Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Móricz Pál üzletfejlesztési igazgató Szenzor Gazdaságmérnöki Kft. XX. Információvédelmi fórum 2006. március 22. Információvédelmi kockázatfelmérés a szabványokban és gyakorlati tapasztalatok
2
ISMS fórum 2006.03.22 2 Témakörök Követelmények, ajánlások ISO/IEC 27001, ITB 8, ISO 13335 Tervezett új szabványok 27000 család, BS 7799-3 Vagyonleltár Kockázatfelmérés, kiértékelés Gyakorlati kérdések, tapasztalatok
3
ISMS fórum 2006.03.22 3 Védelmi rendszerek MIT védünk MIÉRT, MITŐL védjük követelmények sérülékenység, fenyegetés kockázatfelmérés (risk assessment) HOGYAN védjük kockázat kezelés (risk treatment) kockázat menedzsment (risk management)
4
ISMS fórum 2006.03.22 4 ISO/IEC 27001:2005 4.2.1 előírásai –Módszeres megközelítés meghatározása a kockázatfelmérésre –Vagyontárgyak és kockázatok azonosítása A.7.1 Vagyonleltár információ, információ feldolgozási eszköz A.7.2.1 Osztályozási útmutatók (információk) –Kockázatok elemzése és értékelése –Kockázatkezelési lehetőségek azonosítása és értékelése A.7.2.2 Információ jelölése és kezelése –Kockázatkezelési szabályozási célok és intézkedések kiválasztása –Maradék kockázat vezetőségi jóváhagyása
5
ISMS fórum 2006.03.22 5 ITB 8 ajánlás, IBIV I. Védelmi igény feltárása IT alkalmazások és adatok feltérképezése, értékelésük II. Fenyegetettség elemzés fenyegetett rendszerelemek feltérképezése alapfenyegetettség meghatározás fenyegető tényezők meghatározása III. Kockázatelemzés fenyegetett rendszerelemek értékelése gyakoriság meghatározás kockázat meghatározás, leírás IV. Kockázat menedzselés intézkedések kiválasztása, értékelése k öltség/haszon elemzés maradvány kockázat értékelés
6
ISMS fórum 2006.03.22 6 ISO/IEC TR 13335-3 Részletes kockázatfelmérés lépései peremfeltételek meghatározása vagyontárgyak azonosítása vagyontárgyak értékelése és köztük függőségek megállapítása fenyegetettség felmérés sebezhetőség felmérés meglevő/tervezett ellenintézkedések azonosítása kockázatok felmérése Megközelítések Alapvető megközelítés Informális megközelítés Részletes kockázatfelmérés Kombinált megközelítés –magas szintű felmérés –kiemeltekre részletes –egyébre alapvető
7
ISMS fórum 2006.03.22 7 ISO/IEC 27000 szabványcsalád 27001 – ISMS követelmények 27002 – Gyakorlati útmutató az IS menedzsmentre (17799 2007. áprilisától) 27003 - ISMS bevezetési útmutató 27004 – ISM mérések (2. work draft) 27005 – ISMS kockázat menedzsment (alapja 13335 3. és 4. része) 27000 – ISMS alapok és szótár
8
ISMS fórum 2006.03.22 8 BS 7799-3:2006?? Kockázat felmérés Kockázat kezelés Menedzsment döntések Kockázat újrafelmérés Kockázat profil figyelemmel kísérése és átvizsgálása IS kockázat kapcsolata a cég irányítással Megfelelés más szabványoknak és szabályozóknak Követelmények értelmezése, politika, célok Intézkedések kiválasztása, bevezetése, működtetése Teljesítmény és eredményesség figyelemmel kísérése és átvizsgálása Kockázat mérésen alapuló folyamatos fejlesztés
9
ISMS fórum 2006.03.22 9 Vagyonleltár Elemei: információk információ feldolgozási eszközök Gyakorlati kérdések: mélysége mennyisége osztályozás szempontok, csoportok „gazda” kockázatértékelés előtt vagy után
10
ISMS fórum 2006.03.22 10 Értékek típusai (ITB 8): Logikai –Szoftver –Adatok –Kommunikáció Fizikai –Környezet, infrastruktúra –Hardver –Adathordozó –Dokumentumok, iratok Személyi –Személyzet –Felhasználók –Ellenőrök Vagyonleltár
11
ISMS fórum 2006.03.22 11 Vagyontárgyakra példák (ISO/IEC 17799:2005) Információk Adatbázisok, adatállományok, szerződések és megállapodások, rendszer dokumentáció, kutatási információ, felhasználói, kezelői kézikönyvek, oktatási anyagok, működési, üzemeltetési és támogató eljárások, folytonossági tervek, tartalék egyezségek, auditon feltárt információk, archivált információ Szoftverek Alkalmazási- és rendszerszoftverek, fejlesztési eszközök és utility-k
12
ISMS fórum 2006.03.22 12 Vagyontárgyakra példák (ISO/IEC 17799:2005) (folytatás) Fizikai vagyontárgyak Számítógépek, távközlési berendezések, faxok, üzenetrögzítők, adathordozók, táp, klíma, bútor, stb. berendezések Szolgáltatások Számítástechnikai-, távközlési- és köz- (fűtés, világítás, energia, légkondicionálás) szolgáltatások Emberi erőforrások Emberek és képzettségük, képességeik, gyakorlatuk Eszmei Szervezet jó hírneve, imázsa
13
ISMS fórum 2006.03.22 13 Kockázat fogalma, értékelési szempontok Kockázat fogalma (ISO/IEC Guide 73): egy („nem kedvező”) esemény valószínűségének és következményének kombinációja Értékelési szempontok: valószínűség/gyakoriság következmény súlyossága (+ észlelhetőség/feltárhatóság)
14
ISMS fórum 2006.03.22 14 Kockázatok számbavétele Számbavételi szempontok lehetnek: Eredmény, követelmény oldalról Üzleti eredmény kockázatokból kiindulva Külső követelmény sérülés kockázatai szerint Folyamat oldalról Üzleti folyamat kockázatai szerint Információkezelési folyamat, információ életciklus szerint Szolgáltatás (eszköz) oldalról Információs rendszerenként, azon belül erőforrásonként Eszközök, vagyonelemek mentén
15
ISMS fórum 2006.03.22 15 Kockázatok számbavétele Gyakorlati kérdések: paranoia mértéke cég vagy ISMS kockázat ok-okozat láncok mely pontja mit lehet „egy sorban” kezelni, milyen mélység kapcsolatok vagyonelemek között szöveges leírás vagy csak számok felmérés – intézkedés kapcsolata
16
ISMS fórum 2006.03.22 16 Kockázatok értékelése Gyakorlati kérdések: mutatónként hány csoport csoportleírás szöveggel vagy számmal csoportelemek specifikálása több ok, következmény kezelése a kiértékelés során kockázati csoportok képzése a mutató csoportokból (táblázattal, művelettel, súlyokkal) meglévő intézkedéseket milyen mértékben veszik figyelembe
17
ISMS fórum 2006.03.22 17 További gyakorlati szempontok iterációk érintettekkel, helyszínen élőkkel tényleges eseményekre legyen reagálás vezetők számára –érthető –értéket adó –döntéshez használható tudatosításra felhasználás PDCA
18
ISMS fórum 2006.03.22 18 Köszönöm a figyelmet További információk, elérhetőség www.bs7799.hu www.szenzor-gm.hu p.moricz@szenzor.gm.hu Információ- és adatvédelmi tanfolyamok
Hasonló előadás
