Efektivní informační bezpečnost

Petr Svojanovský, FIT VUT Brno, ANECT a.s.

Jitka Kreslíková, FIT VUT Brno

Luděk Novák, ANECT a.s.

Konference Security and Protection of Information

6. 5. 2009, BVV Brno

• Tradiční přístup k informační bezpečnosti;

• Zvyšovaní efektivity v informační bezpečnosti;

• Využití procesů dle ISO/IEC 20000 v informační bezpečnosti.

Obsah prezentace

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 2

• Standardy řady ISO/IEC 27000 – zaběhlý a ověřený přístup k informační bezpečnosti:

• ISO/IEC 27001: specifikace ISMS (Information Security Management System);

• ISO/IEC 27002: soubor postupů pro ISMS;

• ISO/IEC 27005: risk management v informační bezpečnosti;

• … a další.

Informační bezpečnost – tradiční přístup

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 3

• Pokrývá ISO/IEC 27000 všechny aspekty informační bezpečnosti?

• Co ještě podniknout, aby byl ISMS efektivnější?

• Odpověď:• ANO, ISO/IEC 27000 dobře pokrývá informační bezpečnost;• ALE, převzetím přístupů z jiných (standardizovaných) oblastí lze vybudovat

bezpečnější a efektivnější ISMS.

ISMS dle ISO/IEC 27000 – možnosti zlepšení?

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 4

• První mezinárodní standard zaměřený na IT Service Management

• Zabývá se procesy – není určen k hodnocení produktů!

• Rozdělen do dvou částí:• ISO/IEC 20000-1:2005 – specifikace: nutné k získání certifikace• ISO/IEC 20000-2:2005 – soubor postupů: popis tzv. best practices

ISO/IEC 20000 – stručně

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 5

1. Požadavky na systém managementu (odpovědnost managementu, požadavky na dokumentaci, odborná způsobilost, povědomí a výcvik)

2. Plánování a implementace managementu služeb (PDCA)

3. Plánování a implementace nových nebo změněných služeb

4. Procesy dodávky služeb (management úrovně služeb, výkazy o službách, management kontinuity a dostupnosti služeb, rozpočtování a účtování pro IT služby, management kapacit, management bezpečnosti informací)

5. Procesy vztahů (management vztahů s byznysem a dodavateli)

6. Procesy řešení (management incidentů a problémů)

7. Řídicí procesy (management konfigurací a změn)

8. Proces uvolnění

ISO/IEC 20000 – podrobněji

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 6

• Definuje, zaznamenává, udržuje a řídí úrovně poskytovaných služeb (Service Level Agreement, SLA);

• Veškeré detaily poskytované služby musí být zaznamenány a řízeny;

• Změny v SLA podléhají procesu řízení změn;

• Monitoring – porovnání dosažené reality a cílů; akční plány.

• Odsouhlasení úrovně informační bezpečnosti a monitoring;

• Definování podmínek platnosti dohodnuté úrovně bezpečnosti!

Proces managementu úrovně služeb (1/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 7

• Na základě business plánů a strategie společnosti, SLAs a ohodnocených rizik:

• Ustanovit;• Testovat;• A zlepšovat plány kontinuity dané služby nebo celé organizace.

• Využití v informační bezpečnosti: řízení rizik s extrémním dopadem a nízkou pravděpodobností výskytu (důvěrnost, integrita a dostupnost informačních aktiv)

Proces managementu kontinuity a dostupnosti (2/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 8

• Cílem je zabezpečení dostatečné kapacity „zdrojů“ v každý okamžik poskytování služby;

• Na základě potřeb businessu;

• Sledování trendů;

• Předvídání kapacit v budoucnu.

• Informační bezpečnost:• Např. IDS systém, DoS útok;• Zabezpečení fyzického perimetru, apod.

Proces managementu kapacit (3/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 9

• Rozlišuje vztahy se zákazníky a dodavateli;

• Cílem je řídit dodavatele tak, aby bylo zajištěno nepřerušené poskytování služby zákazníkovi;

• Klíč k úspěchu je v proaktivitě!

• Využití v informační bezpečnosti: v případě, že je část služby poskytované zákazníkovi v režii třetí strany (dodavatelé, outsourcing), dostupnost informací…

Proces managementu vztahů (4/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 10

• Rozdíl mezi incidentem a problémem!

• Management incidentů: obnovit dodávku služby po incidentu;

• Zaznamenání všech incidentů, stanovení priorit a dopadu na business;

• Důležitá je komunikace se zákazníkem;

• Management problémů: odhalit podstatu vzniklého problému, proaktivní vyhledávání potenciálních incidentů (problémů).

• Incident management je již pokryt ISO/IEC 27002;

• ISO/IEC 20000: rozšíření pohledu (problém vs. incident).

Proces managementu incidentů a problémů (5/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 11

• Jádrem je konfigurační databáze (CMDB);

• Primárním cílem je udržovat a řídit veškeré položky konfigurace (verze, změny, vztahy), které jsou důležité pro business;

• Změny podléhají procesu managementu změn.

• Informační bezpečnost:• Příklad: detekce ne bezpečné verze firmwaru firewallu;• Řízení rizik, registr rizik!!!

Proces managementu konfigurací (6/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 12

• Cílem je řídit změny: ohodnocení, odsouhlasení, implementace, měření… - vše kontrolovaným způsobem;

• Identifikace potenciálních problémů / incidentů;

• Řízení rizik a jejich dopadu na business.

• Informační bezpečnost: neřízené změny a jejich vliv na informační bezpečnost (např. firewall pravidla).

Proces managementu změn (7/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 13

• Velmi úzce svázán s managementem změn a konfigurací;

• Každé uvolnění musí být plánováno společně se zákazníkem;

• Testování nové verze;

• Ohodnocení a analýza změn;

• Musí obsahovat procedury pro návrat v případě selhání (CMDB).

• Informační bezpečnost: například analýza změn, monitoring a mechanizmy pro navrácení do původního stavu.

Proces managementu uvolnění (8/8)

Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 14

Risk Management Tool – ISO/IEC 27000 / 20000 ready

Děkuji za pozornost.

petr.svojanovsky@anect.com