25
Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa Robert Kępczyński Senior Consultant

Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowaftp.mu.pl/ibm/PSD/Bezpieczenstwo_IT/4_Dwie_oceny_systemu... · Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa

  • Upload
    lamcong

  • View
    214

  • Download
    0

Embed Size (px)

Citation preview

Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa

Robert Kępczyński Senior Consultant

Mechanizm bezpieczeństwa zawsze jest kompromisem "

Akceptowalne ryzyko

•  Skomplikowanie •  Dłuższy czas reakcji •  Ograniczenia operacyjne •  Większe koszty •  Trudniejsza obsługa

Bez analizy ryzyka dobór optymalnych zabezpieczeń jest bardzo trudny

Bezpieczeństwo procesów biznesowych versus bezpieczeństwo infrastruktury IT "

Biznes

Infrastruktura IT

Ocena ilościowa:Oszacowanie dojrzałość systemu bezpieczeństwa wgmodelu Forrester Research

Cele oceny ilościowej"

•  Obiektywna ocena całości działań związanych z bezpieczeństwem

•  Porównanie dojrzałości systemu bezpieczeństwa do innych w branży (benchmark)

•  Ocena dojrzałości systemu bezpieczeństwa w perspektywie wieloletniej

•  Rekomendacje krótko i długofalowe

Ocena ilościowa wg modelu Forrester Research"

Forrester stworzył model dojrzałości systemu bezpieczeństwa (Forrester Information Security Maturity Model - ISMM) kompilując dobre praktyki z powszechnie uznanych standardach bezpieczeństwa:

•  ISO 27001/ISO 27002 •  COBIT 4.1 •  NIST SP 800-53 •  BITS Framework •  ISF's 2012 Standard of Good Practice (SOGP) •  COSO control framework •  OCEG's GRC Capability Model

Dojrzałości systemu oceniana jest poprzez domeny, funkcje i komponenty"

Network

Data

Systems

Endpoints

Applications

Content

People Process Technology

Oversight Strategy Governance Risk management

Compliance Audit and assurance

Security services

Communication

Security organization

Business relationship

Roles/responsibilities

Identity and access management

Threat and vulnerability management

Investigations & records management

Incident management

Sourcing and vendor management

Information asset management

Applications/system development

Business continuity & disaster recovery

Domeny agregują funkcje, a funkcje komponenty"

Oversight"People "Process"Technology"

Komponent Domena Funkcja

Domeny agregują funkcje, a funkcje komponenty"

Strategy"Governance!Risk Management!Compliance"Audit/Assurance"

Oversight"People "Process"Technology"

Komponent Domena Funkcja

Domeny agregują funkcje, a funkcje komponenty"

Strategy"Governance!Risk Management!Compliance"Audit/Assurance"

Risk context"Risk identification!Risk analysis!Risk evaluation"Risk treatment"Risk tracking"Risk reporting"

Oversight"People "Process"Technology"

Komponent Domena Funkcja

Ocena domeny "Oversight!

People !

Process!

Technology!

Strategy!

Governance!

Risk management!Compliance!

Audit/!Assurance!

Risk context!

Risk identification!

Risk analysis!

Risk evaluation!

Risk treatment!

Risk tracking!

Risk reporting!

SCORE!0 No formal process for treating

risks"

1 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options"

2 Risks are mitigated or transferred using consistent guidelines and policies"

3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options"

4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction"

5!!

Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."

1!

4!

3!

2!

4!

3!

3!

Domena Funkcja Komponent

Ocena domeny "Oversight!

People !

Process!

Technology!

Strategy!

Governance!

Risk management!Compliance!

Audit/!Assurance!

Risk context!

Risk identification!

Risk analysis!

Risk evaluation!

Risk treatment!

Risk tracking!

Risk reporting!

SCORE!0 No formal process for treating

risks"

1 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options"

2 Risks are mitigated or transferred using consistent guidelines and policies"

3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options"

4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction"

5!!

Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."

1!

4!

3!

2!

4!

3!

3!

3.43!

2.11!

2.86!

4.14!

1.93!

Domena Funkcja Komponent

Ocena domeny "Oversight!

People !

Process!

Technology!

Strategy!

Governance!

Risk management!Compliance!

Audit/!Assurance!

Risk context!

Risk identification!

Risk analysis!

Risk evaluation!

Risk treatment!

Risk tracking!

Risk reporting!

SCORE!0 No formal process for treating

risks"

1 Risks are mitigated through quick fixes and workarounds without evaluation of treatment options"

2 Risks are mitigated or transferred using consistent guidelines and policies"

3 Risks may be mitigated, transferred, shared, or accepted after consideration of multiple options"

4 Risks may be mitigated, transferred, shared, or accepted based on analysis of costs and risk reduction"

5!!

