odpovídající metriky zajišťují pro organizaci očekávanou hodnotu. Stanovení rozhodovacích kritérií můţe být usnadněno, jsou-li k dispozici historická data, která k vyvinutým nebo vybraným metrikám patří. Trendy pozorované v minulosti poskytují náhled do škál výkonnosti, které existovaly předtím, a vedou k vytvoření realistických rozhodovacích kritérií. Rozhodovací kritéria mohou být vypočítána nebo zaloţena na koncepčním pochopení očekávaného chování. Rozhodovací kritéria lze odvodit i od historických dat, plánů a heuristiky, nebo vypočítat jako statistické limity řízení nebo statistické limity důvěry.
31
3.7.7 Zainteresované strany Pro kaţdou základní a/nebo odvozenou metriku by měly být identifikovány a zdokumentovány příslušné zainteresované strany. Zainteresované strany mohou zahrnovat: a) zákazníka měření: vedení organizace nebo jiné zájmové skupiny poţadující nebo vyţadující informace o účinnosti ISMS, opatření nebo skupin opatření; b) recenzenta měření: osoba nebo organizační jednotka, která ověřuje platnost toho, ţe vyvinuté koncepty měření jsou vhodné pro posuzování účinnosti ISMS, opatření nebo skupin opatření; c)
vlastníka informací: osoba nebo organizační jednotka, která vlastní informace o
objektu měření a atributech a je odpovědná za měření; d)
sběratele informací: osoba nebo organizační jednotka odpovědná za sběr,
zaznamenání a ukládání dat; e)
zprostředkovatele informací: osoba nebo organizační jednotka odpovědná za
analýzu dat a hlášení výsledků měření.
3.7.8 Koncept měření Jako minimum by specifikace konceptu měření měla zahrnovat tyto informace: a)
účel měření,
b)
cíl opatření, který má být dosaţen pomocí opatření, a specifická opatření, skupinu
opatření a procesů ISMS, jeţ mají být měřeny, c)
objekt měření,
d)
data, která mají být sebrána a vyuţita,
e)
procesy pro sběr a analýzu dat,
f)
proces pro hlášení výsledků měření, včetně forem hlášení,
g)
role a odpovědnosti příslušných zainteresovaných stran, 32
h)
cyklus pro přezkoumání měření k zajištění jejich uţitečnosti ve vztahu k informační
potřebě.
3.7.9 Sběr, analýza a hlášení dat Měly by být ustanoveny postupy pro sběr a analýzu dat a procesy pro hlášení získaných výsledků měření. Je-li to nutné, měly by rovněţ být stanoveny podpůrné nástroje, zařízení a technologie měření. Tyto postupy, nástroje, zařízení a technologie měření se budou věnovat následujícím činnostem: a)
sběru dat, včetně ukládání a ověřování dat. Tyto postupy by měly identifikovat, jak
mají být data sebrána za pouţití metody měření, funkce měření a analytického modelu, a také jak a kde budou tato data ukládána spolu s veškerými souvisejícími informacemi nutnými pro pochopení a ověření dat. Ověření dat můţe být provedeno kontrolou dat proti kontrolnímu listu, jenţ je sestaven tak, aby bylo moţné ověřit, ţe chybějících dat je minimum, a ţe hodnota, která má být přiřazena ke kaţdé metrice, je platná. POZNÁMKA: Ověření hodnot, které mají být přiřazeny k základním metrikám, úzce souvisí s ověřením metody měření. b)
analýze dat a hlášení získaných výsledků měření. Postupy by měly specifikovat
techniky analýzy dat a frekvenci, formu a metody hlášení výsledků měření. Měl by být identifikován rozsah nástrojů, které mohou být potřebné pro vykonání analýzy dat. Příklady forem hlášení zahrnují: –
tzv. skórkarty, poskytující strategické informace integrací indikátorů vysoké
úrovně; –
řídící a provozní dashboardy méně zaměřené na strategické cíle a více svázané s
účinností specifických opatření a procesů; –
hlášení, od jednoduchých a statických, jako je seznam metrik pro dané časové
období, po dokonalejší hlášení obsahující tabulky kříţových součtů s vnořenými reporty, dynamické prozkoumání detailů hlášení nebo odkazy. Tato hlášení jsou nejvíce vyuţívána, pokud se uţivatel potřebuje podívat na nezpracovaná původní data ve snadno čitelné formě, 33
–
ukazatele k znázornění dynamických hodnot včetně varování, dodatečných
grafických prvků a označení koncových bodů.
3.7.10
Implementace a dokumentace měření
Celkový přístup k měření by měl být zdokumentován v plánu implementace. Plán implementace by měl zahrnovat minimálně tyto informace: a)
zavedení proces měření bezpečnosti informací pro organizaci;
b)
specifikace měření jako: 1)
všeobecný koncept měření organizace;
2)
individuální koncept měření organizace;
3)
definice rozsahu a postupů pro sběr dat a analýzu dat.
c)
kalendářní plán pro provedení činností měření;
d)
záznamy vytvořené při provádění činností měření, včetně sebraných dat a záznamů
o analýze; e)
formy hlášení pro výsledky měření, jeţ mají být předány vedení organizace /
zainteresovaným stranám.
34
4 Zavádění měření informací Provádění měření bezpečnosti informací zahrnuje činnosti, které jsou podstatné pro zajištění toho, aby získané výsledky měření poskytovaly přesné informace s ohledem na účinnost zavedeného ISMS, opatření nebo skupiny opatření a na poţadavky na příslušné činnosti ke zlepšování. Tato činnost zahrnuje: a) integrace postupů měření do celkového provozování ISMS, b) sběr, ukládání a ověřování dat.
