az informatikai biztonsÁg speciÁlis...
TRANSCRIPT
AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
Incidens Menedzsment
Benyó Pál
Tartalom
• Hálózatbiztonsági incidensek• Az Incidens Menedzsment• A hatékony incidens kezelési csoport• A szükséges erőforrások• Esettanulmány – vállalati incidens kezelés
FenyegetésekF e n y e g e té s fo rrá s a M o tiv á c ió T e v é k e n y s é g
S zá m ító g é p e s b ű n ö ző
T erro ris tá k
B e ls ő s ze m é ly e k
H ac ke r, C ra ck e r K ih ívá s , e g o , lá z a d á sH a ck e lé s , s o c ia l e n g in e e rin g , b e h a to lá s , jo g o s u la tla n h o z z á fé ré s
In fo rm á c ió m e g s e m m is íté se , ille g á lis in fo rm á c ió k ö z lé s , p é n z sz e rz é s , jo g o s u la tla n a d a t m e g v á lto z ta tá s
R e n d sz e r b e h a to lá s , sp o o fin g , m e g v e s z te g e té s , h a c k e r te ch n ik á k
M e g se m m is íté s , k ih a s z n á lá s , b o ss z ú , ré m h ír te rje sz té s
R e n d s ze r tá m a d á s , D D O S , re n d sz e r p e n e trá c ió , re n d sz e r h a m is ítá s , in fo rm á c ió s h á b o rú
Ip a ri k é m e k (vá lla la to k , kü lfö ld i ko rm á n yz a to k , m á s ko rm á n yz a ti é rd e k e lts é g e k )
G a z d a s á g i e lő n yö k s ze rz é se , ve rs e n y e lő n yö k , h írs ze rz é s
In fo rm á c ió lo p á s , s o c ia l e n g in e e rin g , sz e m é lye s a d a to k fe lh a s zn á lá s a ,
jo g o su la tla n re n d sz e r h o zz á fé ré se k (b iza lm a s a d a to k , te c h n o ló g ia i a d a to k , s tb .)
K ívá n c s is á g , e g o , in fo rm á c ió sz e rz é s , p é n z s z e rz é s , b o ss z ú , h ib á k
A m u n k a v á lla ló m e g fe n y e g e té s e , ro ss z h ír te rje sz té se , s z á m ító g é p e s cs a lá s , in fo rm á c ió lo p á s ,
m e g sz a k ítá s , m e g h a m is íto tt a d a to k , re n d sz e r sz a b o tá lá s , s tb .
Biztonsági incidensek
• Információ gyűjtés a cél számítógépről (Computer fingerprinting)
• Kártékony kód (Malicious code)• Szolgáltatás megtagadás (Denial of Service)• Jogosulatlan hozzáférés információhoz• Jogosulatlan hozzáférés adatátvitelhez• Jogosulatlan információ módosítás• Jogosulatlan hozzáférés kommunikációs
eszközökhöz
Incidens Menedzsment
• Történetileg az incidens kezelés és az incidens válaszadás fogalmak jelentek meg először, ezek a tevékenységek részei az Incidens Menedzsmentnek.
• Az incidens kezelés egy olyan szolgáltatás, ami magába foglalja a biztonsági események és incidensek kezelésével kapcsolatos feladatokat és folyamatokat
Incidens Menedzsment
Az incidens kezelési folyamat általános felépítése:
• Azonosítás és jelentés: információk, incidens jelentések és figyelmeztetések fogadása és vizsgálata
• Sorrend (triage): besorolás, sorrendbe állítás
• Analízis: meghatározni mi is történt, milyen hatása van, milyen károkat okozott, milyen elhárítási vagy kárenyhítési stratégia alkalmazható
• Incidens válaszadás: megoldás vagy kárcsökkentés, ellenlépések koordinálása, információk megosztása, nyomonkövetési stratégiák kialakítása, hogy az incidens még egyszer ne fordulhasson elő
Incidens Menedzsment
• Az incidens menedzsment folyamata az incidens kezelésnél jóval több szolgáltatást foglal magába:– Az incidensek megelőzését– A sérülékenységek kezelését– A kártékony kódok kezelését– Biztonsági tudatosság növelését– Biztonsági menedzsment funkciókat
• Azaz az incidens menedzsment nem csak az incidens bekövetkezésekor történő válaszadást, hanem a megelőzést, azaz a fenyegetések és kockázatok azonosítását és a válaszadási stratégiák kialakítását is jelenti.
