Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

IT Arkitektur og Sikkerhed

Lignende præsentationer


Præsentationer af emnet: "IT Arkitektur og Sikkerhed"— Præsentationens transcript:

1 IT Arkitektur og Sikkerhed
Risiko vurdering

2 I sidste uge gennemgik vi
Security awareness, love, politikker og BCP/DRP

3 I denne uge gennemgår vi
Dagsorden I denne uge gennemgår vi Risiko Analyse

4 I næste uge gennemgår vi
Praktisk Hacking

5 Sikkerhedsstandarder (1/6)
ISO/IEC 27001:2005 (fra 2005) Tidligere BS7799-2:2005 ( fra 2005) Tidligere BS7799 part 2 (fra 2002) ISO/IEC 27001:2005 er navngivet ”Information Security Management Standard - Requirements”. Benyttes som metodologi for etablering af INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) (sikkerhedsledelse). Din virksomhed kan certificeres til at overholde ISO/IEC 27001:2005, på samme måde som I kan certificeres til ISO 9000.

6 Sikkerhedsstandarder (2/6)
ISO/IEC 27001:2005 arbejder efter en veldefineret fortløbende proces (“Deming Cycle”) Plan Planlægning af ISMS Do Etablering, operere og vedligeholde ISMS Study Overvåge, måle, auditere, og evaluere ISMS Act Korrigere og imødegå problemer. Kontinuerlig forbedre ISMS

7 Sikkerhedsstandarder (3/6)
ISO/IEC 27001:2005 foreslår følgende proces 1. Define the scope and boundaries of your ISMS. 2. Define your organization’s ISMS policy. 3. Define your approach to risk management. 4. Identify your organization’s security risks. 5. Analyze and evaluate your security risks. 6. Identify and evaluate your risk treatment options. 7. Select control objectives and controls to treat risks. 8. Prepare a detailed Statement of Applicability. 9. Develop a risk treatment plan to manage your risks. 10.Implement your organization’s risk treatment plan. 11. Implement your organization’s security controls. 12. Implement your organization’s educational programs. 13. Manage and operate your organization’s ISMS. 14. Implement your organization’s security procedures. 15. Use procedures and controls to monitor your ISMS. M.fl. I dag

8 Sikkerhedsstandarder (4/6)
ISO/IEC (fra 2007) Tidligere ISO/IEC 17799:2005 (fra 2005) Tidligere ISO/IEC (fra 2000) Tidligere BS7799 part 1 (fra 1995) ISO/IEC er navngivet ”Code of practice for information security management” Indeholder vedledninger til etablering eller forbedring af INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) (sikkerhedsledelse). ISO/IEC foreslår følgende proces som start Udfør risikoanalyse Bestem sikkerhedskrav givet love, regulativer, kontrakter og lignende som I, jeres partnere, jeres kunder skal overholde Vælg de vejledninger der er relevante

9 Sikkerhedsstandarder (5/6)
ISO/IEC indeholder herudover følgende vejledninger 5. Security Policy Management 5.1 Establish a comprehensive information security policy 6. Corporate Security Management 6.1 Establish an internal security organization 6.2 Control external party use of your information 7. Organizational Asset Management 7.1 Establish responsibility for your organization’s assets 7.2 Use an information classification system 8. Human Resource Security Management 9. Physical and Environmental Security Management 10. Communications and Operations Management 11. Information Access Control Management 12. Information Systems Security Management 13. Information Security Incident Management 14. Business Continuity Management 15. Compliance Management

10 Sikkerhedsstandarder (6/6)
DS484:2005 svarer i princippet til ISO17799:2005. DS484 indeholder alle vejledningerne fra ISO17799 formuleret som krav.

11 Risiko analyse Risiko Analyse er midlet til:
Begrunde IT sikkerhedsomkostninger Styre IT sikkerhed i en virksomhed Vise at man har ”styr” på tingene (compliance)

12 Risiko analyse typer Der er grundlæggende to typer risiko analyser:
Kvalitativ Kvantitativ Kvalitativ er kendetegnet ved at den ikke bruger tal og kroner/øre og typisk behandler scenarier. Kvantitativ søger at bruge kroner/øre samt sandsynlighed til at finde ud af hvor tit ting sker, hvad det koster og hvad kontroller koster i ration til risikoen.

