adat és információvédelmi mesteriskola 30 mb · ellenőrzés végrehajtás a pdca-t ... 3. az...

AZ IT BIZTONSÁG TERVEZÉSE ÉS ELLENŐRZÉSE I.:A TERVEZÉSI FOLYAMAT ÁTTEKINTÉSE

Dr. Beinschróth József

2018. 09. 09.

30 MBAdat és Információvédelmi Mesteriskola

Adat és Információvédelmi Mesteriskola

Tartalom

2018. 09. 09. 2

• (Miről volt szó eddig?)

• IT biztonsági management szabványok

• A PDCA ciklus

• Vezérfonal a tervezéshez

• Követelmények a stratégiához

• A stratéga jellemzői

• A stratégiák hierarchiája

• A stratégia kialakítása

• Mekkora a stratégia súlya?

• A tervezés lépései

• A tervezés összetevői

• A biztonságtervezési folyamat

• A tervezés lépései


IT biztonsági menedzsment szabványok

Alapelvek3

IT bizt. management szabványok

ISO/IEC 27000— Information security management systems — Overview and vocabulary

ISO/IEC 27001 — Information technology - Security Techniques - Information security management systems — Requirements

ISO/IEC 27002— Code of practice for information security management

ISO/IEC 27003 — Information security management system implementation guidance

ISO/IEC 27004 — Information security management — Measurement

ISO/IEC 27005 — Information security risk management

ISO/IEC 27006— Requirements for bodies providing audit and certification of information security management systems

ISO/IEC 27007 — Guidelines for information security management systems auditing (focused on the management system)

ISO/IEC TR 27008 — Guidance for auditors on ISMS controls (focused on the information security controls)*

ISO/IEC 27010 — Information security management for inter-sector and inter-organizational communications

ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002

ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1

ISO/IEC 27014 — Information security governance. Mahncke assessed this standard in the context of Australian e-health

ISO/IEC TR 27015 — Information security management guidelines for financial services*

ISO/IEC 27018 — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors

ISO/IEC 27031 — Guidelines for information and communication technology readiness for business continuity

ISO/IEC 27032 — Guideline for cybersecurity

ISO/IEC 27033-1-5 — Network security - Part 1: Overview and concepts

ISO/IEC 27033-2 — Network security - Part 2: Guidelines for the design and implementation of network security

ISO/IEC 27033-3 — Network security - Part 3: Reference networking scenarios - Threats, design techniques and control issues

ISO/IEC 27033-5 — Network security - Part 5: Securing communications across networks using Virtual Private Networks (VPNs)

ISO/IEC 27034-1 — Application security - Part 1: Guideline for application security

ISO/IEC 27035 — Information security incident management

ISO/IEC 27036-3 — Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security

ISO/IEC 27037 — Guidelines for identification, collection, acquisition and preservation of digital evidence

ISO 27799 — Information security management in health using ISO/IEC 27002. The purpose of ISO 27799 is to provide guidance to health organizations and

other holders of personal health information on how to protect such information via implementation of ISO/IEC 27002.

ISO/IEC 27017 — Information security management for cloud systems

ISO/IEC 27019 — Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry

ISO/IEC 27033 — IT network security, a multi-part standard based on ISO/IEC 18028:2006 (parts 1-3 are published already)

ISO/IEC 27036 — Guidelines for security in supplier relationships

ISO/IEC 27038 — Specification for redaction of digital documents

ISO/IEC 27039 — Intrusion detection and protection systems

ISO/IEC 27040— Guideline on storage security

ISO/IEC 27041 — Assurance for digital evidence investigation methods

ISO/IEC 27042 — Analysis and interpretation of digital evidence

ISO/IEC 27043 — Digital evidence investigation principles and processes


A PDCA ciklus

Alapelvek4

A PDCA ciklus

Plan

Do

Check

Act

Időnként OPCDA (O=Observation)

Deming ciklus

TBEV

Tervezés

Bevezetés

Ellenőrzés

Végrehajtás

A PDCA-t

menedzsment

területen

elterjedten

használják

Ez valójában

egy spirál. Az

időtengely a

lapra

merőleges.

1950: Dr. W. Edwards Deming


A PDCA ciklus

Alapelvek5

A PDCA ciklus

• A tervezés az elvárt teljesítmény, valamint az ennek eléréséhez szükséges célkitűzések és folyamatok meghatározása. Az elvárt eredmény meghatározásával a specifikáció teljessége és pontossága is a kitűzött fejlődés részévé válik. A meglévő folyamat kulcsproblémáinak és a kijavítás lehetőségeinek meghatározása. (Amennyiben lehetséges, érdemes kis lépésekkel kezdeni a fejlesztést a lehetséges hatások tesztelése érdekében.)

Plan

• A cselekvés a terv végrehajtását, a folyamatok elindítását, a termék elkészítését jelenti. Fontos eleme az adatok összegyűjtése is, amelyek az “ellenőrzés” és “beavatkozás” lépésekben történő elemzési és ábrázolási feladatokhoz szükségesek.

Do


A PDCA ciklus

Alapelvek6

A PDCA ciklus

• Az ellenőrzés az aktuális eredmények tanulmányozása (amelyeket a “cselekvés” lépésben mértünk és gyűjtöttünk össze) és összevetése az elvárt eredményekkel (amelyeket a “tervezés” lépésben határoztunk meg). E lépés során a tervezés és a végrehajtás közötti eltéréseket keressük, valamint megvizsgáljuk a tervet abból a szempontból, hogy mennyire megfelelő és teljes a megvalósíthatóság szempontjából. Az összegyűjtött adatok ábrázolásával a folyamat egyszerűbbé tehető, szemléletesen bemutathatóak az ismételt PDCA ciklusok trendjei. Az adatok így információvá alakíthatók, amelyre szükség van a “beavatkozáshoz”.

Check

• Az aktuális és a tervezett eredmények közti jelentős eltérések fennállása esetén korrekciós intézkedéseket kell bevezetni, ez a beavatkozás lépése. A különbségek vizsgálata során meg kell állapítani, hogy elsődlegesen mi okozza ezeket. Ezt követően meg kell határozni, hogy hol szükséges a változtatásokat végrehajtani, amely magában foglalja a folyamat vagy a termék fejlesztését is.

Act


Jelen állapot

• A szervezet jelen állapota, a kiindulópont a stratégia megvalósításához

Stratégiai tervek

• Akciók a stratégiai elképzelések megvalósításáról

• (A lehetséges akciók száma limitált.)

Célok

• Vízió a szervezetről, szolgáltatásairól, és kapcsolatairól

Vezérfonal a tervezéshez: Informatikai biztonsági stratégia

2018. 09. 09. 7

1. Stratégia: célok eléréshez szükséges eszközök (erőforrások) és módszerek

2. Célok: a legfontosabb törekvések közepes vagy hosszú időhorizontot

figyelembe véve

3. 3. Az informatikai biztonsági stratégia a szervezet általános (üzleti,

működési) stratégiájának része

Hol vagyunk most?

Hová kívánunk eljutni?

Hogyan juthatunk el oda?

Kérd

ések

Időtá

v

3-5

év

Vezérfonal a tervezéshez


A szervezeti stratégia általános követelményei

2018. 09. 09. 8

Célja értékteremtés

Reális célok kitűzése

Teljes szervezeti működés lefedése

Rendszeres aktualizálás

Hatékony kommunikáció

Compliance: Jogszabályok, szabványok, ajánlások követése

Követelmények a stratégiához


A szervezeti stratégia általános jellemzői

2018. 09. 09. 9

A jövőre fókuszál, emiatt bizonytalanságokat tartalmaz

Tipikusan megjelenik benne az intuíció

Rugalmas, adaptív megközelítés (a feltételek változhatnak)

Tartalmaz egy víziót magáról a szervezetről

Definiált akcióterveket tartalmaz

Tartalmazza az elért eredmények visszaellenőrzésnek módját

A stratéga jellemzői


A stratégia-alkotás célja az értékteremtés: szolgáltatásoknyújtásának vagy termékek előállításának formájában

2018. 09. 09. 10

A stratéga jellemzői

reális célok kitűzése (KIEMELKEDŐEN NAGY KOCKÁZATOT JELENT!)