Incidens Menedzsment szolgáltatások
• Reagáló szolgáltatások: Bizonyos események (pl. incidens riportok) által beindított szolgáltatások, a biztonsági események felszámolására:– Jelzések, figyelmeztetések (információk publikálása
az eseményekről)– Incidens kezelés (analízis, kezelés, on-site kezelés,
stb.)– Sérülékenység kezelés (analízis, kezelés, on-site
kezelés, stb.)– Kártékony szoftver kezelés (analízis, kezelés, on-site
kezelés, stb.)
Incidens Menedzsment szolgáltatások
• Megelőző szolgáltatások: Támogatás a biztonsági eseményekre való felkészülésben és a védelmi intézkedések meghozatalában:– Értesítések, riportok (sérülékenységről, kártékony
szoftverekről)– Technológia figyelés (trend analízisek, védelmi
technikák)– Hálózat monitoring (behatolás figyelés)– Biztonsági eszközök fejlesztése– Biztonsági auditok– Egyéb megelőző intézkedések
Incidens Menedzsment szolgáltatások
• Biztonsági minőség menedzsment szolgáltatások: Olyan szolgáltatások, amik segítségével fokozható a szervezet ellenálló képessége azaz a biztonsági minősége:– Kockázat analízis– Katasztrófa tervek– Biztonsági tanácsadás– Tudatosítás és oktatás– Egyebek
Incidens Menedzsment szolgáltatások
Incidens Menedzsment kérdések
• Biztosított-e a felső vezetés elkötelezettsége? (szervezeti és finanszírozási kérdések)
• Kinek a felelőssége az IM a szervezetnél?• Milyen IM folyamat szükséges?• Hogyan alakítsuk ki a szervezetnél az IM
kapacitást?• Kikből álljon az IM csoport?• Milyen szabályozás szükséges a hatékony IM-
hez?
Incidens Menedzsment - felelősség
• Elsődlegesen a szervezet felső vezetője/vezetése felelős minden, a szervezetet érintő biztonsági kérdésben
• A biztonsági vezető felelős az IM folyamat kialakításáért, az IM csoport működtetéséért és a felső vezetés tájékoztatásáért.
• A hatékony IM kialakításának és üzemeltetésnek alapvető követelménye, a felső vezetés elkötelezettsége, azaz a szervezeti funkciók és finanszírozási háttér biztosítása
Incidens Menedzsment
Internet
DMZ
Office LAN
Szerverek
Biztonsági zóna 1:- Tűzfalak- Vírusvédelem- IDS/IPS- DMZ szerverek védelme (pl. webszerver)
Biztonsági zóna 2:- Vírusvédelem- IDS/IPS- Patch menedzsment- Naplók- Egyéb biztonság (pl. adatmentés, titkosítás, stb.)
Biztonsági zóna 3:- Vírusvédelem (kliens)- Tűzfal (kliens)- Biztonsági frissítések- Stb...
Incidens Menedzsment:- biztonsági eszközök jelzései- korrelációk- incidens jelentések- incidens kezelés- incidens koordináció- sérülékenység kezelés- kártékony szoftver kezelés- biztonsági vizsgálatok- biztonsági tudatosítás, oktatás- stb...
Incidens Menedzsment - folyamata
• Alapvető szervezeti kérdés: Hogyan épül fel egy IM folyamat? Milyen struktúra szükséges?
