Módszertani ajánlások IT Biztonsági Gyakorlatok szervezéséhez Dr Lőrincz István Információvédelem menedzselése Szakmai fórum január 21. A Hétpecsét Információbiztonsági Egyesület Platánus Hotel, Budapest, Könyves Kálmán krt. 44.
TARTALOM _______________________________________________ ASSOCIATOR ___ 1 Mit értsünk IT Biztonsági Gyakorlaton? 2 Gyakorlatok fajtái (módszertani osztályozás) 3 Egy IT-Biztonsági gyakorlat pályája 4 IT Biztonsági gyakorlatok előkészítése 5 IT Biztonsági gyakorlatok Végrehajtás 6 IT Biztonsági gyakorlatok Utóélete 7 Gyakorlatszervező eszközök 8 Tanulságok
Mit értsünk IT Biztonsági Gyakorlaton? /1 _______________________________________________ ASSOCIATOR ___ 1.1 A gyakorlat: –(népszerűen) kockázatkezelés (tanulása) „kockázat” nélkül –(szabatosan) a gyakorló szervezet folyamatainak teszt működéssel történő ellenőrzése –(szokásosan) legmagasabb rendű audit, minden kérdést a „működik vagy sem” próbára egyszerűsítve 1.2 IT Biztonsági gyakorlat: –A szervezet IT vonzatú folyamatainak teszt ellenőrzése (nem „csak” az IT folyamatoké) 1.3 Folyamat modell: –Kezdő állapot –Záró állapot –Állapot átmenetek
Mit értsünk IT Biztonsági Gyakorlaton? /2 _______________________________________________ ASSOCIATOR ___ 1.4 Gyakorlat célja: Mindig szervezeti és csak mellékesen egyéni vagy csoportos: [ÜZLETI Dimenzió] –Átfogó képesség (Részleg, Üzem, Telephely, Cég, Al-/Társ vállalkozás); –Mélység (Folyamat kapcsolatok, Partner kapcsolatok, Piaci együttműködések); –Részesedés (Forráskezelés, Termék/Szolgáltatás terjesztés, Szűk keresztmetszetek kezelése, Terjeszkedés) [BCP-DRP Dimenzió] Felkészültség, Előkészítettség; Válaszadó képesség; Védettség; Hibatűrés; Visszaállító képesség; [PEDAGÓGIAI Dimenzió] (Ki)képzés; Felkészítés; Nevelés, Edzés- Stimulálás; Felmérés; Hatékonyság növelés, Tudatosság javítás; Alkalmazkodó képesség javítás; Szerep-/Felelősség vállalás [AUDIT Dimenzió] Szabályozottság, Megfelelőség, Szabványosság, Kapcsolattartás, Érdekérvényesítés, Próba (Nemzetközi/EU, Országos, Ágazati, Partner/Szerződéses, Belső controllok szerint) – összefoglalóan ÉRETTSÉG, ha lehet valamely modell szerint
Mit értsünk IT Biztonsági Gyakorlaton? /3 _______________________________________________ ASSOCIATOR ___ 1.5 Példa Pl: egy IT Incidenskezelési gyakorlat célja lehet az, hogy a résztvevő intézmények: –megkísérlik tisztázni egy DoS támadás intézmény specifikus, informatika-specifikus illetve bűnüldözéssel kapcsolatos jegyeit és ezek mentén az együttműködés lehetséges-, kívánatos-, az esetleg szabványosíthatónak ajánlható vagy éppen kizáró formáit; –megkísérlik fejleszteni a közös fellépések lehetséges és kívánatos eljárásrendjét, szükség szerint az együttműködés kiszélesítését elősegítő és most még hiányzó szabályozókat (vagy éppen eltávolítani a most még akadályt jelentő szabályozókat); – megosztják egymással az eddigi tevékenységük kölcsönösen hasznosítható IT-Incidens kezelésre vonatkozó tapasztalatait, szabályozóit, segédleteit, tananyagait; –a gyakorlat kiemelt feladata, hogy szervezeteik külön-külön gyakorolják az incidens kezelésre előirt kontrollokat és kialakítsák a szervezetközi incidens kezelési együttműködés eljárásait.
Mit értsünk IT Biztonsági Gyakorlaton? /4 _______________________________________________ ASSOCIATOR ___ 1.6 Gyakorlat Elvárások: HATÉKONYSÁG (hatékonyság mindenféle értelemben) Időben (a lehető legrövidebb legyen) Emberben (a lehető legkevesebb emberrel legyen végrehajtható) Pénzben (lehetőleg „ingyen” legyen kockázat mentes) SZERVEZETBEN (teljesítse hivatását a szokásos üzletmenet fenntartása mellett) Kifelé és befelé egyaránt kommunikálható megfelelőség, a gyakorlattal bizonyított érettség. 1.7 Hamis elvárások/törekvések: — Pl. a gyakorlat látszat auditjának felmutatása állami ellenőrzés félrevezetésére vagy ellentmondásba keverésére. — Pl. Részérdek felnagyítása szervezeti indokkal nem alátámasztható fejlesztési igények prioritásának megváltoztatására.