4.1 Integrace postupu Proces měření bezpečnosti informací by měl být plně začleněn do ISMS a ISMS by měl tento proces pouţívat. Postupy měření by měly být koordinovány s provozováním ISMS, včetně: a) definování a dokumentování rolí, pravomocí a odpovědností týkajících se vývoje, zavedení a udrţovaní měření bezpečnosti informací; b) sběru dat, a v případě potřeby upravení současného provozování ISMS za účelem přizpůsobení činností spojených s vytvářením a sběrem dat; c) sdělování změn v činnostech sběru dat zainteresovaným stranám; d) udrţování odborné způsobilosti sběratelů informací a porozumění poţadovaným typům dat, nástrojům pro sběr dat a postupům sběru dat; e) vývoje politik a postupů definujících pouţití měření v rámci organizace, šíření informací o měření, auditování a přezkoumávání proces měření bezpečnosti informací; f) začlenění analýzy dat a hlášení do příslušných procesů k zajištění jejich pravidelného vykonávání; g) monitorování, přezkoumávání a vyhodnocování výsledků měření; 35
h) stanovení procesu postupného vyřazování metrik a přidávání nových metrik tak, aby byl zajištěn jejich vývoj spolu s organizací; i) stanovení procesu určování hranice pouţití historických dat pro analýzu trendu.
4.2 Sběr, ukládání a ověřování dat Činnosti spojené se sběrem, ukládáním a ověřováním dat zahrnují: a)
sběr poţadovaných dat v pravidelných intervalech za pouţití určené metody
měření, b)
c)
dokumentování sběru dat, včetně: 1)
data, času a místa sběru dat,
2)
sběratele informací,
3)
vlastníka informací,
4)
jakýchkoliv dalších vyuţitelných údajů, které byly zjištěny během sběru dat,
5)
informací pro ověření dat a potvrzení platnosti měření.
ověření sebraných dat proti kritériím výběru metrik a kritériím platnosti konceptů
měření. Sebraná data a jakékoliv potřebné související informace by měly být konsolidovány a uloţeny ve formě záznamu napomáhajícího analýze dat.
36
5 Automatizace měření Tato kapitola popisuje, jak získat potřebná data pro měření. Jelikoţ data, která pro měření hledáme, jsou ve většině organizací uloţena v mnoha velkých databázích, systémových lozích, excelových tabulkách a lidských hlavách (mozcích), je třeba vytvořit samočinné procesy, které zprostředkují ve velkém měřítku automatizovaný sběr dat. Automatizace, v souvislosti se skórkartami a metrikami, můţe přinést mnoho výhod, ale pouze pokud jsou dobře definovány související systémy a procesy. Pro systémy musí být jasně nadefinováno, jak mají sběr dat provádět, transformovat a distribuovat k dalším zainteresovaným subjektům.
5.1 Výhody automatizace Automatizace přináší následující výhody: •
Přesnost: Sběr, výpočet a komunikace jsou prováděny přesně podle dané specifikace.
•
Opakovatelnost: Ke kaţdému výsledku lze dojít opakovaně, čímţ se posiluje
celková důvěra k měření, ţe získané hodnoty nejsou zkreslené či chybné. •
Zvýšená frekvence měření: V porovnání s lidským mozkem, lze pomocí počítačů
provádět výpočetní operace daleko rychleji. •
Spolehlivost: Rutinní operace, při kterých je člověk náchylný k chybám, počítače
provádějí daleko efektivněji. •
Audit: Zpracování spojené s kaţdou metrikou, stejně jako jejich revize, jsou
zaznamenány a mohou být přezkoumávány autorizovanými auditory. Automatizace procesů měření můţe přinést značné výhody. Aby ale automatice procesů fungovala, musí společnost pečlivě vybrat pouţívané nástroje. Jako v mnoha jiných případech sběru dat, je lákavé nahlíţet na automatizované měření jako obecnou aktivitu sběru dat, kterou lze vykonávat s obecnými nástroji, jako jsou: tabulkové procesory (MS 37
Excel), nástroje business inteligence nebo software security event a incident management (SIEM). Tyto nástroje ale nejsou dobrou volbou, protoţe aktivity měření mají specifické poţadavky. Proč?
5.1.1 Tabulkové procesory Vytištěné výstupy z tabulkových procesorů často nepřináší potřebnou transparentnost, protoţe zobrazují pouze čísla, nikoli vzorce. Tabulkový procesor je výborný výpočetní nástroj, nicméně není vhodný pro automatizaci úkolů. Mezi jeho omezení patří zejména škálovatelnost, externí konektivita a datová integrace, funkce dotazování, audit, správa verzí, bezobsluţný provoz a automatická prezentace výsledků. Nicméně, tabulkové procesory lze vyuţít pro: zkoumání vzorků dat, zdali jsou pro měření vhodné, vytváření nových metrik na základě vzorků dat z externích tabulek, konsolidaci dat získaných z dotazníků nebo jinou ruční sběrnou metodou. Pro plné vyuţití výhod automatizovaného měření ale není tabulkový procesor dobrou volbou. Při pouţívání tabulkového procesoru je nutno se smířit s kompromisy mezi přesností, opakovatelností, zvýšenou frekvencí měření, spolehlivostí, transparentností a ověřitelností. Na druhou stranu, pro měření menšího rozsahu nemusí být některé uvedené vlastnosti nutné či ţádoucí.
5.1.2 Nástroje Business inteligence Business intelligence (BI) a nástroje pro Data mining, jako jsou SAS, Cognos nebo Crystal Reports, se ukazují jako lepší volba, neţ tabulkové procesory. Avšak mají téţ svá omezení. Mnoho organizací zkouší vyuţít nástroje BI a Data minig pro měření a automatizaci skórkaret. Jejich snaha však málo kdy plodí ovoce. BI nástroje jsou z velké části orientovány na provádění byznys analýz, ad-hoc ke zkoumání velkých datových souborů. Uţ se ale příliš nehodí k řízení měření a sběru dat v průběhu času, protoţe nemusí poskytovat správu verzí, sledovací mechanizmy pro byznys logiku a metadata. Například, osoby s přístupem do datového skladu mohou efektivně vytvářet a neomezeně měnit
38
obchodní logiku a metriky, bez formálního sledování těchto změn. A jak lze očekávat, neřízené změny např. ve vzorcích výpočtů můţe vést k chybným/nespolehlivým výsledům a tím i k poklesu důvěry v celý systém měření. Další omezení se týká dostupnosti, nedostatku konektorů/rozhraní neboli „datového lepidla“, které slouţí pro import dat z externích bezpečnostních zařízení a kontrolních systémů. Mnoho nástrojů BI disponuje různými schopnostmi, kdy např. dokáţí vytáhnout potřebná data z podnikových systémů jako je například SAP, či souborů XML, relačních databází či strukturovaných souborů. Například Cognos, BI nástroj od společnosti IBM, dokáţe extrahovat data ze všech výše uvedených zdrojů dat. Navíc nabízí moţnosti slučování a čistění zdrojových dat. Zní to dobře, ale jiţ ne tak dobře vše funguje v praxi, pokud se kritická data nachází mimo BI, například v Cisco routeru nebo v určité části stromové struktury Active Directory. V tomto případě je nutno standardní BI zařízení rozšířit o další funkcionalitu, nejspíše napsáním vlastního kódu. BI a dataminingové nástroje nelze zcela zavrhovat, jelikoţ představují mocný nástroj pro analýzu vzorových dat. Problém je ale udrţet jejich správné perspektivní pouţití. Tyto nástroje totiţ nejsou primárně navrţeny jako automatizované systémy pro měření bezpečnosti. Většina BI nástrojů byla navrţena pro ad-hoc analýzu dat a jejich vizualizaci, nikoli pro automatizaci a řízení souboru měření.