• A szervezeteknek minőségi stratégiára és folyamatokra van szüksége, nem csak az incidensek kezelésére, de az incidensek megelőzésére és az újra bekövetkezés megakadályozására, azaz:– Biztonsági incidens kapacitások terve és
implementációja– Megerősített és biztonságos infrastruktúra– Felismerés, sorrendbe állítás, válaszadás, amikor az
esemény bekövetkezik
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata
Felkészülés (Prepare):
• Előzetes IM kapacitás megtervezése és implementálása
• Az IM kapacitás működtetése
• A meglévő kapacitás fejlesztése folyamatos tanulással és értékeléssel
• Egyes IM intézkedések utólagos áttekintése, ha szükséges
• Az infrastruktúra fejlesztési javaslatok átvezetése a védelmi szakaszba
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata
Védelem (Protect, Protect infrastrukcture):
• Infrastruktúra változtatások bevezetése, hogy megakadályozzuk a folyamatban lévő incidenseket vagy csökkentsük a sérülékenységek kihasználhatóságának kockázatát
• Infrastruktúra védelmi fejlesztések bevezetése
• Az IT infrastruktúra értékelése proaktív tesztelésekkel, hálózat monitoringgal és kockázat értékeléssel
• Információ továbbítás az észlelési szakaszba a folyamatban lévő incidensekről, a felismert sérülékenységekről és más biztonsági eseményekről
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata
Észlelés (Detect events):
• Az események észrevétele és jelentése
• Jelentések fogadása
• Megelőző monitoring (pl. IDS, technológia figyelés)
• A figyelésre „érdemes” események analízise (mit is monitorozzunk?)
• A gyanús események továbbítása a sorrendbe állítási szakaszba
• Az IM folyamatba nem tartozó események továbbadása az illetékes helyre (pl. áramkimaradás)
• A lezárható események lezárása
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata
Sorrendbe állítás (Triage events):
• Az események kategorizálása és korrelációinak meghatározása
• Az események prioritásának meghatározása
• Döntés esemény kezeléséről vagy válaszadásról
• A szükséges információk továbbítása a válaszadási szakasz részére
• Az IM folyamatba nem tartozó események továbbadása az illetékes helyre
• A lezárható események lezárása
Incidens Menedzsment - folyamata
Incidens Menedzsment - folyamata
Válaszadás (Respond):
• Az esemény analízise
• Válaszadási stratégia megtervezése
• Technikai, menedzsment és jogi válaszadás, illetve koordináció
• Kommunikáció a külső partnerekkel
• Az IM folyamatba nem tartozó események továbbadása az illetékes helyre
• A válaszadás lezárása
• Az eseményből, illetve a válaszadásból a tanulságok levonása és az érintettekkel való megosztása
Incidens Menedzsment kialakítása
• Ahány szervezet annyi módszer a kialakításra. Függ a rendelkezésre álló időkerettől, erőforrásoktól, emberektől, finanszírozástól és szükséges szolgáltatásoktól.
• Általánosan az alábbi tevékenységek, döntések szükségesek:– A felső vezetés támogatásának megszerzése
(szervezet, erőforrások, finanszírozás)– A stratégiai célok meghatározása, az igények
felmérése
Incidens Menedzsment kialakítása
– Az IM csoport küldetésének meghatározása:• támogatottak körének definiálása• célok és feladatok definiálása• szolgáltatások meghatározása• szervezeti modell meghatározása• költségek és a finanszírozás meghatározása• szükséges erőforrások meghatározása
– Az IM csoport céljainak és szolgáltatásainak kommunikálása a felső vezetés és a szolgáltatás leendő igénybevevői felé
Incidens Menedzsment kialakítása
– A visszajelzések fogadása és a tervek finomítása– A végleges tervek alapján az IM bevezetése:
• Az IM csoport tagjainak felvétele és kiképzése• Eszközök beszerzése és az IM infrastruktúra
kialakítása• Folyamatok és szabályzatok kialakítása a
mindennapi üzemeléshez• Incidens jelentési szabályzat/guidelines
kialakítása a támogatottak részére• Az IM csoport bemutatása az együttműködők
részére (pl. CERT közösség)• Az IM folyamat folyamatos értékelése és
fejlesztése
Incidens Menedzsment szervezet
• Az IM csoport szervezeti formája a meglévő szervezeti formától és a felső vezetés támogatásától függ.
