Adat és Információvédelmi Mesteriskola 30 MB · Ellenőrzés Végrehajtás A PDCA-t ... 3. Az...
Transcript of Adat és Információvédelmi Mesteriskola 30 MB · Ellenőrzés Végrehajtás A PDCA-t ... 3. Az...
AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.:A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE
Dr. Beinschróth József
2018. 09. 09.
30 MBAdat és Információvédelmi Mesteriskola
Adat és Információvédelmi Mesteriskola
Tartalom
2018. 09. 09. 2
• (Miről volt szó eddig?)
• IT biztonsági management szabványok
• A PDCA ciklus
• Vezérfonal a tervezéshez
• Követelmények a stratégiához
• A stratéga jellemzői
• A stratégiák hierarchiája
• A stratégia kialakítása
• Mekkora a stratégia súlya?
• A tervezés lépései
• A tervezés összetevői
• A biztonságtervezési folyamat
• A tervezés lépései
Adat és Információvédelmi Mesteriskola
IT biztonsági menedzsment szabványok
Alapelvek3
IT bizt. management szabványok
ISO/IEC 27000— Information security management systems — Overview and vocabulary
ISO/IEC 27001 — Information technology - Security Techniques - Information security management systems — Requirements
ISO/IEC 27002— Code of practice for information security management
ISO/IEC 27003 — Information security management system implementation guidance
ISO/IEC 27004 — Information security management — Measurement
ISO/IEC 27005 — Information security risk management
ISO/IEC 27006— Requirements for bodies providing audit and certification of information security management systems
ISO/IEC 27007 — Guidelines for information security management systems auditing (focused on the management system)
ISO/IEC TR 27008 — Guidance for auditors on ISMS controls (focused on the information security controls)*
ISO/IEC 27010 — Information security management for inter-sector and inter-organizational communications
ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
ISO/IEC 27014 — Information security governance. Mahncke assessed this standard in the context of Australian e-health
ISO/IEC TR 27015 — Information security management guidelines for financial services*
ISO/IEC 27018 — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors
ISO/IEC 27031 — Guidelines for information and communication technology readiness for business continuity
ISO/IEC 27032 — Guideline for cybersecurity
ISO/IEC 27033-1-5 — Network security - Part 1: Overview and concepts
ISO/IEC 27033-2 — Network security - Part 2: Guidelines for the design and implementation of network security
ISO/IEC 27033-3 — Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues
ISO/IEC 27033-5 — Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs)
ISO/IEC 27034-1 — Application security - Part 1: Guideline for application security
ISO/IEC 27035 — Information security incident management
ISO/IEC 27036-3 — Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security
ISO/IEC 27037 — Guidelines for identification, collection, acquisition and preservation of digital evidence
ISO 27799 — Information security management in health using ISO/IEC 27002. The purpose of ISO 27799 is to provide guidance to health organizations and
other holders of personal health information on how to protect such information via implementation of ISO/IEC 27002.
ISO/IEC 27017 — Information security management for cloud systems
ISO/IEC 27019 — Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry
ISO/IEC 27033 — IT network security, a multi-part standard based on ISO/IEC 18028:2006 (parts 1-3 are published already)
ISO/IEC 27036 — Guidelines for security in supplier relationships
ISO/IEC 27038 — Specification for redaction of digital documents
ISO/IEC 27039 — Intrusion detection and protection systems
ISO/IEC 27040— Guideline on storage security
ISO/IEC 27041 — Assurance for digital evidence investigation methods
ISO/IEC 27042 — Analysis and interpretation of digital evidence
ISO/IEC 27043 — Digital evidence investigation principles and processes
Adat és Információvédelmi Mesteriskola
A PDCA ciklus
Alapelvek4
A PDCA ciklus
Plan
Do
Check
Act
Időnként OPCDA (O=Observation)
Deming ciklus
TBEV
Tervezés
Bevezetés
Ellenőrzés
Végrehajtás
A PDCA-t
menedzsment
területen
elterjedten
használják
Ez valójában
egy spirál. Az
időtengely a
lapra
merőleges.