megfelelő módszertan alkalmazása

a teljes szervezeti működés stratégiai szintű lefedése

megfelelő pozícióban levő, elkötelezett felelős

rendszeres aktualizálás

aktualizálás környezeti, jogszabályi és technológiai változások esetén

hatékony kommunikáció

összhang a szervezeti stratégia és a különböző funkcionális stratégiák között

összhang a hosszú, közép és rövidtávú célok és tevékenységek között

a vonatkozó jogszabályok szabványok és ajánlások figyelembe vétele (a várható változások is)

az adott szakterületen tapasztalható és várható trendek figyelembe vétele

partner szervezetek, versenytársak tevékenységének figyelembe vétele


Az általános szervezeti és funkcionális stratégiák kapcsolata

2018. 09. 09. 11

Funkcionális stratégia szintje

(Szakterületi kompetencia szükséges)

Általános stratégia szintje

(felsővezetői közreműködés szükséges)

Üzleti, működési, stratégia

HR stratégia

Biztonsági stratégia

IT stratégia

Beszerzési stratégia

…

A stratégiák hierarchiája

A rész stratégiák nem izoláltak, közöttök különböző erősségű,

holisztikus kapcsolatok léteznek.


Az általános szervezeti stratégia kialakítása

2018. 09. 09. 12

Vízió, elképzelés a szervezet által

nyújtandó szolgáltatásokról

Piac, lehetőségek, technológiák

elemzése

Megvalósítandó célok azonosítása

Stratégiai döntések a

megvalósítandó célokról

Stratégiai tervek készítése

Stratégiai tervek végrehajtása és

mérése

A stratégia kialakítása


Az IT stratégia súlya a szervezetben

2018. 09. 09. 13

A fejlesztendő rendszerek stratégiai hatása (jövő)

Kicsi

Támogató

Termelési

Nagy

Alakuló

Stratégiai

Mekkora a stratégia súlya?


Az IT stratégia tervezése

2018. 09. 09. 14

Piac, lehetőségek, technológiák

elemzése

A jelenlegi állapot felmé-

rése (érett-ségi modell)

Nyújtandó IT szolgáltatások

azonosítása

Stratégiai döntések a megvalósí-

tandó IT szol-gáltatásokról

Stratégiai tervek

készítése

Stratégiai tervek

végrehajtása és mérése

Szervezeti (üzleti) stratégia

A tervezés lépései


Az IT érettségi szintek helyzetfeltáráshoz

2018. 09. 09. 15


Gartner IT érettségi modell

Az érettségi modellekről még


Az IT stratégia összetevői

2018. 09. 09. 16

Biztonság

Alkalma-zások

Menedzs-ment

Techno-lógia

A tervezés összetevői


Példák IT biztonsági célokra

2018. 09. 09. 17

A tervezés összetevői

Complience HardeningTeszetelés,

monitorozás

Kommunikáció KompetenciaNegatív hatások

minimalizálása

…


ACTIVITY – Ellenőrző kérdések és teszt feladatok

2018. 09. 09. 18

1. Minden szervezetben szükség van-e stratégiai tervezésre?

2. Lehetséges-e IT stratégiát kidolgozni általános (üzleti, működési) stratégia

hiányában?

3. Milyen más stratégiákból vezethető le az IT biztonsági stratégia?

4. Soroljunk fel elképzelt konkrét IT biztonsági stratégiai célokat!

5. Soroljon fel olyan tényezőket amelyeket a compliance, mint IT biztonsági cél

eléréséhez tekintetbe kell venni!



2018. 09. 09. 19

1. Igazak vagy hamisak a következő állítások?

a. Az informatikai stratégia kidolgozása a felsővezetés feladata._______.

b. Minden szervezetnek kell informatikai biztonsági stratégiával

rendelkeznie.______.

c. Az informatikai biztonsági stratégia legalább 10 éves időhorizontot kell, hogy

átfogjon. ________

d. Az ITIL szerint minden szervezetnek szükséges részletes IT stratégiai tervezést

végezni._______

e. A szervezet IT stratégiáját az üzemeltető informatikusok végzik.____

f. A szervezetek IT stratégiája néhány szakértő bevonásával általában kevesebb,

mint egy nap alatt elkészíthető._____

g. Nincs szükség IT biztonsági stratégiára, az informatikai stratégiának kell

tartalmaznia az IT biztonsági stratégiát._______


ACTIVITY – Meglevő IT stratégia-részlet értékelése

2018. 09. 09. 20


ACTIVITY – SWOT elemzés létező vagy fiktív szervezetről

2018. 09. 09. 21

Erősségek Gyengeségek

Lehetőségek Fenyegetések

SWOT


A megfelelő tervezésnek szükséges feltételei vannak (1)

1.Elkötelezett menedzsment

2.Standard-ek szerinti módszertan alkalmazása

3.Rendszer és folyamatszemléletű tervezés

4.Top-down megközelítés

Kockázatarányos védelem kialakítása

5.Egyenszilárdság elvének betartása „… az ellen nem véd…” - Szalacsi Sándor

Alapelvek22

Alapvetések


A megfelelő tervezésnek szükséges feltételei vannak (2)

A védelemnek minden ponton azonos erősségűnek kell lennie.

Alapelvek23

Alapvetések


Idézet a 2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról c. törvényből

Alapelvek24

Alapvetések

„Társadalmi elvárás az állam és polgárai számára

elengedhetetlen elektronikus információs

rendszerekben kezelt adatok és információk

bizalmasságának, sértetlenségének és

rendelkezésre állásának, valamint ezek

rendszerelemei sértetlenségének és rendelkezésre

állásának zárt, teljes körű, folytonos és a

kockázatokkal arányos védelmének biztosítása,

ezáltal a kibertér védelme.”


A tervezési folyamat „never ending story”

Helyzet-feltárás

Veszély-forrás

analízis

Javaslat azonnali intézkedésekre

(opcionális)

Kockázat-elemzés

Döntés a kezelendő

kockázatokról

Konkrét védelmi intézkedések

Start

A tervezési folyamat25

A biztonságtervezési folyamat


Az IT biztonság megvalósításának lépései (1)

1. Helyzetfeltárás(környezet)

2. Veszélyforrás analízis

(a relevánsak)

3. Javaslat azonnali intézkedésekre

4. Kockázatelemzés

5. Döntés a kezelendő

kockázatokról

6. Konkrét védelmi intézkedések

26




2018. 09. 09. 27

1. Mit jelent az egyenszilárdság elve?

2. Milyen lépéseket kell végrehajtani az IT biztonság tervezése során?

3. Mi a helyzetfeltárás célja az IT biztonság tervezésiének folyamatában?

4. Mi a veszélyforrás analízis célja az IT biztonság tervezésiének folyamatában?

5. Mi a kockázatelemzés célja az IT biztonság tervezésének folyamatában?



2018. 09. 09. 28

1. Igazak vagy hamisak a következő állítások?

a. Az informatikai biztonság szintjét döntően meghatározza a

leggyengébb láncszem._______.

b. Az egyenszilárdság elvének betartása csak a logikai védelmi intézkedésekre vonatkozik.______.

c. Az informatikai biztonság kialakítása az informatikusokra vonatkozik és nem érinti a

felsővezetést. ________

d. Az informatikai biztonság tervezése egyszeri, egy alkalomra szóló tevékenység.________

e. Az informatikai biztonság tervezése a tanúsítás megszerzésével ér véget.________

f. Az IT biztonság tervezése a top down megközelítés szerint történik.________

g. Az IT biztonság tervezése a bottom up megközelítés szerint történik.________

h. Az IT biztonság tervezése szabályzatok írását jelenti.______

Adat és Információvédelmi Mesteriskola2018. 09. 09. 29

Köszönöm a figyelmet!

http://www.google.hu/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://androbit.net/articles/221/senki_sincs_biztonsagban_internetezes_kozben.html&ei=lDf8VJ-tF8O3OITygJgL&psig=AFQjCNGKWJdpM4dyAfP-qIYaWQQ8Pd27mg&ust=1425901729182423

adat és információvédelmi mesteriskola 30 mb · ellenőrzés végrehajtás a pdca-t ... 3. az...

Documents