Gyakorlatok fajtái (módszertani osztályozás) _______________________________________________ ASSOCIATOR ___ 2.1 Cél szerinti osztályozás: –a fenti célmegjelölések szerint szinte „végtelen” változatosság érhető el, ezért nem praktikus. Jobb is van: 2.2 a Módszertani osztályozás. Két szélső módszertani változat: –2.2.1 Üzemviteli gyakorlat: valóságos vagy tervezett folyamatok teszt körülmények közötti üzemszerű végrehajtása –2.2.2 Törzsvezetési gyakorlat: valóságos vagy tervezett folyamatok szimulált végrehajtása. –2.2.3 Módszertani Átmenetek: A két változat között szintén „végtelen” átmeneti változat elképzelhető és végbevihető.
Egy IT-Biztonsági gyakorlat pályája _______________________________________________ ASSOCIATOR ___ 3.1 Előkészítő fázis (Résztvevő csoportokra fokozatosan kiterjedően): –3.1.1 Tervezés Célkitűzésből végrehajtható Forgatókönyv készítés folyamata, Rengeteg egyeztetés Erőforrások [Szervezet, Ember, Idő, Pénz] – Szervezés Dokumentálás 3.2 Végrehajtás fázis –Szabványosított kommunikáció minden eseményről –Forgatókönyv megvalósult tevékenységek –Forgatókönyv regisztrált megállapítások –Log készítés 3.3 Értékelés fázis –Gyűjtés Résztvevőktől –Gyűjtés Kidolgozás Értékelőktől –Gyűjtés Megfigyelőktől –Értékelés (összefoglalás) –Kommunikáció (közzététel) Külső Belső
IT Biztonsági gyakorlatok Előkészítése _______________________________________________ ASSOCIATOR ___ Tervezés –Célkitűzés, –Erőforrások [Szervezet, Ember, Idő, Pénz] allokációja Szervezés –Döntés, Scenárió, Forgatókönyv, Résztvevők, Szerepek, –Tervező értekezlet I (erőforrások megszervezése), –Tervező értekezlet II (Audit megtervezése), –Tervező értekezlet III (Technika betanulása) a Gyakorlat szervezete –Központi törzs –Telephelyi törzsek –Ellenőrök –Megfigyelők –Technikai támogatáskiszolgálás –Gyakorlatvezető
IT Biztonsági gyakorlatok Végrehajtása _______________________________________________ ASSOCIATOR ___ A Gyakorlat helyszíne(i) –Törzsek (Központi, Telephelyi) –Folyamat helyszínek 5.1 a Gyakorlat gyakorlása (Opcionális) 5.2 a Gyakorlat maga 5.3 a Gyakorlat értékelése „T” és „GY” Időskálák Ki Kitől Mit Mikor Kér és Kap
IT Biztonsági gyakorlatok Utóélete _______________________________________________ ASSOCIATOR ___ 6.1 Gyakorlat jelentés –Gyűjtés Résztvevőktől –Gyűjtés Kidolgozás Értékelőktől –Gyűjtés Megfigyelőktől 6.2 Értékelés (összefoglalás) –Résztvevők szerepe és feladatai –Értékelők szerepe és feladatai –Támogatók szerepe és feladatai 6.3 Kommunikáció (közzététel) Külső Belső –Belső értékelés –Külső közlemény (kommunike)
Gyakorlatszervező eszközök /1 _______________________________________________ ASSOCIATOR ___ 7.1 Papír Ceruza eszközök –(Office szintig) 7.2 IT segédeszközök –Log kezelés, Log formátum, –Probléma Jegyek kezelése, –Help Desk működés, –Projekt kezelők 7.3 EMS (Excercise Management Systems) rendszerek –US DHS FEMA HSEEP HSEEP (HS Exercise & Evaluation Program)
Gyakorlatszervező eszközök /2 _______________________________________________ ASSOCIATOR ___ 7.4 Gyakorlat dokumentumok (a teljesség igénye nélkül) Scenario Forgatókönyv Kontakt lista Log (Eredeti és szerkesztett) Jelentés Kommuniké Szabályozók
Tanulságok _______________________________________________ ASSOCIATOR ___ 8.1 Mire jó egy gyakorlat –Hatékony és költségtakarékos módja az intézményi versenyképesség javításának (amennyiben az belső tényezőkön múlik) –Adrenalinszint és a Képzés hatékonysága –Felülmúlhatatlan a (ki)képzés; felkészítés; nevelés, felmérés; tudatosság javítás; alkalmazkodó képesség javítás területén –Megfelelőség bizonyítására, partner kapcsolatok építésére 8.2 Mire nem jó egy gyakorlat –Ha nincs átgondolt szabályozórendszer csak hibás bevésődések lesznek –Ha visszaélünk vele a pozitív tulajdonságai könnyen negatívba fordulnak –Felnagyít bizonyos szervezeti/szervezési elégtelenségeket (Hibás vezetői hozzáállást, belső ellentéteket, alulfinanszírozottságot, stb) 8 Tanulságok
KÉRDÉSEK? Dr Lőrincz István ASSOCIATOR Kft BUDAPEST Tamási 43 Fs 3. Telep: 1124 BP. Tamási Á 43 III/14 Mobil: Fax: