Dwie oceny systemu bezpieczeństwa: ilościowa i...
Transcript of Dwie oceny systemu bezpieczeństwa: ilościowa i...
Mechanizm bezpieczeństwa zawsze jest kompromisem "
Akceptowalne ryzyko
• Skomplikowanie • Dłuższy czas reakcji • Ograniczenia operacyjne • Większe koszty • Trudniejsza obsługa
Bez analizy ryzyka dobór optymalnych zabezpieczeń jest bardzo trudny
Bezpieczeństwo procesów biznesowych versus bezpieczeństwo infrastruktury IT "
Biznes
Infrastruktura IT
Cele oceny ilościowej"
• Obiektywna ocena całości działań związanych z bezpieczeństwem
• Porównanie dojrzałości systemu bezpieczeństwa do innych w branży (benchmark)
• Ocena dojrzałości systemu bezpieczeństwa w perspektywie wieloletniej
• Rekomendacje krótko i długofalowe
Ocena ilościowa wg modelu Forrester Research"
Forrester stworzył model dojrzałości systemu bezpieczeństwa (Forrester Information Security Maturity Model - ISMM) kompilując dobre praktyki z powszechnie uznanych standardach bezpieczeństwa:
• ISO 27001/ISO 27002 • COBIT 4.1 • NIST SP 800-53 • BITS Framework • ISF's 2012 Standard of Good Practice (SOGP) • COSO control framework • OCEG's GRC Capability Model
Dojrzałości systemu oceniana jest poprzez domeny, funkcje i komponenty"
Network
Data
Systems
Endpoints
Applications
Content
People Process Technology
Oversight Strategy Governance Risk management
Compliance Audit and assurance
Security services
Communication
Security organization
Business relationship
Roles/responsibilities
Identity and access management
Threat and vulnerability management
Investigations & records management
Incident management
Sourcing and vendor management
Information asset management
Applications/system development
Business continuity & disaster recovery
Domeny agregują funkcje, a funkcje komponenty"
Oversight"People "Process"Technology"
Komponent Domena Funkcja
Domeny agregują funkcje, a funkcje komponenty"
Strategy"Governance!Risk Management!Compliance"Audit/Assurance"
Oversight"People "Process"Technology"
Komponent Domena Funkcja
Domeny agregują funkcje, a funkcje komponenty"
Strategy"Governance!Risk Management!Compliance"Audit/Assurance"
Risk context"Risk identification!Risk analysis!Risk evaluation"Risk treatment"Risk tracking"Risk reporting"
Oversight"People "Process"Technology"
Komponent Domena Funkcja
Ocena domeny "Oversight!
People !
Process!
Technology!
Strategy!
Governance!
Risk management!Compliance!
Audit/!Assurance!
Risk context!
Risk identification!
Risk analysis!
Risk evaluation!
Risk treatment!
Risk tracking!
Risk reporting!
SCORE!0 No formal process for treating
risks"
1 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options"
2 Risks are mitigated or transferred using consistent guidelines and policies"
3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options"
4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction"
5!!
Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."
1!
4!
3!
2!
4!
3!
3!
Domena Funkcja Komponent
Ocena domeny "Oversight!
People !
Process!
Technology!
Strategy!
Governance!
Risk management!Compliance!
Audit/!Assurance!
Risk context!
Risk identification!
Risk analysis!
Risk evaluation!
Risk treatment!
Risk tracking!
Risk reporting!
SCORE!0 No formal process for treating
risks"
1 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options"
2 Risks are mitigated or transferred using consistent guidelines and policies"
3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options"
4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction"
5!!
Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."
1!
4!
3!
2!
4!
3!
3!
3.43!
2.11!
2.86!
4.14!
1.93!
Domena Funkcja Komponent
Ocena domeny "Oversight!
People !
Process!
Technology!
Strategy!
Governance!
Risk management!Compliance!
Audit/!Assurance!
Risk context!
Risk identification!
Risk analysis!
Risk evaluation!
Risk treatment!
Risk tracking!
Risk reporting!
SCORE!0 No formal process for treating
risks"
1 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options"
2 Risks are mitigated or transferred using consistent guidelines and policies"
3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options"
4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction"
5!!
Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."
1!
4!
3!
2!
4!
3!
3!
3.43!
2.11!
2.86!
4.14!
1.93!
2.97!
Domena Funkcja Komponent
Uniwersalna gradacja ocen i lokalny cel dojrzałości"
Risk context"Risk identification!Risk analysis!Risk evaluation"Risk treatment"Risk tracking"Risk reporting"
2 0 1 4 3 2 5
Stan istniejący
Cel
Sześć poziomów oceny
0 Non-existent 1 Ad hoc 2 Repeatable 3 Defined 4 Measured 5 Optimized
Średnia w branży
Najniższa ocena w branży
Najwyższa ocena w branży
Mediana w branży
Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized"
Aktualna ocena przedsiębiorstwa
Benchmark Forrestera względem innych w branży "
Porównanie oceny konsultanta i oceny własnych specjalistów"
Ocena specjalistów z
przedsiębiorstwa
Cel postawiony przez
przedsiębiorstwo
Ocena zewnętrznego konsultanta
Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized"
Porównanie ocen z kilku lat "
Ocena 2014 Ocena 2012
Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized"
Ocena 2013
Cel oceny jakościowej"
• Sprawdzenie czy istniejące mechanizmy bezpieczeństwa są nakierowane na minimalizację ryzyk spowodowanych przez komputeryzację
• Stworzenie spójnego obrazu istniejącego system bezpieczeństwa
• Rekomendacje krótko i długofalowe
Scenariusz oceny jakościowej"
Wywiad DWywiad C
Wywiad BWywiad A
Raport końcowyFaktyWnioskiRekomendacje
Przegląd dokumentacji
Przegląd zabezpieczeń
fizycznych
Dane zebrane z wywiadówbędą chronine jak informacje poufnebędą załączone do raportu w formie anonimowej
Zebrane informacje
Analiza
Wywiady z przedstawicielami różnych grup"
• Wywiady przeprowadza konsultant
• Wywiady obejmują przedstawicieli trzech grup: kierownictwa, działu IT oraz użytkowników aplikacji biznesowych
• Każda grupa ma oddzielny zestaw pytań
• Analiza danych z wywiadów skupia się na zrozumieniu różnic: v w odpowiedziach na te same pytania v między oczekiwanym postępowaniem a realną praktyką
Przegląd dokumentacji"
Przegląd dokumentów pozwala ocenić różnicę między stanem rzeczywistym i postulowanym.
Klient sam wybiera dokumenty, które uważa za ważne dla bezpieczeństwa:
• Polityka bezpieczeństwa • Umowy z kooperantami (usługi serwisowe i outsourcingowe) • Procedury dotyczące bezpieczeństwa fizycznego • Standardy wewnątrzorganizacyjne dotyczące nabywania i wdrażania
technologii informatycznych. • ……
Przegląd zabezpieczeń fizycznych"
Przegląd zabezpieczeń fizycznych dotyczy bezpieczeństwa fizycznego infrastruktury teleinformatycznej i składa się z dwóch części.
Pierwsza część. Przegląd z przewodnikiem, Obejmie pomieszczenia,
do których ograniczono dostęp zwykłym pracownikom Druga część. Przegląd z perspektywy zwykłego pracownika po
godzinach pracy
Sposób prezentacji wyników wg ISO-27001"
Ogólna konkluzja podsumowująca dany obszar tematyczny standardu ISO-27001 Tytuł obszaru
tematycznego ISO-27001
Stan szczególny 1 o dużym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu szczególnego
Stan szczególny 2 o małym zagrożeniu dla bezpieczeństwa
Możliwe implikacje wynikłe z tego stanu Stan szczególny 3 o małym zagrożeniu dla bezpieczeństwa
Możliwe implikacje wynikłe z tego stanu ........................................................................ Stan szczególny 4 wyróżniający się na tle innych firm tej samej branży Stan szczególny 5 wyróżniający się na tle innych firm tej samej branży
Ocena systemu bezpieczeństwa daje odpowiedzi na ważne pytania"
• Czy zabezpieczenia są nakierowane on ograniczanie rzeczywistych ryzyk?
• Czy poziom akceptowanego ryzyka jest optymalny z punktu widzenia biznesu?
• Czy zabezpieczenia nie krępują procesów biznesowych bez racjonalnego uzasadnienia?
• Czy koszty zabezpieczeń są uzasadnione?