Efektivní informační bezpečnost
Petr Svojanovský, FIT VUT Brno, ANECT a.s.
Jitka Kreslíková, FIT VUT Brno
Luděk Novák, ANECT a.s.
Konference Security and Protection of Information
6. 5. 2009, BVV Brno
• Tradiční přístup k informační bezpečnosti;
• Zvyšovaní efektivity v informační bezpečnosti;
• Využití procesů dle ISO/IEC 20000 v informační bezpečnosti.
Obsah prezentace
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 2
• Standardy řady ISO/IEC 27000 – zaběhlý a ověřený přístup k informační bezpečnosti:
• ISO/IEC 27001: specifikace ISMS (Information Security Management System);
• ISO/IEC 27002: soubor postupů pro ISMS;
• ISO/IEC 27005: risk management v informační bezpečnosti;
• … a další.
Informační bezpečnost – tradiční přístup
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 3
• Pokrývá ISO/IEC 27000 všechny aspekty informační bezpečnosti?
• Co ještě podniknout, aby byl ISMS efektivnější?
• Odpověď:• ANO, ISO/IEC 27000 dobře pokrývá informační bezpečnost;• ALE, převzetím přístupů z jiných (standardizovaných) oblastí lze vybudovat
bezpečnější a efektivnější ISMS.
ISMS dle ISO/IEC 27000 – možnosti zlepšení?
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 4
• První mezinárodní standard zaměřený na IT Service Management
• Zabývá se procesy – není určen k hodnocení produktů!
• Rozdělen do dvou částí:• ISO/IEC 20000-1:2005 – specifikace: nutné k získání certifikace• ISO/IEC 20000-2:2005 – soubor postupů: popis tzv. best practices
ISO/IEC 20000 – stručně
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 5
1. Požadavky na systém managementu (odpovědnost managementu, požadavky na dokumentaci, odborná způsobilost, povědomí a výcvik)
2. Plánování a implementace managementu služeb (PDCA)
3. Plánování a implementace nových nebo změněných služeb
4. Procesy dodávky služeb (management úrovně služeb, výkazy o službách, management kontinuity a dostupnosti služeb, rozpočtování a účtování pro IT služby, management kapacit, management bezpečnosti informací)
5. Procesy vztahů (management vztahů s byznysem a dodavateli)
6. Procesy řešení (management incidentů a problémů)
7. Řídicí procesy (management konfigurací a změn)
8. Proces uvolnění
ISO/IEC 20000 – podrobněji
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 6
• Definuje, zaznamenává, udržuje a řídí úrovně poskytovaných služeb (Service Level Agreement, SLA);
• Veškeré detaily poskytované služby musí být zaznamenány a řízeny;
• Změny v SLA podléhají procesu řízení změn;
• Monitoring – porovnání dosažené reality a cílů; akční plány.
• Odsouhlasení úrovně informační bezpečnosti a monitoring;
• Definování podmínek platnosti dohodnuté úrovně bezpečnosti!
Proces managementu úrovně služeb (1/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 7
• Na základě business plánů a strategie společnosti, SLAs a ohodnocených rizik:
• Ustanovit;• Testovat;• A zlepšovat plány kontinuity dané služby nebo celé organizace.
• Využití v informační bezpečnosti: řízení rizik s extrémním dopadem a nízkou pravděpodobností výskytu (důvěrnost, integrita a dostupnost informačních aktiv)
Proces managementu kontinuity a dostupnosti (2/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 8
• Cílem je zabezpečení dostatečné kapacity „zdrojů“ v každý okamžik poskytování služby;
• Na základě potřeb businessu;
• Sledování trendů;
• Předvídání kapacit v budoucnu.
• Informační bezpečnost:• Např. IDS systém, DoS útok;• Zabezpečení fyzického perimetru, apod.
Proces managementu kapacit (3/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 9
• Rozlišuje vztahy se zákazníky a dodavateli;
• Cílem je řídit dodavatele tak, aby bylo zajištěno nepřerušené poskytování služby zákazníkovi;
• Klíč k úspěchu je v proaktivitě!
• Využití v informační bezpečnosti: v případě, že je část služby poskytované zákazníkovi v režii třetí strany (dodavatelé, outsourcing), dostupnost informací…
Proces managementu vztahů (4/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 10
• Rozdíl mezi incidentem a problémem!
• Management incidentů: obnovit dodávku služby po incidentu;
• Zaznamenání všech incidentů, stanovení priorit a dopadu na business;
• Důležitá je komunikace se zákazníkem;
• Management problémů: odhalit podstatu vzniklého problému, proaktivní vyhledávání potenciálních incidentů (problémů).
• Incident management je již pokryt ISO/IEC 27002;
• ISO/IEC 20000: rozšíření pohledu (problém vs. incident).
Proces managementu incidentů a problémů (5/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 11
• Jádrem je konfigurační databáze (CMDB);
• Primárním cílem je udržovat a řídit veškeré položky konfigurace (verze, změny, vztahy), které jsou důležité pro business;
• Změny podléhají procesu managementu změn.
• Informační bezpečnost:• Příklad: detekce ne bezpečné verze firmwaru firewallu;• Řízení rizik, registr rizik!!!
Proces managementu konfigurací (6/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 12
• Cílem je řídit změny: ohodnocení, odsouhlasení, implementace, měření… - vše kontrolovaným způsobem;
• Identifikace potenciálních problémů / incidentů;
• Řízení rizik a jejich dopadu na business.
• Informační bezpečnost: neřízené změny a jejich vliv na informační bezpečnost (např. firewall pravidla).
Proces managementu změn (7/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 13
• Velmi úzce svázán s managementem změn a konfigurací;
• Každé uvolnění musí být plánováno společně se zákazníkem;
• Testování nové verze;
• Ohodnocení a analýza změn;
• Musí obsahovat procedury pro návrat v případě selhání (CMDB).
• Informační bezpečnost: například analýza změn, monitoring a mechanizmy pro navrácení do původního stavu.
Proces managementu uvolnění (8/8)
Rizika v implementaci procesů managementu služeb IT | 20.04.2023 | 14
Risk Management Tool – ISO/IEC 27000 / 20000 ready