Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

KOCKÁZATKEZELÉS MEHARI alapokon Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó.

Hasonló előadás


Az előadások a következő témára: "KOCKÁZATKEZELÉS MEHARI alapokon Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó."— Előadás másolata:

1 KOCKÁZATKEZELÉS MEHARI alapokon Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó

2 MEHARI-Risk Információbiztonsági Kockázat és Compliance Menedzsment rendszer A kockázat elemzés és megfelelés automatizálása

3 A Kockázatelemzés alapvető lépés az információ biztonság menedzsmenten belül A legjobb forrás a biztonsági követelmények becslésére, ha megbecsüljük az információ feldolgozással kapcsolatos kockázatokat – nem csak az IT terület vonatkozásában ! Csakis miután egy ilyen jellegű kockázat becslés megtörtént (kockázat elemzés) kerülhet sor a következőkre: Biztonsági szabályzatok és eljárások kidolgozása Biztonsági termékek és szolgáltatások kiválasztása (technical and non-technical) Más megközelítésben mindez azt jelenti, hogy ha mellőzzük a kockázatelemzést, a biztonsági vonatkozású tevékenységek: rossz irányba hajtódnak végre gazdaságilag nem igazolhatóak

4 Az információs rendszerek kockázatelemzésének célja Biztonsági szabályzatok és eljárások kidolgozása és karbantartása valós, bevizsgált kockázati (veszély) szinteken alapulva A biztonsági vonatkozású tervezett kiadások priorizálása a kockázati szinteken alapulva A büdzsék mindig limitáltak, ezért nagyobb prioritást kell rendelni ahhoz a tervezett beruházáshoz, ami nagyobb kockázati szinttel rendelkező veszélyt mérsékel Biztos hogy arra költünk ami leginkább szükséges a biztonság szempontjából? Az elköltött összegek megfelelő arányban vannak-e a kockázati szintekkel? (kockázat-arányos védelem) Megnyerni a Felhasználók/Vezetőség támogatását A Biztonság gyakran újabb és újabb megkötések bevezetését jelenti az információs rendszer felhasználóinak – könnyebb ezeket a megkötéseket úgy elfogadni, ha tudjuk, hogy ezek a megszorítások fontos kockázatokat csökkentenek. Sokkal könnyebb a vezetőség támogatását megszerezni a biztonsági beruházások vonatkozásában, ha bemutatjuk, hogy a szükséges beruházások hogyan képesek minimlalizálni specifikus, nagyobb kockázatokat. Riportolás a vezetőség felé, vezetői kockázat-tudatosság Kockázati szintek összehasonlítása (pl: különböző telephelyek) Az információs rendszer változásainak szimulálása és annak vizsgálata, hogy mindez hogyan befolyásolja a kockázati szinteket –Ha nem rendelkeznénk pl: bizonyos kontrolokkal, biztonsági HW eszközökkel milyen lenne a a kockázati szint a jelenlegihez képest? –Ha bevezetünk egy új biztonsági szintet, az milyen hatással van a kockázati szintre? Összegezve: a kockázatelemzés megfelelő információ biztonsági menedzsmentet tesz lehetővé.

5 A kockázatelemzést előírja, vagy megköveteli-e bármiféle törvény, ajánlás? Igen, az ISO/IEC szerinti ISMS rendszer bevezetésekor elengedhetetlen Hazai jogszabályok, ajánlások: –Adatvédelmi Tv. (munkahelyi kockázatfelmérés) –HPT 13/B –KIB 25. számú ajánlása (Magyar Informatikai Biztonsági Ajánlások) –84/2007 sz. Kormányrendelet részben

6 Kockázatmenedzsment az ISO/IEC szabvány szerint Az ISMS kialakítása, „minősége” nagyban függ az előzetes Kockázatelemzéstől. A szabvány megköveteli a Kockázatelemzés lefolytatását még mielőtt nekilátnánk az ISMS rendszer kiépítésének. Az ISO/IEC meghatározza az alkalmazandó módszertannal szemben támasztott követelményeket és az általános lépéseket a kockázat menedzsmenten belül. A MEHARI-Risk eleget tesz mindezen követelményeknek, sőt...

7 Kockázatmenedzsment modell Processes Persons Events Results Risks Security services Milyen kockázatokat ? A Biztonsági szolgáltatások hogyan hatnak a kockázatokra? Hogyan hatnak a kockázatok a folyamatok eredményeire? Hogyan számszerűsítsük a kockázatokat? Hogyan határozzuk meg a biztonsági szolgáltatások hatását? Hogyan kalkuláljuk a végső (residual) kockázati szintet?

8 A MEHARI módszertan összegzése Harmonized Methodology for Risk Analysis in Information Systems Natural exposure Impact analysisCauses analysis Residual risk Intrinsic impact Structural factors Probability reduction factors: Dissuasive Preventive Impact reduction factors: Protective Palliative Recuperative Risk reduction means Residual probability Residual impact

9 A MEHARI módszertan előnyei 1996 óta folyamatosan fejlesztik Átfogó megközelítés, lefedve: –Környezeti veszélyeket, –Fizikai biztonságot, –Technikai eszköz biztonságot, beleértve az áramellátást, –Eljárási biztonságot, –Biztosítási és jogi felelősség (legal environment), –Személyi biztonság, –Informatikai biztonság. A módszertant alkalmazni lehet: – Bármilyen típusú és méretű üzleti vagy állami szervezetnél, intézménynél Teljesen kompatibilis az ISO/IEC szabvánnyal Nyilvánosan elérhető –Minden számítás publikált és ellenőrizhető, –Minden paraméter módosítható (a specifikus üzleti és biztonsági követelményeknek megfelelően). !

10 Hogyan monitorozza vállalata megfelelősségét a szükséges előírásokhoz történő megfelelősség vonatkozásában? Opció 1 : „Manuálisan” monitorozással, dokumentum elemzéssel, auditokkal Opció 2 : Automatizált monitoringgal – az információk helyi és távoli információgyűjtésével és compliance riport generálással. A MEHARI-Risk automatizálja a compliance folyamatokat is

11 A Kockázatelemzés és Compliance automatizálása a MEHARI-Risk eszközzel Generating and publishing audit questionnaires via internet/intranet Information system description input Threat scenarios selection Assigning questions To groups Automated calculations Filling-in of questionnaires Automated import of questionnaires data to the Core module Initial risk analysis report Core Web/Central Core Initial risk analysis results Decision to analyze risks reduction costs Risk reduction cost analysis Final risk analysis report Core YES NO Initial risk analysis results Answering of remaining questions ISO/IEC compliance report Law X compliance report Law Y compliance report Compliance

12 MEHARI-Risk 1.13 funkcionalitásai Core modul: –teljes kockázat elemzés a MEHARI módszertan alapján –Riportok ( külön Riport modulba fogják majd migrálni) –Annak a szimulációja, hogy az Információs rendszerben történt változások hogyan érintik a kockázatokat –Kockázat csökkentő költségszimuláció Web/Central modul: –távoli, elektronikus (böngésző alapú), az audit kérdőívek biztonságos kitöltése –standard (statikus jelszavak) vagy erős (certificate alapú) authentikáció Compliance modul – compliance analízis és riportok: –ISO/IEC –PCI/DSS (előkészítés alatt) –Kegészíthető bármely törvényi vagy vállalati előírással

13 MEHARI-Risk platformok Windows Linux, Unix OS X (Mac) appliance Ugyanaz a graphical interface minden platfromon Web/Central minden platformon működik

14 Kapcsolódás más rendszerekkel A MEHARI-Risk alkalmazást úgy fejlesztették, hogy képes legyen kommunikálni más IT rendszerekkel is Képes adatgyűjtésre más rendszerekből (erőforrások) Képes felhasználói adatokat gyűjteni az AD- ból vagy LDAP-ból Képes kommunikálni a kockázat elemzés eredményét más rendszerek felé

15 MEHARI-Risk roadmap 2.0: –információs rendszer grafikai modellező –fa struktúrájú fő menü –audit kérdőívek digitális aláírása 3.0: –dinamikus (közel valós idejű) kockázat elemzés a kockázati szintek „műszerfal jellegű” kijelzésével –biztonsági policy generátor –biztonsági policy hitelesítő 4.0: –a kockázati scenario-k automatizált kiválasztása –majdnem „operátor-mentes” kockázat elemzés, az audit kérdőívek automatizált kiértékelésén alapulva –mesterséges intelligencia használata a kockázati trendek előrejelzésére

16 MEHARI-Risk termék pozícionálás bármely típusú intézmény (piaci, állami) bármilyen méretű szervezet Emlékeztetőül: a MEHARI-Risk nem csupán kockázat elemző, hanem compliance menedzsment rendszer is.

17 További előnyök Technikai A termék nem avatkozik bele sem az operációs rendszer funkciókba és nem is dolgozik vagy módosít ügyfél adatokat = ez által biztonságos a használata – minimális üzemeltetési igénye van

18 KÖSZÖNÖM A FIGYELMET! Dellei László György CISA, CGEIT, IT Biztonságtechnikai tanácsadó Nádor Rendszerház Kft Budapest, Öv utca 3. Tel: /174 Mobil: +36(20) Fax:+36(1)


Letölteni ppt "KOCKÁZATKEZELÉS MEHARI alapokon Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó."

Hasonló előadás


Google Hirdetések