Management informační bezpečnosti Definice V Brně dne 3. října 2013
Definice Common Criterta ITIL COBIT CRAMM Přiměřená ábezpečnostč Management informační bezpečnosti 2
Common Criteria Common Criteria jsou společná kritéria pro bezpečnosti informačních technologií. hodnocení Jsou shrnuta v normě ISO/IEC 15408 Information technology Security techniques Evaluation criteria for IT security Framework Common Criteria dává jistotu, že proces specifikace, implementace a hodnocení produktu počítačové bezpečnosti bude řídit přísným, přesným a standardizovaným způsobem. Oficiální literatura vychází v pravidelných intervalech s příslušnými aktualizacemi (viz rok 2012 ve verzi 3.1, 4. vydání) Na portálu Common Criteria existuje seznam certifikovaných produktů dle kategorií splňujících požadovaná bezpečnostní kritéria. http://www.commoncriteriaportal.org Management informační bezpečnosti 3
Knihovna ITIL Knihovna ITIL - poskytnutí uceleného souboru pro řízení služeb IT (model ITIL V3 - ITR3, platná od roku 2007) celková koncepce je podřízena životnímu cyklu služeb IT ve formě: - strategie služeb - návrh služeb - implementace služeb - provoz služeb -průběžné zlepšování služeb Zkratka ITIL znamená IT Infrastructure Library, anglicky mluvícím je tedy zřejmé, že se jedná o knihovnu, která nám dává doporučení co a kdy dělat při provozu a údržbě IT služeb. Hned na začátku zmíníme, že ITIL neříká jak toto dělat, pouze říká co a kdy! lépe řečeno se jedná o FRAMEWORK postavený na nejlepších zkušenostech z praxe (best practices). Protože ITIL je nezávislý na platformě a protože je to "rámec", jsou výstupy všech dodavatelů v celém odvětví kompatibilní a univerzálně použitelné (SW nástroje, školení, konzultační služby). Management informační bezpečnosti 4
ITIL ITIL není norma ani metodika! Druhým pojmem, který je pro ITIL klíčový je proaktivní přístup. Klasický reaktivní přístup pouze reaguje na události, které nastaly, kdežto proaktivní přístup se zabývá aktivní detekcí a řešením možných problémů, potřebných změn v ICT infrastruktuře, které by v budoucnu mohly vyvolat incidenty či přinést problémy. ITIL je detailnější než COBIT. Obsahem ITIL je: - definování procesů potřebných pro zajištění ITSM - zásady ypro implementaci procesů ITSM ITIL neřeší: - konkrétní podobu organizační struktury -způsob obsazení rolí konkrétními pracovními pozicemi - podobu a obsah pracovních procedur - projektovou metodiku implementace ITSM Management informační bezpečnosti 5
ITIL Základní procesy řízení bezpečnosti informací dle ITIL Management informační bezpečnosti 6
Metodiky Metodika - je podrobný popis celkové činnosti. COBIT podobně jako ITIL vychází ze skutečnosti, že: aby podnik mohl dosahovat svých cílů (Business goals), vznáší business požadavky (Business Requirements), které generují požadavky na IT zdroje (IT resources), jež jsou zapojeny do IT procesů ů (IT processes) přinášející í businessu požadovanou službu a informace (Enterprise Information). V metodikách je uplatněn klasický PDCA cyklus, kde například pro metodiku COBIT Demingově fázi - PLAN odpovídá Plánování a organizace (Plan and Organise), - fáze DO je zastoupena doménou Akvizice a implementace (Acquire and Implement) + Poskytování a podpora (Deliver and Support), - dvěma fázím CHECK+ACT odpovídá doména Monitorování a vyhodnocování (Monitor and Evaluate). Management informační bezpečnosti 7
Metodika COBIT Metodika COBIT - (Control Objectives for Information and related Technology) je metodika řízení informatiky v organizacích (kostka COBIT) je považována za soubor těch nejlepších praktik pro řízení informatiky (IT Governance), které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. Cílem metodiky je propojení principů obecného řízení organizace s pravidly, která jsou uplatňována v prostředí IT. je komplexnější než ITIL (řídící služby IT) osa x informační kriteria 7(důvěrnost, integrita, dostupnost, efektivita, účinnost/hospodárnost, soulad spolehlivost/hodnověrnost) soulad, spolehlivost/hodnověrnost) osa y IT procesy - většinou 3 (aktivity, procesy, domény) osa z zdroje IT obvykle 4 (aplikace, informace, infrastruktura, lidé) S metodikou COBIT se velice dobře pracuje a člověk se v ní rychle orientuje, neboť vše je vyvedeno v přehledné tabelární formě s pevně danou strukturou. Management informační bezpečnosti 8
Kostka COBIT IT PROCESY Aplikace Informace Inrastruktura Lidé Management informační bezpečnosti 9
