AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/10_CHK_Inc_management_BP.pdf · Ipari kémek (vállalatok, külföldi kormányzatok, más korm

AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI

Hungarian Cyber Security Package

Incidens Menedzsment

Benyó Pál

Tartalom

• Hálózatbiztonsági incidensek• Az Incidens Menedzsment• A hatékony incidens kezelési csoport• A szükséges erőforrások• Esettanulmány – vállalati incidens kezelés

FenyegetésekF e n y e g e té s fo rrá s a M o tiv á c ió T e v é k e n y s é g

S zá m ító g é p e s b ű n ö ző

T erro ris tá k

B e ls ő s ze m é ly e k

H ac ke r, C ra ck e r K ih ívá s , e g o , lá z a d á sH a ck e lé s , s o c ia l e n g in e e rin g , b e h a to lá s , jo g o s u la tla n h o z z á fé ré s

In fo rm á c ió m e g s e m m is íté se , ille g á lis in fo rm á c ió k ö z lé s , p é n z sz e rz é s , jo g o s u la tla n a d a t m e g v á lto z ta tá s

R e n d sz e r b e h a to lá s , sp o o fin g , m e g v e s z te g e té s , h a c k e r te ch n ik á k

M e g se m m is íté s , k ih a s z n á lá s , b o ss z ú , ré m h ír te rje sz té s

R e n d s ze r tá m a d á s , D D O S , re n d sz e r p e n e trá c ió , re n d sz e r h a m is ítá s , in fo rm á c ió s h á b o rú

Ip a ri k é m e k (vá lla la to k , kü lfö ld i ko rm á n yz a to k , m á s ko rm á n yz a ti é rd e k e lts é g e k )

G a z d a s á g i e lő n yö k s ze rz é se , ve rs e n y e lő n yö k , h írs ze rz é s

In fo rm á c ió lo p á s , s o c ia l e n g in e e rin g , sz e m é lye s a d a to k fe lh a s zn á lá s a ,

jo g o su la tla n re n d sz e r h o zz á fé ré se k (b iza lm a s a d a to k , te c h n o ló g ia i a d a to k , s tb .)

K ívá n c s is á g , e g o , in fo rm á c ió sz e rz é s , p é n z s z e rz é s , b o ss z ú , h ib á k

A m u n k a v á lla ló m e g fe n y e g e té s e , ro ss z h ír te rje sz té se , s z á m ító g é p e s cs a lá s , in fo rm á c ió lo p á s ,

m e g sz a k ítá s , m e g h a m is íto tt a d a to k , re n d sz e r sz a b o tá lá s , s tb .

Biztonsági incidensek

• Információ gyűjtés a cél számítógépről (Computer fingerprinting)

• Kártékony kód (Malicious code)• Szolgáltatás megtagadás (Denial of Service)• Jogosulatlan hozzáférés információhoz• Jogosulatlan hozzáférés adatátvitelhez• Jogosulatlan információ módosítás• Jogosulatlan hozzáférés kommunikációs

eszközökhöz


• Történetileg az incidens kezelés és az incidens válaszadás fogalmak jelentek meg először, ezek a tevékenységek részei az Incidens Menedzsmentnek.

• Az incidens kezelés egy olyan szolgáltatás, ami magába foglalja a biztonsági események és incidensek kezelésével kapcsolatos feladatokat és folyamatokat


Az incidens kezelési folyamat általános felépítése:

• Azonosítás és jelentés: információk, incidens jelentések és figyelmeztetések fogadása és vizsgálata

• Sorrend (triage): besorolás, sorrendbe állítás

• Analízis: meghatározni mi is történt, milyen hatása van, milyen károkat okozott, milyen elhárítási vagy kárenyhítési stratégia alkalmazható

• Incidens válaszadás: megoldás vagy kárcsökkentés, ellenlépések koordinálása, információk megosztása, nyomonkövetési stratégiák kialakítása, hogy az incidens még egyszer ne fordulhasson elő


• Az incidens menedzsment folyamata az incidens kezelésnél jóval több szolgáltatást foglal magába:– Az incidensek megelőzését– A sérülékenységek kezelését– A kártékony kódok kezelését– Biztonsági tudatosság növelését– Biztonsági menedzsment funkciókat

• Azaz az incidens menedzsment nem csak az incidens bekövetkezésekor történő válaszadást, hanem a megelőzést, azaz a fenyegetések és kockázatok azonosítását és a válaszadási stratégiák kialakítását is jelenti.

Incidens Menedzsment szolgáltatások

• Reagáló szolgáltatások: Bizonyos események (pl. incidens riportok) által beindított szolgáltatások, a biztonsági események felszámolására:– Jelzések, figyelmeztetések (információk publikálása

az eseményekről)– Incidens kezelés (analízis, kezelés, on-site kezelés,

stb.)– Sérülékenység kezelés (analízis, kezelés, on-site

kezelés, stb.)– Kártékony szoftver kezelés (analízis, kezelés, on-site

kezelés, stb.)


• Megelőző szolgáltatások: Támogatás a biztonsági eseményekre való felkészülésben és a védelmi intézkedések meghozatalában:– Értesítések, riportok (sérülékenységről, kártékony

szoftverekről)– Technológia figyelés (trend analízisek, védelmi

technikák)– Hálózat monitoring (behatolás figyelés)– Biztonsági eszközök fejlesztése– Biztonsági auditok– Egyéb megelőző intézkedések


• Biztonsági minőség menedzsment szolgáltatások: Olyan szolgáltatások, amik segítségével fokozható a szervezet ellenálló képessége azaz a biztonsági minősége:– Kockázat analízis– Katasztrófa tervek– Biztonsági tanácsadás– Tudatosítás és oktatás– Egyebek


Incidens Menedzsment kérdések

• Biztosított-e a felső vezetés elkötelezettsége? (szervezeti és finanszírozási kérdések)

• Kinek a felelőssége az IM a szervezetnél?• Milyen IM folyamat szükséges?• Hogyan alakítsuk ki a szervezetnél az IM

kapacitást?• Kikből álljon az IM csoport?• Milyen szabályozás szükséges a hatékony IM-

hez?

Incidens Menedzsment - felelősség

• Elsődlegesen a szervezet felső vezetője/vezetése felelős minden, a szervezetet érintő biztonsági kérdésben

• A biztonsági vezető felelős az IM folyamat kialakításáért, az IM csoport működtetéséért és a felső vezetés tájékoztatásáért.

• A hatékony IM kialakításának és üzemeltetésnek alapvető követelménye, a felső vezetés elkötelezettsége, azaz a szervezeti funkciók és finanszírozási háttér biztosítása


Internet

DMZ

Office LAN

Szerverek

Biztonsági zóna 1:- Tűzfalak- Vírusvédelem- IDS/IPS- DMZ szerverek védelme (pl. webszerver)

Biztonsági zóna 2:- Vírusvédelem- IDS/IPS- Patch menedzsment- Naplók- Egyéb biztonság (pl. adatmentés, titkosítás, stb.)

Biztonsági zóna 3:- Vírusvédelem (kliens)- Tűzfal (kliens)- Biztonsági frissítések- Stb...

Incidens Menedzsment:- biztonsági eszközök jelzései- korrelációk- incidens jelentések- incidens kezelés- incidens koordináció- sérülékenység kezelés- kártékony szoftver kezelés- biztonsági vizsgálatok- biztonsági tudatosítás, oktatás- stb...

Incidens Menedzsment - folyamata

• Alapvető szervezeti kérdés: Hogyan épül fel egy IM folyamat? Milyen struktúra szükséges?

• A szervezeteknek minőségi stratégiára és folyamatokra van szüksége, nem csak az incidensek kezelésére, de az incidensek megelőzésére és az újra bekövetkezés megakadályozására, azaz:– Biztonsági incidens kapacitások terve és

implementációja– Megerősített és biztonságos infrastruktúra– Felismerés, sorrendbe állítás, válaszadás, amikor az

esemény bekövetkezik



Felkészülés (Prepare):

• Előzetes IM kapacitás megtervezése és implementálása

• Az IM kapacitás működtetése

• A meglévő kapacitás fejlesztése folyamatos tanulással és értékeléssel

• Egyes IM intézkedések utólagos áttekintése, ha szükséges

• Az infrastruktúra fejlesztési javaslatok átvezetése a védelmi szakaszba



Védelem (Protect, Protect infrastrukcture):

• Infrastruktúra változtatások bevezetése, hogy megakadályozzuk a folyamatban lévő incidenseket vagy csökkentsük a sérülékenységek kihasználhatóságának kockázatát

• Infrastruktúra védelmi fejlesztések bevezetése

• Az IT infrastruktúra értékelése proaktív tesztelésekkel, hálózat monitoringgal és kockázat értékeléssel

• Információ továbbítás az észlelési szakaszba a folyamatban lévő incidensekről, a felismert sérülékenységekről és más biztonsági eseményekről



Észlelés (Detect events):

• Az események észrevétele és jelentése

• Jelentések fogadása

• Megelőző monitoring (pl. IDS, technológia figyelés)

• A figyelésre „érdemes” események analízise (mit is monitorozzunk?)

• A gyanús események továbbítása a sorrendbe állítási szakaszba

• Az IM folyamatba nem tartozó események továbbadása az illetékes helyre (pl. áramkimaradás)

• A lezárható események lezárása



Sorrendbe állítás (Triage events):

• Az események kategorizálása és korrelációinak meghatározása

• Az események prioritásának meghatározása

• Döntés esemény kezeléséről vagy válaszadásról

• A szükséges információk továbbítása a válaszadási szakasz részére

• Az IM folyamatba nem tartozó események továbbadása az illetékes helyre

• A lezárható események lezárása



Válaszadás (Respond):

• Az esemény analízise

• Válaszadási stratégia megtervezése

• Technikai, menedzsment és jogi válaszadás, illetve koordináció

• Kommunikáció a külső partnerekkel

• Az IM folyamatba nem tartozó események továbbadása az illetékes helyre

• A válaszadás lezárása

• Az eseményből, illetve a válaszadásból a tanulságok levonása és az érintettekkel való megosztása

Incidens Menedzsment kialakítása

• Ahány szervezet annyi módszer a kialakításra. Függ a rendelkezésre álló időkerettől, erőforrásoktól, emberektől, finanszírozástól és szükséges szolgáltatásoktól.

• Általánosan az alábbi tevékenységek, döntések szükségesek:– A felső vezetés támogatásának megszerzése

(szervezet, erőforrások, finanszírozás)– A stratégiai célok meghatározása, az igények

felmérése


– Az IM csoport küldetésének meghatározása:• támogatottak körének definiálása• célok és feladatok definiálása• szolgáltatások meghatározása• szervezeti modell meghatározása• költségek és a finanszírozás meghatározása• szükséges erőforrások meghatározása

– Az IM csoport céljainak és szolgáltatásainak kommunikálása a felső vezetés és a szolgáltatás leendő igénybevevői felé


– A visszajelzések fogadása és a tervek finomítása– A végleges tervek alapján az IM bevezetése:

• Az IM csoport tagjainak felvétele és kiképzése• Eszközök beszerzése és az IM infrastruktúra

kialakítása• Folyamatok és szabályzatok kialakítása a

mindennapi üzemeléshez• Incidens jelentési szabályzat/guidelines

kialakítása a támogatottak részére• Az IM csoport bemutatása az együttműködők

részére (pl. CERT közösség)• Az IM folyamat folyamatos értékelése és

fejlesztése

Incidens Menedzsment szervezet

• Az IM csoport szervezeti formája a meglévő szervezeti formától és a felső vezetés támogatásától függ.