• Általános szervezeti típusok:– Biztonsági csoport – a meglévő IT kollégák
alkalmazásával– Belső, megosztott IM csoport– Belső, központi IM csoport– Vegyes, részben megosztott és részben központi IM
csoport– Koordinációs IM csoport
Incidens Menedzsment szervezet
Biztonsági csoport – a meglévő IT kollégákkal:
• Rendszer és hálózat admin. feladata az IM is, mert amúgy is ők üzemeltetik az IT rendszereket
• Mivel ők konfigurálják a biztonsági rendszereket is, ezért őket „szokták” biztonsági csoportnak hívni
• Létezik centralizált megoldás, de leggyakrabban megosztott a szervezeti kialakítás
• Nincs szervezeti felügyelet az IM folyamatra, egyénileg végzik a szakemberek
• Nem jellemző a koordinált IM, ad-hoc módon történik a válaszadás
• Elsősorban reaktív szolgáltatások a jellemzők
Incidens Menedzsment szervezet
Biztonsági csoport – a meglévő IT kollégákkal:
• Elsősorban olyan szervezeteknél jellemző, ahol szükséges a specializált IT biztonsági humán erőforrás
• Az IM a munkaidő egy bizonyos részében történik
• Jellemző rájuk a magas szintű technikai kompetencia, azonban kommunikációs, menedzsment és jogi kérdésekben alacsony a hozzáadott érték
• Főleg üzleti szervezeteknél, oktatási intézményeknél jellemző ez a szervezeti felépítés
Incidens Menedzsment szervezet
Belső, megosztott IM csoport:
• A szervezet különböző egységeinél helyezkednek el az IM folyamatban szerepet kapó kollégák
• Egy vagy több incidens menedzser irányítja a megosztott csoportot
• Az IM-ben szerepet kapó kollégák a technikai kompetenciáktól, a kommunikáción át, a jogi szakértelemig rendelkeznek szaktudással
• Az incidens menedzser feladata a megosztott rendszerben az IM koordinációja, a feladatok megosztása és ellenőrzése
Incidens Menedzsment szervezet
Belső, megosztott IM csoport:
• Az incidens menedzser mindig azt a kollégát vonja be a folyamatba, akinek a szaktudására éppen szükség van
• A megosztott IM csoport esetén a szervezet teljes felügyeletet képes gyakorolni az IM folyamat egészére az incidens menedzseren keresztül
• Ez a szervezeti forma elsősorban nagy szervezetekre jellemzőek, ahol a szervezet maga is megosztott (esetleg földrajzilag is)
• A szolgáltatások az IM teljes spektrumát lefedhetik a szervezet igényeitől függően
Incidens Menedzsment szervezet
Belső, központi IM csoport:
• Egy központi helyen kezelik a teljes IM folyamatot
• Az IM folyamatban résztvevő kollégák teljes munkaidejükben az IM-el foglalkoznak
• Egy felelős vezető felel a teljes IM csoport tevékenységéért, ő jelent a felső vezetésnek
• A teljes IM erőforrás központilag helyezkedik el
• A központi IM csoport gyűjti be az incidensekkel kapcsolatos összes információt a szervezeti egységektől
• A központi IM csoport teljes felügyeletet képes biztosítani a teljes IM folyamatra
Incidens Menedzsment szervezet
Belső, központi IM csoport:
• A csoport tagjai különböző kompetenciákkal rendelkeznek (technikai, menedzsment, jogi, kommunikációs, stb.)
• A csoport nem csak a reagáló, hanem a megelőző és a biztonsági minőség menedzsment szolgáltatásokat is képesek a támogatottak számára nyújtani
• A csoport kiemelt szerepet játszik a szervezet biztonsági tudatosságának növelésében és szinten tartásában (pl. oktatások, tréningek, figyelem felhívó kampányok)
• A központi IM kis létszámú szervezetekre és fizikailag/földrajzilag megosztott nagy szervezetekre jellemző
Incidens Menedzsment szervezet
Vegyes, (megosztott/központi) IM csoport:
• A vegyes modellben létrehoznak egy központi IM csoportot, akik együttműködnek az egyes szervezeti egységeknél lévő szakemberekkel
• A központi IM csoport magas szintű koordinációt lát el, illetve a szervezet egészét érintő problémákat kezeli
• A központi csoport dolgozza ki a válaszadási és kárenyhítési stratégiákat
• A központi csoport támogatási szolgáltatásokat ad a megosztott csoporttagoknak (pl. analízis)
• A megosztott csoporttagok a saját területükön szakértők (technikai, jogi, stb.)