Informační kritéria COBIT důvěryhodnost (Confidentiality) - požadavky zahrnující oblast ochrany důležitých informací proti neautorizovanému použití (prozrazení) integrita (Integrity) - požadavky týkající se přesnosti a kompletnosti informace ve vztahu k požadavkům podnikání a jeho očekáváním dostupnost (Availability) - požadavky vztahující se k dostupnosti informace pro podnikání (nyní, ale i v budoucnosti) a týkající se také ochrany potřebných zdrojů (např. datových, technologických) efektivita (Effectiveness) - požadavky na včasné doručování relevantních informací ve správném, konzistentním a použitelném tvaru účinnost (Efficiency) - požadavky na zpracování informací (nejekonomičtějším a nejproduktivnějším způsobem) prostřednictvím optimálního využívání zdrojů informatiky soulad (Compliance) - požadavky týkající se udržování souladu se zákony, regulacemi, směrnicemi a kontraktačními podmínkami, které se týkají procesů podnikání (hlavních podnikových procesů) spolehlivost (Reliability) - požadavky vztahující se k přínosu informace pro rozhodování manažerů Management informační bezpečnosti 10
IT zdroje COBIT Aplikace Informace Infrastruktura Lidé Odpovídá to obecnému členění aktiv na: -SW aktiva -Data - HW aktiva - IT služby Management informační bezpečnosti 11
IT procesy COBIT Domény existují 4 základní domény: -plánování á a organizace - akvizice a implementace - dodávka a podpora - sledování a hodnocení Procesy jsou spravovány v rámci každé domény. Procesů (označovaných High Level Control Objectives) je 34. Aktivity neboli detailní kontrolní cíle tvoří každý proces. Je jich 214 (platí pro verzi V4) Struktura IT procesů vytváří v COBIT "smyčku", která odpovídá základním prvkům "životního cyklu" informačních systémů. Management informační bezpečnosti 12
CRAMM CRAMM (CCTA Risk Analysis and Management Method) je metodika a soubor softwarových nástrojů pro zavádění a podporu systému řízení bezpečnosti informací (Information Security Management System - ISMS) pro provádění identifikace a ohodnocení aktiv, analýzy rizik informačních systémů a sítí, k návrhu bezpečnostních opatření, určování havarijních požadavků na informační systém a k návrhům na řešení havarijních situací.) Metodika CRAMM obsahuje velmi rozsáhlou databázi opatření, o níž hovoříme jako o knihovně opatření. Ta zahrnuje bezpečnostní opatření na pokrytí rizik. V nové verzi CRAMM 5.2 je obsažena aktuální verze normy ISO/IEC 27001:2005 (také v české verzi). Metodika, která je podporována softwarovým nástrojem, umožňuje připravit organizaci na certifikaci podle ISO/IEC 27001:2005, provést hodnocení rizik informačních systémů, navrhnout efektivní opatření s cílem zlepšit informační bezpečnost, provést analýzy stavu vůči ISO/IEC 27001:2005, řídit informační rizika, vytvářet bezpečnostní dokumentace havarijních plánů aplánů zajištění kontinuity při provozu. Management informační bezpečnosti 13
CRAMM Expert Analýza CRAMM Expert je detailní analýza CRAMM Expert se dělí na 3 fáze s následujícím cílem a obsahem: - fáze 1 identifikace aktiv a vytvoření modelů aktiv, na základě interview s vybranými respondenty stanovení hodnoty aktiv (určit možné dopady na provoz a cíle organizace při jejich ohrožení) - fáze 2 identifikace hrozeb a zranitelností systému a uřčení jejich úrovně, výpočet míry rizika - fáze 3 návrh opatření na pokrytí zjištěných rizik a identifikace jejich stavu, zpracování pokladů pro implementaci opatření doporučených k realizaci Při provádění hodnocení rizik pomocí CRAMM Expert je nutné detailně popsat p celý systém, ohodnotit jednotlivá identifikovaná aktiva a následně hrozby i zranitelnosti. Množství informací je značné a proto jsou tyto činnosti vykonávány v rámci samostatného projektu, jehož délka se zpravidla počítá v jednotkách měsíců. Management informační bezpečnosti 14
CRAMM Express Analýza CRAMM Express -umožňuje provést analýzu rizik celého systému v průběhu několika hodin a přitom zůstávají původní zásady metodiky CRAMM nedotčeny Generují se pouze opatření první ze tří kategorií v knihovně CRAMM. Postup: - zjištění hodnoty dat pomocí vodítek hodnocení - rychlé hodnocení hrozeb a zranitelností - stanovení míry rizika a výčet opatření Expresní analýzu lze použít také jako rychlou variantu na začátku projektu. Všechny informace a přehledy lze velice snadno převést do CRAMM Expert a pokračovat v detailní analýze. Management informační bezpečnosti 15
CRAMM a výběr opatření Výběr opatření je základním výstupem třetí fáze CRAMM analýzy (Expert). Zdrojem je databáze (knihovna) opatření, kde jsou tato bezpečnostní opatření dělena do 5 hlavních oblastí: - IT bezpečnost - Komunikační bezpečnost - Personální bezpečnost - Administrativní bezpečnost - Fyzická bezpečnost Management informační bezpečnosti 16
Přiměřená bezpečnost Velikost úsilí a investic do bezpečnosti IS musí odpovídat hodnotě aktiv a míře možných rizik. To stanovuje zejména bezpečnostní politika organizace. Management informační bezpečnosti 17