Παρουσίαση της μεθοδολογίας Octave

Transcript

1 Operationally Critical Threat, Asset, and Vulnerability Evaluation Παρουσίαση της μεθοδολογίας Octave Συντάκτης: Παρασκευή Κωστάκη Σπύρος Κοκολάκης 1 Δομή παρουσίασης 2 1

2 Τι είναι η OCTAVE; Δομή: Μια περιεκτική, επαναληπτική μεθοδολογία για την αναγνώριση κινδύνων σε δικτυακά συνδεδεμένα συστήματα (networked systems ) μέσω εσωτερικής οργανωσιακής αποτίμησης (organizational self-assessment). Βοηθά τους οργανισμούς να εφαρμόσουν διαχείριση επικινδυνότητας (information security risk management) για να διασφαλίζουν την υπάρχουσα πληροφορική υποδομή τους (information infrastructure) και να προστατεύσουν τα κρίσιμα πληροφοριακά τους δεδομένα (critical information assets). 3.. Για να γεφυρώσει το οργανωσιακό κενό που υπάρχει ανάμεσα στη διοίκηση και το τεχνικό τμήμα ενός οργανισμού στο τι αφορά η ασφάλεια 4 2

3 .. Προστασία των συστημάτων και κάθε πληροφορίας από μη εξουσιοδοτημένη χρήση, αλλαγή, καταστροφή ή παρέμβαση Για την αποκάλυψη μη εξουσιοδοτημένων ενεργειών Για την δημιουργία σχεδίου ανάκαμψης και την επαναφορά των συστημάτων και δεδομένων Για την γνώση των νομικών ενεργειών σε κάθε περίσταση Για να τεθούν οι προτεραιότητες για την ανάγκη σε ασφάλεια Για την πραγματοποίηση αλλαγών λαμβάνοντας υπόψη τους περιορισμούς σε προϋπολογισμό και μέσα 5 Θεμελιώδης φιλοσοφία της Octave Δεν μπορεί να γίνει μετριασμός όλων των κινδύνων Αναγνωρίζεται ότι υπάρχει περιορισμένος προϋπολογισμός και μέσα Δεν είναι δυνατή η αποφυγή όλων των πιθανών εισβολών Θα πρέπει να γίνεται αναγνώριση, αντίδραση και επανάκτηση από κάθε συμβάν Στόχος η καλύτερη χρήση των περιορισμένων πόρων για την διασφάλιση της βιωσιμότητας Καθολική άποψη Εστίαση στα πιο κρίσιμα 6 3

4 Προσέγγιση της Octave 7 Μέθοδος OCTAVE Allegro Βασίζεται σε δύο παλιότερες εκδόσεις, την OCTAVE (για μεγάλου μεγέθους συστήματα) και την OCTAVE-S (για μικρού μεγέθους συστήματα). Η OCTAVE Allegro εφαρμόζεται, συνεργατικά, από μικρές ομάδες εργασίες. Υποστηρίζεται από οδηγούς ανάπτυξης της μεθοδολογίας (διαδικασίες (procedures), οδηγούς (guidance), φύλλα εργασίας (worksheets), καταλόγους πληροφοριών (information catalogs)) και εκπαίδευση 8 4

5 Σύσταση μελετητικής ομάδας Η μελετητική ομάδα αποτελείται από: Διοικητικά στελέχη του οργανισμού Εξειδικευμένο τεχνικό προσωπικό 9 Φάσεις της OCTAVE Allegro Η OCTAVE αποτελείται από 4 φάσεις (phases): Φάση 1η Φάση 2η Φάσης 3η Φάση 1: Προσδιορισμός κριτηρίων κρίσιμων παραγόντων επιτυχίας για τη διαχείριση της επικινδυνότητας σύμφωνα με τους οργανωσιακούς στόχους. Φάση 2: Δημιουργία προφίλ κάθε αγαθού (asset) και προσδιορισμός των απαιτήσεων ασφάλειας, καθώς και των φορέων του (asset containers) Φάση 3: Αναγνώριση απειλών για κάθε πληροφοριακό αγαθό. Φάση 4: Αναγνώριση και ανάλυση κινδύνων για κάθε πληροφοριακό αγαθό και ανάπτυξη μιας προσέγγισης απομείωσης της επικινδυνότητας 10 5

6 Προφίλ κινδύνων βασισμένων σε δεδομένα (assets) Φάση 1η Φάση 2η Φάσης 3η 11 Παράδειγμα Προϊόντα Παράδειγμα 12 6

7 Προϊόντα (Outputs) της OCTAVE Προϊόντα Παράδειγμα 13 Πηγές Introduction to the OCTAVE Approach, OCTAVE -S (version 0.9) OCTAVE Method Implementation Guide Book: Managing Information Security Risks: The OCTAVE Approach. Addison-Wesley OCTAVE -S Implementation Guide, Version 1.0 Risk Management, Alberts, Christopher; Behrens, Sandra; Pethia, Richard; and Wilson, William. (OCTAVESM) Framework, Version 1.0 (CMU/SEI-99-TR-017, ADA ). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, Available online: < Alberts, Christopher J. et al. "Health Information Risk Assessment and Management: Toolkit Section 4.5." CPRI Toolkit: Managing Information Security in Health Care, Version 2. Available online: < (2000). Alberts, Christopher J. and Dorofee, Audrey J. OCTAVESM Method Implementation Guide, v2.0. Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, Can be ordered online: < Alberts, Christopher and Dorofee, Audrey. Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVESM) Criteria (CMU/SEI-01-TR-016). Pittsburgh, PA: Software Engineering Institute, Carnegie Mellon University, Available online: < 14 7