Incidens Menedzsment szervezet
Vegyes, (megosztott/központi) IM csoport:
• A vegyes megoldás esetén a szervezet maximalizálhatja a meglévő kompetenciák kihasználását
• A központi kollégák teljes munkaidőben, a megosztott csoport munkaidejének bizonyos részében foglalkozik az IM feladatokkal
• A központi csoportnál helyezkednek el az incidens menedzserek, akik koordinálják az IM folyamatot
• Az IM folyamat felügyelete is vegyes, a központi csoportnak a koordinációra teljes felügyeleti joga van, azonban a leosztott feladatok esetén a felügyelet korlátozott
Incidens Menedzsment szervezet
Vegyes, (megosztott/központi) IM csoport:
• A vegyes megoldás a nagyon nagy, megosztott szervezetekre jellemző leginkább, ahol központi irányítás alatt több, földrajzilag szétosztott szervezeti egység működik
• Jó példa a vegyes megoldásra a nagy globális cégek (pl. bankok)
• A központi csoportnak közvetlenül a szervezet központjához közel kell elhelyezkednie, hogy a teljes szervezetet érintő problémákra azonnal, felső vezetői jóváhagyással tudjon reagálni
Incidens Menedzsment szervezet
Koordinációs IM csoport:
• A koordinációs csoportok elsősorban nem belső szervezeti csoportok
• Feladatuk a külső szervezetek IM támogatása, országok, szervezetek közötti IM koordináció megvalósítása
• Célja a nyílt infrastruktúrán megjelenő, szervezetek közötti, illetve globális hatású incidensek kezelése
• Tevékenységeik az információ megosztás, a kárenyhítő stratégiák kidolgozása, a trend kutatás és analízis, a figyelmeztetések kiadása
• A támogatottak köre elsősorban szervezetek, akik maguk is rendelkezhetnek IM csoporttal
Incidens Menedzsment szervezet
Koordinációs IM csoport:
• Az IM folyamat felügyelete részükről korlátozott, erősen függ a támogatott szervezetekkel kötött megállapodásoktól
• Létezik olyan koordinációs IM csoport, aminek egyáltalán nincs az IM folyamatra felügyeleti lehetősége, ebben az esetben csupán információ megosztó és tanácsadó szerepe van
• A koordinációs csoportban teljes munkaidőben, különböző kompetenciákkal rendelkező kollégák dolgoznak
• A kompetenciák a támogatott szervezetek igényeihez igazodnak
Incidens Menedzsment szervezet
Koordinációs IM csoport:
• A kompetenciák a technikai, menedzsment, jogi és kommunikációs területeket fedhetik le
• A globális incidensek hatásainak kezeléséhez elengedhetetlen a folyamatos (7/24 órás) üzem, ezért a koordinációs csoportok nagy része rendelkezik ügyeleti szolgálattal
• A koordinációs csoportok számára elengedhetetlenül fontosak a nemzetközi együttműködések, ezért leggyakrabban rendelkeznek nemzetközi kapcsolatok kezelésére dedikált szakemberrel is
• A koordinációs központok finanszírozása általában nehéz feladat
Incidens Menedzsment erőforrások
• Az IM csoport kialakításához szükséges erőforrások:– Eszközök: A megtervezett IM folyamatot támogató
eszközrendszer– Humán: A szükséges kompetenciákkal rendelkező
szakemberek– Szolgáltatások: Mindazok az erőforrások, amikkel
nem rendelkezünk és nem is akarunk rendelkezni különböző okok miatt (pl. olcsóbb szolgáltatásként igénybe venni, a szükséges kompetencia nem érhető el szervezeten belül, stb.)
• Az erőforrások tervezésénél figyelembe kell venni, hogy a szervezet folyamatosan képes legyen finanszírozni az üzemeltetésüket is
Incidens Menedzsment erőforrások
Eszközök:
• Az IM csoport eszközrendszerét a nyújtott szolgáltatások eszköz szükségletéhez kell igazítani (pl.):– Incidens kezelés: Ticketing rendszer, telefonok, fax,
publikációs lehetőségek (pl. webszerver)– Sérülékenység kezelés: Publikációs lehetőség,
adatbázis, analízis eszközök (pl. labor, virtuális gépek)
– Kártékony kódok kezelése: Információ gyűjtő eszközök, szeparált labor a vizsgálatokhoz, publikációs lehetőségek
• Nem csak a bekerülést, hanem a folyamatos fejlesztést és üzemeltetést is finanszírozni kell
Incidens Menedzsment erőforrások
Humán:
• Miután eldöntöttük, hogy milyen IM csoportot alakítunk ki, meg kell határozni a szükséges kompetenciákat:– Technikai: Aki képes az adott incidens technikai
működését megérteni, képes egy problémát analizálni és képes meghatározni a hatékony technikai válaszlépéseket
– Menedzsment: Aki képes egy incidens esetén az incidens szervezetre gyakorolt hatását megérteni, képes meghatározni a szervezeti válaszlépéseket, képes olyan kárenyhítési stratégiák kialakítására, ami növeli a szervezet ellenálló képességét
Incidens Menedzsment erőforrások
– Jogi: Aki képes egy adott incidens szervezetre gyakorolt jogi hatásait felfogni, képes megfelelő jogi válaszlépések kialakítására, képes a szervezet szabályozó rendszerében olyan változtatások kezdeményezésére, ami növeli a szervezet ellenálló képességét
– Kommunikáció: Aki képes a szervezeten belül és kifelé (pl. partnerek, ügyfelek, stb.) egy incidens megfelelő kommunikációjára, azaz mi történt, milyen válaszlépések történtek, mindennek milyen hatása van az érintettekre. A kommunikációba beleértjük a biztonsági tudatosság növelését, azaz az oktatásokat, tréningeket, figyelemfelhívó kampányokat is.
Incidens Menedzsment erőforrások
– Incidens Menedzserek: Feladatuk a teljes IM folyamat áttekintése és a szervezeti válaszadás koordinációja, valamint a felső vezetés részére a szükséges információk biztosítása
– Nemzetközi kapcsolatok: Feladatuk az IM csoport nemzetközi kapcsolatainak, együttműködéseinek biztosítása (elsősorban a koordinációs IM csoportoknál)
– Adminisztráció: Nem tartoznak minden esetben szorosan az IM csoporthoz. Ők biztosítják a tevékenység teljes adminisztrációs folyamatát (pl. pénzügy, elszámolások, stb.)
Incidens Menedzsment erőforrások
Szolgáltatások:
• Alapvető probléma, hogy nem minden szervezet képes a teljes szükséges IM folyamatot saját erőforrásokkal lefedni, ilyenkor szükséges lehet a szolgáltatás vásárlás, pl.:– Analízis kapacitás: külső analízis labor igénybe
vétele– Jogi tanácsadás– Kommunikációs szolgáltatások
Incidens Menedzsment esettanulmány
Vállalti IM csoport kialakítása:
• Cipő gyártó és értékesítő vállalat
• Budapesti központ, gyártó kapacitás vidéken, megosztott értékesítési hálózat (saját boltok, ügynökök, internet értékesítés)
• IT rendszer is megosztott:– IT központ Budapesten, itt van az internet
értékesítési pont is– Tartalék IT központ a gyártás helyén, itt van a
gyártást támogató fő IT rendszer is– Az értékesítési pontokon munkaállomások,
interneten érik el a központi értékesítési rendszert
Incidens Menedzsment esettanulmány
– Az ügynökök laptopon/interneten keresztül érik el a központi értékesítési rendszert
– A két IT központ és az értékesítési hálózat között titkosított VPN kapcsolat van
– A teljes infrastruktúra rendelkezik védelmi megoldásokkal (pl. vírusvédelem, tűzfalak, IDS, stb.), amit az IT üzemeltetés kezel
• Szervezeti felépítés:– A központban van a központi IT üzemeltetés– A gyártás helyén kihelyezett üzemeltetők vannak,
illetve a központból távfelügyeletet adnak– Az értékesítési hálózatot egy központi helpdesk
távmenedzsmenttel felügyeli
Incidens Menedzsment esettanulmány
– A vállalat nem rendelkezik IM folyamattal, az informatikai igazgató feladata volt az IT biztonság kezelése
• A probléma:– Az elmúlt 1,5 hónapban rendszeres dDoS támadások
jelentősen csökkentették az internetes értékesítés forgalmát, illetve a szervezeti egységek közötti kapcsolat is akadozik
• A vezetői döntés:– A felső vezetés felismerve a problémát úgy dönt,
hogy IM folyamatot vezet be, amire TÉGED kérnek fel, mint projekt vezetőt!