1950: Dr. W. Edwards Deming
Adat és Információvédelmi Mesteriskola
A PDCA ciklus
Alapelvek5
A PDCA ciklus
• A tervezés az elvárt teljesítmény, valamint az ennek eléréséhez szükséges célkitűzések és folyamatok meghatározása. Az elvárt eredmény meghatározásával a specifikáció teljessége és pontossága is a kitűzött fejlődés részévé válik. A meglévő folyamat kulcsproblémáinak és a kijavítás lehetőségeinek meghatározása. (Amennyiben lehetséges, érdemes kis lépésekkel kezdeni a fejlesztést a lehetséges hatások tesztelése érdekében.)
Plan
• A cselekvés a terv végrehajtását, a folyamatok elindítását, a termék elkészítését jelenti. Fontos eleme az adatok összegyűjtése is, amelyek az “ellenőrzés” és “beavatkozás” lépésekben történő elemzési és ábrázolási feladatokhoz szükségesek.
Do
Adat és Információvédelmi Mesteriskola
A PDCA ciklus
Alapelvek6
A PDCA ciklus
• Az ellenőrzés az aktuális eredmények tanulmányozása (amelyeket a “cselekvés” lépésben mértünk és gyűjtöttünk össze) és összevetése az elvárt eredményekkel (amelyeket a “tervezés” lépésben határoztunk meg). E lépés során a tervezés és a végrehajtás közötti eltéréseket keressük, valamint megvizsgáljuk a tervet abból a szempontból, hogy mennyire megfelelő és teljes a megvalósíthatóság szempontjából. Az összegyűjtött adatok ábrázolásával a folyamat egyszerűbbé tehető, szemléletesen bemutathatóak az ismételt PDCA ciklusok trendjei. Az adatok így információvá alakíthatók, amelyre szükség van a “beavatkozáshoz”.
Check
• Az aktuális és a tervezett eredmények közti jelentős eltérések fennállása esetén korrekciós intézkedéseket kell bevezetni, ez a beavatkozás lépése. A különbségek vizsgálata során meg kell állapítani, hogy elsődlegesen mi okozza ezeket. Ezt követően meg kell határozni, hogy hol szükséges a változtatásokat végrehajtani, amely magában foglalja a folyamat vagy a termék fejlesztését is.
Act
Adat és Információvédelmi Mesteriskola
Jelen állapot
• A szervezet jelen állapota, a kiindulópont a stratégia megvalósításához
Stratégiai tervek
• Akciók a stratégiai elképzelések megvalósításáról
• (A lehetséges akciók száma limitált.)
Célok
• Vízió a szervezetről, szolgáltatásairól, és kapcsolatairól
Vezérfonal a tervezéshez: Informatikai biztonsági stratégia
2018. 09. 09. 7
1. Stratégia: célok eléréshez szükséges eszközök (erőforrások) és módszerek
2. Célok: a legfontosabb törekvések közepes vagy hosszú időhorizontot
figyelembe véve
3. 3. Az informatikai biztonsági stratégia a szervezet általános (üzleti,
működési) stratégiájának része
Hol vagyunk most?
Hová kívánunk eljutni?
Hogyan juthatunk el oda?
Kérd
ések
Időtá
v
3-5
év
Vezérfonal a tervezéshez
Adat és Információvédelmi Mesteriskola
A szervezeti stratégia általános követelményei
2018. 09. 09. 8
Célja értékteremtés
Reális célok kitűzése
Teljes szervezeti működés lefedése
Rendszeres aktualizálás
Hatékony kommunikáció
Compliance: Jogszabályok, szabványok, ajánlások követése
Követelmények a stratégiához
Adat és Információvédelmi Mesteriskola
A szervezeti stratégia általános jellemzői
2018. 09. 09. 9
A jövőre fókuszál, emiatt bizonytalanságokat tartalmaz
Tipikusan megjelenik benne az intuíció
Rugalmas, adaptív megközelítés (a feltételek változhatnak)
Tartalmaz egy víziót magáról a szervezetről
Definiált akcióterveket tartalmaz
Tartalmazza az elért eredmények visszaellenőrzésnek módját
A stratéga jellemzői
Adat és Információvédelmi Mesteriskola
A stratégia-alkotás célja az értékteremtés: szolgáltatásoknyújtásának vagy termékek előállításának formájában
2018. 09. 09. 10
A stratéga jellemzői
reális célok kitűzése (KIEMELKEDŐEN NAGY KOCKÁZATOT JELENT!)