• Általános szervezeti típusok:– Biztonsági csoport – a meglévő IT kollégák

alkalmazásával– Belső, megosztott IM csoport– Belső, központi IM csoport– Vegyes, részben megosztott és részben központi IM

csoport– Koordinációs IM csoport


Biztonsági csoport – a meglévő IT kollégákkal:

• Rendszer és hálózat admin. feladata az IM is, mert amúgy is ők üzemeltetik az IT rendszereket

• Mivel ők konfigurálják a biztonsági rendszereket is, ezért őket „szokták” biztonsági csoportnak hívni

• Létezik centralizált megoldás, de leggyakrabban megosztott a szervezeti kialakítás

• Nincs szervezeti felügyelet az IM folyamatra, egyénileg végzik a szakemberek

• Nem jellemző a koordinált IM, ad-hoc módon történik a válaszadás

• Elsősorban reaktív szolgáltatások a jellemzők


Biztonsági csoport – a meglévő IT kollégákkal:

• Elsősorban olyan szervezeteknél jellemző, ahol szükséges a specializált IT biztonsági humán erőforrás

• Az IM a munkaidő egy bizonyos részében történik

• Jellemző rájuk a magas szintű technikai kompetencia, azonban kommunikációs, menedzsment és jogi kérdésekben alacsony a hozzáadott érték

• Főleg üzleti szervezeteknél, oktatási intézményeknél jellemző ez a szervezeti felépítés


Belső, megosztott IM csoport:

• A szervezet különböző egységeinél helyezkednek el az IM folyamatban szerepet kapó kollégák

• Egy vagy több incidens menedzser irányítja a megosztott csoportot

• Az IM-ben szerepet kapó kollégák a technikai kompetenciáktól, a kommunikáción át, a jogi szakértelemig rendelkeznek szaktudással

• Az incidens menedzser feladata a megosztott rendszerben az IM koordinációja, a feladatok megosztása és ellenőrzése


Belső, megosztott IM csoport:

• Az incidens menedzser mindig azt a kollégát vonja be a folyamatba, akinek a szaktudására éppen szükség van

• A megosztott IM csoport esetén a szervezet teljes felügyeletet képes gyakorolni az IM folyamat egészére az incidens menedzseren keresztül

• Ez a szervezeti forma elsősorban nagy szervezetekre jellemzőek, ahol a szervezet maga is megosztott (esetleg földrajzilag is)

• A szolgáltatások az IM teljes spektrumát lefedhetik a szervezet igényeitől függően


Belső, központi IM csoport:

• Egy központi helyen kezelik a teljes IM folyamatot

• Az IM folyamatban résztvevő kollégák teljes munkaidejükben az IM-el foglalkoznak

• Egy felelős vezető felel a teljes IM csoport tevékenységéért, ő jelent a felső vezetésnek

• A teljes IM erőforrás központilag helyezkedik el

• A központi IM csoport gyűjti be az incidensekkel kapcsolatos összes információt a szervezeti egységektől

• A központi IM csoport teljes felügyeletet képes biztosítani a teljes IM folyamatra


Belső, központi IM csoport:

• A csoport tagjai különböző kompetenciákkal rendelkeznek (technikai, menedzsment, jogi, kommunikációs, stb.)

• A csoport nem csak a reagáló, hanem a megelőző és a biztonsági minőség menedzsment szolgáltatásokat is képesek a támogatottak számára nyújtani

• A csoport kiemelt szerepet játszik a szervezet biztonsági tudatosságának növelésében és szinten tartásában (pl. oktatások, tréningek, figyelem felhívó kampányok)

• A központi IM kis létszámú szervezetekre és fizikailag/földrajzilag megosztott nagy szervezetekre jellemző


Vegyes, (megosztott/központi) IM csoport:

• A vegyes modellben létrehoznak egy központi IM csoportot, akik együttműködnek az egyes szervezeti egységeknél lévő szakemberekkel

• A központi IM csoport magas szintű koordinációt lát el, illetve a szervezet egészét érintő problémákat kezeli

• A központi csoport dolgozza ki a válaszadási és kárenyhítési stratégiákat

• A központi csoport támogatási szolgáltatásokat ad a megosztott csoporttagoknak (pl. analízis)

• A megosztott csoporttagok a saját területükön szakértők (technikai, jogi, stb.)



