Názov prezentácie
Download
Report
Transcript Názov prezentácie
Bezpečnosť IT služieb
Riadenie IT služieb
Fakulta elektrotechniky a informatiky
Technická univerzita v Košiciach
• Ing. Ivan Makatura ([email protected])
Vzťahy ITSM
a procesov informačnej bezpečnosti
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
2
Proces bezpečnosti
• Bezpečnosť = udržiavanie akceptovateľnej miery zisteného rizika
– Komplex procesov a činností zameraných na odvrátenie alebo zmenšenie
identifikovaných rizík, resp. prejavov hrozieb ktoré pôsobia na informačné aktíva
• Bezpečnosť nie je nie konečný stav, ani produkt. Bezpečnosť je nepretržitý
kontinuálny proces
Reakcia
Detekcia
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
Hodnotenie
Ochrana
3
Základné ciele informačnej bezpečnosti
Confidentiality – dôvernosť
(Prístup k informáciám len pre oprávnené osoby...)
C
I
A
Integrity – celistvosť
(Ochrana informácií pred neoprávnenou modifikáciou...)
Availability – dostupnosť
(Spoľahlivý a včasný prístup k informáciám...)
A
Accountability – sledovateľnosť
(Jednoznačná identifikovateľnosť prístupu k informáciám...
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
4
Príklady incidentov v jednotlivých kategóriách
Dôvernosť
Integrita
Dostupnosť
Sledovateľnosť
Typ straty
Krádež dát
Neautorizovaná zmena
alebo zničenie dát
Nemožnosť použitia dát
Neoprávnená
manipulácia s dátami
Nástroj
incidentu
Hacking,
Malware
Špionáž
Hacking
Malware
DoS útoky
Technologické výpadky
Krádež zariadení
Nedostatočné zálohovanie
Nepovolané osoby
Dôsledok
Porušenie Zákona o
bankách / ochrane osobných
informácií,
Strata dobrého mena
Strata dát
Diskontinuita prevádzky
Strata zákazníka
Strata dôvernosti dát
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
5
Vrstvový model ochrany informácií
Firewalling
VPN’s
Intrusion detection
Security program
Internet / exterior
Perimeter
Network
Host
Application
Monitoring procedures
Reporting and
escalation
Incident management
Forensic evidence
Data
Premises
Routing
Entrance
Extranets
LAN/WAN traffic
Intranets
OS monitoring
Vulnerability checking
Application controls
Database monitoring
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
Information assets
6
Reštriktívna
politika
Nereštriktívna
politika
Úrovne bezpečnosti
Všetko je povolené, vrátane tých
aktivít, ktoré by mali byť zakázané
Benevolentná
Všetko je povolené, okrem tých
aktivít, ktoré sú explicitne zakázané
Liberálna
Všetko je zakázané, okrem tých
aktivít, ktoré sú explicitne povolené
Opatrná
Všetko je zakázané, vrátane tých
aktivít, ktoré by mali byť povolené
Paranoická
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
7
Vzťahy medzi atribútmi bezpečnosti podľa ISO/IEC 15408
Vzťahy medzi základnými pojmami v informačnej bezpečnosti podľa Common Criteria:
vlastnia
si prajú minimalizovať
Vlastníci
znižujú
zavádzajú
Protiopatrenia
môžu kontrolovať
môžu byť znížené
Zraniteľnosti
uvedomujú si
využívajú
umožňujú vznik
Hrozby
vedú k
Riziká
pre
Útočníci
pre
Informačné
aktíva
pokúšajú sa zneužiť a/alebo poškodiť
© Common Criteria for Information Technology Security Evaluation: Security concepts and relationships
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
8
Informačná bezpečnosť podľa ITIL
• ITIL vyžaduje, aby efektívne opatrenia v informačnej bezpečnosti boli
vykonávané na strategickej, taktickej i operatívnej úrovni
• Informačná bezpečnosť je považovaná za iteratívny proces ktorý musí byť
riadený, plánovaný, implementovaný, overovaný a udržiavaný
• ITIL rozkladá informačnú bezpečnosť do samostatných častí:
– Politiky – celkové ciele ktoré sa organizácia pokúša dosiahnuť