13 Kvalitativ risiko analyse
Hvordan identificerer man risiko? Interview med eksperter – brug af “Delphi” teknikker Brainstorming – gruppearbejde Analogier - gruppearbejde Affinity diagrammer - grupperarbejde Bayesian analyser M.fl.

14 Delphi En metode der sikre mod ”gruppetænkning”
Eksperterne deltager anonymt En facilitator sender spørgseskemaer ud hvor eksperterne skal identificerer risici. Facilitatoren samler og konsoliderer resultaterne, hvorefter de sendes igen for kommentering.

15 Brainstorming En facilitator samler en gruppe eksperter der brainstormer efter risici Kan med fordel gøres med gule sticky-notes og en stor væg.

16 Analogier Analogier bruges til at identificere risici ved gennemgang af historiske events, og de risici der lå før og som ikke blev håndteret.

17 Affinity Diagrammer (1/2)
Affinity Diagrammer er et analytisk værktøj der tillader at identificerede risici inddeles i meningsfulde kategorier. Værktøjet bruges under brainstormingen.

18 Affinity Diagrammer (2/2)

19 Bayesian analyser (1/2) Bayesian analyse er et statistisk værktøj hvor sandsynligheder for at en risiko indtræffer er baseret på en gruppes tro på at risikoen indtræffer.

20 Bayesian analyser (2/2) To demonstrate an application of Bayes' Theorem, suppose that we have a covered basket that contains three balls, each of which may be green or red. In a blind test, we reach in and pull out a red ball. We return the ball to the basket and try again, again pulling out a red ball. Once more, we return the ball to the basket and pull a ball out - red again. We form a hypothesis that all the balls are all, in fact, red. Bayes' Theorem can be used to calculate the probability (p) that all the balls are red (an event labeled as "A") given (symbolized as "|") that all the selections have been red (an event labeled as "B"): p(A|B) = p{A + B}/p{B} Of all the possible combinations (RRR, RRG, RGG, GGG), the chance that all the balls are red is 1/4; in 1/8 of all possible outcomes, all the balls are red AND all the selections are red. Bayes' Theorem calculates the probability that all the balls in the basket are red, given that all the selections have been red as .5 (probabilities are expressed as numbers between 0. and 1., with "1." indicating 100% probability and "0." indicating zero probability).

21 Hvilke begreber arbejder man med
Trusler Ting der kan gå galt i systemet, eller ting der kan angribe systemet Sårbarheder Ting i systemet der er sårbare overfor trusler Kontroller Ting man kan gøre for at imødegå sårbarheder Deterent controls (omdirigere) Preventative controls (beskytte) Corrective controls (korrigere) Detective controls (alarmere)

22 Kvalitativ risiko analyse opsummering
Fordele Simpel at forstå og lave Giver en generel og hurtig opsummering af hvilke områder der bør behandles Ulemper Er svær at lave konsistent Er meget subjektiv i både indhold og måling Giver ikke en cost/benefit analyse

23 Steps i en kvantitativ risiko analyse
Her bruger vi Pfleeger Identify Assets Determine vulnerability (threat agent) Estimate likelihood of exploration (ARO) Compute Expected annual loss (ALE) Survey applicable controls and their cost Project annual savings of control ARO = Annual Rate Of Occurrence ALE = Annual Loss Expectancy

24 Risiko analyse (step 1 og 2)
Første to step er: Identify Assets Determine vulnerability “sårbarhed” (threat agent “trussel”) Gøres nemt i skema (tavle) Hvor en threat agent møder en asset igennem en vulnerability har vi et ”noget” vi skal tage stilling til Det gøres i step 3

25 Estimate likelihood of exploration (ARO) (step 3)
ARO er vigtigt at forstå ARO står for ”Annual Rate of Occurrence” Hvor tit sker det (pr. år) Sandsynlighed for at en event vil ske Hvis en ting sker en gang hvert 10. år er ARO = 0,1 Hvis en event sker 20 gange om året er ARO = 20

26 Compute Expected annual loss (ALE) (step 4)
ALE står for ”Annual Loss Expectancy” ALE er et af de vigtigste tal i en risiko analyse ALE beregnes som SLE x ARO ARO kender vi men hvad med SLE?