• A vegyes megoldás esetén a szervezet maximalizálhatja a meglévő kompetenciák kihasználását

• A központi kollégák teljes munkaidőben, a megosztott csoport munkaidejének bizonyos részében foglalkozik az IM feladatokkal

• A központi csoportnál helyezkednek el az incidens menedzserek, akik koordinálják az IM folyamatot

• Az IM folyamat felügyelete is vegyes, a központi csoportnak a koordinációra teljes felügyeleti joga van, azonban a leosztott feladatok esetén a felügyelet korlátozott



• A vegyes megoldás a nagyon nagy, megosztott szervezetekre jellemző leginkább, ahol központi irányítás alatt több, földrajzilag szétosztott szervezeti egység működik

• Jó példa a vegyes megoldásra a nagy globális cégek (pl. bankok)

• A központi csoportnak közvetlenül a szervezet központjához közel kell elhelyezkednie, hogy a teljes szervezetet érintő problémákra azonnal, felső vezetői jóváhagyással tudjon reagálni


Koordinációs IM csoport:

• A koordinációs csoportok elsősorban nem belső szervezeti csoportok

• Feladatuk a külső szervezetek IM támogatása, országok, szervezetek közötti IM koordináció megvalósítása

• Célja a nyílt infrastruktúrán megjelenő, szervezetek közötti, illetve globális hatású incidensek kezelése

• Tevékenységeik az információ megosztás, a kárenyhítő stratégiák kidolgozása, a trend kutatás és analízis, a figyelmeztetések kiadása

• A támogatottak köre elsősorban szervezetek, akik maguk is rendelkezhetnek IM csoporttal



• Az IM folyamat felügyelete részükről korlátozott, erősen függ a támogatott szervezetekkel kötött megállapodásoktól

• Létezik olyan koordinációs IM csoport, aminek egyáltalán nincs az IM folyamatra felügyeleti lehetősége, ebben az esetben csupán információ megosztó és tanácsadó szerepe van

• A koordinációs csoportban teljes munkaidőben, különböző kompetenciákkal rendelkező kollégák dolgoznak

• A kompetenciák a támogatott szervezetek igényeihez igazodnak



• A kompetenciák a technikai, menedzsment, jogi és kommunikációs területeket fedhetik le

• A globális incidensek hatásainak kezeléséhez elengedhetetlen a folyamatos (7/24 órás) üzem, ezért a koordinációs csoportok nagy része rendelkezik ügyeleti szolgálattal

• A koordinációs csoportok számára elengedhetetlenül fontosak a nemzetközi együttműködések, ezért leggyakrabban rendelkeznek nemzetközi kapcsolatok kezelésére dedikált szakemberrel is

• A koordinációs központok finanszírozása általában nehéz feladat

Incidens Menedzsment erőforrások

• Az IM csoport kialakításához szükséges erőforrások:– Eszközök: A megtervezett IM folyamatot támogató

eszközrendszer– Humán: A szükséges kompetenciákkal rendelkező

szakemberek– Szolgáltatások: Mindazok az erőforrások, amikkel

nem rendelkezünk és nem is akarunk rendelkezni különböző okok miatt (pl. olcsóbb szolgáltatásként igénybe venni, a szükséges kompetencia nem érhető el szervezeten belül, stb.)

• Az erőforrások tervezésénél figyelembe kell venni, hogy a szervezet folyamatosan képes legyen finanszírozni az üzemeltetésüket is


Eszközök:

• Az IM csoport eszközrendszerét a nyújtott szolgáltatások eszköz szükségletéhez kell igazítani (pl.):– Incidens kezelés: Ticketing rendszer, telefonok, fax,

publikációs lehetőségek (pl. webszerver)– Sérülékenység kezelés: Publikációs lehetőség,

adatbázis, analízis eszközök (pl. labor, virtuális gépek)