– Procesy – čo má byť vykonané pre dosiahnutie cieľov
– Procedúry – kto, čo a kedy má vykonať pre dosiahnutie cieľov
– Pracovné inštrukcie – inštrukcie pre vykonávanie špecifických činností
• ITIL definuje informačnú bezpečnosť ako komplexný, cyklický proces s
kontinuálnym prehodnocovaním a zlepšovaním
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
9
Informačná bezpečnosť podľa ITIL
Základné
požiadavky
informačnej
bezpečnosti
Požiadavky
zákazníkov
Analýza
Úpravy
Reporting
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
SLA
OLA
Monitoring
Implementácia
10
Informačná bezpečnosť podľa ITIL
1. Odberatelia ICT služieb pomocou analýzy rizík identifikujú svoje požiadavky na
bezpečnosť
2. IT oddelenie posúdi vhodnosť požiadaviek a porovná ich s minimálnymi požiadavkami na
informačnú bezpečnosť
3. Odberatelia ICT služieb a IT oddelenie spoločne definujú a formálne dohodnú úroveň
poskytovaných služieb (Service Level Agreement - SLA):
–
SLA obsahuje definíciu požiadaviek na informačnú bezpečnosť v jednoznačných pojmoch a
merateľných hodnotách
–
SLA špecifikuje, akým spôsobom môže byť dokázateľne dosiahnutá dohodnutá úroveň informačnej
bezpečnosti
4. V rámci IT organizácie si oddelenia a subdodávatelia spoločne definujú a formálne
dohodnú Operational level agreement (OLA):
–
OLA detailne špecifikuje spôsob zabezpečenia služieb informačnej bezpečnosti
5. SLA a OLA sú naimplementované a priebežne monitorované
6. Odberatelia ICT služieb dostávajú regulárne reporty o efektivite a stave poskytovaných
služieb informačnej bezpečnosti
7. SLA a OLA sú v prípade potreby priebežne upravované
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
11
Informačná bezpečnosť ITIL v2 vs. ITIL v3
Spoločné črty procesu Informačnej bezpečnosti podľa ITIL v2 a ITIL v3:
Procesy Informačnej bezpečnosti sú založené na normách:
– ISO/IEC 17799 - Code of Practice for Information Security Management
– ISO/IEC 27001 - Information Security Management Systems standard
• Bezpečnostný incident je chápaný ako podmnožina procesu Incident management
• Manažment zraniteľností je chápaný ako podmnožina procesu Problem management
Rozdiely v procesoch Informačnej bezpečnosti podľa ITIL v2 a ITIL v3:
ITIL v2
ITIL v3
„Information security management“
neexistuje ako samostatná disciplína ITSM
„Information security management“
je chápaný ako samostatná disciplína ITSM
Procesy súvisiace s Informačnou bezpečnosťou sú popísané v jedinej
knihe: Security management
Procesy súvisiace s Informačnou bezpečnosťou sú integrované do
väčšiny procesov
Procesy informačnej bezpečnosti sú rozdelené do dvoch hlavných
segmentov:
Nastavenie základnej úrovne bezpečnosti pomocou SLA
Realizácia bezpečnostných požiadaviek definovaných v SLA
Procesy informačnej bezpečnosti sú zakomponované do všetkých častí
knihy Service design:
Service Catalogue Management (kap. 4.1 str. 60)
Service Level Management (kap. 4.2 str. 65)
Capacity management (kap. 4.3 str. 79)
Availability management (kap. 4.4 str. 97)
IT Service Continuity management (kap. 4.5 str. 125)
Information security management (kap. 4.6 str. 141)
Supplier management (kap. 4.7 str. 149)
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
12
IT Service continuity management – ITSCM (ITIL v3)
• Hlavný ciel disciplíny ITSCM:
– Celkovo podporiť procesy Business Continuity Management, zaistením náhrady
požadovaného technického vybavenia v požadovanom a dohodnutom časovom rozsahu
• Proces „IT Service Continuity“ súvisí s riadením schopnosti organizácie kontinuálne poskytovať
vopred stanovenú a dohodnutú minimálnu úroveň ICT služieb pre zabezpečenie obchodných
procesov v prípade výpadku bežných ICT služieb.