Risks may be mitigated, increased, transferred, shared, or accepted in order to maximize performance within risk appetite."

1!

4!

3!

2!

4!

3!

3!

3.43!

2.11!

2.86!

4.14!

1.93!

2.97!

Domena Funkcja Komponent

Uniwersalna gradacja ocen i lokalny cel dojrzałości"

Risk context"Risk identification!Risk analysis!Risk evaluation"Risk treatment"Risk tracking"Risk reporting"

2 0 1 4 3 2 5

Stan istniejący

Cel

Sześć poziomów oceny

0 Non-existent 1 Ad hoc 2 Repeatable 3 Defined 4 Measured 5 Optimized

Średnia w branży

Najniższa ocena w branży

Najwyższa ocena w branży

Mediana w branży

Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized"

Aktualna ocena przedsiębiorstwa

Benchmark Forrestera względem innych w branży "

Porównanie oceny konsultanta i oceny własnych specjalistów"

Ocena specjalistów z

przedsiębiorstwa

Cel postawiony przez

przedsiębiorstwo

Ocena zewnętrznego konsultanta

Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized"

Porównanie ocen z kilku lat "

Ocena 2014 Ocena 2012

Non-existent" Ad hoc" Repeatable" Defined" Measured" Optimized"

Ocena 2013

Ocena jakościowa:Analiza ryzyk związanych z komputeryzacją przedsiębiorstwa

Cel oceny jakościowej"

•  Sprawdzenie czy istniejące mechanizmy bezpieczeństwa są nakierowane na minimalizację ryzyk spowodowanych przez komputeryzację

•  Stworzenie spójnego obrazu istniejącego system bezpieczeństwa

•  Rekomendacje krótko i długofalowe

Scenariusz oceny jakościowej"

Wywiad DWywiad C

Wywiad BWywiad A

Raport końcowyFaktyWnioskiRekomendacje

Przegląd dokumentacji

Przegląd zabezpieczeń

fizycznych

Dane zebrane z wywiadówbędą chronine jak informacje poufnebędą załączone do raportu w formie anonimowej

Zebrane informacje

Analiza

Wywiady z przedstawicielami różnych grup"

•  Wywiady przeprowadza konsultant

•  Wywiady obejmują przedstawicieli trzech grup: kierownictwa, działu IT oraz użytkowników aplikacji biznesowych

•  Każda grupa ma oddzielny zestaw pytań

•  Analiza danych z wywiadów skupia się na zrozumieniu różnic: v  w odpowiedziach na te same pytania v  między oczekiwanym postępowaniem a realną praktyką

Przegląd dokumentacji"

Przegląd dokumentów pozwala ocenić różnicę między stanem rzeczywistym i postulowanym.

Klient sam wybiera dokumenty, które uważa za ważne dla bezpieczeństwa:

•  Polityka bezpieczeństwa •  Umowy z kooperantami (usługi serwisowe i outsourcingowe) •  Procedury dotyczące bezpieczeństwa fizycznego •  Standardy wewnątrzorganizacyjne dotyczące nabywania i wdrażania

technologii informatycznych. •  ……

Przegląd zabezpieczeń fizycznych"

Przegląd zabezpieczeń fizycznych dotyczy bezpieczeństwa fizycznego infrastruktury teleinformatycznej i składa się z dwóch części.

Pierwsza część. Przegląd z przewodnikiem, Obejmie pomieszczenia,

do których ograniczono dostęp zwykłym pracownikom Druga część. Przegląd z perspektywy zwykłego pracownika po

godzinach pracy

Sposób prezentacji wyników wg ISO-27001"

Ogólna konkluzja podsumowująca dany obszar tematyczny standardu ISO-27001 Tytuł obszaru

tematycznego ISO-27001

Stan szczególny 1 o dużym zagrożeniu dla bezpieczeństwa Możliwe implikacje wynikłe z tego stanu szczególnego

Stan szczególny 2 o małym zagrożeniu dla bezpieczeństwa

Możliwe implikacje wynikłe z tego stanu Stan szczególny 3 o małym zagrożeniu dla bezpieczeństwa

Możliwe implikacje wynikłe z tego stanu ........................................................................ Stan szczególny 4 wyróżniający się na tle innych firm tej samej branży Stan szczególny 5 wyróżniający się na tle innych firm tej samej branży

Ocena systemu bezpieczeństwa daje odpowiedzi na ważne pytania"

•  Czy zabezpieczenia są nakierowane on ograniczanie rzeczywistych ryzyk?

•  Czy poziom akceptowanego ryzyka jest optymalny z punktu widzenia biznesu?

•  Czy zabezpieczenia nie krępują procesów biznesowych bez racjonalnego uzasadnienia?

•  Czy koszty zabezpieczeń są uzasadnione?