megfelelő módszertan alkalmazása
a teljes szervezeti működés stratégiai szintű lefedése
megfelelő pozícióban levő, elkötelezett felelős
rendszeres aktualizálás
aktualizálás környezeti, jogszabályi és technológiai változások esetén
hatékony kommunikáció
összhang a szervezeti stratégia és a különböző funkcionális stratégiák között
összhang a hosszú, közép és rövidtávú célok és tevékenységek között
a vonatkozó jogszabályok szabványok és ajánlások figyelembe vétele (a várható változások is)
az adott szakterületen tapasztalható és várható trendek figyelembe vétele
partner szervezetek, versenytársak tevékenységének figyelembe vétele
Adat és Információvédelmi Mesteriskola
Az általános szervezeti és funkcionális stratégiák kapcsolata
2018. 09. 09. 11
Funkcionális stratégia szintje
(Szakterületi kompetencia szükséges)
Általános stratégia szintje
(felsővezetői közreműködés szükséges)
Üzleti, működési, stratégia
HR stratégia
Biztonsági stratégia
IT stratégia
Beszerzési stratégia
…
A stratégiák hierarchiája
A rész stratégiák nem izoláltak, közöttök különböző erősségű,
holisztikus kapcsolatok léteznek.
Adat és Információvédelmi Mesteriskola
Az általános szervezeti stratégia kialakítása
2018. 09. 09. 12
Vízió, elképzelés a szervezet által
nyújtandó szolgáltatásokról
Piac, lehetőségek, technológiák
elemzése
Megvalósítandó célok azonosítása
Stratégiai döntések a
megvalósítandó célokról
Stratégiai tervek készítése
Stratégiai tervek végrehajtása és
mérése
A stratégia kialakítása
Adat és Információvédelmi Mesteriskola
Az IT stratégia súlya a szervezetben
2018. 09. 09. 13
A fejlesztendő rendszerek stratégiai hatása (jövő)
Kicsi
Támogató
Termelési
Nagy
Alakuló
Stratégiai
Mekkora a stratégia súlya?
Adat és Információvédelmi Mesteriskola
Az IT stratégia tervezése
2018. 09. 09. 14
Piac, lehetőségek, technológiák
elemzése
A jelenlegi állapot felmé-
rése (érett-ségi modell)
Nyújtandó IT szolgáltatások
azonosítása
Stratégiai döntések a megvalósí-
tandó IT szol-gáltatásokról
Stratégiai tervek
készítése
Stratégiai tervek
végrehajtása és mérése
Szervezeti (üzleti) stratégia
A tervezés lépései
Adat és Információvédelmi Mesteriskola
Az IT érettségi szintek helyzetfeltáráshoz
2018. 09. 09. 15
A tervezés lépései
Gartner IT érettségi modell
Az érettségi modellekről még
Adat és Információvédelmi Mesteriskola
Az IT stratégia összetevői
2018. 09. 09. 16
Biztonság
Alkalma-zások
Menedzs-ment
Techno-lógia
A tervezés összetevői
Adat és Információvédelmi Mesteriskola
Példák IT biztonsági célokra
2018. 09. 09. 17
A tervezés összetevői
Complience HardeningTeszetelés,
monitorozás
Kommunikáció KompetenciaNegatív hatások
minimalizálása
…
Adat és Információvédelmi Mesteriskola
ACTIVITY – Ellenőrző kérdések és teszt feladatok
2018. 09. 09. 18
1. Minden szervezetben szükség van-e stratégiai tervezésre?
2. Lehetséges-e IT stratégiát kidolgozni általános (üzleti, működési) stratégia
hiányában?
3. Milyen más stratégiákból vezethető le az IT biztonsági stratégia?
4. Soroljunk fel elképzelt konkrét IT biztonsági stratégiai célokat!
5. Soroljon fel olyan tényezőket amelyeket a compliance, mint IT biztonsági cél
eléréséhez tekintetbe kell venni!