• V rámci procesu ITSCM je zahrnuté:
– Zabezpečenie udržateľnosti obchodných procesov redukciou dopadu havarijných výpadkov
alebo rozsiahlych chýb
– Znižovanie zraniteľností a rizík pomocou efektívnej analýzy rzík a pomocou manažmentu
rizík
– Prvencia straty dôvery zákazníkov
– Tvorba plánov obnovy prostriedkov ICT, vhodne zosúladených s plánmi kontinuty
obchodných procesov jednotlivých zákazníkov
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
13
Information Security Management - IsM (ITIL v3)
• Hlavný cieľ procesu IsM:
– Zosúladiť informačnú bezpečnosť s obchodnou bezpečnosťou a uistiť sa, že informačná
bezpečnosť je riadená efektívne vo všetkých oblastiach služieb ako aj vo všetkých
aktivitách ITSM
• V rámci procesu IsM je zahrnuté:
– Politika informačnej bezpečnosti a špecifické bezpečnostné politíky, ktoré sú zamerané
na všetky aspekty stratégie, kontroly a regulácie
– Systém manažérstva informačnej bezpečnosti (Information Security Management
System - ISMS), obsahujúci štandardy, procedúry a smernice pre podporu politiky
– Komplexná bezpečnostná stratégia, prepojená s ochodnými cieľmi, stratégiami a plánmi
– Efektívna organizačná štruktúra bezpečnosti
– Súbor kontrolných mechanizmov pre podporu bezpečnostnej politiky
– Manažment bezpečnostných rizík
– Monitoring procesov pre zaistenie súladu a poskytnutie spätnej väzby
– Komunikačná stratégia a bezpečnostný plán
– Plán školení a zvyšovania povedomia používateľov
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
14
Proces IsM podľa knihy Service Design (a)
• Vývoj a údržba Politiky informačnej bezpečnosti a podpora špecifických politík
• Zabezpečenie vhodnej autorizácie, prejavenia formálneho záväzku a schválenia zo strany
vyššieho IT manažmentu a biznis manažmentu
• Oznámenie platnej Politiky informačnej bezpečnosti všetkým zúčastneným stranám
• Uistenie, že Politika informačnej bezpečnosti je presadená a dodržiavaná
• Identifikácia a klasifikácia informačných aktív (konfiguračných položiek - Configuration Items)
a ich požadovanej úrovne kontroly, riadenia a ochrany
• Vykonávanie BIA (Business Impact Analyses)
• Vykonávanie Analýzy bezpečnostných rizík, manažment rizík a ich prepojenie na Availability
Management a IT Service Continuity Management
• Návrh a vývoj bezpečnostných plánov
• Návrh a dokumentovanie procedúr pre bežnú činnosť a údržbu v oblasti bezpečnosti
• Monitorovanie a riadenie všetkých porušení bezpečnostných pravidiel, riadenie incidentov
(Incident handling) vrátane nápravných opatrení na prevenciu opakovania incidentu
ITIL V3 Pre Reading Notes V1.60 - 36 - Copyright of Purple Griffon 2007 ©
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
15
Proces IsM podľa knihy Service Design (b)
• Reporting, analýza a minimalizácia dopadu a rozsahu všetkých bezpečnostných incidentov
spoločne s procesom Problem Management
• Vzor spôsobu vzdelávania a zvyšovania povedomia používateľov
• Bezpečnostné kontroly a kontrola bezpečnostnej dokumentácie
• Prehodnocovanie a auditing všetkých procesov
• Uistenie, že všetky zmeny sú prehodnocované z hľadiska ich dopadu na informačnú
bepečnosť, vrátane Politiky informačnej bezpečnosti, and zvolanie CAB (Change Advisory
Board) meetingov vždy keď je to nutné
• Vykonávanie bezpečnostných testov
• Dôsledné dodržiavanie dodatočných bezpečnostných kontrol v rámci akčného plánu po
predchádzajúcom porušení bezpečnostných pravidlel
• Uistenie, že dôvernosť, integrita a dostupnosť služieb je udržiavaná na úrovni dohodnutej v
SLA a ich prispôsobenie všetkým relevantným legislatívnym požiadavkam
• Uistenie, že všetky prístupy tretích strán ako aj dodávateľov k službám ICT sú primerané a
zmluvne podložené
• Pôsobenie v úlohe lokálneho styčného bodu pre všetky bezpečnostné incidenty
ITIL V3 Pre Reading Notes V1.60 - 36 - Copyright of Purple Griffon 2007 ©
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
16
Service level agreement - SLA
• SLA je formálnou, písomnou zmluvou, ktorou sa dokumentuje úroveň služieb, vrátane
služieb informačnej bezpečnosti.
