N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Metriky a mer en informacn bezpecnosti 2

Navrh a pou zit metrik informacn bezpecnosti, me ren v ISMS

X Potrebuje mechanismy pro mer en efektivnosti

implementace bezpecnostnch opatren X Mer enm se zskavaj data podporujc investice do InSec, hodnocen u cinnosti opatren a pro identi kace moznost jak zvy sit jejich u cinnost

PV 017 Bezpecnost IT 2

Jan Staudek http://www. .muni.cz/usr/staudek/vyuka/ }

Organizace mus hodnotit vykonnost informacne-bezpecnostnch opatren a efektivnosti ISMS

Standard mer en informacn bezpecnosti X ISO/IEC 27004: 2009, Information technology | Security techniques

| Information security management | Measurement

w A| y < 5 4 23 1 0 / -. , )+ ( %&' $ # !"

Æ

Verze : podzim 2015 Jan Staudek, FI MU Brno

2

Co a kdy se mer a co je clem mer en urcuje politika organizace Procesy souvisejc s mer enm jsou do cyklu PDCA zaclenov any nasledovn e

2

2 2

PV017 { Metriky, me ren v z ivotnm cyklu ISMS

Clem mer en je poskytnut informac pro posouzen a prpadne zvy sen efektivnosti ISMS ISMS pracuje

2

|

1

X ISO 27001 narizuje provad et mer en pro demonstraci toho jak dobre 2

Jan Staudek, FI MU Brno


Proc se mer ?

Metriky, mer en informacn bezpecnosti a ISMS 2

|

2

Zvysovan m efektivnosti ISMS se rozum zlepsovan vykonnosti nastroj u informacn bezpecnosti z pohledu celkovych podnikatelskych rizik organizace Mer en dodav a managementu vstupy pro prezkoumav an ISMS pro usnadnen rozhodovan souvisejcch s ISMS Mer enm se zskavaj dukazy pro zlepsen implementace ISMS Pro zskan dukaz u mus byt stanovene mry a metody mer en a postupy vyhodnocovan namer enych dat Jan Staudek, FI MU Brno

|


3

Kroky navrhu a pouzit metrik

Co se mer

1. Vyb er objektu, pro ktere se navrhuj metriky 2. Inicialn semi-formaln interview se zainteresovanymi stranami 3. Navrh prvn verze metrik 4. Nasledn e semi-formaln interview se zainteresovanymi stranami 5. Dokoncen de nic metrik, metod mer en, . . . 6. Mer en pomoc navrzenych metrik 7. Agregace vysledk u na zaklad e zskanych dat a vytvoren zpravy o mer en

2

2 2

2

X Zskavan e metriky mus byt de novane, analyzovane a

Mer enym objektem mu ze byt implementovany proces ISMS, procedura, opatren, . . . objekt, ktery nejakou formou souvis s prosazovan m ITSec Mer eny objekt ma jednu nebo vce vlastnost Vlastnost { charakteristika rozlisitelna kvalitativne nebo kvantitativne, manualn e nebo automatickymi nastroji Mer se vlastnosti relevantn pro posouzen prnosu objektu pro dosazen pozadovane urovn e informacn bezpecnosti

vysledky analyzy ve vhodnem, nazorn em formatu (grafy, ruzn e barvene texty, . . . ) sdelene odpovednym rolm


|



4

2 2 2

2

Mer enm objektu (procesu ISMS, procedury, opatren, . . . ) se rozum proces zskan informac o objektu Mer en probha podle jiste metody mer en, zskavaj se zakladn metriky Ze zakladn ch metrik se prpadne se pomoc urcite mer c funkce zskavaj odvozene metriky. Z obou typu metrik se pomoc relevantnho analytickeho modelu odvozuj indikatory splnen / nesplnen pozadovanych clu pouzit objektu (procesu ISMS, procedury, opatren, . . . ) Z indikator u se pomoc de novanych rozhodovacch kriteri odvozuje strucny a jednoznacny vysledek mer en Jan Staudek, FI MU Brno

|



5

Metriky

Mer en, metriky, metody, modely, vysledek mer en 2

|

2 2

Metrika { promenna obsahujc informaci zskanou mer enm Metriky nemus nutne byt objektivn, hmatatelne, konkretn X mohou byt i subjektivn, neurcite, X napr. vysledky interview, auditu,

hodnocen dopadu bezpecnostnch s kolen { rust bezp. vedom

2

Metriky nemus nutne mt diskretn hodnoty X lze pouzt vyhodnocovan toho co a jak lide r kaj