5.1.3 Security event a incident management (SIEM) Třetí třídou nástrojů, které lze vyuţívat pro automatizaci měření, jsou softwarové balíky pouţívané v datových skladech k detailnímu řízení bezpečnosti informací, které vznikají v síťových zařízeních a bezpečnostních operací. Jde zejména o balíky nástrojů Security Event Management (SEM) nebo Security Incident Management (SIM),
často
souhrnně
označované jako SIEM. Tyto balíčky pokrývají široké spektrum podnikového prostředí a udrţují podrobné informace o bezpečnosti provozu. Mezi přední výrobce SIEM patří společnosti ArcSight, Cisco (Protego), Intellitactics, NetForensics neboNovell (ESecurity). Typické datové centrum se potýká s problémy týkajících se konfigurace, chyb, výkonu a s efektivním vyuţitím získaných dat. Balíčky SIEM jsou navrţeny tak, aby zvládaly všechny uvedené problémy. Důvody, proč se takto robustní systémy pouţívají, pramení od
39
provozního personálu, který potřebuje vnímat významné události, pokud nastanou, v řádech několika sekund či minut. Výsledkem nasazení SIEM je velmi vysoká rozlišovací schopnost a frekvence získaných dat, které jsou vedlejším produktem běţného provozu datových center. Kromě operativního nasazení, lze tyto údaje vyuţít i k podpoře strategie měření. Systémy SIEM mají v podnikovém prostředí své vyuţití, avšak není pravděpodobné, ţe se jejich evoluční růst dospěje aţ na úroveň automatizovaných měřících systémů. Systémy SIEM jsou v mnoha ohledech vynikajícími nástroji, ale zaostávají v některých záleţitostech, které jsou poţadovány u automatizovaných systémů, jde například o: Výsledky v reálném čase – Strategické měření se zaměřuje na dny, týdny a měsíce – zřídka kdy na hodiny, minuty sekundy, coţ jsou právě časové úseky, se kterými SIEM systémy obvykle pracují. Nesouhrnné výsledky – Strategické měření je zaměřené na charakteristické chování, kdy jsou shromaţďovány stovky či tisíce dat týkajících se provozních pozorování – ne nesouvisejících událostí. Detekce anomálií místo procesu měření – Pro strategická měření, průměry a směrodatné odchylky jsou vhodné mnoţstevní hodnoty, zatímco systémy SIEM se zabývají jednotlivými událostmi nebo seskupováním souvisejících událostí. Provozní orientace – Strategické měření potřebuje informace z několika provozních subsystémů (podsystémů). SIEM systémy se zaměřují na konkrétní řízení činností, jako jsou výkon sítí, konfigurace serverů nebo detekce a porovnání událostí. Chybějící spojení k nezabezpečeným zdrojům dat – Výsledky měření získané od systémů SIEM jsou zaloţeny na datech shromáţděných samotným provozním systémem. Strategické měření bezpečnosti ale potřebuje integrovat shromáţděná data z několika externích primárních či sekundárních zdrojů dat, které se nalézají mimo působnost systémů SIEM, jako jsou například systémy pro řízení lidských zdrojů. Primární nebo sekundární zdroje dat, vzhledem ke svému zaměření na jednu úzkou oblast, jsou často nazývány Systémy pro řízení prvků IT (Element Management System – EMS). Systémy slouţí např. pro vizualizaci, dohled
40
a vzdálený management prvků IT infrastruktury, technologických systémů nebo softwarových aplikací. Reportování – Firemní provozní systém obstarává odpovídající řídící funkce neboli předávání zpráv. Systém měření je vnímán jako zpravodajská funkce, která je ale typicky, při srovnání s mnoha běţnými funkcemi pro správu, omezená. Nicméně, účelem systémů pro strategické měření je vytvářet, počítat a předávat kvantitativní data z různorodých, ale souvisejících zdrojů dat, coţ je daleko více neţ pouhé předávaní zpráv.
5.2 Technické požadavky na automatizační nástroje Tato část popisuje poţadavky na software pro automatizované měření a jeho řízení, aby bylo dosaţeno maximální hodnoty z měření bezpečnosti. Účelem softwaru pro automatizované měření je zvýšení efektivity firmy při měření a analýze a následné transformaci surových dat do formátu, který je z lidského pohledu lépe pochopitelný. Automatizovaný systém pomáhá docílit tohoto cíle spolehlivým prostředím, které vynucuje a udrţuje pravidelné, opakovatelné a auditovatelné souhrnné výsledky měření, jejich výpočet, ukládání a zveřejnění. Ve strategii pro zlepšování musí být eliminovány nebo zcela vyloučeny důvody pro spory ohledně kvality dat či algoritmů pro zpracování. Níţe jsou uvedeny klíčové funkční poţadavky pro automatizované měření. Navrhování prostředí – je nutné, aby uţivatelé bez schopností programování měli k dispozici grafické uţivatelské prostředí pro navrhování a vytváření měření, skórkaret a obchodní logiky. Hlavní cílovou skupinou při navrhování této činnosti jsou bezpečnostní analytici, ne pracovníci IT či softwaroví vývojáři. Podpora životního cyklu měření – je vyţadováno, aby robustní a na standardech postavené prostředí zajistilo, ţe výsledky měření budou shromaţďovány z autoritativních zdrojů, podle harmonogramu a odsouhlasených výpočetních technik. Také aby poskytovalo návaznou kontinuitu v čase a odpovídalo regulatorním standardům. Prostředí musí být současně důvěrné, spolehlivé a škálovatelné.