– Kártékony kódok kezelése: Információ gyűjtő eszközök, szeparált labor a vizsgálatokhoz, publikációs lehetőségek

• Nem csak a bekerülést, hanem a folyamatos fejlesztést és üzemeltetést is finanszírozni kell


Humán:

• Miután eldöntöttük, hogy milyen IM csoportot alakítunk ki, meg kell határozni a szükséges kompetenciákat:– Technikai: Aki képes az adott incidens technikai

működését megérteni, képes egy problémát analizálni és képes meghatározni a hatékony technikai válaszlépéseket

– Menedzsment: Aki képes egy incidens esetén az incidens szervezetre gyakorolt hatását megérteni, képes meghatározni a szervezeti válaszlépéseket, képes olyan kárenyhítési stratégiák kialakítására, ami növeli a szervezet ellenálló képességét


– Jogi: Aki képes egy adott incidens szervezetre gyakorolt jogi hatásait felfogni, képes megfelelő jogi válaszlépések kialakítására, képes a szervezet szabályozó rendszerében olyan változtatások kezdeményezésére, ami növeli a szervezet ellenálló képességét

– Kommunikáció: Aki képes a szervezeten belül és kifelé (pl. partnerek, ügyfelek, stb.) egy incidens megfelelő kommunikációjára, azaz mi történt, milyen válaszlépések történtek, mindennek milyen hatása van az érintettekre. A kommunikációba beleértjük a biztonsági tudatosság növelését, azaz az oktatásokat, tréningeket, figyelemfelhívó kampányokat is.


– Incidens Menedzserek: Feladatuk a teljes IM folyamat áttekintése és a szervezeti válaszadás koordinációja, valamint a felső vezetés részére a szükséges információk biztosítása

– Nemzetközi kapcsolatok: Feladatuk az IM csoport nemzetközi kapcsolatainak, együttműködéseinek biztosítása (elsősorban a koordinációs IM csoportoknál)

– Adminisztráció: Nem tartoznak minden esetben szorosan az IM csoporthoz. Ők biztosítják a tevékenység teljes adminisztrációs folyamatát (pl. pénzügy, elszámolások, stb.)


Szolgáltatások:

• Alapvető probléma, hogy nem minden szervezet képes a teljes szükséges IM folyamatot saját erőforrásokkal lefedni, ilyenkor szükséges lehet a szolgáltatás vásárlás, pl.:– Analízis kapacitás: külső analízis labor igénybe

vétele– Jogi tanácsadás– Kommunikációs szolgáltatások

Incidens Menedzsment esettanulmány

Vállalti IM csoport kialakítása:

• Cipő gyártó és értékesítő vállalat

• Budapesti központ, gyártó kapacitás vidéken, megosztott értékesítési hálózat (saját boltok, ügynökök, internet értékesítés)

• IT rendszer is megosztott:– IT központ Budapesten, itt van az internet

értékesítési pont is– Tartalék IT központ a gyártás helyén, itt van a

gyártást támogató fő IT rendszer is– Az értékesítési pontokon munkaállomások,

interneten érik el a központi értékesítési rendszert


– Az ügynökök laptopon/interneten keresztül érik el a központi értékesítési rendszert

– A két IT központ és az értékesítési hálózat között titkosított VPN kapcsolat van

– A teljes infrastruktúra rendelkezik védelmi megoldásokkal (pl. vírusvédelem, tűzfalak, IDS, stb.), amit az IT üzemeltetés kezel

• Szervezeti felépítés:– A központban van a központi IT üzemeltetés– A gyártás helyén kihelyezett üzemeltetők vannak,

illetve a központból távfelügyeletet adnak– Az értékesítési hálózatot egy központi helpdesk

távmenedzsmenttel felügyeli


– A vállalat nem rendelkezik IM folyamattal, az informatikai igazgató feladata volt az IT biztonság kezelése

• A probléma:– Az elmúlt 1,5 hónapban rendszeres dDoS támadások

jelentősen csökkentették az internetes értékesítés forgalmát, illetve a szervezeti egységek közötti kapcsolat is akadozik

• A vezetői döntés:– A felső vezetés felismerve a problémát úgy dönt,

hogy IM folyamatot vezet be, amire TÉGED kérnek fel, mint projekt vezetőt!