2

System zskav an metrik nemus byt nakladn y, lze vyuzt existujc zdroje typu X statistiky z Help desk X sledovan reakc zakazn ku X sledovan frekvenc r esen bezp. problem u managementem, . . .

6


|


7

Metriky 2 2

Metriky

Metrika mus byt SMART (Speci c, Measurable, Actionable, Relevant, Timely) Pravidlo 80/20

2 2

X zamer se na tech 20% z moznych metrik, ktere odpov na 80 % otazek 2 2

X Stupnice {

Identi kovane metriky mus byt snadno mer itelne, nejlepe automaatizovane Rozmery, mry, nemus nutne byt absolutn

usporadan a mnozina spojitych (metrickych) nebo diskretn ch hodnot vlastnost mer eneho objektu nebo mnozina kategori, do kterych se zobrazuj vlastnosti mer eneho objektu X Typ stupnice je dany vztahem mezi hodnotami ve stupnici X Vyjad ren metriky numericky c i procentem redukuje subjektivnost

X vaha se mer na kp, delka na m X hodnota vysledku mer en bezpecnostn vlastnosti mu ze byt

vyjadrovana indexem ve s kale, pouzita s kala mu ze byt subjektivn


|


8


Nominaln stupnice {

2

kvalitativn stupnice o jejz dvou hodnotach mu zeme pouze r ci, zda jsou stejne c i ruzn e. Hodnotami mohou byt texty c i c selne kody, lze u nich zjist'ovat jen rozdelen c etnost, nemu zeme s nimi provad et aritmeticke operace (sctat apod.)

2

Sestav a ze dvou c i vce vzajemn e se vylucujcch kategori (trd). Hrozby: podvod, ztrata ´ duvˇ ˚ ernosti, znepˇr´ıstupnˇen´ı, . . .


|


|


9

S kala, stupnice (scale)

S kala, stupnice (scale) 2

Prlis c aste mer en mu ze byt namahav e a drahe, nzka frekvence mcr en mu ze poskytovat irelevantn data Namer ene hodnoty se vesmes vyjadruj pomoc vhodnych stupnic

10

Ordinaln (poradnicova) stupnice { kvalitativn stupnice u jejz dvou hodnotach mu zeme navc urcit porad, pricemz useky mezi jednotlivymi hodnotami nemus byt stejne (stejne vyznamn e) Riziko: zanedbatelné, bˇezˇ né, katastrofické, . . . Intervalova stupnice { kvantitativn stupnice pro jejz dve hodnoty mu zeme navc (k moznostem ordinaln ) vypoctat, o kolik je jedna hodnota vets (resp. mens) nez druha, nulova pozice je vec volby. Mer ene useky na stupnici jsou stejne velke. Nelze vyjadrovat pomer { 2 x vets IQ 6= 2 x vets chytrost Jan Staudek, FI MU Brno

|


11

S kala, stupnice (scale) 2

Pragmaticke uvahy o navrhu mer en bezpecnosti

Pomerova, racionaln stupnice {

2

kvantitativn stupnice pro jejz dve hodnoty mu zeme navc (k moznostem kvalitativn) vypoctat, kolikrat je jedna hodnota vets (resp. mens) nez druha, obsahuje pouze o kladne hodnoty.