41
Mapování na obchodní souvislosti – je vyţadováno zařízení, které bude dávat výsledky měření do kontextu s obchodními činnostmi a procesy. Přístup k výsledkům měření je kriticky nezbytným předpokladem pro jejich další strategické uplatnění i pro zlepšování účinnosti a efektivnosti obchodních procesů. Pracovní postup pro správu měření – Měření generuje cenná data. Logická struktura metrik samotných reprezentuje jednu obsahovou formu, zatímco výsledky měření a verze skórkaret představují formu druhou. V průběhu času se obě obsahové formy vyvíjejí a rozšiřují. Tvoří se více metrik, které ve výsledku generují větší mnoţství výsledků měření a verzí skórkaret. Flexibilní publikování výsledků – je vyţadován adaptabilní mechanismus pro zveřejňování výsledků měření ve formě verzovaných skórkaret. Pravidla pro doručování výsledků měření obsahují oprávnění (kdo můţe vidět co), zobrazení (co má jak vypadat), šíření (e-mail, statické nebo dynamické webové stránky), poznámky (pro širší výklad) a popisky pro automaticky zasílané výstrahy a upozornění. Ve firmě musí být podporována zejména jiţ fungující média, jako jsou např. PDF, e-mail či firemní intranet. Mezi moţná řešení jistě nepatří budování druhého řídícího panelu typu „dashboardu“.
42
6 Zpracování a prezentace výsledků měření, zlepšování
procesu
měření
bezpečnosti
informací Sebraná data by měla být analyzována za účelem získání výsledků měření a získané výsledky měření by měly být sděleny. Tato činnost zahrnuje: a)
analýzu dat a získání výsledků měření;
b)
sdělení výsledků měření příslušným zainteresovaným stranám.
6.1 Analýza dat a získání výsledků měření Sebraná data by měla být analyzována a interpretována ve smyslu rozhodovacích kritérií. Data mohou být před analýzou sloučena, převedena nebo překódována. Během tohoto úkolu by data měla být zpracována tak, aby byly vytvořeny indikátory. Lze pouţít celou řadu analytických technik. Hloubku analýzy by měly určovat charak-ter dat a informační potřeba. Výsledky analýzy dat by měly být interpretovány. Osoba provádějící analýzu výsledků (komunikátor) by měla být schopna na základě těchto výsledků vyvodit určité počáteční závěry. Protoţe však komunikátor nebo komunikátoři nemusí být přímo zapojeni do technických nebo řídících procesů, tyto závěry potřebují být přezkoumány ostatními zainteresovanými stranami. Všechny interpretace by měly brát v úvahu související metriky. Analýza dat by měla identifikovat mezery mezi očekávanými a skutečnými výsledky měření zavedeného ISMS, opatření nebo skupiny opatření. Identifikované mezery budou ukazovat na potřeby pro zlepšování zavedeného ISMS, včetně jeho rozsahu, politik, cílů, opatření, procesů a postupů.
43
Ty indikátory, které demonstrují neshodu nebo špatnou výkonnost, by měly být identifikovány a mohou být klasifikovány takto: a)
selhání plánu zvládání rizik implementovat nebo dostatečně implementovat, provozovat a řídit opatření nebo procesy ISMS (např. opatření a procesy ISMS mohou být hrozbami obejity);
b)
selhání hodnocení rizik: 1)
opatření nebo procesy ISMS jsou neúčinné, protoţe jsou nedostatečné buď
proti odhadnutým hrozbám (např. protoţe pravděpodobnost hrozeb byla podhodnocena); nebo proti novým hrozbám; 2)
opatření nebo procesy ISMS nejsou zavedeny kvůli přehlédnutým hrozbám.
Zprávy, které se pouţívají ke sdělení výsledků měření příslušným zainteresovaným stranám, by měly být připravovány za pouţití vhodných forem hlášení v souladu s plánem implementace procesu měření bezpečnosti informací. Pro zajištění správné interpretace dat by závěry analýzy měly být přezkoumány příslušnými zainteresovanými stranami. Výsledky analýzy dat by měly být dokumentovány a následně sděleny zainteresovaným stranám.
6.2 Sdělení výsledků měření Informační komunikátor by měl určit, jak sdělovat výsledky měření bezpečnosti informací, jako například: –
jaké výsledky měření mají být sdělovány interně a externě;
–
sestavy metrik odpovídající jednotlivým zainteresovaným stranám a zájmovým skupinám;
–
specifické výsledky měření, které mají být poskytnuty, a typ prezentace šitý na míru potřebám kaţdé skupiny;
44
–
prostředky pro získání zpětné vazby od zainteresovaných stran, které budou pouţity pro hodnocení uţitečnosti výsledků měření a účinnosti procesu měření bezpečnosti informací.
Výsledky měření by měly být sdělovány různým interním zainteresovaným stranám včetně následujících, ale nejen jim: –
zákazníkům měření;
–
vlastníkům informací;
–
personálu, který má na starost řízení rizik, zejména, kde jsou identifikována selhání
v oblasti hodnocení rizik; –
personálu odpovědnému za identifikované oblasti, které potřebují zlepšení.
V některých případech lze organizaci poţádat o to, aby distribuovala zprávy o výsledcích měření externím stranám, včetně regulačních úřadů, akcionářů, zákazníků a dodavatelů. Doporučuje se, aby zprávy o výsledcích měření, které jsou distribuovány externě, obsahovaly pouze data vhodná pro externí zveřejnění a byly před zveřejněním schváleny vedením organizace a příslušnými zainteresovanými stranami.