Adat és Információvédelmi Mesteriskola
ACTIVITY – Ellenőrző kérdések és teszt feladatok
2018. 09. 09. 19
1. Igazak vagy hamisak a következő állítások?
a. Az informatikai stratégia kidolgozása a felsővezetés feladata._______.
b. Minden szervezetnek kell informatikai biztonsági stratégiával
rendelkeznie.______.
c. Az informatikai biztonsági stratégia legalább 10 éves időhorizontot kell, hogy
átfogjon. ________
d. Az ITIL szerint minden szervezetnek szükséges részletes IT stratégiai tervezést
végezni._______
e. A szervezet IT stratégiáját az üzemeltető informatikusok végzik.____
f. A szervezetek IT stratégiája néhány szakértő bevonásával általában kevesebb,
mint egy nap alatt elkészíthető._____
g. Nincs szükség IT biztonsági stratégiára, az informatikai stratégiának kell
tartalmaznia az IT biztonsági stratégiát._______
Adat és Információvédelmi Mesteriskola
ACTIVITY – Meglevő IT stratégia-részlet értékelése
2018. 09. 09. 20
Adat és Információvédelmi Mesteriskola
ACTIVITY – SWOT elemzés létező vagy fiktív szervezetről
2018. 09. 09. 21
Erősségek Gyengeségek
Lehetőségek Fenyegetések
SWOT
Adat és Információvédelmi Mesteriskola
A megfelelő tervezésnek szükséges feltételei vannak (1)
1.Elkötelezett menedzsment
2.Standard-ek szerinti módszertan alkalmazása
3.Rendszer és folyamatszemléletű tervezés
4.Top-down megközelítés
Kockázatarányos védelem kialakítása
5.Egyenszilárdság elvének betartása „… az ellen nem véd…” - Szalacsi Sándor
Alapelvek22
Alapvetések
Adat és Információvédelmi Mesteriskola
A megfelelő tervezésnek szükséges feltételei vannak (2)
A védelemnek minden ponton azonos erősségűnek kell lennie.
Alapelvek23
Alapvetések
Adat és Információvédelmi Mesteriskola
Idézet a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról c. törvényből
Alapelvek24
Alapvetések
„Társadalmi elvárás az állam és polgárai számára
elengedhetetlen elektronikus információs
rendszerekben kezelt adatok és információk
bizalmasságának, sértetlenségének és
rendelkezésre állásának, valamint ezek
rendszerelemei sértetlenségének és rendelkezésre
állásának zárt, teljes körű, folytonos és a
kockázatokkal arányos védelmének biztosítása,
ezáltal a kibertér védelme.”
Adat és Információvédelmi Mesteriskola
A tervezési folyamat „never ending story”
Helyzet-feltárás
Veszély-forrás
analízis
Javaslat azonnali intézkedésekre
(opcionális)
Kockázat-elemzés
Döntés a kezelendő
kockázatokról
Konkrét védelmi intézkedések
Start
A tervezési folyamat25
A biztonságtervezési folyamat
Adat és Információvédelmi Mesteriskola
Az IT biztonság megvalósításának lépései (1)
1. Helyzetfeltárás(környezet)
2. Veszélyforrás analízis
(a relevánsak)
3. Javaslat azonnali intézkedésekre
4. Kockázatelemzés
5. Döntés a kezelendő
kockázatokról
6. Konkrét védelmi intézkedések
26
A tervezés lépései
Adat és Információvédelmi Mesteriskola
ACTIVITY – Ellenőrző kérdések és teszt feladatok
2018. 09. 09. 27
1. Mit jelent az egyenszilárdság elve?
2. Milyen lépéseket kell végrehajtani az IT biztonság tervezése során?
3. Mi a helyzetfeltárás célja az IT biztonság tervezésiének folyamatában?
4. Mi a veszélyforrás analízis célja az IT biztonság tervezésiének folyamatában?
5. Mi a kockázatelemzés célja az IT biztonság tervezésének folyamatában?
Adat és Információvédelmi Mesteriskola
ACTIVITY – Ellenőrző kérdések és teszt feladatok
2018. 09. 09. 28
1. Igazak vagy hamisak a következő állítások?
a. Az informatikai biztonság szintjét döntően meghatározza a
leggyengébb láncszem._______.
b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.______.
c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a
felsővezetést. ________
d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység.________
e. Az informatikai biztonság tervezése a tanúsítás megszerzésével ér véget.________
f. Az IT biztonság tervezése a top down megközelítés szerint történik.________
g. Az IT biztonság tervezése a bottom up megközelítés szerint történik.________
h. Az IT biztonság tervezése szabályzatok írását jelenti.______
Adat és Információvédelmi Mesteriskola2018. 09. 09. 29
Köszönöm a figyelmet!