27 Compute Expected annual loss (SLE) (step 4)
SLE Står for ”Single Loss Expectancy” SLE beregnes som ”Asset Value” x ”Exposure Factor (EF)” Asset Value kan vi godt relatere til men hvad med EF?

28 Compute Expected annual loss (EF) (step 4)
Exposure Factor = ”Percentage of asset loss caused by identified threat” Går fra 0 til 100% Eksempel: Asset = Web Site, Defaced web site = ??? Asset = Kildekode, Kildekoden stjålet = ???

29 Survey applicable controls and their cost (step 5)
Nu ved vi hvad det koster. Nu kan vi kigge på hvor meget vi bruger på at forebygge. Beregnes som ”årlig omkostning for kontrol” x ”effektivitet” Brandalarm eksempel: kr x 95% = kr

30 Project annual savings of control (step 5)
= Step 4 – step 5 Altså: ALE - (årlig omkostning til kontrol x effektivitet)

31 Eksempel Assets Sårbarheder Trusler ARO = 1000 (1000 gange om året)
Vores Netbank Sårbarheder ”Defacing” Datatab Svindel / Tyveri Trusler Sportshackere Pengehackere Politiske hackere Orme Vira Nedbrud Medarbejdere Bots Sensations-journalister Terrorister ARO = (1000 gange om året) Annual Rate of Occurance Asset Value = kr EF = 50% (Exposure Factor) SLE = x 80% = kr (Single Loss Expectancy) ALE = 1000 x kr = 16 millioner kr (Annual Loss Expectancy) Hvad koster en kontrol? Hvor effektiv er den?

32 Kvantitativ risiko analyse opsummering
Fordele Bruger sandsynlighed Udtrykker i kroner/øre God til behandling af/med management Ulemper Unøjagtig Kan give falske værdier og tryghed Ofte stort arbejde da mange data skal opsamles og behandles

33 Sårbarhedstest (1/3) Sårbarhedstests eller penetreringstests er en ydelse der udbydes af en række sikkerhedsleverandører Formålet er at få efterprøvet firmaets kontroller Vælg altid sikkerhedsleverandører der opfylder ISECOM OSSTM 2.0 eller lignende retningslinier (http://www.isecom.org/osstmm/)

34 Sårbarhedstest (2/3) Typer af sårbarhedstests
Blind Firmaet er klar over at det auditeres (alle detaljer). Auditor har ingen kendskab til målet. Double Blind Firmaet er ikke klar over at det auditeres (ingen detaljer). Auditor har ingen kendskab til målet. Gray Box Firmaet er klar over at det auditeres (alle detaljer). Auditor har nogen forudgående kendskab til målet. Double Gray Box Firmaet er klar over at det auditeres (tidspunkt og omfang – men ikke kanaler) Auditor har nogen forudgående kendskab til målet. Tandem Firmaet er klar over at det auditeres (alle detaljer). Auditor har fuldt kendskab til målet. Reversal Firmaet er ikke klar over at det auditeres (ingen detaljer). Auditor har fuldt kendskab til målet.

35 Sårbarhedstest (3/3)

36 Ekstra Slide: Udformning af en Sikkerhedspolitik
Identifikation og analyse af risici Kvalitativ Kvantitativ Håndtering af risici Accepter Undgå Overfør Indfør kontroller Organisation Roller og ansvar Autoriseringsprocesser Entiteter (Assets) Information (data) Software (applikationer, operativ systemer m.m.) Fysiske (hardware, netværk, m.m.) Service (elektricitet, varme, m.m.) Klassifikation af entiteter Personale Ansættelse Træning Håndtering af brug på sikkerhed Fysisk sikkerhed Tredjeparts adgang Operation Adgangskontrol Applikations udvikling og vedligeholdelse Business Continuity Management Regler og love


Download ppt "IT Arkitektur og Sikkerhed"

Lignende præsentationer


Annoncer fra Google