6.3 Vyhodnocení
a
zlepšování
procesu
měření
bezpečnosti informací Aby mohl být proces měření bezpečnosti informací zlepšován, organizace by v plánovaných intervalech měla vyhodnotit následující: a)
účinnost zavedeného procesu měření bezpečnosti informací za účelem zajištění toho, aby: 1)
účinným způsobem poskytoval výsledky měření;
2)
byl prováděn tak, jak je plánováno;
3)
řešil změny v zavedeném ISMS a/nebo v opatřeních;
4)
řešil změny v prostředí (např. poţadavky, legislativu nebo technologii); 45
b)
uţitečnost získaných výsledků měření k zajištění uspokojení příslušných informačních potřeb. Vedení organizace by mělo specifikovat frekvenci takového vyhodnocování, plánovat pravidelné revize a stanovit mechanizmus, který by provádění těchto revizí. Mělo by se jednat o následující činnosti: 1)
identifikaci kritérií hodnocení pro proces měření bezpečnosti informací;
2)
monitorování, přezkoumávání a vyhodnocení měření;
3)
zavádění zlepšení.
6.4 Identifikace kritérií hodnocení pro proces měření bezpečnosti informací Organizace by měla definovat kritéria pro hodnocení účinnosti procesu měření bezpečnosti informací, pro měření uţitečnosti získaných výsledků měření. Tato kritéria by měla být definována na počátku zavádění procesu měření bezpečnosti informací a přitom by měl být brán v úvahu kontext technických a obchodních cílů organizace. Nejpravděpodobnějšími kritérii v situaci, kdy by organizace měly vyhodnotit, zlepšit či změnit zavedený proces měření bezpečnosti informací, jsou: změny obchodních cílů organizace; změny právních nebo regulačních poţadavků a smluvních závazků s dopadem na bezpečnost informací; změny poţadavků organizace na bezpečnost informací; změny rizik bezpečnosti informací pro organizaci; zvýšená dostupnost vytříbenějších nebo vhodnějších dat a/nebo metod sběru dat pro účely měření;
46
změny objektu měření a/nebo jeho atributů. Pro vyhodnocení získaných výsledků měření lze pouţít tato kritéria: a)
b)
výsledky měření jsou: 1)
snadno pochopitelné,
2)
sdělovány včas,
3)
objektivní, porovnatelné a opakovatelné.
procesy stanovené pro vypracování výsledků měření jsou: 1)
správně definovány,
2)
snadno proveditelné,
3)
řádně plněny.
c)
výsledky měření jsou uţitečné pro zlepšování bezpečnosti informací;
d)
výsledky měření se obrací na odpovídající informační potřeby.
6.5 Monitorování, přezkoumávání a hodnocení procesu měření bezpečnosti informací Organizace by měla monitorovat, přezkoumávat a vyhodnocovat svůj proces měření bezpečnosti informací podle stanovených kritérií. Organizace by měla identifikovat potenciální potřeby na zlepšování procesu měření bezpečnosti informací, včetně: a)
revidování nebo odstranění přijatých konceptů měření, které jiţ nejsou vhodné;
b)
přerozdělení zdrojů na podporu procesu měření bezpečnosti informací.
Organizace by také měla identifikovat potenciální potřeby na zlepšování zavedeného ISMS, včetně jeho rozsahu, politik, cílů, opatření, procesů a postupů; a dokumentovat
47
rozhodnutí vedení organizace počítat s porovnáním a analýzou trendů během následujících přezkoumání. Výsledky tohoto vyhodnocení a identifikované potenciální potřeby na zlepšování by měly být sděleny příslušným zainteresovaným stranám, aby bylo moţné přijmout rozhodnutí týkající se nezbytných zlepšování. Organizace by měla zajistit, aby od zainteresovaných stran byla vyţadována zpětná vazba na výsledky tohoto vyhodnocení a identifikované potenciální potřeby na zlepšování. Organizace by měla chápat, ţe zpětná vazba je jedním ze vstupů týkající se účinnosti procesu měření bezpečnosti informací.
48
6.6 Zavedení zlepšení Organizace by měla zajistit, aby příslušné zainteresované strany identifikovaly potřebná zlepšení procesu měření bezpečnosti informací. Identifikovaná zlepšení by měla být schválena vedením organizace. Schválené plány by měly být zdokumentovány a sděleny příslušným zainteresovaným stranám. Taktéţ by organizace měla zajistit, aby schválená zlepšení procesu měření bezpečnosti informací byla implementována podle plánu. K provedení zlepšení lze pouţít napříkladtechniky projektového řízení.
49
7 Praktické příklady konceptů měření Šablona pro koncept měření bezpečnosti informací Příklad šablony pro koncept měření bezpečnosti informací. Organizace můţe upravit šablonu podle svých potřeb, vycházejících například z regulatorních nařízení bezpečnostní politiky atp.
Identifikace konceptu měření Název konceptu měření
Název měření
Číselný identifikátor
Jedinečný číselný identifikátor specifický pro organizaci.
Účel konceptu měření
Popisuje důvody pro zavedení měření.
Cíl opatření / procesu
Cíl opatření / procesu v rámci měření (plánovaný nebo implementovaný).
Opatření (1) / proces (1)
Opatření / proces v rámci měření.
Opatření (2) / proces (2)
Volitelné (pokud je to vhodné): další opatření/procesy v rámci skupiny zahrnuté ve stejné metrice (plánované nebo implementované).
Objekt měření a atributy Objekt měření
Objekt (entita), který je charakterizován prostřednictvím měření svých atributů. Objekt může zahrnovat procesy, plány, projekty, zdroje a systémy nebo části systémů.
Atribut
Vlastnost nebo charakteristika objektu, která může být rozlišena lidskými nebo automatizovanými prostředky.
Popis základní metriky (pro každou základní metriku [1...n]) Základní metrika
Základní metrika je definovaná pomocí atributu a specifické metody měření, která tento atribut kvantitativně určuje (například počet proškolených pracovníků, počet lokalit, souhrnné náklady k danému datu). Při sběru dat jsou základní metrice přiřazovány hodnoty.
Metoda měření
Logická posloupnost operací použitá ke kvantitativnímu určení atributu s ohledem na stanovené měřítko.