• A feladat:– Mérd fel a vállalat jelenlegi IM képességeit– Tegyél javaslatot egy hatékony IM folyamat

kialakítására– Tervezd meg a kialakítási projektet (milyen csoport,

milyen erőforrások, milyen finanszírozás szükséges)– Milyen szervezeti változtatások szükségesek?– Tervezd meg a kialakított rendszer üzemeltetési

erőforrás és finanszírozási igényét– Tervezd meg a rendszer fejlesztési koncepcióját


Egy lehetséges megoldás:

• Vegyes, részben megosztott IM csoport:– A központi IM csoport a kapcsolati pont, innen

történik az IM koordináció (ide jelent az értékesítési hálózat és a gyártó szervezeti egység is)

– A központban koncentrálódik az IM szolgáltatások jelentős része (technika, menedzsment, jog, kommunikáció)

– Az IM-re az informatikai igazgatótól független vezető kerül kinevezésre, aki közvetlenül a vezérigazgató irányításával dolgozik

– Incidens menedzserek kerülnek alkalmazásra, akik teles munkaidőben az IM-el foglalkoznak


– A központban a kompetenciákkal rendelkező szakemberek munkaidejük egy részében foglalkoznak az IM-el (pl. technikai személyzet)

– Központi szolgáltatások:• Védekezés (incidens, sérülékenység, kártékony

kód kezelés, stb.)• Megelőzés (figyelmeztetések, behatolás

érzékelés, biztonsági auditok, stb.)• Biztonsági minőség menedzsment (kockázat

értékelések, dolgozók és partnerek biztonsági oktatása, katasztrófa tervek, stb.)

– A gyártó szervezeti egységnél lévő IT szakemberek a megosztott csoport tagjai


– A megosztott csoport tagjai technikai kompetenciákkal rendelkeznek

– Az incidens menedzserek koordinálják a központi és megosztott csoport tagjait az IM folyamat során

– Az értékesítési hálózat tagjai nem rendelkeznek kompetenciákkal, feladatuk az események jelentése a központba

– Az értékesítési hálózat esetén az incidensek kezelése távfelügyelettel történik

– Az internet értékesítési pont a központi csoporthoz tartozik


• Erőforrások:– Eszköz: központi ticketing rendszer, belső

információs weboldal, stb.– Humán: IM vezető, incidens menedzserek

alkalmazása, a kompetenciákkal rendelkező szakemberek IM képzése

– Szolgáltatás: Analízis, nemzetközi koordináció, oktatás, stb.

• Finanszírozási igény:– Kialakítás: eszközbeszerzés, elhelyezés,

rendszerfejlesztés, oktatás, stb.– Üzemeltetés: Humán költségek, üzemeltetési

költségek, szolgáltatás vásárlás


• Szervezeti változások:– Közvetlenül a vezér alá rendelet IM vezető– A vegyes IM csoport tagjainak plusz feladatai– Az incidens menedzserek feladatai és jogai– A jelenlegi struktúra „erős embereivel” elfogadtatni

a változásokat (pl. informatikai vezető)

• Fejlesztési stratégia:– A bevezetett szolgáltatások folyamatos figyelése és

javítása– Új szolgáltatások bevezetése a szervezet igényei és

lehetőségei szerint


Hasznos információk az IM-el kapcsolatban:

• www.cert.org/csirts/

• www.enisa.europa.eu/cert_guide/

• www.first.org/library/

• www.trusted-introducer.nl/links/documents.html

http://www.cert.org/csirts/

http://www.enisa.europa.eu/cert_guide/

http://www.first.org/library/

http://www.trusted-introducer.nl/links/documents.html

Köszönöm a figyelmet!www.cert-hungary.hu

Documents

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/10_CHK_Inc_management_BP.pdf · Ipari kémek (vállalatok, külföldi kormányzatok, más korm