Co mer it ? X jen to, co chceme opakovane, systematicky, rutinne vyhodnocovat X sbrame jen ta data, ktera budeme analyzovat X delame jen ty analyzy, jejichz vysledky prakticky vyuzijeme

2

Jak mer it ? X Musme de novat kdo dela mer en X Musme vedet jak bezpecne uchovavat vysledky mer en X Zacname s minimaln m rozsahem mer en a mer en rozsirujeme

Nulova pozice na pomerove stupnici je dana pevne a vyjadruje naprostou neprtomnost mer ene vlastnosti.

az kdyz se uka ze nutnost mer en rozsr it, metoda KISS (Keep It Simple and Stupid)

Neco se deje 2x c asteji nez neco jineho. 2

Jak dokumentovat, jak prezentovat vysledky mer en ? X viz system zprav v nasleduj cm vykladu X musme de novat jak implementovat zpravodajsky system


|


12 Jan Staudek, FI MU Brno

|


13

Model mer en informacn bezpecnosti

Prezentace vysledk u mer en System zprav ma predpisovat bezpecnostn politika, napr. 2 2

vyro cn velmi duv erna hodnotc zprava pro CEO (Chief Executive Officer) a predstavenstvo c tvrtletn duv erny report pro vyss management organizace odpovedny stav bezpecnosti X obe zpravy typicky podav a bezpecnostn architekt

vychaz typicky z mesc nch reportu { viz nz e

2

mesc n reporty pro CTO (Chief Technology Officer ) / CIO (Chief Information Officer) / CISO (Chief Information Security Officer) X zpravy podavaj role odpovedne za vykon/ rzen bezpecnosti Jan Staudek, FI MU Brno

|


14


|


15

Kroky pri konstrukci vysledku mer en

Zakladn metriky a metody mer en 2

Zakladn metrika je dana metodou mer en a mer enou vlastnost objektu mer en

2

Metoda mer en X Genericky popsany logicky sled operac pro

kvanti kaci vlastnost mer eneho objektu v dane s kale hodnot X Typ metody mer en zavis na povaze operac pouzitych pro kvanti kaci vlastnost: - Subjektivn: kvanti kace zahrnujc lidsky usudek - Objektivn: kvanti kace na zaklad e numerickych pravidel X Operac mu ze byt c tan vyskyt u, sledovan behu c asu, audit, interview, . . .


|


16


Prklad zakladn metriky, metody mer en, . . .

X X X

2 2 2

zamestnanci identi kovan v planu s kolen, zamestnanci, kter usp es ne absolvovali s kolen Metody mer en { c tan zamestnancu v planu s kolen a zamestnancu s usp es ne slozenou zav erecnou zkouskou po s kolen Zakladn metriky { pocty planovan ych/ usp es ne proskolenych osob Odvozenou metrikou je trend proskolovan v prub ehu roku, zskanou vhodnou mer c funkc ze zakladn ch metrik Pro odvozen indikace problematickeho trendu se pouzij { vhodny analyticky model, { zakladn a odvozene metriky a { adekvatn rozhodovac kriteria (problemem je jak pre- i poddimenzovan rychlosti proskolovan ) Jan Staudek, FI MU Brno

|



17

Vybrane prklady predmetu (objektu) mer en

X Clem je mer en trendu vyhoven politice Zajiˇst’ovan´ ´ ı vˇedom´ı zamˇestnancu˚ o informaˇcn´ı bezpeˇcnosti X Predmet (objekt) mer en { system s kolen v ITSec X Mer ene vlastnosti {

X

|

2 2 2 2

18

Vykonnost opatren implementovanych v ISMS Stav informacnch aktiv chran enych opatrenmi Vykon procesu implementovanych v ISMS Chovan personalu podlehaj cho implementovanemu ISMS Cinnosti organizacnch jednotek odpovednych za informacn bezpecnost Urove n spokojenosti zu castnenych stran ...