Typ metody měření
V závislosti na povaze operací, použitých ke kvantitativnímu určení atributu, rozlišujeme dva typy metod měření: Subjektivní: kvantitativní určení zahrnuje lidské posouzení; Objektivní: kvantitativní určení je založeno na numerických pravidlech například takových jako sčítání.
Měřítko
Uspořádaná množina hodnot nebo kategorií, do kterých jsou mapovány atributy základních metrik.
Typ měřítka
V závislosti na povaze vztahů mezi hodnotami na měřítku jsou všeobecně definovány 4 typy měřítek: nominální (jmenovité), ordinální (pořadové), intervalové a poměrové.
Jednotka měření
Specifické množství, definované a přijaté na základě dohody, se kterým jsou ostatní množství stejného druhu porovnávána s cílem vyjádřit poměr těchto množství jako číslo.
Popis odvozené metriky Odvozená metrika
Metrika definovaná pomocí atributu a metody, která tuto hodnotu kvantitativně určuje.
50
Funkce měření
Provedený algoritmus nebo výpočet kombinující jednu nebo více základních metrik. Měřítko a jednotky odvozené metriky záleží na měřítkách a jednotkách základních metrik, ze kterých je odvozená metrika složená, a na způsobu (funkci) jakým jsou kombinovány.
Popis indikátoru Indikátor
Metrika poskytující odhad nebo ohodnocení specifikovaných atributů získaných z analytického modelu s ohledem na definované informační požadavky. Indikátory jsou východiskem pro analýzy a rozhodování.
Analytický model
Algoritmus nebo výpočet kombinující jednu nebo více metrik a/nebo odvozených metrik s přidruženými rozhodovacími kritérii. Je založen na porozumění nebo na osvojení si očekávaných vztahů mezi základními anebo odvozenou metrikou anebo jejich chování v čase. Analytický model vytváří odhady a hodnocení, které se týkají definovaných informačních požadavků.
Popis rozhodovacích kritérií Rozhodovací kritéria
Prahy, cíle nebo vzory používané k určení požadavku na činnost či na další zkoumání, nebo k popisu úrovně důvěry v dané výsledky. Rozhodovací kritéria pomáhají interpretovat výsledky měření.
Výsledky měření Interpretace indikátoru
Popis jak by měl být vzorový indikátor (viz výše zmíněný indikátor) interpretován.
Formy hlášení
Formy hlášení by měly být identifikovány a dokumentovány. Popište výsledky měření, která organizace nebo vlastníci informací pravděpodobně požadují zdokumentovat. Formy hlášení mají názorně popsat metriky a zabezpečit slovní vysvětlení indikátorů. Formy hlášení by měly být přizpůsobeny potřebám vlastníkům informací.
Zainteresované strany Zákazník měření
Vedení organizace nebo jiné zainteresované strany vyžadující informace o účinnosti ISMS, opatřeních nebo skupinách opatření.
Recenzent měření
Osoba nebo organizační jednotka, která potvrdí, že navržené koncepty měření jsou vhodné pro hodnocení účinnosti ISMS, opatření nebo skupin opatření.
Vlastník informace
Osoba nebo organizační jednotka, která vlastní informace o objektu měření a atributech a je odpovědná za měření.
Osoba / organizační jednotka odpovědná za sběr dat
Osoba nebo organizační jednotka, která je odpovědná za sběr, záznam a ukládání dat.
Osoba / organizační jednotka odpovědná za analýzu dat a hlášení výsledků měření
Osoba nebo organizační jednotka, která je odpovědná za analýzu dat a komunikaci výsledků měření.
Frekvence / perioda Frekvence sběru dat
Jak často jsou data sbírána.
Frekvence analýzy dat
Jak často jsou data analyzována.
Frekvence hlášení výsledků měření
Jak často jsou výsledky měření hlášeny (mělo by to být méně častěji než sběr dat).
Revize měření
Termín revize měření (expirace nebo obnovení platnosti měření).
Perioda měření
Definuje období, po které je prováděno měření.
Zdroj: ISO/IEC 27004
51
7.1 Příklad konceptu měření bezpečnosti informací Konkrétní příklad konceptu měření bezpečnosti informací, který řeší počet chybně vyplněných hesel. Koncept můţe organizace upravovat podle svých potřeb, vycházejících například z regulatorních nařízení bezpečnostní politiky atp.
Počet chybně vyplněných hesel Identifikace konceptu měření Název konceptu měření
Počet chybně vyplněných hesel
Číselný identifikátor
Specifický pro organizaci
Účel konceptu měření
Zjistit počet chybně zadaných hesel k danému uživatelskému účtu.
Cíl opatření / procesu
Zabránit útokům na prolomení hesla.
Opatření (1) / proces (1)
Každý uživatel musí pro přihlášení do operačního systému Windows zadat uživatelské jméno a heslo. Počet pokusů o přihlášení není omezen.
Objekt měření a atributy Objekt měření
Operační systém
Atribut
Počet chybných zadání hesel
Popis základní metriky Základní metrika
1. Počet neúspěšných pokusů o zadání hesla
Metoda měření
1. Spočítejte, kolikrát se uživateli nepodařilo zadat správné heslo
Typ metody měření
1. Objektivní
Měřítko
1. Celá čísla od nuly do nekonečna
Typ měřítka
1. Ordinální
Jednotka měření
1. Neplatná hesla
Popis odvozené metriky Odvozená metrika
Počet neúspěšných pokusů o zadání hesla překračující prahové hodnoty
Funkce měření
Porovnání celkového počtu neúspěšných pokusů o zadání hesla s prahovými hodnotami.
Popis indikátoru Indikátor
Sloupcový graf který zobrazuje stupeň (počet) chybně zadaných hesel.
52
Počet chybných pokusů při zadání hesla
Analytický model
Indikátor zobrazuje stupeň: 1. – pokud nebylo zadáno chybně heslo; 2. – pokud bylo zadáno 1-4krát chybně heslo; 3. – pokud bylo zadáno 5-10krát chybně heslo; 4. – pokud bylo zadáno 11-20krát chybně heslo; 5. – pokud bylo zadáno 21 a více krát chybně heslo.