• SLA je kľúčovou časťou procesu informačnej bezpečnosti podľa rámca ITIL
• SLA by mala obsahovať výkonnostné indikátory (Key Performance Indicators – KPI) a
kritériá výkonnosti
• Typická SLA zmluva by mala obsahovať:
– Povolené metódy prístupu k informačným aktívam
– Dohodu o spôsobe auditingu a manažmentu logov
– Úroveň fyzickej bezpečnosti
– Spôsob školení a zvyšovania povedomia používateľov v oblasti informačnej bezpečnosti
– Všeobecný popis životného cyklu identít, autentifikačné metódy a autorizačné procedúry
– Dohoda o spôsobe obsluhy bezpečnostných incidentov
– Požiadavky na audit a reporting
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
17
Bezpečnostná dokumentácia podľa ITIL
Požiadavky na dokumentáciu v oblasti informačnej bezpečnosti podľa ITIL:
•
Service level agreement (SLA)
– Formálna dohoda o úrovni služieb, vrátane služieb informačnej bezpečnosti
•
Operational level agreement (OLA):
– Detailná špecifikácia spôsobu zabezpečenia služieb informačnej bezpečnosti
•
Politika informačnej bezpečnosti:
1. Ciele a rozsah informačnej bezpečnosti pre organizáciu
2. Zámery a manažérske princípy pre riadenie informačnej bezpečnosti
3. Definícia rolí a zodpovedností v oblasti informačnej bezpečnosti
– Bezpečnostná politika by mala byť vydaná zo strany najvyššieho vedenia organizácie
•
Plány informačnej bezpečnosti:
– Popis spôsobu implementácie politiky v špecifických informačných systémoch, procesoch a
organizačných jednotkách
•
Príručky informačnej bezpečnosti:
– pracovné dokumenty pre každodennú potrebu
– špecifické, detailné pracovné inštrukcie
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
18
Ako môže ITIL zvýšiť úroveň informačnej bezpečnosti
•
•
(a)
ITIL udržiava informačnú bezpečnosť neustále zameranú na biznis a služby
–
Informačná bezpečnosť je často vnímaná iba ako ďalšia nákladová položka alebo prekážka pre
obchodné funkcie
–
s pomocou ITIL sa vlastníci obchodných procesov a poskytovatelia IT služieb dohodnú na úrovni
služieb informačnej bezpečnosti - to zaistí, že služby sú zosúladené s potrebami biznisu
ITIL umožňuje organizáciám vyvíjať a implementovať informačnú bezpečnosť
štruktúrovaným spôsobom, založeným na najlepšej praxi (good practice)
–
informačná bezpečnosť sa posúva od reaktívnych ku proaktívnym a preventívnym procesom
•
Svojmi požiadavkami na kontinuálne posudzovanie ITIL zabezpečuje neustály prehľad o
efektivite zmien v súvislosti so znižovaním úrovne rizika a hrozieb
•
ITIL zavádza dokumentované procesy a štandardy (napr. SLA a OLA) ktoré môžu byť
efektívne auditované a monitorované
–
•
to pomáha organizácii vnímať efektivitu vlastného programu informačnej bezpečnosti a porovnávať
ju s požiadavkami regulátora (napr. NBS, NBÚ, ÚOOÚ, Basel II, SOX)
ITIL poskytuje základ, na ktorom môže byť vybudovaná informačná bezpečnosť
–
Mnohé disciplíny ITIL (napr. Change Management, Configuration Management alebo Incident
Management) môžu zásadným spôsobm zvýšiť úroveň informačnej bezpečnosti (napr. značný počet
incidentov je spôsobených neadekvátnym riadením zmien)
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
19
Ako môže ITIL zvýšiť úroveň informačnej bezpečnosti
•
Organizovaný ITIL rámec zabraňuje subjektívnej, živelnej a chaotickej implementácii
procesov informačnej bezpečnosti
–
•
•
Reporting umožňuje manažmentu prijímať kvalifikované rozhodnutia v súvislosti s riadením
operačného rizika
ITIL definuje role a zodpovednosti v informačnej bezpečnosti
–
•
ITIL vyžaduje návrh a vybudovanie konzistentných, merateľných procesov informačnej bezpečnosti
do služieb ICT skôr, než nastane incident. To reálne šetrí čas, peniaze i námahu.
Reporting vyžadovaný v rámci ITIL poskytuje manažmentu kvalitné informácie o efektivite
informačnej bezpečnosti ich organizácie
–
•
(b)
Počas prípadného incidentu je následne jasné, kto za čo zodpovedá a kto má čo vykonať
ITIL vytvára spoločný jazyk pre diskusiu o informačnej bezpečnosti
–
bezpečnostný personál môže efektívnejšie komunikovať s internými i externými odbornými partnermi
–
bezpečnostný personál môže zrozumiteľným spôsobom diskutovať o informačnej bezpečnosti s
inými skupinami zamestnancov
ITIL pomáha manažérom pochopiť, že informačná bezpečnosť je kľúčovou časťou
obchodných procesov úspešnej, dobre fungujúcej organizácie
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
20
Zhrnutie
• Požiadavky na informačnú bezpečnosť neustále narastajú vo svojom rozsahu, komplexite a
dôležitosti
• Pre organizáciu je riskantné, nákladné a neefektívne mať informačnú bezpečnosť založenú
na subjektívne vyvinutých riešeniach
• Podľa ITIL je možné takéto procesy nahradiť štandardizovanými, integrovanými procesmi
založenými na najlepšej praxi (good practice)
• Napriek tomu, že si to vyžaduje istý čas a námahu, ITIL môže zlepšiť spôsob, akým
organizácia implementuje a riadi informačnú bezpečnosť
FEI TUKE - Riadenie IT služieb – Bezpečnosť IT služieb
21