|


19

Zdroje informac o predmetech mer en a jejich vlastnost 2 2 2 2 2 2 2

Potencialn metriky bezpecnosti informac, ISO/IEC 27004

Vysledky analyzy rizik a posuzovan rizik Dotaznky a interview Zpravy internch a / nebo externch auditu Zaznamy o udalostech, jako jsou protokoly (logy), statisticke udaje a zjisten z auditu Zpravy o incidentech, zejmena ty, ktere zpusobily s kody Vysledky testu, napr. penetracnch testu, socialn ho inzenyrstv , vyhoven regulacnm opatrenm a politikam Zaznamy z procedur a programu souvisejcch s informacn bezpecnost organizace, napr. vysledky s kolen o informacn bezpecnosti Jan Staudek, FI MU Brno

|


2

X pocty a trendy zmen z duvod u odhalen

katastro ckych, vyznamn ych, bez nych, akceptovatelnych rizik X pocty a trendy navrat u k predchozm r esenm X pocty a trendy usp es nych vs. neusp es nych zmen 2

za jak dlouho se zaplaty umst na vce nez 50% zranitelnych system u

2

20

X Zava znost A { zjisteny nedostatek je velmi zava zny (velmi vyznamn y).

Velmi vyznamn e narusuje bezpecnost systemu. Doporucujeme co nejrychlejs (pokud mozno okamzite) odstranen nedostatku. V prpade noveho systemu doporucujeme odstranen nedostatku jeste pred jeho nasazenm. X pokrac.


|


21

X Zava znost B { zjisteny nedostatek je stredne zava zny (vyznamn y).

Prklad doporucen auditoru ve s kale klasi kac zjistenych nedostatku

|



Statistiky odvozene z auditu externch auditoru


Statistiky dopadu s kodliveho software X pocty viru, Trojskych kon u, spamu, trendy techto poctu

X pocty a trendy poctu doporucen auditoru X krizova, va zna, upozornovac odhalen, . . . X trendy akceptovan doporucen z auditu managementem 2

metriky vyzrav an IT procesu souvisejcch s bezpecnost X polocas aplikace bezpecnostnch zaplat {

Potencialn metriky bezpecnosti informac, ISO/IEC 27004 2

Statistiky zmen IT

22

Ohrozuje bezpecnost systemu, avsak ohrozen nen bezprostredn nebo nen velmi zava zne. Nedostatek by mel byt odstranen pri nejblizs vhodne prlezitosti. X Zava znost C { zjisteny nedostatek nen zava zny, neznamena konkretn ohrozen bezpecnosti systemu, ale mu ze byt povazovan za prestupek proti bezpecnostnm zvyklostem. Hodnotitele doporucuj odstranen tohoto nedostatku pri vhodne prlezitosti, nerespektovan tohoto doporucen nemus vest k ohrozen bezpecnosti systemu. X Zava znost nen { zjisteny nedostatek nen zava zny, neznamena konkretn ohrozen bezpecnosti systemu, ale mu ze byt povazovan za prestupek proti bezpecnostnm zvyklostem. Vetsinou se jedna o prpady, kdy hodnotitele si jsou vedomi skutecnosti, z e za soucasneho stavu technologie nen k dispozici prijatelne technicke r esen, ktere by toto relevantne odstranilo.


|


23



Konkretn prklady zjistenych nedostatku a jejich klasi kac

X Zava znost nen {

Heslo BIOS je u vsech poctacu stejne, men se ve vceletych intervalech. Skutecnost, z e toto heslo je znamo i externm pracovnkum je bezpecnostnm rizikem, avsak za soucasneho stavu technologie nen k dispozici prijatelne technicke r esen, ktere by toto riziko odstranilo.

X Zava znost A {

Procesy pro tisk PINu vyzaduj, aby na tiskovem poctaci bylo rucne meneno systemov e datum na ktivn hodnoty. Tato praxe je nezadouc , je v rozporu s pozadavky na bezpecne protokolovan . Ve vyvojov em nebo v testovacm prostred se pouzvaj z iva data o zakazn cch. X Zava znost B { K tiskovemu PC se pracovnci prihlasuj jedinym spolecnym uzivatelskym jmenem. Jednotliv pracovnci nemaj individualn u cty. X Zava znost C { V session-ID systemu XXXX nen zabudovana IP adresa klienta, ktery vytvoril pozadavek (je zde tedy potencialn hrozba, zda nen mozne unest sezen na jinou IP adresu). Jan Staudek, FI MU Brno

|




24

Statistiky odvozene z auditu oddelenm vnitrn kontroly

2

Statistiky Help Desk

2

2

X pocty a trendy poctu prunik u, phishing utok u, ... X hodnocen detekc a efektivnost naprav

|


Statistiky z rewallu

Statistiky zranitelnost system u a st'ovych prostred X pocty znam ych zranitelnych mst X pocty a trendy jejich likvidac, objevovan X rychlost oprav zaplatami od vyrobc u