Popis rozhodovacích kritérií Rozhodovací kritéria
Pokud je dosaženo stupně indikátorů 1 a 2 (počet chybných pokusů o vyplnění hesla nepřesáhne 4) nejsou požadována žádná opatření. Pokud stupeň indikátoru ukáže na hodnotu 3, 4 nebo 5 (počet chybných pokusů o vyplnění hesla přesáhne 4), musí být přijata adekvátní opatření.
Výsledky měření Interpretace indikátoru
Interpretace indikátoru jsou následující: Stupeň 1 – uživatel vyplňuje hesla bezchybně, není potřeba žádná opatření; Stupeň 2 – uživatel vyplnil 1.-4krát chybně heslo. Je potřeba sledovat trend, zdali se chybná zadání nebudou opakovat. Pokud ano, je potřeba ověřit, zdali se jedná o uživatelovu chybu nebo pokus cizí osoby o prolomení hesla; Stupeň 3 – uživatel vyplnil 5.-10krát chybně heslo. Je potřeba neprodleně prověřit, zdali se jedná o uživatelovu chybu nebo pokus cizí osoby o prolomení hesla; Stupeň 4 – uživatel vyplnil 11-20 krát chybně heslo. Je vysoká pravděpodobnost, že se jedná o útok na uživatelský účet. Je potřeba neprodleně se spojit s uživatelem a dle získaných informací dál jednat dle pokynů pro incident Pokus o prolomení hesla. Stupeň 5 – uživatel vyplnil 21 a více krát chybně heslo. Uživatelský účet je automaticky zablokován, je informován Manažer bezpečnosti, případně další zainteresovaní zaměstnanci z úseku informační bezpečnosti. Začíná vyšetřování incidentu Pokus o prolomení hesla.
Formy hlášení
Sloupcový graf, který ukazuje četnost jednotlivých stupňů (počtu chybně zadaných hesel), kde každý stupeň zobrazuje samostatný sloupec. Velikost sloupce závisí na četnosti výskytu daného stupně.
53
Zainteresované strany Zákazník měření
Manažeři odpovědní za ISMS Bezpečnostní manažer
Recenzent měření
Vedení organizace odpovědné za bezpečnost
Vlastník informace
Systémový administrátor
Osoba / organizační jednotka odpovědná za sběr dat
Pracovníci bezpečnosti
Osoba / organizační jednotka odpovědná za analýzu dat a hlášení výsledků měření
Pracovníci bezpečnosti
Frekvence / perioda Frekvence sběru dat
Týdně
Frekvence analýzy dat
Týdně
Frekvence hlášení výsledků měření
Týdně
Revize měření
6 měsíců
Perioda měření
Týdně
54
8 Závěr Měření bezpečnosti informací je nedílnou součástí systému řízení bezpečnosti informací. Chceme-li systém zlepšovat, musíme měřit jeho efektifitu, abychom mohli dle získaných výsledků korigovat současný stav a navrhovat další zlepšení. A právě návrhu doporučení pro vývoj a pouţívání metrik a měření bezpečnosti informací je věnována tato diplomová práce. Měření obečně má za sebou dlouhou historii, nicméně jeho „subdoména“, měření bezpečnosti informací, je poměrně mladá. I proto dnešní bezpečnostní manaţeři vesměs tuto vědu při své práci opomíjejí. Přitom právě bezpečnostní manaţeři mohou pomocí měření bezpečnosti informací fakticky a pragmaticky obhájit náklady na infrastrukturu informační bezpečnosti, jejíţ rozpočet je v posledních letech, nejen díky finanční krizi, značně napjatý. Aplikování cyklu měření bezpečnosti informací do reálného prostředí organizace, jak je znázorněno na obrázku 1 (str. 11.) nelze povaţovat za triviální úkol, coţ poukazuje na další příčinu nízké četnosti pouţívání meření bezpečnosti informací. Pro navrţení a fungování měření bezpečnosti informací je potřeba kvalifikované osoby, která dané problematice rozumí a disponuje praktickými zkušenosti a téţ alespoň základní dokumentace, která poskytne potřebná vodítka a doporučení, coţ je náplní této diplomové práce. A to nejen v teoretické, ale i praktické rovině (viz kapitola sedmá, která obsahuje praktické příklady konceptů měření). Implementace a provozování měření bezpečnosti informací vyţaduje zejména v prvně jmenovaném kroku nemalé poţadavky na zdroje, zejména lidské. Aby implementace dopadla úspěšně, je třeba předem stanovit klíčové faktory úspěšnosti. Mezi klíčové faktory úspěchu implementace a provozování měření bezpečnosti informací patří např. definování cílů a rozsahu měření, sestavení modelu a procesu měření, akceptace vedením společnosti, vývoj metrik a konceptu měření ale třeba i pracnost či náročnost měření, které vyplývá ze samotného procesu měření. I proto je pátá kapitola věnována automatizaci měření, kde jsou popsány klady a zápory typových automatizovaných nástrojů a téţ výčet poţadavků na
55
automatizované nástroje pro měření bezpečnosti informací. Právě automatizované nástroje měření by měli proces měření v rutinních fázích značně ulehčit. Ačkoli metriky a měření mohou být velmi sloţité, s prezentovanými výsledky měření by to mělo být zcela naopak. Samotná prezentace výsledků, zejména její forma, je v procesu měření bezpečnosti informací velice důleţitá. Výsledky by měly být interpretovány ve snadno srozumitelné a poutavé formě, ideálně pomocí grafických prostředků jako jsou grafy. Podstatná data (informace) by měly být na první pohled patrné. A to bez dlouhého vyslětlování či čtení obsahlého textu. Média, kterémi jsou výsledky měření distribuovány, by měla být pro danou organizaci tradiční. Typicky e-mail, nástěnka či krátká prezentace.