Incidens Menedzsment esettanulmány
• A feladat:– Mérd fel a vállalat jelenlegi IM képességeit– Tegyél javaslatot egy hatékony IM folyamat
kialakítására– Tervezd meg a kialakítási projektet (milyen csoport,
milyen erőforrások, milyen finanszírozás szükséges)– Milyen szervezeti változtatások szükségesek?– Tervezd meg a kialakított rendszer üzemeltetési
erőforrás és finanszírozási igényét– Tervezd meg a rendszer fejlesztési koncepcióját
Incidens Menedzsment esettanulmány
Egy lehetséges megoldás:
• Vegyes, részben megosztott IM csoport:– A központi IM csoport a kapcsolati pont, innen
történik az IM koordináció (ide jelent az értékesítési hálózat és a gyártó szervezeti egység is)
– A központban koncentrálódik az IM szolgáltatások jelentős része (technika, menedzsment, jog, kommunikáció)
– Az IM-re az informatikai igazgatótól független vezető kerül kinevezésre, aki közvetlenül a vezérigazgató irányításával dolgozik
– Incidens menedzserek kerülnek alkalmazásra, akik teles munkaidőben az IM-el foglalkoznak
Incidens Menedzsment esettanulmány
– A központban a kompetenciákkal rendelkező szakemberek munkaidejük egy részében foglalkoznak az IM-el (pl. technikai személyzet)
– Központi szolgáltatások:• Védekezés (incidens, sérülékenység, kártékony
kód kezelés, stb.)• Megelőzés (figyelmeztetések, behatolás
érzékelés, biztonsági auditok, stb.)• Biztonsági minőség menedzsment (kockázat
értékelések, dolgozók és partnerek biztonsági oktatása, katasztrófa tervek, stb.)
– A gyártó szervezeti egységnél lévő IT szakemberek a megosztott csoport tagjai
Incidens Menedzsment esettanulmány
– A megosztott csoport tagjai technikai kompetenciákkal rendelkeznek
– Az incidens menedzserek koordinálják a központi és megosztott csoport tagjait az IM folyamat során
– Az értékesítési hálózat tagjai nem rendelkeznek kompetenciákkal, feladatuk az események jelentése a központba
– Az értékesítési hálózat esetén az incidensek kezelése távfelügyelettel történik
– Az internet értékesítési pont a központi csoporthoz tartozik
Incidens Menedzsment esettanulmány
• Erőforrások:– Eszköz: központi ticketing rendszer, belső
információs weboldal, stb.– Humán: IM vezető, incidens menedzserek
alkalmazása, a kompetenciákkal rendelkező szakemberek IM képzése
– Szolgáltatás: Analízis, nemzetközi koordináció, oktatás, stb.
• Finanszírozási igény:– Kialakítás: eszközbeszerzés, elhelyezés,
rendszerfejlesztés, oktatás, stb.– Üzemeltetés: Humán költségek, üzemeltetési
költségek, szolgáltatás vásárlás
Incidens Menedzsment esettanulmány
• Szervezeti változások:– Közvetlenül a vezér alá rendelet IM vezető– A vegyes IM csoport tagjainak plusz feladatai– Az incidens menedzserek feladatai és jogai– A jelenlegi struktúra „erős embereivel” elfogadtatni
a változásokat (pl. informatikai vezető)
• Fejlesztési stratégia:– A bevezetett szolgáltatások folyamatos figyelése és
javítása– Új szolgáltatások bevezetése a szervezet igényei és
lehetőségei szerint
Incidens Menedzsment esettanulmány
Hasznos információk az IM-el kapcsolatban:
• www.cert.org/csirts/
• www.enisa.europa.eu/cert_guide/
• www.first.org/library/
• www.trusted-introducer.nl/links/documents.html
Köszönöm a figyelmet!www.cert-hungary.hu