Statistiky bezpecnostnch incidentu


25

X pocty a trendy poctu prstupu na zakazan e zdroje z organizace X pocty a trendy poctu hackerskych utok u

X pocty a typy dotazu, z adost , upozornen, kritik, . . . X pocty z adost o zmenu hesla, . . . 2



X obvykle jsou detailnejs, pokryvaj vce problem u organizace X mohou byt ale men e objektivn 2

|

26

...


|


27

Prklady metrik opatren na urovni aplikacn bezpecnosti 2

Prklady metrik opatren na urovni aplikacn bezpecnosti

Sprava tajnych autentizacnch informac uzivatelu

2

X % aplikac s implicitnm heslem prodejce software X % aplikac s podporou politiky hesel 2

X % aplikac sledovanych v rezimu 24x7x365 X % aplikac s pravidelne provad enou analyzou zaznam u udalost

Hodnocen prstupovych prav uzivatelu

2

X % kritickych aplikac s periodicky posuzovanymi prstupovymi pravy 2

Zaznamenav an bezpecnostnch udalost

Prejmac testovan systemu X % aplikac splnuj cch zakladn bezpecnostn standardy X % aplikac s vypracovanym planem zachovan c innosti

Omezovan prstupu k informacm X % aplikac s dokumetovanymi rolemi a opravn enmi

2

Separace vyvojov eho, testovacho, akceptacnho a provoznho prostred X % kritickych aplikac ktere maj de novana tato prostred


|


28


castnci mer en U 2

2

X

X

bezpecnostn management a pro management . . . , jsou to klienti mer en (Clients for measurement) Princip mer en validuje bezpecnostn manazer, je hodnotitel mer en (Reviewer for measurement) Vlastnky informac o mer enych objektech jsou . . . spravce informacn bezpecnosti, manazer . . . , jsou to vlastnci informac (Information Owners) Data nutna pro mer en shromazd'uje, zaznamenav a a uchovav a . . . IT oddelen, . . . , jejich zamestnanci jsou mer ici (Information Collectors) Analyzu a zverejnen vysledk u mer en provad ej manazeri odpovedn za ISMS, jsou interpretato ri vysledk u mer en (Information Communicators) Jan Staudek, FI MU Brno

|


29

Nazev mer en X Obnova ze zalohy

X Mer en poskytuje informace pro . . . management ISMS,

X


Prklad zaveden mer en (dokument)

castnci mer en U

X

|

2

selna (katalogova) C identi kace mer en X ...

2

Cl mer en X Zskan dukaz u potvrzujcch platnost zaruky,

z e se kazda pozadovana operace obnovy provede do 48 hodin

2

Mer eny objekt (bezpecnostn opatren) X Zalohovac postupy a procesy zajist'ujc integritu a dostupnost

informac a prostredku pro zpracovan informac, X Prijata politika zalohov an organizace zajist'uje pravidelne vytva ren a testovan zalo zn kopie informac a software 30


|


31

Prklad mer en, Predmety mer en a jejich vlastnosti 2

Prklad mer en, Zakladn metriky a metody mer en

Podrobny vy cet predmetu (objektu) mer en

2

X O1: System spravy pozadavku na obnovu ze zalohy X O2: Zaznamy zalohovac ho systemu (logy) 2

Vlastnosti objektu O1, systemu spravy pozadavku na obnovu ze zalohy,

X B1: Pocet pozadavku na operaci obnovy X B2.1: Doby startu a ukoncen operac obnovy X B2.2: Pocet provedenych operac obnovy 2

X A1: Pozadavky na obnovovac operaci 2

za posledn mesc X M2.1: Zaznamenaj se doby startu a ukoncen vsech operac obnovy provedenych za posledn mesc X M2.2: Spoctaj se provedene operace obnovy za posledn mesc