56
Bibliografie [1] ARCSIGHT, Security Operations Metrics Definitions for Management and Operations Teams, USA, Cupertino, 2010 [2] JAQUITH, Andrew, Security Metrics, Replacing Fear, Uncertainty, and Doubt, USA, Indiana, 2007, ISBN 0-321-34998-9 [3] ISO (International Organization for Standardization), ISO/IEC 27004:2009, Information technology – Security techniques – Information security management – Measurement. Switzerland, Geneva, 2009
57
Slovník odborných termínů Analýza rizik Klasifikuje nebezpečnost jednotlivých hrozeb, slabá místa informačního systému a odhaduje moţné ztráty. Aktivum Hmotný a nehmotný majetek mající pro organizaci určitou hodnotu. Atribut Vlastnost nebo charakteristika objektu, která můţe být rozlišena lidskými nebo automatizovanými prostředky. Bezpečnostní opatření Prostředek ke zmírnění hrozby či sníţení zranitelnosti. Business intelligence (BI) Pod označením business intelligence si lze představit především výkonné analytické a vykazovací nástroje, které umoţňují vyuţít firemní data nejen k analýze jiţ proběhlých jevů, ale také k predikcím budoucího vývoje. Data mining Data mining představuje proces shromaţďování a vyhodnocování dat. Je pojmem z oblasti Business Inteligence. Cílem je průběţné shromaţďování co největšího počtu dat a následné analýzy, které mohou pomoci objevit trendy, na základě nichţ lze činit důleţitá marketingová a obchodní rozhodnutí. Obvykle kaţdý komerční i nekomerční subjekt shromaţďuje data ve svých vlastních systémech (ERP systém, CRM systém, e-shop) a nad těmito daty lze provádět pravidelné "dolování". Dostupnost (availability) Zajištění, ţe informace je pro oprávněné uţivatele přístupná v okamţiku její potřeby Důvěrnost (confidentiality) Zajištění, ţe informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni Hrozba Událost, která můţe způsobit, ţe informace nebo prostředky zpracovávající informace budou záměrně nebo náhodně ztraceny, modifikovány, stanou se nedostupnými nebo budou jinak negativně ovlivněny ve vztahu k společnosti. Indikátor (indicator) Metrika poskytující odhad nebo ohodnocení specifikovaných atributů získaných z analytického modelu s ohledem na definované informační potřeby.
58
Informačních jednotka Sdruţení informací stejného významu do jednoho celku. Např. informace o zaměstnancích, produktech, zboţí atp. Informační potřeba (information need) porozumění nezbytné k dosáhnutí krátkodobých a dlouhodobých cílů, k řízení rizik a zvládání problémů. Informační systém (IS) Představuje soubor lidí, metod a technických prostředků zajišťujících sběr, přenos, uchování, zpracování a prezentaci dat, jehoţ cílem je tvorba a poskytování informací podle potřeb jejich příjemců, činných v systémech řízení. Integrita (integrity) Zajištění správnosti a úplnosti informací. ISMS (Information Security Management Systém) Systém řízení bezpečnosti informací. Princip neodmítnutelnosti odpovědnosti Princip neodmítnutelnosti odpovědnosti slouţí k jednoznačnému určení totoţnosti původce ať uţ nějaké zprávy, nebo činnosti. Zásadní odlišnost od autentizace je v tom, ţe uřčení totoţnosti původce se v tomto případě provádí aţ po uskutečnění sledované činnosti. Nemohu tedy zabránit provedení neţádoucích akcí, mohu pouze následně určit jejich původce. V platebním protokolu je tento princip nutný k tomu, aby bylo moţné zjistit a následně postihovat účastníky systému, kteří se nechovají podle pravidel. Metrika (measure) Proměnná, které je přiřazena hodnota jako výsledek měření. Metoda měření (measurement method) Všeobecně popsaná logická posloupnost operací pouţitá ke kvantitativnímu určení atributu s ohledem na stanovené měřítko. Typ metody měření závisí na povaze operací pouţitých ke kvantitativnímu určení atributu. Rozlišujeme dva typy metod měření: subjektivní: kvantitativní určení zahrnuje lidské posouzení; objektivní: kvantitativní určení je zaloţeno na numerických pravidlech. Měřítko (scale) Uspořádaná mnoţina hodnot, spojitých nebo diskrétních, nebo mnoţina kategorií, do kterých jsou mapovány atributy Typ měřítka závisí na povaze vztahu mezi hodnotami měřítka. Všeobecně jsou definovány 4 typy měřítek: nominální (jmenovité): hodnoty měření jsou přiřazeny určité kategorii; ordinální (pořadové): hodnotám měření jsou přiřazeny pozice; intervalové: hodnoty měření jsou ze stejného rozsahu, který odpovídá rozsahu stejných velikostí atributu; 59
poměrové: hodnoty měření jsou ze stejného rozsahu, který odpovídá rozsahu stejných velikostí atributu. Nulová hodnota pak odpovídá nulové velikosti atributu. Výše jmenované typy jsou pouze příklady typů měřítek. Objekt (object) Prvek charakterizovaný prostřednictvím měřením svých atributů. Offshoring Přesun výroby do zahraničí bez ohledu na to, zda výrobu provádí jiná firma nebo jde pouze o přestěhování vlastní továrny. Outsourcing Firma vyčlení své podpůrné a vedlejší činnosti a svěří je smluvně jiné společnosti čili subkontraktorovi, specializovanému na příslušnou činnost. Riziko Vyjadřuje míru ohroţení/nebezpečí, ţe daná hrozba nastane a následně dojde ke vzniku škod. Rozhodovací kritéria (decision criteria) Prahy, cíle nebo vzory pouţívané k určení poţadavku na činnost či na další zkoumání, nebo k popisu úrovně důvěry v dané výsledky SLA (Service Level Agreement) Dohoda o úrovni poskytovaných sluţeb. Umoţňuje definovat kvalitu a garance IT sluţeb, například maximální povolený výpadek, odezvu aplikace nebo dostupnost a rychlost reakce technické podpory. Systém pro řízení prvků IT (Element Management System – EMS) Systém slouţí pro vizualizaci, dohled a vzdálený management prvků IT infrastruktury, technologických systémů nebo softwarových aplikací. Validace (validation) Potvrzení (získané prostřednictvím objektivního důkazu) o tom, ţe poţadavky, na určité zamýšlené pouţití nebo vyuţití, byly splněny. Verifikace (verification) Potvrzení, získané prostřednictvím objektivního důkazu o tom, ţe specifické poţadavky byly splněny Zranitelnost Slabé místo, které sniţuje bezpečnost daného aktiva.
60