X A2: Okamziky startu a ukoncen operac obnovy

|



32

Prklad mer en, Zakladn metriky a metody mer en 2

Typy metod mer en

2

X pro B2.1: X pro B2.2:

33

Odvozene metriky a operac obnovy pozadovanych za posledn mesc, D1 = B2.2/B1 X D2: pocet operac obnovy provedenych za posledn mesc, D2 = B2.1 X D3: doby za ktere se provedly operace obnovy provedene za posledn mesc

integer, nominaln , pocet pozadavku na obnovovac operace

2

Mer c funkce, Fi vypoctav a Di X F1: del se pocet operac obnovy provedenych za posledn mesc

y-m-d-t, intervalova, {

poctem operac obnovy pozadovanych za posledn mesc X F2: spocta se pocet operac obnovy provedenych za posledn mesc X F3: pro kazdou operaci obnovy se spocta jak dlouho trvala, doba ukoncen { doba startu

integer, pomerova, pocty obnovovacch operac Jan Staudek, FI MU Brno


X D1: pomer poctu operac obnovy provedenych za posledn mesc

Stupnice, typy stupnic, jednotky mer en X pro B1:

|

Prklad mer en, Speci kace odvozenych metrik

X Vsechny metody mer en jsou objektivn 2

Metody mer en, Mi.j mer zakladn metriku Bi.j X M1: Spoctaj se pozadavky na operaci obnovy zadane

Vlastnosti objektu O2, zaznam u zalohovac ho systemu


Zakladn metriky

|


34


|


35

Prklad mer en, Indikatory a analyticky model 2

Prklad mer en, Rozhodovac kriteria a vysledky mer en

Indikatory

2

X I1: kola covy graf vyjadrujc pomer pozadovanych operac obnovy,

X DC1: Mus byt provedeny vsechny operace obnovy X DC2: Vsechny operace obnovy mus byt provedeny do 48 hodin

ktere bylo mozne provest X I2: kola covy graf vyjadrujc pomer operac obnovy, ktere se provedly do 48 hodin

2

2

mus se zjistit duvody a tyto sdelit podle postupu de novaneho v ISMS zpravou X I2: Pokud se neprovedlo 100 % provedenych operac obnovy do 48 hodin, mus se zjistit duvody a a tyto sdelit podle postupu de novaneho v ISMS zpravou

X AM1: Pocet provedenych operac obnovy se vyjad r zelenou barvou,

pocet neprovedenych operac se vyjad r c ervenou barvou X AM2: Pocet provedenych operac obnovy do 48 hodin se vyjad r zelenou barvou, pocet provedenych operac za dels dobu se vyjad r c ervenou barvou

|


36


castnci mer en, harmonogram Prklad mer en, U 2

Zpravu o vysledc ch mer en dostav a

2

(management jednotky pouzvajc zalohovan y system)

2

X spravce a tym zajist'ujc chod zalohuj cho systemu provad ejcho

sluzbu zalohov an

2 2 2 2

|


37

Prklad mer en, Zprava

X vlastnk zalohovan eho systemu pouzvajcho sluzbu zalohov an

2

Interpretace indikator u Ii X I1: Pokud se neprovedlo 100 % pozadovanych operac obnovy,

Analyticky model, AMi generuje Ii


Rozhodovac kriteria

zprava mus mt strukturu predepsanou pro dokumenty v ISMS Nz e jsou ilustrovane pouze indikatory vypovdajc v tomto prpade o nzke kvalite zalohovac ho systemu

Hodnotitel mer en: bezpecnostn manazer Vlastnci informac: IT oddelen Mer ici: IT oddelen, spravci zalohovac ho systemu Interpretato ri: manazer ISMS Harmonogram: X perioda mer en, analyzy, generovan zpravy { mesc X perioda hodnocen a revize mer en { rok Jan Staudek, FI MU Brno

|


38


|


39

N avrh a pouzit metrik informacn bezpecnosti, m eren v ISMS

Recommend Documents